Головна Блог Цифровий слід: епізод 1 «Вовк у овечій шкурі»
'
10 Серпня 2021
Цифровий слід: епізод 1 «Вовк у овечій шкурі»

З кожним днем кіберзлочини стають усе більш витонченими, а фінансові та репутаційні втрати жертв таких злочинів –  більш масштабними. За підрахунками Netscout за 2020 рік, щоденно у світі відбувається понад 26 тисяч кібератак, тобто 18 атак за хвилину. Компанія FS Group підготувала для вас цикл статей «Цифровий слід», у якому ми описуємо реальні кейси наших клієнтів та розповідаємо, як не дати кіберзлочинцям нашкодити вашій організації.

Попри загальне уявлення, що кіберзлочинці повинні володіти неабиякими технічними знаннями та навичками, на ділі виявляється, що лише незначна кількість зловмисників є дійсно кваліфікованими ІТ-експертами. Переважна більшість мережевих зловмисників – це пересічні громадяни, які просто шукають можливості збагатитися, користуючись прогалинами систем інформаційної безпеки бізнесу, державних інституцій і, навіть, установ критичної інфраструктури. Одним із найпоширеніших типів незаконної діяльності в Інтернеті є крадіжка даних. За даними IBM і Інституту Понемона «Вартість втрати даних», у межах якого було опитано понад 3 тисячі спеціалістів з питань ІТ та безпеки з 17 країн, середня фінансова вартість втрати даних у світі у 2020 році досягла 3,86 мільйона доларів США. Сьогодні ми презентуємо вам історію про крадіжку даних одного з українських банків, розслідуванням якого займалися спеціалісти FS Group.

В ході моніторингу хакерських форумів у Darkweb, експерти FS Group виявили пропозицію продажу конфіденційних даних клієнтів одного з українських банків. Команда R&F (research & forensic) розпочала пошук зловмисника.

Знайти товар

«Початком розслідування став пошук пропозицій щодо продажу інформації клієнтів українських банків у Darkweb.

Оскільки інформація – це продукт, що швидко псується, зазвичай зловмисники розміщують оголошення про продаж даних протягом 1-2 днів з моменту крадіжки. Звісно, якщо не мають на меті шантаж компаній, у яких викрали дані»,

– зазначає Євген Волчок, експерт-розслідувач FS Group.

За результатами моніторингу, було встановлено особу, яка пропонує до продажу заповнені анкети-заяви на отримання банківських послуг, фотографії клієнтів банку, паспортів і банківських карток.

«Зазвичай хакерські форуми знайти нелегко. Їхні адреси передаються «сарафанним радіо» та постійно змінюються. Потрібно мати як технічні навички, так і інформаторів зі світу кіберзлочинів, щоб вийти на необхідний форум», – додає Євген.

У DarkWeb розповсюдженим є обман покупців заборонених продуктів та послуг, адже продавці залишають мінімум інформації про себе. Оплата здійснюється за криптовалюту або з допомогою анонімних платіжних сервісів, тому визначити кінцевого отримувача коштів практично неможливо. Щоб перевірити валідність розміщених до продажу даних, необхідно було налагодити контакт з продавцем та отримати від нього частину даних для подальшої перевірки. Після підтвердження того, що дані є справжніми, експерти FS Group перейшли до розшукових дій.

Деанонімізація

«У Даркнеті існує така професія як гарант. Це людина, яка виступає посередником між покупцем та продавцем. До їхніх послуг звертаються для того, щоб знизити ризики обману під час укладання угоди та тому що, як правило, гарант отримує кошти від покупця у криптовалюті, а надсилає продавцеві у будь-який зручний спосіб»,

–  пояснює Євген.

Перше спілкування зі зловмисником відбувалося через гаранта. Коли той переконався, що розслідувачу можна довіряти, то погодився комунікувати напряму і надав персональний номер телефону. Це стало ключовим моментом деанонімізації злочинця. Наданий номер використовувався злочинцем виключно для платіжних операцій. Рослідувачеві FS Group вдалося встановити, що телефон із цим номером вмикався лише один раз – для реєстрації на сайті платіжного сервісу. Поза тим, номер телефону дозволив визначити реквізити електронного гаманця зловмисника. Із цією інформацією експерт зміг вийти на особистий рахунок в одному з українських банків, на який кіберзлочинець виводив кошти. 

