«Грабить белорусов — не самое выгодное занятие». Экс-кардеры, киберсыщик и юрист о мошенничестве по понятиям
Волна мошеннических звонков, которая прокатилась по Беларуси, актуализировала вопрос: какие данные на белорусов есть у кардеров и откуда они. Эксперты уверенно перечисляют возможные источники, не исключая, что злоумышленники могли купить в даркнете базы белорусских банков. dev.by спросил у бывших кардеров и тех, кто глубоко знает вопрос — где белорусские базы данных и как они выглядят?
Сергей Павлович: «Никогда не встречал в продаже белорусскую базу»
Сергей Павлович, бывший кардер родом из Могилёвской области, автор книги «Как я украл миллион. Исповедь раскаявшегося кардера», автор Youtube-блога, утверждает, что белорусской базы данных в даркнете никогда не встречал:
— Правда сам я на эти форумы сейчас редко захожу, но обычно до меня доходит информация. Например, несколько месяцев назад в продажу ушли данные клиентов российского «Альфа-банка», а чуть позже — российского Beeline — мне написали. Я без проблем могу пробить в сети российский мобильный номер по ФИО или наоборот ФИО — по номеру. А из Беларуси за всё время в сеть попадала только старая база Velcom, других утечек не было.
Базы белорусских банков в свободной продаже я не видел никогда.
Сбор данных на мусорках? Ну нет! Представьте, какой это труд — собирать данные по крупицам. Это нереально.
Да и зачем банковская база? Это же обычная социальная инженерия. В России позвони по любому номеру, скажи, что ты из Сбербанка, и попадёшь в цель. Точно так же в Беларуси — взял топовые банки и обзваниваешь, не нужны для этого базы банков. Допустим, они позвонили 100 людям, у пяти из них удалось что-то украсть — вот и конверсия. Колл-центры в основном базируются в Украине, звонки в Беларусь осуществляются через IP-телефонию. Услуга подмены номера на теневых сайтах стоит недорого — рублей 500 (российских) за 20 минут. К тому же далеко не всегда звонят с подменой номера — моей семье, например, звонили без.
Аркадий Бух: «Если грабили белорусов, то главный оператор, скорее всего, белорус»
А вот нью-йоркский адвокат Аркадий Бух, специализирующийся на защите русскоязычных хакеров в США, полагает, что отсутствие белорусских баз в «свободной» продаже на теневых сайтах ещё не гарантирует, что их нет.
— Системы, где хранятся персональные данные белорусов, ничем не отличаются от американских или российских. Если во время хакерской атаки были украдены данные сотен тысяч или миллионов белорусов, то они попадут на рынок. Обычно хакеры не пытаются ломать белорусские системы, потому что у людей там не так много денег. Но иногда хакеры ломают систему не потому, что у них есть определённая цель, а потому что систему легко взломать. Подобные атаки нередки — сидят, скучают и ломают от скуки, а потом думают, как это продать.
У нас как у компании по кибербезопасности есть доступ к тому, что называется «чёрное облако». Его создали хакеры, которые сидят в Украине. Данные, которые утекли в результате краж, они пытаются скупить или получить к ним доступ. И если кого-то из моих клиентов что-то интересует, я могу сделать запрос. Делаю это для легальных целей. Например, компания-клиент хочет знать, были ли её базы данных украдены. Я обращаюсь к хакерам, которые имеют доступ к «чёрному облаку», те просят, допустим, 100 долларов, проверяют и говорят — да, это компания была хакнута и на неё есть такие-то данные. Это принято, и те, кому надо, могут приобрести доступ к «чёрному облаку».
Ничего удивительного в том, что белорусов «поломали», нет. Данные могут валяться несколько лет, пока их по дешёвке не выкачают и не начнут дожёвывать. Описанная схема мошенничества стара как мир.
Людям, которые занимаются прозвоном, дают заранее подготовленный скрипт. Звонящий читает его. «Марь Иванна, я звоню из такого-то банка, по вашей карте, которая заканчивается на …5678 обнаружена подозрительная активность». Сотрудник задает несколько вопросов и сам же на них отвечает, чтобы вызвать доверие жертвы. Скрипт пишет опытный хакер, иногда вместе с психологом. Если статистика по скрипту плохая, то набор вопросов переделывают. Иногда клиент просит: хотим, чтобы звонила девочка, а не мальчик — на девочек лучше реагируют. После вступительного диалога они приступают к сбору недостающей информации. Это называется data harvesting, от английского «сбор урожая».
Что действительно удивило — что полезли против белорусов. Грабить людей в Беларуси не самое выгодное занятие — выгоднее американцев или европейцев. Но воры не всегда умные — что украли, то украли.
С другой стороны, лезть против американцев более рискованно. Поэтому мы часто видим грабежи, пусть и не самые выгодные, но на своём поле, где преступники хорошо понимают психологию людей, имеют правильный акцент, знают, как подлезть и не испугать.
Вы говорите, что украли большие деньги — 3 млн долларов. Но не удивлюсь, если это стоило преступникам сотен тысяч. Это серьёзный проект: на прозвоне, на обработке информации работают десятки, если не сотни человек. Им надо платить зарплату, они не хотят работать за копейки. Это большая возня и большие расходы.
