През април миналата година бях поканен да говоря за психологията на хакерите на годишното събрание на финансовия концерн Fidelity National Information Services (FIS) в Милуоки. FIS е един от най-големите доставчици на технологии и услуги с карти за банковата индустрия по целия свят. Не е за учудване, че сигурността в интернет е един от най-големите му приоритети.
Лекцията мина добре и когато започнах да отговарям на въпросите на публиката, аз се позовах на един скорошен случай на интернет-престъпност в Калгари, (Алберта, Канада), при което една престъпна организация се беше промъкнала в компютърните системи на компания, предлагаща дебитни карти с предварително заредени суми (pre-paid debit cards). Те са популярни отвъд океана и се предлагат също и от някои британски банки, работещи с млади хора и такива, които не могат да получат кредит чрез нормалните канали.
Измамата беше впечатляваща с простотата и ефективността си. Бандата купила по различни места определено количество предплатени дебитни карти и внесла по 15 долара на всяка от тях. След като проникнали в компютърната система на компанията, която ги издавала, те открили онази част от фирмената мрежа, в която се определяли границите, налагани върху ползването на всяка карта. Намерили закупените от тях карти и, използвайки контрола, който имали над системата, повишили границата за теглене от 15 долара на десетки хиляди долари за всяка карта. През следващия уикенд те изтеглили около един милион долара, използвайки банкомати, разположени по целия свят.
Историята изглежда докосна някакъв нерв, макар и да не можех да разбера точно защо. Три месеца по-късно причината внезапно ми стана ясна, когато един от най-добрите разследващи репортери, занимаващи се с интернет-престъпността, Брайън Кребс, публикува на сайта си статия за сериозен пробив в защитната система ма фирма, работеща в областта на сигурността на електронните плащания: бяха моите стари познати от FIS.
Но не само това – оказа се, че FIS е била жертва на точно същата схема с предплатени дебитни карти като компанията от Калгари. Само че FIS беше изгубила 13 милиона долара, а измамниците, според krebsonsecurity.com, са използвали само 22 карти, за да източат това огромно количество пари.
Традиционните банкови разбойници сигурно си губят ума когато чуват за такива суми, които се крадат от интернет-престъпниците почти всяка седмица. Кребс посочва, че ФБР не е арестувала никого в случая с FIS. И никой не очаква скорошни арести. И така аз си помислих, че може би няма да е лошо да направя някои изследвания за криминалния свят в интернет. Един от информаторите ми се оказа познат с майстора на измамата във FIS. В течение на три години, каза ми той, организацията на този човек е „спечелила“ 34 милиона долара. Може би те са извършили обира и в Калгари.
Този Mr Big, оркестриращ цялата операция – така ми беше казано – запазвал за себе си 70% от печалбите, като само 30% отивали за хакерите и така наречените „cash-out“-сътрудници, тоест хората, които реално трябва да ходят от банкомат на банкомат и да теглят самите суми – до 500 долара наведнъж (при което, разбира се, изпращат обратно на Mr Big 70% от сумите).
Доколкото разбрах, бандата все още не е опитала късмета си с никоя банка в Англия. Но Великобритания, заедно със САЩ, западна Европа, Австралия и Нова Зеландия, е сред главните цели на интернет-престъпниците по целия свят. Англичаните са опасно уязвими за интернет-атаки от всякакви форми и размери, според последния доклад по интернет-сигурността на английския тинк-танк Chatham House. Крайно време е, твърди докладът, да започнем да се занимаваме сериозно с всичко това. Вече не само банките са сред основните цели на престъпниците; всеки бизнес, бил той производствен, военен, юридически или финансов, днес се базира на работа с компютри, а следователно е уязвим за атаки. Няколко часа след публикацията на доклада на Chatham House, правителството неочаквано заяви, че ще отложи представянето на новата си интернет-стратегия пред парламента. Дали това е знак на нервност? Сигурно, тъй като изграждането на погрешна стратегия може да има изключително скъпоструващи последствия.
Но срещу какво точно ние се опитваме да се защищаваме? Всички сме чували тревожни предупреждения срещу обхвата на заплахата, идеща от криминални дейности в интернет. През 2009 Белият дом намекна, че интернет-престъпността и индустриалният шпионаж причиняват вреди на стойност около 1 билион (1000 милиарда) долара годишно – почти 1,75% от Брутния световен продукт. Може ли това да е вярно? Отговорът е, че, каквото и да се говори, никой няма дори приблизителна представа. Цифрата един билион може да е силно преувеличена, предназначена да повиши продажбите на индустрията по сигурността. Или просто да е резултат от някакви прекалено хиперактивни алгоритми. А може и да е истина. Но никой не може да каже с каквато и да е сигурност кое от тези неща е вярно.
Дейността на бандата с предплатените карти, според моя източник от подземния свят, била открита само поради това, че те извършили някаква нехарактерна грешка, която позволила на защитните системи на FIS да открият чуждото тяло в системата си. Ако това не се било случило, бандата сигурно все още щастливо щеше да точи банката и всички останали, оставайки неизвестна за целия останал свят.
Но макар и да няма никаква точност по отношение на цифрите, няма съмнение, че заплахите са реални. И вече е крайно време хората да започнат да се научават кои са тези заплахи и как можем да се защищаваме срещу тях.
Престъпността в мрежата се променя много бързо. До много скоро по-голямата част от нея се извършваше в така наречените „картърни“-сайтове с имена като CarderPlanet, Shadowcrew and DarkMarket („картърът“ е просто хакер, който се занимава с карти и информацията около тях). По същество това бяха супермаркети за престъпници.
Първият и най-известен от тези сайтове беше CarderPlanet. Членовете на този сайт, управляван от Одеса в Украйна, идваха тук, за да купуват и продават откраднати информации за кредитни карти, да купуват вируси, троянски програми и „червеи“, с които могат да проникват в компютрите на жертвите си; освен това, за да вземат участие в курсове по използване на тези компютърни програми-оръжия, или как да се използват мрежи от ботове – хиляди компютри, заразени с невидими вируси – които да се използват в атаките против техните противници.
Значението и важността на CarderPlanet за историята на интернет-престъпността се дължи на използването от страна на създателите му на система за плащане на залози. Всичко това работеше почти като някаква криминална версия на PayPal, с използване на легитимни канали като Western Union, подпомагайки решаването на основния проблем, пред който са изправени всички престъпници – как да се работи с някого в мрежата, когато е известно, че като престъпник, също като теб, той е по принцип ненадежден партньор. Залозите, при които една неутрална трета страна от сайта държи както продадените информации за кредитни карти, така и парите на купувача, докато и двете страни са сигурни, че сделката е истинска, реши този проблем с един удар. Освен това тази система доведе до индустриализацията на престъпността в мрежата.
Един от съ-основателите на CarderPlanet, украински хакер с прякор Script, описва пионерите на дигиталните кражби като „самотни вълци“. В интервю за сайта Xakep.ru, големия хроникьор на руския престъпен свят в интернет, той обяснява, че „те не се скупчват заедно, нито пък си създават свои специални мрежи: всеки работи сам, и само за себе си.“ Но през последните няколко години самотните вълци започнаха да създават глутници, обикновено под водачеството на харизматични водачи, като вече споменатия Mr Big. „Картърни“ сайтове като DarkMarket вече излязоха от мода, тъй като за органите на сигурността беше прекалено лесно да ги инфилтрират. Вместо това самотните вълци организират глутниците си само сред приятели, на които се доверяват, а самите глутници изглеждат като традиционните групи на организираната престъпност, с ясни йерархии и разпределение на работата.
Една от най-доходоносните схеми беше осъществена от украинска фирма на име Innovative Marketing. При нея се използваше така наречен scareware – зловреден софтуер, който се възползва от страха пред компютърни вируси. IM наема десетки млади хора в Киев, които са вярвали, че работят за реална софтуерна компания, продаваща реални антивирусни програми. Само че не. Хората, щракащи върху определен линк, поставен от хакерите в нечий нормален интернет-сайт, са снемали на компютрите си програма, с чиято помощ самите хакери могат да представят на екрана ви прозорче, предупреждаващо, че машината е била заразена от вирус и че единственият начин за справяне с опасността е да се щракне на друг линк и да се купи програмата Malware Destroyer 2009 за 40 евро (различните предлагани програми са имали различни имена). След като натоварите на компютъра си тази програма, тя ви инструктира да премахнете собствената си антивирусна защита и да инсталирате техния продукт. Само че тази програма не върши абсолютно нищо – тя просто си стои там и оставя компютъра ви незащитен срещу всички, дори и най-обикновените, вирусни атаки.
Един от сътрудниците на софтуерната фирма McAfee в Хамбург, Дирк Колберт, започнал да следи тази операция. Той проследил софтуера до източника му в източна Азия и открил, че самите престъпници са оставили дупки в защитната си система, през които той успял да се промъкне и да ги наблюдава отвътре. Онова, което открил, просто спряло дъха му.
Фирмата печелела толкова много пари, че създала три телефонни центъра – един на английски, друг на немски и трети на френски език, за да „помагат“ на обърканите си клиенти, опитващи се да инсталират нефункциониращите им продукти. Това бил един от най-театралните примери за интернет-престъпление, открити досега. От счетоводните файлове, открити на сървърите им, Колберг успял да установи, че софтуерната измама генерирала десетки милиони долари печалба. ФБР успял да разруши американския филиал на операцията, но двамата създатели на схемата, един швед и един индиец, и до днес са в неизвестност и се намират в списъците на най-търсените престъпници.
Innovative Marketing от Киев сигурно е била една от най-доходоносните операции досега, но в никакъв случай не и единствена. Макар и силно доходоносна, тя е била свързана и с много работа за организаторите. В последно време усъвършенстването на криминалните дейности е довело до това, че те могат да разпределят по-сложните задачи сред огромни армии от зомби-компютри – съвсем обикновени машини, които използвате вие и аз, и чиято изчислителна мощ може да се използва за извършване на различни престъпления в мрежата. Единственото указание за това е, че компютърът започва да работи по-бавно. Тези армии след това се отдават под наем срещу значителни суми на различни престъпници, които или не искат, или не могат да си създадат подобни собствени оръжия.
Подобна мрежа е в състояние да пробие защитните системи на различни организации (обикновено банки, финансови институции или, разбира се, обикновени хора с банкови сметки), изпращайки един след друг мейлове, с които системата се претоварва, създавайки диверсия, която може да се използва от хакерите за техни цели. Освен това тя може да търси серийни номера, пароли и финансови информации като номера на кредитни карти. Понякога парите се прехвърлят чрез така наречените парични мулета. Това са (обикновено) нищо не подозиращи хора, които отговарят на обяви, предлагащи им работа на собствения компютър. От тях след това се иска да използват собствените си банкови сметки за работата. Те получават, примерно, 200 долара, а след това превеждат 180 на Mr Big, задържайки 20 като комисионна. В една от скорошните операции на ФБР на име Operation Trident Tribunal е станало ясно, че мулетата са били инструктирани да изпращат парите обратно в банка в Латвия (ролята на трите балтийски републики в интернет-престъпността е огромна, напълно отвъд пропорциите на съвместното им население от седем милиона).
Появата на такива възможности за разпределение утежнява един от най-големите проблеми на полицията в борбата с организираната престъпност. Мулетата са лесни за откриване, но те са само малки винтчета в машината. Следващата задача на полицейските органи не е много по-различна от залавянето на Недосегаемите в Чикаго на Ал Капоне. Самият Капоне, както е известно, е бил осъден за укриване на данъци. Но как може да се залови някой дигитален Капоне, когато не е знае нито кой е той, нито къде се намира?