Відділ R&F використав дані платіжного сервісу, щоб прив’язати номер телефону зловмисника до геолокації та встановити його особу за допомогою інструментів OSINT і CSINT. OSINT і CSINT – це технології пошуку даних з різних джерел інформації. FS Group розробила власні інструменти OSINT і CSINT, які, з допомогою унікальних алгоритмів, дозволяють проводити високоефективний та швидкий пошук інформації для розслідування кіберінцидентів.

«Ми буквально визначили будинок, у якому може проживати підозрюваний, маршрути, якими він ходить на роботу, місця якими він прогулюється», – коментує розслідувач FS Group.

Зв’язати точки

«Важливим є не тільки пошук особи, але і підтвердження її стосунку до кіберзлочину. Часто, досвідчені хакери використовують зламані акаунти та гаджети як прикриття. Тому перевірка причетності підозрюваного є найвідповідальнішою частиною роботи»,

– ділиться експерт.

Розслідувачі проаналізували раніше придбані у зловмисника документи. Деякі з них містили ім’я працівниці банку, яка займалася роботою з клієнтами. Також, на основі роботи з документами вдалося визначити часовий проміжок, у який їх було створено та можливу адресу відділення банку, з якого викрали дані.

Далі, команда R&F провела дослідження сторінок у соціальних мережах цієї працівниці та виявила її зв’язок із фігурантом розслідування. На основі цієї знахідки, експерти зробили два припущення. Перше – що підозрюваний також може бути представником банку. Друге – працівниця може бути причетною до злочинної схеми.

Для того, щоб підтвердити або спростувати гіпотези, розслідувач FS Group провів перевірку інформації щодо фігуранта у Єдиному державному реєстрі судових рішень України й виявив постанову щодо притягнення його до адміністративної відповідальності. Серед іншого, підозрюваний вказав актуальне місце роботи. Це допомогло встановити, що фігурант справи є працівником банку, який незаконно продає конфіденційну інформацію про клієнтів у DarkWeb. Причетність дівчини, що також працює у банку встановлено не було. 

«На це розслідування ми витратили близько трьох місяців. Адже зловмисник час від часу зникав та видаляв листування. Тому нам довелося декілька разів заново налагоджувати зв’язок. Це розповсюджена практика, особливо коли зловмисник не є досвідченим хакером і не знає, як забезпечити свою конфіденційність. У рамках цієї справи нам допомогла Big data нашої організації. Вона містить найбільшу у світі кількість даних про кіберзлочинців, незаконні форуми тощо», – підсумовує Євген.

FS Group наголошує, що найдієвішим захистом від кібератак та крадіжки даних є їхнє попередження. Компанії мають обов’язково враховувати ризики, які несе за собою стрімка діджиталізація. Історія з банком демонструє один із найрозповсюдженіших сценаріїв, коли зловмисник влаштовується у компанію для того, щоб провадити незаконну діяльність задля власного збагачення.

Наша компанія пропонує дієвий сервіс із розслідування кіберінцидентів – FS IRT.  Послуга включає консалтинг з експертами з питань безпеки, розслідування конкретних інцидентів інформаційної безпеки, комплексне криміналістичне дослідження цифрових доказів, надання звітів про клієнта та персонал з різноманітних джерел інформації, створення щомісячного інформаційного бюлетеня з індивідуальними порадами, тестування на проникнення у систему, сканування веб-додатків та ресурсів. FS Group створює найефективніші безпекові рішення для бізнесу. Ми працюємо для того, щоб усунути ризики виникнення кіберінцидентів у наших клієнтів.

Автор статті:
Костянтин Примак, PR manager FS Group
За більш детальною інформацією, із запитами ЗМІ та пропозиціями щодо співпраці звертайтеся за телефоном: +380 63 873 08 05 або електронною адресою: [email protected]
Схожі новини
Антифішинг рішення для банку
30 Квітня 2021
Антифішинг рішення для банку
Детальніше
Розслідування кібератаки на телекомунікаційного провайдера
29 Січня 2021
Розслідування кібератаки на телекомунікаційного провайдера
Детальніше

Як і багато інших компаній, FSG використовує на своїх веб-сайтах технологію cookie з метою поліпшення Вашого користувацького досвіду, а також для коректної роботи веб-сайту.

Якщо Ви згодні з використанням усіх файлів cookie на цьому сайті, натисніть кнопку Ok. Щоб дізнатися більше про технологію cookie, її переваги і про те, як її використовує FSG, ознайомтеся з нашою Політикою конфіденційності