Настраже кошелька: как работает киберразведка

Настраже кошелька: как работает киберразведка

Герцлия — фешенебельный пригород Тель-Авива, город маленькой этажности, сияющий новенькими уникальными офис-билдингами. Это такая маленькая Кремниевая равнина — тут разместились пара филиалов наибольших компаний в сфере ПО и IT. EMC — одна из таких компаний.

Имея штаб-квартиру в Соединенных Штатах, EMC прочно обосновалась в Израиле и уже купила и интегрировала в собственную структуру пара местных стартапов. Одна из главных специализаций компании — совокупности хранения данных, в особенности с применением флеш-памяти как альтернативы дисковым накопителям. Вторая — компьютерная безопасность.

За компьютерную безопасность отвечает RSA — в прошлом независимая компания, а с 2006 года — подразделение EMC.

Преступный космос

Это чем-то напоминает центр управления полетом либо пункт наблюдения за космическим пространством. Последовательности столов с компьютерами, за ними — по большей части юные парни, не смотря на то, что имеется и девушки. Многие парни носят кипы — религиозность в Израиле не считается показателем «непродвинутости». А космос тут ни при чем — тут замечают совсем за вторым пространством. Мы находимся в израильском Командном центре по борьбе с кибермошенничеством (AFCC), трудящемся в структуре EMC RSA.

Вот на громадном экране на стене сводная таблица предлагаемых к продаже номеров пластиковых картах. Особое ПО разыскивает эти предложения в Сети и собирает воедино. Нам растолковывают: тут предлагают легко номер карточки — его цена $5, а вот номер вместе с данными с магнитной полосы плюс номер и год рождения социального страхования обладателя. Потому, что эти сведенья довольно часто употребляются для верификации личности держателя карты, возможность успешного мошенничества возрастает.

Но и цена выше — $25. На втором громадном экране — карта мира. На ней то тут, то в том месте прыгают красные кружочки. Карта показывает, из каких точек мира осуществляются попытки фишинга в отношении клиентов компании.

Фишинг — это применение программных средств, имитирующих интерфейс сайтов банков или других аналогичных организаций, для кражи номеров квитанций, паролей и другой чувствительной информации. Клиенты RSA — это другие организации и банки, каковые заинтересованы в своевременном пресечении попыток денежного кибермошенничества в отношении их самих и тех, кого они обслуживают. Кроме этого на дисплеи выводится разнообразные аналитика.

Мониторинг в Командном центре идет круглосуточно — обо всех найденных в Сети попытках мошенничества RSA тут же оповещает собственных клиентов.

Приобрети у меня!

Но в случае если в Командном центре мониторинг идет в пассивном режиме, то сотрудники киберразведки RSA ведут активные поиски. Они пробуют внедриться в открытые и закрытые сетевые сообщества и распознать угрозы для клиентов компании.

«Отечественная работа проводится и до, и по окончании того, как денежные эти похищены, — говорит Орен Карми, глава отдела киберразведки. — Мы отслеживаем все, что происходит в сетевом подполье — европейском, американском, латиноамериканском, русском. По большей части мы сосредотачиваемся на IRC-чатах, форумах и так называемых магазинах пластиковых картах».

С IRC-чатом все легко. Ко мне любой может войти в любое время, в любое время выйти и снова зайти под другим ником. Мошенники весьма обожают данный вид общения, поскольку в том месте не нужно «светить» собственные персональные эти. «Нам это также комфортно, — растолковывает Орен, — так как и нам легко оставаться неузнанными. На IRC-чатах все выстроено по принципу открытого рынка.

Мошенники размещают собственные объявления. Они стараются выделиться, пишут с капслоком, различными цветами. Тут торгуют не только номерами карточек и данными для входа в банковские аккаунты, вместе с тем и всякими запасными вещами: адресами прокси-серверов, фальшивыми ID для входа на те либо иные сервисы, сканами документов».

В чатах сотрудники отдела киберразведки EMC RSA действуют следующим образом: они вступают в контакт с мошенником, стараются перевести разговор в приватный режим и после этого выясняют, что конкретно предлагает преступник. Задача эксперта RSA содержится в том, дабы показать мошеннику интерес к его предложению, начать обсуждать условия сделки и в конечном счете выудить предельное число нужной информации.

