Традиционно обезвреживание киберпреступных операций требует судебного ордера, предписывающего арест серверов или заражение компьютеров злоумышленников вредоносным ПО, деанономизирующим их расположение или личность преступников.
Однако иногда технологии – не самый действенный вариант.
На конференции RSA 2017 исследователи Dell SecureWorks рассказали о своих попытках обезвредить «нигерийского мошенника», осуществлявшего успешные BEC-операции, основанные на подделке деловой переписки. Эксперты должны были втереться в доверие в преступнику, говоря на его языке, выучить основы его ремесла так же хорошо, как он сам, и раздразнить его до такой степени, чтобы он сам отказался от своей идеи, как только вести бизнес станет чересчур дорого и рисковано.
«Мошенники, занятые в «предприятии», не были похожи на других «коллег», промышляющих «нигерийским мошенничеством». Злоумышленники определяли людей, интересующихся займами на инвестиционных форумах», – рассказал исследователь Джо Стюарт (Joe Stewart). Стюарт поведал, что мошенники атаковали руководителей предприятий, работавших на различных рынках – от нефтегазовой отрасли до рынка услуг здравоохранения.
Стюарт и его коллега Джеймс Беттке (James Bettke) глубоко изучили другие группировки, занимавшиеся онлайн-мошенничеством, в том числе с использованием вредоносного ПО и более технологичных атак. Исследователи не только определили порядок выбора жертвы и планирования мошеннической операции, но и изучили диалекты, используемые преступниками при общении, в том числе особую форму ломаного английского.
«Мы глубоко исследовали местные диалекты и научились говорить так, как говорят между собой преступники, – сказал Стюарт. – Так мы смогли внедриться в их схемы».
В ноябре прошлого года Стюарт и Беттке расследовали случай подделки деловой переписки с целью атаки на крупную ИТ-компанию в США. Целевая атака была направлена на руководство фирмы; мошенники представились главой инвестиционной компании. Злоумышленники послали фишинговое письмо целевой жертве, установили с ней общение, а затем попытались убедить перевести крупную сумму в адрес сторонней организации, предоставив необходимые для перевода данные.
При внедрении в киберпреступную операцию основной задачей было первоначальное определение степени риска и потенциальной вероятности фрода – по словам Стюарта, это ставится все сложнее. Но также потенциальная жертва должна быть готовой тянуть время и выяснять подробности о многочисленных сторонних счетах, используемых для вывода средств, чтобы банки смогли оперативно заморозить эти счета.
В данном случае Стюарт и Беттке также воспользовались ситуацией и направили в адрес мошенников PDF-документ, в который был внедрен «маячок», позволивший собрать IP-адреса и потенциально выяснить личность мошенников.
В ходе операции Стюарт и Беттке представились руководителем компании – потенциальной жертвой. Исследователи постоянно держали преступников на крючке, утверждая, что платеж не проходит, и запрашивая все новые и новые банковские счета. Все указанные счета были заморожены банками.
Но для определения личности мошенника IP-адресов было недостаточно. По словам Стюарта, исследователи использовали инструмент под названием Phission, который используется для пентестинга. Адаптируемый интерфейс вводит «цель» в заблуждение и заставляет вводить более подробные данные, позволяющие идентифицировать пользователя. Преступнику очень нужно документальное свидетельство перевода, и это исследователи использовали себе на пользу.
По словам Стюарта, исследователи использовали инструмент Phission, чтобы создать поддельную страницу якобы для ввода дополнительных данных с целью аутентификации, только после которой мошенник может получить подтверждение перевода. Однако мошенник не может загрузить копию квитанции и в отчаянии предоставляет дополнительные данные, которые фиксируются в Phission. В данном случае Стюарт и Беттке смогли выяснить, что злоумышленник пользовался сквозной аутентификацией через аккаунты Google и Facebook, привязанные к его настоящему мобильному номеру. Последний, в свою очередь, привел исследователей на личную страничку преступника в Facebook.
Так как в данном случае дело не дошло до реального перевода, уведомлять правоохранительные органы было не нужно; исследователи просто решили исследовать потенциал тактик социальной инженерии при помощи данных, которые были собраны для дальнейшего продолжения эксперимента.
Стюарт рассказал, что представился другим «нигерийцем», имеющим доступ к тому же email-аккаунту, что и подопытный. По словам исследователя, это не редкость.
Разыгрывая роль второго мошенника, Стюарт связался с первым «нигерийцем», известным как Сюн, и убедил последнего в том, что перехватил контроль над email-аккаунтом жертвы при помощи RAT-троянца. Согласно легенде, счета жертвы жестко контролируются из США, и поэтому «мошенникам» нужен был дроп, находящийся в Великобритании. Таким образом исследователи смогли выманить у мошенника множество сведений о дропах, с которыми он работает, а также узнать, что преступник собирается расширять сферу деятельности.
В качестве доказательства возможностей зловреда они послали Сюну страницу управления зловредом, на которой располагались сфабрикованные скриншоты email-сообщений, сообщавших о готовящемся аресте. Сюн оставил новоиспеченных бизнес-партнеров в одиночестве и скрылся, но успел узнать о том, что семь из его email-адресов были заблокированы, а счета дропов заморожены, что в итоге спасло десятки тысяч долларов.
Как заявил Стюарт, учитывая потенциальный ущерб от подобных мошенничеств, исследователям бы не помешал централизованный ресурс, при помощи которого они могли бы предоставлять отчеты об онлайн-мошенничествах правоохранителям.
«Сейчас нет недостатка в людях, которые распознают такое мошенничество и хотят о нем доложить. Но проблема в том, что нет централизованного механизма сбора сведений о мошенничествах, при помощи которого можно было бы замораживать счета, используемые для вывода похищенных средств, – сказал Стюарт. – Некоторые злоумышленники владеют счетами практически в каждой стране мира. Попробуйте найти нужный контакт в банке в чужой стране, чтобы сообщить, что открытый у них счет используется для мошенничества. Это нелегко. Надо, чтобы кто-то взял на себя инициативу».
