Кто продаёт базы документов и банковские данные и почему пытаться их купить — плохая идея, dev.by разбирался с бывшим кардером Дмитрием Насковцом и киберсыщиком Елисеем Богуславским. Руководитель проекта в Group-IB (экс-начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета) Александр Сушко рассказал, как белорусские правоохранители мониторят даркнет.
— Покупка-продажа информации главным образом происходит на форумах, где тусуются мошенники, — говорит Дмитрий Насковец (благодаря хорошему английскому звонил жертвам кардеров и занимался data harvesting, был приговорён в США к тюремному заключению, вышел на свободу при помощи адвоката Аркадия Буха, стал «белым хакером» и открыл адвокатскую контору в Нью-Йорке). — Там же всегда регистрируются кидалы и полицейские.
— У органов правопорядка на постсоветском пространстве, у российских, украинских и, я почти уверен, у белорусских, серьёзно развит Human Intelligence — человеческий ресурс сбора информации, — продолжает CEO компании по расследованию киберпреступлений Advanced Intelligence Елисей Богуславский. — Такие форумы работают много лет. У них есть внутренние схемы, чтобы предотвращать мошенничество одних киберпреступников против других. У продавцов есть репутация, им оставляют отзывы.
Чтобы разместить объявление, человек должен пройти проверку администрации. Или даже внести большой залог — если ты кого-то кинул, деньги из залога перейдут тому, кто от тебя пострадал.
Как говорит Дмитрий Насковец, если сообщение о продаже или покупке написал человек, который зарегистрировался совсем недавно — это на 95% кидалово. Если пишет «карты «Беларусь» — нарушает правило не работать в русскоязычном поле.
Эти форумы для купли и продажи внешне похожи на форумы из 2000-х. Там можно найти сканы паспортов, дебетовые карты, списки богатых белорусов и много чего еще. Мы попросили наших спикеров прокомментировать несколько скриншотов с таких ресурсов.
«Если человек решается слить инсайдерскую инфу, он делает это по-тихому»
Пример скриншота. Эксперты предполагают, что это, скорее всего, милиционерский пост или пост от кидалы.
Насковец: Думаешь можно собрать базу отсканированных паспортов? Ботнет (сеть компьютеров, которые поражены одним вирусом, а информация с поражённых машин поступает в единый командный центр) может фото паспорта у человека из компа вытянуть?
Богуславский: Технически это возможно, но очень сложно. Скорее всего, понадобится человек-оператор. Трудно сделать так, чтобы из всех документов на компьютере вирус определил что из этого — фотография паспорта. Только если она не называется «паспорт_фото». Кроме того: фотографии — это большой трафик. Ботнет связывается с центральным командованием системы и передает данные. Надо, чтобы этот процесс был незаметным. Логин и пароль — несколько байт. Фото — может весить целый мегабайт. И это уже заметно.
Насковец: Для меня «красный флаг», что автор сообщения пишет про «пин». Потому что пин никто на компьютере не хранит. Как думаешь, это может быть инсайдерская работа? Что человек из белорусского банка сотрудничает?
Богуславский: Если человек инсайдер, то шанс, что он просто выйдет на форум и начнёт писать такие объявление — маленький.
Инсайдер — это человек, который готов рисковать своей работой, карьерой, свободой. Ты не можешь проснуться одним утром и сказать: «Ой, пойду-ка я солью базу данных».
На этом пути инсайдеры уже устанавливают серьёзные контакты с принимающей стороной. Если человек решается слить инсайдерскую информацию, у него на руках уже будет разработанная система коммуникации, аккаунтов, форумов, чтобы всё слить по-тихому, чтобы никто не догадался. Слить базу и пойти продавать — так не делают.
Насковец: Это может быть милиционерский пост?
Богуславский: Очень может быть. Российские спецслужбы используют очень большой штат гражданских специалистов, внешних агентов — это залог их эффективности. Гражданским агентом может быть кто угодно. Волонтёры, идейные люди. Но чаще — люди, которые попались на чём-то и таким образом смягчают свои приговоры. Российские спецслужбы работают структурно и серьёзно. И там развита методология по сбору такой информации. Но чаще они работают достаточно тонко — такие явные наживки вряд ли будут постить.
Насковец: Скорее похоже на замануху от правоохранителей, которые ловят местных мошенников.
Пример скриншота
Пример скриншота
Насковец: Снова сканы. Как вообще их получают?
Богуславский: Как правило внутренние взломы или инсайдерская информация. Может быть прямой взлом, когда человек проникает в систему и со своей машины может видеть, что находится внутри этой системы. Тогда можно потиху перекачивать данные.
Богуславский: Плохой знак, что «гарант» за счёт покупателя. Хороший — что продавец вообще на гарант готов. Но как правило, если пишут, что «гарант» за счёт покупателя, это фейк.
Пример скриншота
Богуславский: Это хороший пример того, что может быть реальным постом. У человека серьёзное присутствие на форуме — аккаунт зарегистрирован аж в 2014 году. Написано «гарант — 3». Скорее всего это значит, что три операции человек провёл через гаранта. Или что при трёх операциях его использовали как гаранта. У него почти 500 сообщений. Это говорит о том, что человек своим аккаунтом рисковать не будет.
Насковец: Если паспорт белоруса попал в руки к такому человеку, большой шанс, что он встрянет в какие-то неприятности?
Богуславский: Для чего вообще делаются эти вещи? Когда ты что-то регистрируешь — PayPal или аккаунт в ещё каком-то серьёзном сервисе — от тебя требуется фотография с паспортом. И если ты получил данные человека, у тебя есть уже его номер карты, доступ к его банковскому аккаунту. И ты проводишь транзакцию — снимаешь деньги, или что-то покупаешь, сервис может тебя перепроверить и сказать: «Слушай, мы просим фотографию с паспортом». Вот здесь такие сервисы нужны. Паспорт «подгонят» под нового владельца. И вероятность, что старый владелец потеряет деньги, — сильно увеличивается.
