НИKО НИЈЕ Имун на превару на мрежи — чак ни људи који се баве преварама.
На форумима о сајбер криминалу, жалбе корисника на превару могу случајно открити њихов прави идентитет
Сајбер-криминалци који користе форуме за хаковање да би купили софтверске експлоатације и украдене податке за пријаву, падају на преваре и бивају преварени за хиљаде долара, открила је нова анализа. Штавише, када се криминалци жале да су преварени, они такође остављају траг својих личних података који би полицији и истражитељима могли открити њихов стварни идентитет. Хакери и сајбер криминалци се често окупљају на одређеним форумима и тржиштима да би пословали једни са другима. Они могу да рекламирају предстојец́и посао за који им је потребна помоц́, да продају базе података украдених лозинки и информација о кредитним картицама или да рекламирају нове безбедносне пропусте који се могу користити за провалу у уређаје или системе људи.
Међутим, ови договори често не иду по плану. Ново истраживање, које је данас објавила фирма за сајбер безбедност Сопхос, испитује ове неуспеле трансакције и притужбе људи на њих. „Превараната који преваре преваранте на криминалним форумима и тржиштима је много више него што смо првобитно мислили“, каже Мет Викси, истраживач из Сопхос X-Опс који је проучавао тржишта. Викси је испитао три најистакнутија форума о сајбер криминалу: форуме на руском језику Exploit и XSS, плус BreachForums на енглеском језику, који је заменио RaidForums када су га запленили амерички органи за спровођење закона у априлу. Иако сајтови функционишу на мало различите начине, сви имају собе за „арбитражу“ у којима се могу жалити људи који мисле да су их други криминалци преварили или да су им нанели неправду. На пример, ако неко купи злонамерни софтвер и он не ради, може да јадикује администраторима сајта.
Жалбе понекад доводе до тога да људи добију свој новац, али чешцће делују као упозорење за друге кориснике, каже Викси. У последњих 12 месеци – период који покрива истраживање – криминалци на форумима изгубили су више од 2,5 милиона долара од других превараната, каже се у анализи. Неки људи се жале на губитак од само 2 долара, док се средња вредност превара на сваком од сајтова крецће од 200 до 600 долара, према истраживању које је представљено на конференцији о безбедности БлацкХат Еуропе. Преваре долазе у више облика. Неки су једноставни, други софистициранији. Често постоје преваре „rip-and-run”, каже Викси, где купац не плацћа оно што је добио или продавац добија новац, али не шаље оно што је продао. Друге врсте превара укључују лажне податке или безбедносне експлоатације које не функционишу: Једна особа на BreachForums тврди да је продавац покушао да им пошаље Фејсбук податке који су већ били јавни. У једном екстремном инциденту на форуму Exploit, један налог је објавио дугачку жалбу да су некоме дали експлоатацију Windows кернела и да им није плацћено 130.000 долара колико су се договорили за то. Kупац је рекао да ће платити када тестирају софтвер, али никада нису добили новац.
„У свакој фази давао је различите изговоре за одлагање плац́ања“, каже се у преведеној верзији жалбе. У неким преварама, чинило се да више налога или људи раде заједно, каже истраживање. Kорисник са добром репутацијом може упознати једну особу са другом. Овај саучесник затим упуц́ује жртву на веб локацију за преваре. У једном случају, каже Викси, корисник је желео да купи лажну копију НФТ-фокусиране игре Аxие Инфинитy. „Хтели су њену лажну копију са намером да у основи извуку средства легитимних корисника“, каже Викси. „Ову лажну копију су купили од неког другог, а лажна копија је садржавала бацкдоор који је затим украо украдену криптовалуту. Преварант је у суштини преварен путем сопствене преваре”. Иако не би требало да буде изненађење што криминалци често покушавају да преваре једни друге – ипак, међу сајбер криминалцима нема части – истраживање показује колико је то распрострањено.
У 2017, безбедносна фирма Digital Shadows истакла је базу података која је створена да именује и срамоти познате рипере. Слично томе, 2021. године, компанија је открила да неки администратори на форумима о сајбер криминалу варају своје клијенте. У протеклој деценији, било је на хиљаде притужби о криминалцима који једни друге преваравају, према обавештајној компанији за претње Analyst1. У међувремену, претходна анализа компаније TrendMicro је закључила да иако форуми и тржишта имају правила, она не одврацћају преваранте. „Починиоци су обично они који желе брзу зараду уместо репутације“, каже се у истраживању компаније из 2019.
Вероватно је најорганизованија превара коју је Викси уочио произашла из истраге о Генесис тржишту, које је на мрежи од 2017. године и продаје детаље за пријаву у хотел, колачицће и приступ подацима из компромитованих система. Истражујуцћи Генесис, Сопос је открио лажну верзију веб странице која се појављује високо у Гугл-овим резултатима претраге. „Ово је заиста бизаран случај“, каже Викси. „То је био заиста основни Ворд-прес шаблон и тражио је новац, док је права Генесис само позивница. Наоружани детаљима са лажне веб странице Генесис — укључујуцћи делове текста и адресе криптовалута — истраживачи су открили 20 веб локација за које се чини да их повезује и води иста група или појединац. Сви веб-сајтови изгледају исто и регистровани су између августа 2021. и јуна 2022. — њих осам је још увек активно. Скоро све ове веб странице, каже Викси, имитирају угашена криминална тржишта и покушавају да натерају људе да плате да им приступе.
Истраживач каже да су биткоин адресе на које сајтови за преваре плаћају заједно примили 132.000 долара, иако је опрезан када каже да је сав новац можда дошао са лажних веб локација. Викси каже да криминалци који се жале да су преварени и покушавају да реше своје спорове арбитражом могу бити потенцијално богат извор обавештајних података за истражитеље. Пошто они који се жале на преваре морају да објаве доказе како би подржали своје тврдње, често деле снимке екрана који садрже више личних података него што су можда намеравали. Сопхос каже да је видео „ризницу“ података, укључујући адресе криптовалута, ИД-ове трансакција, емаил адресе, имена жртава, неки изворни код злонамерног софтвера и друге информације. Сви ови детаљи могу помоћи да се открије више информација о људима иза корисничких имена или да дају назнаке о томе како они раде. У једној притужби на превару, корисник је поделио снимак екрана који приказује нечија Телеграм корисничка имена, емаил адресе, Јаббер имена за чет, плус Скyпе и Дисцорд корисничка имена.
У другима су приказане ИП адресе и земље у којима се корисници могу налазити. Снимци екрана откривају софтвер који људи користе, као и веб локације које посецћују и детаље о подешавању рачунара. У неким случајевима, Викси је видео детаље о жртвама које су гађали сајбер криминалци. Kриминалци, по природи онога што раде, обично су веома опрезни када деле било шта што их може идентификовати. Права имена се не користе; често ц́е користити услуге анонимизације као што је Тор. „Они обично користе прилично добру оперативну сигурност, али са извештајима о преварама то није баш тако“, каже Викси. „Толико од ових ствари једноставно није доступно нигде другде на овим тржиштима. У будућности, подаци би се могли показати корисним алатом за проналажење неких криминалаца. То је свакако почетна тачка“.
Извор: Wired/Тијана Барашевић/pcpress.rs
