Твитнуть
(с)Holmogorov, blogs.drweb.com/node/833
По долгу службы мне приходится проводить довольно много времени на различных полуподпольных интернет-форумах, где собираются многочисленные представители компьютерного андеграунда: вирусописатели, хакеры, кардеры, спамеры и прочая творческая интеллигенция эпохи высоких технологий. Коллектив там подбирается, как правило, весьма разношерстный, но достаточно интересный. Да и деньги в этом криминальном бизнесе крутятся немаленькие, по крайней мере, тема из разряда «куда вложить лишние 100 000 долларов» не является на подобных сайтах чем-то особенным. Каковы же источники дохода современных киберкриминальных деятелей? Давайте попробуем обобщить эти источники в рамках настоящей заметки, благо, считать чужие деньги — мое любимое развлечение.
Итак, некоторая часть населения подобных форумов представлена собственно вирусописателями, один из источников заработка которых — распространение вредоносного ПО, причем не только ворующего учетные записи популярных электронных платежных систем, но и заставляющего пользователя отправлять платные SMS-сообщения. Это и всем известные «винлокеры», и троянцы семейств Trojan.SmsSend или Trojan.Fakealert. Собственно, сами создатели вирусов нередко дают возможность заработать другой категории специалистов, которую можно условно назвать «впаривателями», путем привлечения их к участию в партнерских программах. В этом случае наблюдается своеобразный симбиоз между двумя различными группами разработчиков: создатели троянцев весьма охотно «покупают загрузки», то есть, оплачивают другим специалистам факты инфицирования пользовательских компьютеров их творениями. Те же, кто продает загрузки, то есть, собственно, получает деньги за каждый факт заражения, обычно владеют своей действующей бот-сетью или распространяют вредоносное ПО через собственные сайты, используя методы социальной инженерии или уязвимости популярных браузеров (а чаще и то, и другое). Чем же выгодны покупки «загрузок»? Таким образом, как правило, создаются бот-сети, услуги которых также можно успешно монетизировать, рассылая спам или устраивая за соответствующее вознаграждение DDoS-атаки на неугодные серверы. При этом «завалить» какой-либо сайт при помощи подобной бот-сети в наши дни стоит относительно недорого: это удовольствие обычно обходится в сумму порядка полутора-двух сотен долларов.
Отдельную категорию платных (и весьма востребованных) услуг на подпольном киберрынке составляет так называемое криптование. Что это такое? Давайте разбираться. Принцип работы большинства антивирусных программ состоит в том, что для каждой выявленной угрозы создается уникальная сигнатура, которая помещается в вирусные базы. При последующем сканировании вредоносные файлы безошибочно определяются по этой самой сигнатуре и успешно удаляются, либо помещаются в карантин. С целью обхода защиты вирусописатели применяют метод перепаковки вредоносных программ с использованием различных упаковщиков исполняемых файлов, нередко нанизывая слои таких «оберток» друг на друга по принципу матрешки: в результате вредоносный файл становится не похож сам на себя, и антивирусная программа «не признает» его за угрозу. Такой троянец не будет распознаваться антивирусным ПО ровно до тех пор, пока его образец не попадет в вирусную лабораторию и соответствующая сигнатура не будет добавлена в базу. К тому же толковый «крипт» несколько затрудняет анализ угрозы: в дизассемблере грамотно упакованный троянец выглядит, как запутанный набор безусловных переходов от одного фрагмента кода к другому. Не то чтобы распутать такой клубок невозможно, просто занимает это гораздо больше времени… Вот почему услуга по «навешиванию» на вредоносную программу «криптов» весьма востребована. Впрочем, это совершенно не спасает вирусописателей от системы эвристического анализа угроз, так что с появлением подобных технологий ситуация стала понемногу меняться в лучшую сторону: хоть криптуй, хоть не криптуй, все равно получишь… детект. Простите, отвлекся. Разумеется, в сети активно продаются и сами троянцы-боты (под заказ их могут перекомпилировать, «зашив» в ресурсы линки на требуемые управляющие серверы), и даже исходники некоторых вредоносных программ — их можно приобрести по цене от двух до пяти тысяч долларов.