Зловредная кооперация

Для успешного компьютерного мошенничества, по словам Орена, нужно так много всего знать и осознавать, что, в большинстве случаев, одному человеку это не под силу. Как и в других сферах оргпреступности, эксперты в различных областях ищут друг друга и объединяются. Одни знают, как взламывать пароли, для получения доступа к квитанциям, другие могут передавать удаленные компьютеры вредоносным ПО, которое крадёт эти, третьи «вынимают» наличные.

Так, в случае если мошенник располагает данными кредитной карточки, но ищет человека, что имел возможность бы снять с нее деньги, сотрудник RSA может предложить ему таковой вариант. По окончании договоренности о сделке преступник пересылает собственному новому «партнеру» похищенные эти, а тот, конечно, сходу оповещает банк: такой-то счет может стать объектом кибератаки.

Интересуемся у начальника киберразведки, а запрещено ли схватить за руку мошенника в ходе получения денег за незаконные действия в Сети. «Это сложно, — отвечает Орен. — Для обоюдных расчетов мошенники применяют особые кошельки, деятельно используют биткойны и другие криптовалюты. К примеру, причитающиеся мне деньги смогут прийти на биткойн-кошелек, на котором уже имеется солидная сумма, после этого оттуда они будут посланы небольшими порциями на пара вторых кошельков и лишь позже уже мне.

Отследить такие транзакции фактически нереально. Эта услуга также стоит денег, но киберпреступления в большинстве случаев совершаются в кооперации, которая выстроена на обоюдном доверии участников».

Еще одна разновидность кибермошенничества — «кардинг», другими словами приобретение товаров посредством похищенных карточек. Это альтернатива прямому снятию денег с чужих квитанций (дело сверхсложное), но и в кардинге требуется кооперация. Так как никто же не начнёт заказывать приобретение в веб-магазине на собственный персональный адрес, в случае если расплачиваться придется посредством похищенных данных с чужой карточки.

Для получения товара существуют особые провайдеры подставных адресов — почтовых коробок, открытых на поддельные документы. Тот, кто обладает адресом, пересылает после этого пакет мошеннику (за определенную плату) либо реализовывает похищенное и высылает долю. Вероятен и второй вариант — к примеру, в веб-магазине покупаются два планшета.

Один идет хозяину почтового коробки, второй отсылается клиенту. В следствии аналогичных махинаций смогут пострадать интересы обладателей карточек, выпущенных банком, безопасность которого снабжает RSA, соответственно, и «кардинг» всходит в сферу заинтересованностей киберразведчиков.

Поиск в глубине

«В случае если с IRC-чатами все легко, — растолковывает Орен, — то с форумами кибермошенников трудиться значительно сложнее. Уже по уровню защиты форума можно понять, что именно там возможно отыскать. Имеется форумы со свободной регистрацией, но имеется и такие, куда нереально попасть без советы участников либо кроме того без вступительного взноса, что может составлять пара сотен долларов.

Но, в отличие от чата, в том месте легче смотреть за определенными участниками. В том месте кроме того существует совокупность «репутаций» — перед тем как иметь дело с конкретным продавцом ворованных данных, возможно взглянуть, как он надежен как партнер».

Перед кибермошенниками постоянно стоит задача: начнёшь работать в открытой сети — вычислят, закопаешься вглубь — будет мало клиентов. Как поведали нам в RSA, российские кибермошенники, отличающиеся технологической компетентностью и высокой организованностью, обожают трудиться на открытых ресурсах — разумеется, стараясь максимизировать число клиентов. Их коллеги из вторых частей мира обычно предпочитают обитать в «чёрном интернете», так называемой сети TOR.

В TOR, где поток данных между сервером и клиентом проходит в зашифрованном виде через каскад прокси-серверов и гарантирует анонимность, достаточно сложно отыскать необходимую информацию. И не смотря на то, что в том месте также имеется что-то наподобие поисковых совокупностей, они трудятся не так, как Гугл либо Yahoo. Иными словами, люди, входящие в TOR, в большинстве случаев знают, куда они идут.

