Путешествие по киберподполью с проводником Антоном

Petya ransomware
Image caption Вирус по имени Петя работает просто: ваш компьютер не заработает до тех пор, пока вы не заплатите выкуп

Одна из странных особенностей киберпреступности заключается в том, что она практически на виду.

Быстрого поиска в интернете достаточно, чтобы обнаружить форумы и сайты, где открыто торгуют ворованным товаром, кредитными картами и персональными данными.

Однако поверхностного взгляда порой бывает недостаточно, чтобы понять, что же там происходит на самом деле.

"Вступить в криминальное сообщество может любой, кто говорит по-русски", - поясняет сотрудник компании по обеспечению интернет-безопасности SentinelOne по имени Антон, занимающийся исследованием вирусных программ и вот уже более 20 лет практически живущий в этом подпольном мире.

"Когда я говорю "по-русски", я имею в виду бывший СССР, ведь на этом языке говорят и на Украине, и в Казахстане, и в Белоруссии. Грязную работу вроде спама или сетевой поддержки выполняют румыны, но разработкой вредоносных программ они не занимаются, сегодня это прерогатива русских".

Эти активные подпольные интернет-рынки существуют давно, и, по словам Антона, он следит за создателями вирусных программ, чтобы понять, чего от них ожидать в будущем.

"Я присутствовал там на самом раннем этапе, - рассказал Антон в интервью Би-би-си. - Мне тогда было лет 12, и интернет-сообщество еще только создавалось. Вместо него было множество отдельных каналов, по которым хакеры обменивались информацией".

По словам Антона, в те дни мало кто был готов нарушать закон.

"Но тогда на этом не зарабатывали деньги, это был просто обмен знаниями, информацией и пиратскими копиями".


Анализ

Тони Роуан, старший консультант по вопросам безопасности компании SentinelOne. Эта компания наняла Антона для того, чтобы знать, что происходит на преступных форумах и черных рынках интернета.

"Информация, которую добывает Антон, дает нам представление о том, в каком направлении развиваются преступные сообщества.

Нам необходимо отслеживать их работу, чтобы понимать, чем именно они занимаются, чего добиваются и что планируют.

Нужно быть заранее готовым, а не ждать, когда это с тобой приключится. Нам необходимы такого рода контакты и информация, иначе бы будем действовать вслепую".

Правообладатель иллюстрации Getty Images

Рик Холланд, отвечает за развитие стратегии компании Digital Shadows, занимающейся кибербезопасностью и слежкой за группировками хакеров в сети.

"В открытой сети процветает киберпреступность, особенно когда заходишь на сайты Российской Федерации. Им нет необходимости скрываться в подполье. Некоторые из них действуют очень нагло и открыто, у других, напротив, весьма высок уровень безопасности.

Если мы отслеживаем источник преступной активности и при этом обнаруживаем некую информацию о наших клиентах, то это может оказаться полезным. А в долгосрочной перспективе это помогает понять, чего следует опасаться в будущем, кто станет следующим объектом атаки.

Это необычная работа, и уж точно не легкая, хотя, мне кажется, в слежке за киберпреступниками есть определенная польза".


Киберподполье сильно изменилось на рубеже веков, когда начала расти интернет-торговля. Появились форумы, на которых обсуждалось, как можно заработать на спаме, фишинге, вирусах или сетевых атаках.

В 2007-2008 годах, по словам Антона, произошел очередной большой сдвиг, когда интернет-мошенники придумали новые способы обманывать пользователей интернета, которые приносили куда больший доход, чем старые примитивные технологии.

Первой волной, ознаменовавшей современную эру киберпреступности, стало использование фальшивых антивирусных программ.

"Они устанавливали на ваш компьютер очень плохо прописанные программы. Они выглядели как антивирусные, но на самом деле ничего не делали, - объясняет принцип этого мошенничества Антон. - Программа говорила: мы просканировали ваш компьютер и обнаружили множество проблем. Их нужно устранить немедленно, но для этого необходимо приобрести дополнительную программу, которая стоит всего 35-40 долларов".