Весьма большим спросом пользуются так называемые «дедики», или dedicated-servers, то есть, выделенные серверы, которые можно использовать в различных криминальных целях: например, устанавливать на них специфическое ПО, применять в качестве прокси, осуществлять с их помощью атаки на другие сетевые ресурсы. «Дедики» добываются с использованием нехитрой технологии: сначала посредством специальных программ осуществляется сканирование выбранного диапазона IP-адресов на наличие открытых портов, затем методом подбора паролей реализуется попытка проникновения на сервер. Вы будете удивлены, узнав, сколько системных администраторов оставляет на серверах активные учетные записи с параметрами удаленного доступа из разряда admin/admin или Administrator/1234. По статистике за одну ночь соответствующие программы обнаруживают в худшем случае два-три таких «дедика», а при удачном стечении обстоятельств улов может быть и более крупным. «Живучесть» подобных серверов зависит от того, насколько аккуратно ими пользуется злоумышленник: если не перегружать процессор машины своими задачами, не создавать бешеный трафик, прятать в системе используемое ПО и аккуратно «подтирать» за собой логи, аккаунт может просуществовать достаточно долго. Ну, а если хакеру по каким-либо причинам неохота искать открытые dedicated-серверы самостоятельно, их можно просто купить: данные для доступа продаются в сети пачками по весьма приемлемой цене.
Еще одна востребованная услуга – предоставление абузоустойчивого хостинга, то есть, хостинга, администрация которого не реагирует на жалобы пользователей и позволяет размещать в сети практически любой контент: порнографию, сайты, рекламируемые спам-рассылками, администраторские панели бот-сетей, а также веб-страницы, распространяющие всевозможное вредоносное ПО. Причем серверы таких хостинг-провайдеров далеко не всегда располагаются где-нибудь на Каймановых островах: гораздо чаще абузоустойчивый хостинг можно разыскать в сытой и благополучной Европе. К слову, техподдержка таких провайдеров по уровню предоставляемого сервиса порой может дать фору даже саппорту легальных хостеров. Вот у кого следовало бы поучиться некоторым раскрученным провайдерам…
Следующим номером нашей программы является продажа трафика, в частности, iframe-трафика. Требуется нагнать пару тысяч уникальных посетителей на какую-нибудь веб-страничку, чтобы накрутить счетчик? Или просто хочется раздать десятку тысяч пользователей по троянцу-даунлоадеру? К вашим услугам трафик с различных сайтов, часть из которых грешит редиректами, а некоторые оборудованы скрытыми элементами iframe и pop-up-кодом. Причем нередко вы можете выбирать источник трафика по странам, по крайней мере, вам будет точно известно количество посетителей из США, Канады, Китая, Европы. Очень удобно в целях проведения таргетинга при распространении вредоносных программ.
Вы когда-либо пытались взять кредит? Не обязательно в банке, вполне достаточно приобрести в каком-нибудь магазине мобильный телефон или стиральную машину в рассрочку. Будьте уверены: ваш комплект документов, включая паспорт и водительское удостоверение (часто к этому добавляется еще и фото «клиента» с паспортом в руках) уже продается на хакерских форумах по цене примерно пять долларов за набор. Торговля сканированными комплектами документов – очень выгодная и широко развитая индустрия. С помощью таких комплектов можно, например, получить персональный аттестат в платежной системе Webmoney, или зарегистрировать домен (хотя это нетрудно сделать и вовсе анонимно), открыть счет в некоторых банках. Теоретически можно даже сначала получить аттестат в какой-нибудь платежной системе, а потом взять на него кредит. В общем, широчайшее поле для деятельности.