Александр Сушко: «Важно не то, что мошенник купил паспорт. Важно — зачем»
Руководитель минского офиса российской частной компании по расследованию киберпреступлений Group-IB Александр Сушко тоже просмотрел для нас форумы мошенников. И рассказал, что вылавливать продавцов онлайн — не то, чем занимаются спецслужбы. У них — другие цели.
Безопасно зайти на такой сайт и просто посмотреть, что продаётся? Поискать свои данные, например.
Да. Но не однозначно. Есть исследователи даркнета, например Krebs on Security из США, — это человек, который все утечки и важные факты выкладывает в своём блоге. Некоторые из них он проверяет, сам доходит до конца и показывает — да, это так. Это уважаемый человек, но даже к нему когда-то рвалась полиция. Надо понимать, что здесь [на форумах] находятся бандиты, исследователи, правоохранители. И кто где — понять сложно.
Вы себя проверяли? Есть ли ваши личные данные в сети?
Да мне это не важно.
Мониторят ли госорганы даркнет? Вы делали это?
Я мониторил. Другие — не знаю. По идее должны. Но я сам не регистрировался и ни с кем не разговаривал. Потому что такую коммуникацию можно трактовать как склонение к совершению преступления. Ты человеку пишешь: «Здравствуйте, я хочу купить». А он потом скажет: «Это ты со мной списался и ты меня попросил, а не я тебе что-то дал».
Так что я смотрел и черпал информацию. Такая разведка в открытых источниках информации. Потому что даже даркнет — это открытый источник. Дальше так: я знаю ник [продавца], его можно пробить и посмотреть, где он есть ещё в интернете. Дальше окажется, что он есть ещё на нескольких форумах. И где-то на одном из них оставил в 2010 году свои данные. Ты эти данные проверяешь.
А как же контрольная закупка, чтобы вывести всех мошенников на чистую воду?
У нас редко кто ввязывается. В Европе и Америке такое очень сильно любят. У нас эти вещи технически сложны. Вся эта система — скриншоты, переписки, — как это оценивать как доказательства? Вопросы пока в воздух.
Говорят, что в России сидит целое подразделение, которое мониторит даркнет? Это так? Сколько в Беларуси таких «мониторщиков»?
Думаю, это не совсем так. У оперативного сотрудника есть конкретная задача. Мониторинг — не его задача, потому что он начинает проверку после заявления, не наоборот.
Если ты решаешь мониторить сделки — это должно быть творчество. Чуть ли не какой-то научный коллектив, в котором ты будешь исследовать проблему киберпреступности. Должно быть много свободного времени и много денег, ведь в части форумов платная регистрация. И сделки дорогие. Зачем?
Мы можем знать, что вот этот человек — преступник. Но можем и ждать год-два, чтобы он себя проявил. Чтобы это не было провокацией с нашей стороны.
Можно сделать вброс, но глупая выйдет ситуация, если откликаться начнут вместо преступников журналисты. Или школьник, который в 18 лет написал что-то и вообще не понимает где он и что делает.
Если вы покупаете сканы паспорта, вы тоже совершаете преступление. И у вас есть желание получить поддельный документ. Важнее не то, что вы купили его, а зачем. Мы говорим сейчас только о кражах, но сейчас эти преступления используются в том числе для терроризма. Получается вы думаете, что вас правоохранитель желает схватить за то, что вы сделали/купили паспорт. А правоохранители могут думать дальше, что вы с этим паспортом будете делать.
Всегда в этой работе важен момент морали. Правоохранитель может не хочет кого-то подставить. Он хочет словить большого преступника, который таким образом шифруется.
Вот мы нашли аккаунт с большой историей и большим количеством отзывов — ему можно доверять?
Накрутки есть везде. Мы видели на кардеровских форумах, как они сами себе накручивали отзывы и рейтинг.
То есть руки правоохранительных органов связаны?
Нет. Та информация, которая есть на форумах не может быть априори правильной и главной. Её недостаточно. Информация с форума может быть для начала основанием для задержания. Ты пришёл, изъял всю технику. Смотришь — а у него одно только объявление. И он не педофил и никого не убивал. И скажет: «Вот, я дурак экспериментировал». И всё. Ничего нет, чтобы его привлекать ответственности.
Ты можешь сидеть в даркнете и читать форумы, но дальше ты всё равно идёшь в оффлайн. В онлайне кого-то осудить нереально.
Что говорит Уголовный кодекс Республики Беларусь:
Статьи, которые могут применяться в отношении людей, что пытаются завладеть и воспользоваться личными, банковскими и иными данными граждан:
- Хищение путём компьютерной техники (ст. 212) — до 12 лет лишения свободы,
- Несанкционированный доступ к компьютерной информации (ст. 349) — до 7 лет лишения свободы,
- Неправомерное завладение компьютерной информацией (ст. 352) — до 2 лет лишения свободы. Чтобы «подпасть» под эту статью, не обязательно использовать ради выгоды базу данных из даркнета. Достаточно просто приобрести её.
dev.by проводит новое исследование рынка труда в белорусском ИТ — заполните анонимную анкету, и скоро мы поделимся результатами.
Работа в ИТ в Беларуси.
1. Заполните анонимную форму — 5 минут.
2. Укажите зарплатные (и другие) ожидания.
3. Выберите желаемую индустрию или область деятельности.
4. Получайте релевантные предложения.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.