Такой способ работал лучше, чем предыдущие, говорит Антон, но на то, чтобы поймать людей врасплох и заставить их заплатить, уходило много времени и сил.

Часто, уже заплатив кредитной картой, люди понимали, что их обманули, и отменяли оплату.

"Это означало, что преступникам нужно придумать что-то получше, что-то пострашнее", - говорит Антон. По его словам, ставка на испуг, как правило, окупается, и тогда киберпреступники сделали следующий шаг - они изобрели "локеры".

"Они атакуют ваш браузер и размещают на десктопе большую страницу, которая гласит, что вас застукали за детской порнографией, или еще что-то очень-очень пугающее. Люди такого очень боятся, они сразу начинают думать: может, кто-то из моих детей это сделал, я, конечно, не знаю наверняка, но лучше заплачу".

Правообладатель иллюстрации monsitj
Image caption Поначалу киберпреступники обменивались кодами доступа и пиратскими копиями программ, но эволюция взяла свое

В этом случае от вас уже требуют больше денег - в среднем 200 долларов. Эта тактика оказалось столь успешной, что полиция начала предупреждать людей о такого рода мошенничестве, чтобы они не спешили платить преступникам.

Успех этой тактики и огласка вызвали новую волну киберпреступлений - кибершантаж.

"Я называю это эволюцией, потому что те самые люди, которые раньше продавали фальшивые антивирусные программы, переключились на вредоносные хакерские программы, предназначенные для шантажа", - поясняет Антон. По его словам, у таких программ самая лучшая "окупаемость", поскольку жертвы не могут позволить себе их игнорировать.

"Они наносят настоящий вред, потому что вы видите, как ваши файлы перестают работать. Для пользователя это лучшее свидетельство того, что ему необходимо заплатить".

Бесконечная война

Росту кибершантажа сильно помогло изобретение виртуальной валюты - биткоинов. Эта система пирингового платежа лишена многих недостатков кредитных карт и иных платежных систем.

"Сегодня невозможно говорить о кибершантаже, не упоминая биткоины, поскольку именно эта система привела к новому витку эволюции", - говорит Антон.

И урон не ограничивается лишь тему суммами, которые люди выплачивают шантажистам.

По подсчетам ФБР, в ходе 992 случаев заражения трояном Cryptowall, о которых было сообщено в полицию за 14 месяцев, жертвы потеряли 18 млн долларов. Лишь часть этих денег была выплачена напрямую шантажистам - 10 тыс. долларов. Остальное - это производственные потери, выплаты юристам и расходы на удаление вирусной программы.

Кибершантаж стал особенно популярен еще и в силу самого устройства подпольного сообщества. В прошлом киберпреступники, создававшие вирусные программы, рассылали спам, анализировали результаты и ловили на крючок своих жертв.

Правообладатель иллюстрации Reuters
Image caption Расцвету кибершантажа во многом способствовало изобретение системы рассчетов с помощью биткоинов

Но, как говорит Антон, от такой практики давно отказались. Теперь, преступники, создающие программы кибершантажа, предлагают их в качестве интернет-услуг.

"Они предоставляют вам вирус, в который вшит ваш ID, и если вам удалось его распространить, они будут знать, что это сделали вы, и заплатят вам за это, - поясняет Антон. - Причем вы получите 70%, а они - 30% комиссионных с каждой выплаты".

В результате биткоин в совокупности с кибершантажом привели к пику подпольной активности в интернете, вызвав своего рода золотую лихорадку.

"В эту деятельность вовлекается все больше людей из преступного мира, и все больше людей начинают распространять эти вирусы, - говорит Антон. - И они просто так не остановятся. Если к вам идут легкие деньги, и поток не прекращается, зачем останавливаться, не так ли? Это же очевидно".

Новости по теме