Отдельной категорией «кибербизнесменов» являются мелкие жулики, торгующие «угнанными» номерами ICQ или взламывающие под заказ почтовые ящики — в основном, используя методы социальной инженерии. Если однажды вам пришло сообщение в ICQ или Skype, в котором солидный дяденька сообщает, что, возможно, он учился с вашей мамой в одном классе, либо даже является ее дальним родственником, и просит у вас уточнить ее девичью фамилию, самое время вспомнить, какой именно контрольный вопрос вы установили в разделе «восстановление пароля» на сервере mail.ru. Случаются и более идиотские ситуации: вам может написать какая-нибудь девушка, работающая менеджером крупной фирмы, которой – внимание! – нужно «поднять рейтинг ICQ», для чего вам предлагают установить в настройке «аськи» предложенный адрес электронной почты, и получить за это кругленькую сумму. Денег вы, разумеется, не получите, зато получите уникальную возможность «поднять рейтинг собственного IQ», поскольку указанный в профайле «аськи» адрес e-mail — единственный способ восстановить измененный злоумышленником пароль. Сама услуга по взлому электронной почты предоставляется обычно на весьма удобных условиях: вы сообщаете хакеру адрес ящика, который требуется взломать, он выполняет все необходимые действия, после чего отправляет вам письмо с захваченного адреса как свидетельство того, что работа выполнена. После оплаты заказчик получает логин и пароль.
Среди нестандартных способов заработка можно упомянуть целую категорию людей, промышляющих охмурением страждущих любви пользователей на многочисленных сайтах знакомств. Для этого потребуется не слишком заезженная фотография какой-нибудь очаровательной блондинистой особы, а также некоторые знания в области психологии. Пообщавшись с юной «куколкой» день-другой, жертва внезапно узнает, что эта милая, трогательная и красивая девочка вот только что случайно потеряла мамин цифровой фотоаппарат, или отдала гопникам дорогой папин мобильник, и теперь родители обязательно ее убьют, как только узнают об этом печальном происшествии… Какой настоящий мужчина не захочет помочь юной красотке, которая поначалу даже будет отказываться от неожиданной щедрости своего поклонника, но потом все же согласится: волосатые красноглазые обитатели хакерских форумов любят ****, а оно стоит денег… Ну, и иногда они любят пообсуждать между собой, как «этот *** классно развелся на блондинку».
Иными словами, компьютерный андеграунд – целый мир со своими принципами, традициями, сленгом, героями и антигероями, и естественно, со своими финансовыми потоками. В этом мире обитает множество людей, которые зарабатывают себе на пропитание множеством различных способов, часто балансируя на грани закона и нередко преступая эту грань. Впрочем, для кого-то это уже давно стало привычным стилем жизни.
__________________
По долгу службы мне приходится проводить довольно много времени на различных полуподпольных интернет-форумах, где собираются многочисленные представители компьютерного андеграунда: вирусописатели, хакеры, кардеры, спамеры и прочая творческая интеллигенция эпохи высоких технологий. Коллектив там подбирается, как правило, весьма разношерстный, но достаточно интересный. Да и деньги в этом криминальном бизнесе крутятся немаленькие, по крайней мере, тема из разряда «куда вложить лишние 100 000 долларов» не является на подобных сайтах чем-то особенным. Каковы же источники дохода современных киберкриминальных деятелей? Давайте попробуем обобщить эти источники в рамках настоящей заметки, благо, считать чужие деньги — мое любимое развлечение.
Итак, некоторая часть населения подобных форумов представлена собственно вирусописателями, один из источников заработка которых — распространение вредоносного ПО, причем не только ворующего учетные записи популярных электронных платежных систем, но и заставляющего пользователя отправлять платные SMS-сообщения. Это и всем известные «винлокеры», и троянцы семейств Trojan.SmsSend или Trojan.Fakealert. Собственно, сами создатели вирусов нередко дают возможность заработать другой категории специалистов, которую можно условно назвать «впаривателями», путем привлечения их к участию в партнерских программах. В этом случае наблюдается своеобразный симбиоз между двумя различными группами разработчиков: создатели троянцев весьма охотно «покупают загрузки», то есть, оплачивают другим специалистам факты инфицирования пользовательских компьютеров их творениями. Те же, кто продает загрузки, то есть, собственно, получает деньги за каждый факт заражения, обычно владеют своей действующей бот-сетью или распространяют вредоносное ПО через собственные сайты, используя методы социальной инженерии или уязвимости популярных браузеров (а чаще и то, и другое). Чем же выгодны покупки «загрузок»? Таким образом, как правило, создаются бот-сети, услуги которых также можно успешно монетизировать, рассылая спам или устраивая за соответствующее вознаграждение DDoS-атаки на неугодные серверы. При этом «завалить» какой-либо сайт при помощи подобной бот-сети в наши дни стоит относительно недорого: это удовольствие обычно обходится в сумму порядка полутора-двух сотен долларов.