«В сети TOR возможно встретить большое количество разнообразных криминальных проявлений: в том месте торгуют наркотиками, оружием, детской порнографией, — говорит Орен. — И не смотря на то, что у нас имеется связи с милицейскими спецслужбами и ведомствами различных государств, нужно осознавать, что сами мы не являемся правоохранительной структурой. Отечественный интерес — распознать случаи денежного мошенничества в отношении клиентов отечественной компании и приложить максимумальные усилия чтобы они избежали утрат от рук киберпреступников».

Как можно понять, работа сотрудников киберразведки — это не только и не столько проникновение на всевозможные криминальные ресурсы, сколько работа с людьми. Действия кибермошенников, такие как, к примеру, фишинг либо фальшивые звонки из банков, именуют социальной инженерией. Преступники не только используют технические уловки, но и пользуются разнообразные психотерапевтическими приемами, заставляющими жертву расстаться с серьёзной информацией.

Работа киберразведки — это социальная инженерия напротив. Сотрудники отдела на британском, русском, испанском, португальском языках вступают в общение с кибермошенниками, и их задача не только не выдать себя, но и перехитрить того, кто уже сам успел перехитрить многих.

Зашифрованные тоннели

Сеть TOR (The Onion Router, «Луковый маршрутизатор») является системой прокси-серверов, маскирующих адрес пользователя и снабжающих его анонимность. В то время, когда обладатель компьютера с установленным TOR-клиентом отправляет запрос на удаленный сервер, эти проходят в зашифрованном виде через каскад прокси, причем удаленный сервер видит адрес лишь последнего из них, так именуемого exit? node.

Сеть TOR употребляется как криминалом, так и разнообразными группами киберактивистов (хактивистов) типа «Анонимуса».

Серверы на флеш-памяти и серверы на хард-дисках: партнёры и соперники

Кроме неприятностей компьютерной безопасности, в фокусе внимания компании EMC находится тема хранения данных. Как мы знаем, большая часть дата-центров в мире применяют в качестве накопителей ветхие хорошие твёрдые диски. Что касается твердотельных носителей, либо флеш-памяти, то мы привыкли видеть их в портативных электронных устройствах либо в виде карманных «флешек».

Однако на данный момент в громадных хранилищах данных неспешно внедряются серверы, выстроенные на базе твердотельной памяти. На сегодня рынок для того чтобы оборудования имеет емкость около $1 млрд, наряду с этим он переживает экспоненциальный рост. У каждого вида запоминающих устройств имеется минусы и свои плюсы: в частности, хард-диск — электромеханическое устройство, и для считывания нужной информации нужно навести головку на соответствующий сектор.

Это занимает время. Флеш-память разрешает приобретать доступ к любому фрагменту данных фактически мгновенно. Но, превосходя твёрдые диски в производительности, флеш-память до тех пор пока стоит многократно дороже.

Компания EMC выступает в качестве разработчика программных и аппаратных ответов, каковые делают серверы на базе флеш-памяти более действенными, соответственно, более привлекательными с позиций бизнеса. XtremeIO — одно из таких ответов. Его составными частями являются программный продукт и «хард» — собранные в блоки («кирпичики») запоминающие устройства на базе твердотельной памяти.

Посредством XtremeIO возможно легко нарастить емкость дата-центра, разместив в «кирпичиках» hot data — к примеру, базу данных, требующую высокой скорости обработки, и покинув cold data (данные, не находящуюся в постоянной обработке) серверам на базе хард-дисков. Второй продукт EMC — ScaleIO — не включает в себя аппаратной части. Это чисто программное ответ, разрешающее объединять ресурсы хранения и вычислительные ресурсы данных в высокоэффективную одноуровневую совокупность хранения данных.

Ее основное преимущество — легкое масштабирование. Посредством ScaleIO возможно объединить тысячи устройств, как хранящих эти, так и делающих приложения, в замечательную сеть хранения данных (SAN).

Статья «На страже кошелька» размещена в издании «Популярная механика» (№147, январь 2015).

Что такое ICO и как правильно на него выйти?


Темы которые будут Вам интересны: