З кожним днем кіберзлочини стають усе більш витонченими, а фінансові та репутаційні втрати жертв таких злочинів – більш масштабними. За підрахунками Netscout за 2020 рік, щоденно у світі відбувається понад 26 тисяч кібератак, тобто 18 атак за хвилину. Компанія FS Group підготувала для вас цикл статей «Цифровий слід», у якому ми описуємо реальні кейси наших клієнтів та розповідаємо, як не дати кіберзлочинцям нашкодити вашій організації.
Попри загальне уявлення, що кіберзлочинці повинні володіти неабиякими технічними знаннями та навичками, на ділі виявляється, що лише незначна кількість зловмисників є дійсно кваліфікованими ІТ-експертами. Переважна більшість мережевих зловмисників – це пересічні громадяни, які просто шукають можливості збагатитися, користуючись прогалинами систем інформаційної безпеки бізнесу, державних інституцій і, навіть, установ критичної інфраструктури. Одним із найпоширеніших типів незаконної діяльності в Інтернеті є крадіжка даних. За даними IBM і Інституту Понемона «Вартість втрати даних», у межах якого було опитано понад 3 тисячі спеціалістів з питань ІТ та безпеки з 17 країн, середня фінансова вартість втрати даних у світі у 2020 році досягла 3,86 мільйона доларів США. Сьогодні ми презентуємо вам історію про крадіжку даних одного з українських банків, розслідуванням якого займалися спеціалісти FS Group.
В ході моніторингу хакерських форумів у Darkweb, експерти FS Group виявили пропозицію продажу конфіденційних даних клієнтів одного з українських банків. Команда R&F (research & forensic) розпочала пошук зловмисника.
«Початком розслідування став пошук пропозицій щодо продажу інформації клієнтів українських банків у Darkweb.
Оскільки інформація – це продукт, що швидко псується, зазвичай зловмисники розміщують оголошення про продаж даних протягом 1-2 днів з моменту крадіжки. Звісно, якщо не мають на меті шантаж компаній, у яких викрали дані»,
– зазначає Євген Волчок, експерт-розслідувач FS Group.
За результатами моніторингу, було встановлено особу, яка пропонує до продажу заповнені анкети-заяви на отримання банківських послуг, фотографії клієнтів банку, паспортів і банківських карток.
«Зазвичай хакерські форуми знайти нелегко. Їхні адреси передаються «сарафанним радіо» та постійно змінюються. Потрібно мати як технічні навички, так і інформаторів зі світу кіберзлочинів, щоб вийти на необхідний форум», – додає Євген.
У DarkWeb розповсюдженим є обман покупців заборонених продуктів та послуг, адже продавці залишають мінімум інформації про себе. Оплата здійснюється за криптовалюту або з допомогою анонімних платіжних сервісів, тому визначити кінцевого отримувача коштів практично неможливо. Щоб перевірити валідність розміщених до продажу даних, необхідно було налагодити контакт з продавцем та отримати від нього частину даних для подальшої перевірки. Після підтвердження того, що дані є справжніми, експерти FS Group перейшли до розшукових дій.
«У Даркнеті існує така професія як гарант. Це людина, яка виступає посередником між покупцем та продавцем. До їхніх послуг звертаються для того, щоб знизити ризики обману під час укладання угоди та тому що, як правило, гарант отримує кошти від покупця у криптовалюті, а надсилає продавцеві у будь-який зручний спосіб»,
– пояснює Євген.
Перше спілкування зі зловмисником відбувалося через гаранта. Коли той переконався, що розслідувачу можна довіряти, то погодився комунікувати напряму і надав персональний номер телефону. Це стало ключовим моментом деанонімізації злочинця. Наданий номер використовувався злочинцем виключно для платіжних операцій. Поза тим, номер телефону дозволив визначити реквізити електронного гаманця зловмисника. Із цією інформацією експерт зміг вийти на особистий рахунок в одному з українських банків, на який кіберзлочинець виводив кошти.
Відділ R&F використав дані платіжного сервісу, щоб встановити його особу за допомогою інструментів OSINT і CSINT. OSINT і CSINT – це технології пошуку даних з різних джерел інформації. FS Group розробила власні інструменти OSINT і CSINT, які, з допомогою унікальних алгоритмів, дозволяють проводити високоефективний та швидкий пошук інформації для розслідування кіберінцидентів.
«Важливим є не тільки пошук особи, але і підтвердження її стосунку до кіберзлочину. Часто, досвідчені хакери використовують зламані акаунти та гаджети як прикриття. Тому перевірка причетності підозрюваного є найвідповідальнішою частиною роботи»,
– ділиться експерт.
Розслідувачі проаналізували раніше придбані у зловмисника документи. Деякі з них містили ім’я працівниці банку, яка займалася роботою з клієнтами. Також, на основі роботи з документами вдалося визначити часовий проміжок, у який їх було створено та можливу адресу відділення банку, з якого викрали дані.
Далі, команда R&F провела дослідження сторінок у соціальних мережах цієї працівниці та виявила її зв’язок із фігурантом розслідування. На основі цієї знахідки, експерти зробили два припущення. Перше – що підозрюваний також може бути представником банку. Друге – працівниця може бути причетною до злочинної схеми.
Для того, щоб підтвердити або спростувати гіпотези, розслідувач FS Group провів перевірку інформації щодо фігуранта у Єдиному державному реєстрі судових рішень України й виявив постанову щодо притягнення його до адміністративної відповідальності. Серед іншого, підозрюваний вказав актуальне місце роботи. Це допомогло встановити, що фігурант справи є працівником банку, який незаконно продає конфіденційну інформацію про клієнтів у DarkWeb. Причетність дівчини, що також працює у банку встановлено не було.
«На це розслідування ми витратили близько трьох місяців. Адже зловмисник час від часу зникав та видаляв листування. Тому нам довелося декілька разів заново налагоджувати зв’язок. Це розповсюджена практика, особливо коли зловмисник не є досвідченим хакером і не знає, як забезпечити свою конфіденційність. У рамках цієї справи нам допомогла Big data нашої організації. Вона містить найбільшу у світі кількість даних про кіберзлочинців, незаконні форуми тощо», – підсумовує Євген.
FS Group наголошує, що найдієвішим захистом від кібератак та крадіжки даних є їхнє попередження. Компанії мають обов’язково враховувати ризики, які несе за собою стрімка діджиталізація. Історія з банком демонструє один із найрозповсюдженіших сценаріїв, коли зловмисник влаштовується у компанію для того, щоб провадити незаконну діяльність задля власного збагачення.
Наша компанія пропонує дієвий сервіс із розслідування кіберінцидентів – FS IRT. Послуга включає консалтинг з експертами з питань безпеки, розслідування конкретних інцидентів інформаційної безпеки, комплексне криміналістичне дослідження цифрових доказів, надання звітів про клієнта та персонал з різноманітних джерел інформації, створення щомісячного інформаційного бюлетеня з індивідуальними порадами, тестування на проникнення у систему, сканування веб-додатків та ресурсів. FS Group створює найефективніші безпекові рішення для бізнесу. Ми працюємо для того, щоб усунути ризики виникнення кіберінцидентів у наших клієнтів.