Отдельную категорию платных (и весьма востребованных) услуг на подпольном киберрынке составляет так называемое криптование. Что это такое? Давайте разбираться. Принцип работы большинства антивирусных программ состоит в том, что для каждой выявленной угрозы создается уникальная сигнатура, которая помещается в вирусные базы. При последующем сканировании вредоносные файлы безошибочно определяются по этой самой сигнатуре и успешно удаляются, либо помещаются в карантин. С целью обхода защиты вирусописатели применяют метод перепаковки вредоносных программ с использованием различных упаковщиков исполняемых файлов, нередко нанизывая слои таких «оберток» друг на друга по принципу матрешки: в результате вредоносный файл становится не похож сам на себя, и антивирусная программа «не признает» его за угрозу. Такой троянец не будет распознаваться антивирусным ПО ровно до тех пор, пока его образец не попадет в вирусную лабораторию и соответствующая сигнатура не будет добавлена в базу. К тому же толковый «крипт» несколько затрудняет анализ угрозы: в дизассемблере грамотно упакованный троянец выглядит, как запутанный набор безусловных переходов от одного фрагмента кода к другому. Не то чтобы распутать такой клубок невозможно, просто занимает это гораздо больше времени… Вот почему услуга по «навешиванию» на вредоносную программу «криптов» весьма востребована. Впрочем, это совершенно не спасает вирусописателей от системы эвристического анализа угроз, так что с появлением подобных технологий ситуация стала понемногу меняться в лучшую сторону: хоть криптуй, хоть не криптуй, все равно получишь… детект. Простите, отвлекся. Разумеется, в сети активно продаются и сами троянцы-боты (под заказ их могут перекомпилировать, «зашив» в ресурсы линки на требуемые управляющие серверы), и даже исходники некоторых вредоносных программ — их можно приобрести по цене от двух до пяти тысяч долларов.
Весьма большим спросом пользуются так называемые «дедики», или dedicated-servers, то есть, выделенные серверы, которые можно использовать в различных криминальных целях: например, устанавливать на них специфическое ПО, применять в качестве прокси, осуществлять с их помощью атаки на другие сетевые ресурсы. «Дедики» добываются с использованием нехитрой технологии: сначала посредством специальных программ осуществляется сканирование выбранного диапазона IP-адресов на наличие открытых портов, затем методом подбора паролей реализуется попытка проникновения на сервер. Вы будете удивлены, узнав, сколько системных администраторов оставляет на серверах активные учетные записи с параметрами удаленного доступа из разряда admin/admin или Administrator/1234. По статистике за одну ночь соответствующие программы обнаруживают в худшем случае два-три таких «дедика», а при удачном стечении обстоятельств улов может быть и более крупным. «Живучесть» подобных серверов зависит от того, насколько аккуратно ими пользуется злоумышленник: если не перегружать процессор машины своими задачами, не создавать бешеный трафик, прятать в системе используемое ПО и аккуратно «подтирать» за собой логи, аккаунт может просуществовать достаточно долго. Ну, а если хакеру по каким-либо причинам неохота искать открытые dedicated-серверы самостоятельно, их можно просто купить: данные для доступа продаются в сети пачками по весьма приемлемой цене.
Еще одна востребованная услуга – предоставление абузоустойчивого хостинга, то есть, хостинга, администрация которого не реагирует на жалобы пользователей и позволяет размещать в сети практически любой контент: порнографию, сайты, рекламируемые спам-рассылками, администраторские панели бот-сетей, а также веб-страницы, распространяющие всевозможное вредоносное ПО. Причем серверы таких хостинг-провайдеров далеко не всегда располагаются где-нибудь на Каймановых островах: гораздо чаще абузоустойчивый хостинг можно разыскать в сытой и благополучной Европе. К слову, техподдержка таких провайдеров по уровню предоставляемого сервиса порой может дать фору даже саппорту легальных хостеров. Вот у кого следовало бы поучиться некоторым раскрученным провайдерам…
Следующим номером нашей программы является продажа трафика, в частности, iframe-трафика. Требуется нагнать пару тысяч уникальных посетителей на какую-нибудь веб-страничку, чтобы накрутить счетчик? Или просто хочется раздать десятку тысяч пользователей по троянцу-даунлоадеру? К вашим услугам трафик с различных сайтов, часть из которых грешит редиректами, а некоторые оборудованы скрытыми элементами iframe и pop-up-кодом. Причем нередко вы можете выбирать источник трафика по странам, по крайней мере, вам будет точно известно количество посетителей из США, Канады, Китая, Европы. Очень удобно в целях проведения таргетинга при распространении вредоносных программ.
Вы когда-либо пытались взять кредит? Не обязательно в банке, вполне достаточно приобрести в каком-нибудь магазине мобильный телефон или стиральную машину в рассрочку. Будьте уверены: ваш комплект документов, включая паспорт и водительское удостоверение (часто к этому добавляется еще и фото «клиента» с паспортом в руках) уже продается на хакерских форумах по цене примерно пять долларов за набор. Торговля сканированными комплектами документов – очень выгодная и широко развитая индустрия. С помощью таких комплектов можно, например, получить персональный аттестат в платежной системе Webmoney, или зарегистрировать домен (хотя это нетрудно сделать и вовсе анонимно), открыть счет в некоторых банках. Теоретически можно даже сначала получить аттестат в какой-нибудь платежной системе, а потом взять на него кредит. В общем, широчайшее поле для деятельности.
Отдельной категорией «кибербизнесменов» являются мелкие жулики, торгующие «угнанными» номерами ICQ или взламывающие под заказ почтовые ящики — в основном, используя методы социальной инженерии. Если однажды вам пришло сообщение в ICQ или Skype, в котором солидный дяденька сообщает, что, возможно, он учился с вашей мамой в одном классе, либо даже является ее дальним родственником, и просит у вас уточнить ее девичью фамилию, самое время вспомнить, какой именно контрольный вопрос вы установили в разделе «восстановление пароля» на сервере mail.ru. Случаются и более идиотские ситуации: вам может написать какая-нибудь девушка, работающая менеджером крупной фирмы, которой – внимание! – нужно «поднять рейтинг ICQ», для чего вам предлагают установить в настройке «аськи» предложенный адрес электронной почты, и получить за это кругленькую сумму. Денег вы, разумеется, не получите, зато получите уникальную возможность «поднять рейтинг собственного IQ», поскольку указанный в профайле «аськи» адрес e-mail — единственный способ восстановить измененный злоумышленником пароль. Сама услуга по взлому электронной почты предоставляется обычно на весьма удобных условиях: вы сообщаете хакеру адрес ящика, который требуется взломать, он выполняет все необходимые действия, после чего отправляет вам письмо с захваченного адреса как свидетельство того, что работа выполнена. После оплаты заказчик получает логин и пароль.
Среди нестандартных способов заработка можно упомянуть целую категорию людей, промышляющих охмурением страждущих любви пользователей на многочисленных сайтах знакомств. Для этого потребуется не слишком заезженная фотография какой-нибудь очаровательной блондинистой особы, а также некоторые знания в области психологии. Пообщавшись с юной «куколкой» день-другой, жертва внезапно узнает, что эта милая, трогательная и красивая девочка вот только что случайно потеряла мамин цифровой фотоаппарат, или отдала гопникам дорогой папин мобильник, и теперь родители обязательно ее убьют, как только узнают об этом печальном происшествии… Какой настоящий мужчина не захочет помочь юной красотке, которая поначалу даже будет отказываться от неожиданной щедрости своего поклонника, но потом все же согласится: волосатые красноглазые обитатели хакерских форумов любят ****, а оно стоит денег… Ну, и иногда они любят пообсуждать между собой, как «этот *** классно развелся на блондинку».
Иными словами, компьютерный андеграунд – целый мир со своими принципами, традициями, сленгом, героями и антигероями, и естественно, со своими финансовыми потоками. В этом мире обитает множество людей, которые зарабатывают себе на пропитание множеством различных способов, часто балансируя на грани закона и нередко преступая эту грань. Впрочем, для кого-то это уже давно стало привычным стилем жизни.
__________________
)
Комментарий