Если грабили белорусов, то скорее всего это были сами белорусы, не украинцы. Звонить могли откуда угодно — спуфинг, услуга подмены номера, стоит копейки — но главный оператор, скорее всего, белорус.
Дмитрий Насковец: «Нормальные кардеры не станут работать в СНГ. Не по понятиям»
Белорус Дмитрий Насковец (благодаря хорошему английскому звонил жертвам кардеров и занимался data harvesting, был приговорён в США к тюремному заключению, вышел на свободу при помощи Аркадия Буха, стал «белым хакером» и открыл адвокатскую контору в Нью-Йорке) тоже удивился вишинг-волне в Беларуси — говорит, в среде кардеров это нечто позорное.
— Нормальные кардеры никогда в жизни не работали в СНГ, такое правило существует давным-давно, — говорит Дмитрий Насковец. — Это опасно, потому что, скорее всего, ты живёшь в этой стране. И в этом случае ты воруешь как бы у своих. Зачем воровать у своих, когда можно у чужих? «Серьёзные» люди работают «по понятиям».
Не думаю, что кто-то конкретно работает по Беларуси. Просто иногда к ним попадают базы с данными белорусских банков. И люди с низким уровнем этики начинают эти данные использовать. Уверен, что это не очень эффективно и не очень прибыльно. Этим занимаются либо неопытные, 19-летние дурачки, либо «кидалы».
Елисей Богуславский: «Неприкосновенность жителей СНГ — жёсткий закон»
CEO компании по расследованию киберпреступлений Advanced Intelligence Елисей Богуславский согласился с Дмитрием Насковцом. «Своих» в среде кардеров не трогают — это закон.
— Даже если речь идёт о написании криптолокеров (программа-вымогатель денег. — прим. dev.by), должен существовать whitelist, который не позволит атаковать пользователей в СНГ, — говорит Елисей Богуславский. Если такие меры не предприняты, велика вероятность, что киберпреступное сообщество запретит локер.
Даже если мы говорим о сугубо технической работе, от неё не должны страдать русскоязычные пользователи — это жёсткий внутренний закон.
Я слышал про сервисы, которые не применяли фильтры для отсева эсэнгэшных пользователей, но никогда не слышал, чтобы они специально работали по СНГ.
Каким образом снимаются базы по СНГ? Так же, как и во всём мире. Если мы берем элитный спектр, то большинство логов добывают через хорошие ботнеты. Ботнет — это сеть компьютеров, которые поражены одним вирусом. При этом информация с поражённых машин поступает в единый командный центр. Самые популярные ботнеты используют для кражи финансовой информации. Часто они заодно крадут логины, пароли и другие личные данные пользователей.
Ботнеты не единственный способ, хотя и самый эффективный. Существуют программы, которые записывают всё, что пользователь набирает на клавиатуре. Мошенники могут перенаправить жертву на фейковую интернет-страницу: жертва якобы вводит данные в свой аккаунт, а на самом деле вбивает логин и пароль на макете мошенников. Очень популярны также прямые взломы, которые компрометируют крупные базы данных. Все эти методы кибермошенничества по-прежнему существуют и широко применяются, но основная масса данных попадает в руки мошенников именно через ботнеты.
Продажа информации инсайдерами, когда сотрудник банка у себя в системе начинает что-то ломать, в СНГ редкость. Что случается в разы чаще, так это утечки из-за плохо отлаженных протоколов безопасности или технических сбоев, когда люди ненамеренно сливают информацию. При этом отличить одно от второго зачастую можно только после длительного расследования. Сбербанк в октябре этого года «потерял» около 200 тысяч комплектов данных по кредитным картам. Была версия, что причиной утечки стала техническая уязвимость, но сейчас выяснилось, что это был инсайдерский слив. Сбербанк, впрочем, утверждает, что потеряны данные «всего лишь» пяти тысяч пользователей.
Органы правопорядка, что российские, что украинские, почти уверен, что и белорусские, постоянно ведут сбор информации на теневых сайтах. Я не очень знаком с положением дел в Беларуси, но российские спецслужбы работают по отлаженным методологиям, особенно когда речь идёт о HUMINT — сборе информации через общение и личную коммуникацию.
В DEIP из-за обвала курса от $1,1 млн осталось $350K, зарплаты не платят. CEO разбирает, как так вышло
Блокчейн-стартап DEIP больше двух месяцев не платит зарплату сотрудникам. Об этом dev.by рассказали несколько человек из компании: «официальная причина — стартап неправильно распорядился финансовыми ресурсами и денег нет. Подробностей не знаем». Сотрудникам сообщили, что топ-менеджмент ищет дополнительный капитал для погашения задолженности и дальнейшего развития. Но часть команды уже ищет новую работу.Мы также поговорили с СЕО DEIP Алексом Шкором — он рассказал, из-за чего у стартапа возникли сложности, как команда пыталась их решать и что собирается делать дальше. «Хочу поделиться опытом, чтобы на нём смогли научиться другие фаундеры, которые хотят идти в web3», — говорит Алекс. Ниже — подробный разбор.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.