С каждым днем киберпреступления становятся все более изощренными, а финансовые и репутационные потери жертв таких преступлений – более масштабными. По подсчетам Netscout 2020 года, ежедневно в мире происходит более 26 000 кибератак, то есть 18 атак в минуту. Компания FS Group подготовила для вас цикл статей «Цифровой след», в котором мы описываем реальные кейсы наших клиентов и рассказываем, как не дать киберпреступникам навредить вашей организации.
Несмотря на общепринятое мнение, что киберпреступники должны обладать незаурядными техническими знаниями и навыками, на деле оказывается, что только незначительное количество злоумышленников являются действительно квалифицированными IT-экспертами. Подавляющее большинство сетевых злоумышленников – это рядовые граждане, которые просто ищут возможности обогатиться, пользуясь пробелами в системах информационной безопасности бизнеса, государственных институций и даже учреждений критической инфраструктуры. Одним из самых распространенных типов незаконной деятельности в Интернете является кража данных. По данным IBM и Института Понемона «Стоимость потери данных», в рамках которого было опрошено более 3000 специалистов по вопросам IT и безопасности из 17 стран, средняя финансовая стоимость потери данных в мире в 2020 году составляет 3,86 миллиона долларов США. Сегодня мы презентуем вам историю о краже данных одного из украинских банков, расследованием которого занимались специалисты FS Group.
В ходе мониторинга хакерских форумов в Darkweb, эксперты FS Group обнаружили предложение о продаже конфиденциальной информации клиентов одного из украинских банков. Команда R&F (research & forensic) начала поиск злоумышленника.
«Началом расследования стал поиск предложений о продаже информации клиентов украинских банков в Darkweb.
Поскольку информация – это продукт скоропортящийся, обычно злоумышленники размещают объявления о продаже данных в течение 1-2 дней с момента кражи. Конечно, если их цель не шантаж компаний, у которых они похитили данные»,
– отмечает Евгений Волчок, эксперт-расследователь FS Group.
По результатам мониторинга, было установлено особу, которая выставила на продажу заполненные анкеты-заявки на получение банковских услуг, фотографии клиентов банка, паспортов и банковских карточек.
«Обычно хакерские форумы найти нелегко. Их адреса передаются по «сарафанному радио» и постоянно меняются. Нужно иметь как технические навыки, так и информаторов из мира киберпреступлений, чтобы выйти на необходимый форум», – добавляет Евгений.
В DarkWeb распространенным является обман покупателей запрещенных продуктов и услуг, ведь продавцы оставляют минимум информации о себе. Оплата осуществляется в криптовалюте или при помощи анонимных платёжных сервисов, поэтому определить конечного получателя средств практически невозможно. Чтобы проверить валидность предлагаемых к продаже данных, необходимо было наладить контакт с продавцом и получить от него часть данных для дальнейшей проверки. После подтверждения того, что данные являются подлинными, эксперты FS Group приступили к розыскным действиям.
«В Даркнете существует такая профессия как гарант. Это человек, который выступает посредником между покупателем и продавцом. К их услугам обращаются для того, чтобы снизить риски обмана при заключении сделки и потому что, как правило, гарант получает средства от покупателя в криптовалюте, а отправляет продавцу в любой удобный способ»,
– объясняет Евгений.
Первое общение со злоумышленником происходило через гаранта. Когда тот убедился, что расследователю можно доверять, то согласился коммуницировать напрямую и предоставил персональный номер телефона. Это стало ключевым моментом деанонимизация преступника. Предоставленный номер использовался преступником исключительно для платежных операций. Кроме того, номер телефона позволил определить реквизиты электронного кошелька злоумышленника. С этой информацией эксперт смог выйти на личный счет в одном из украинских банков, на который киберпреступник выводил средства.
Отдел R&F использовал данные платежного сервиса, чтобы установить его личность с помощью инструментов OSINT и CSINT. OSINT и CSINT – это технологии поиска данных из различных источников информации. FS Group разработала собственные инструменты OSINT и CSINT, которые, при помощи уникальных алгоритмов позволяют проводить высокоэффективный и быстрый поиск информации для расследования киберинцидентов.
«Важно не только идентифицировать злоумышленника, но и доказать его связь с киберпреступлением. Часто, опытные хакеры используют взломанные аккаунты и гаджеты как прикрытие. Поэтому проверка причастности подозреваемого является самой важной частью работы»,
– делится эксперт.
Расследователи проанализировали ранее приобретенные у злоумышленника документы. На некоторых было указано имя работницы банка, которая занималась работой с клиентами. Также, на основе работы с документами удалось определить временной промежуток, в который они были созданы и возможных адрес отделения банка, из которого похитили данные.
Далее, команда R&F провела исследование страниц этой работницы в соцсетях и обнаружила ее связь с фигурантом расследования. На основе этой находки, эксперты сделали два предположения. Первое – что подозреваемый также может быть представителем банка. Второе – работница может быть причастной к преступной схеме.
Для того чтобы подтвердить или опровергнуть гипотезы, расследователь FS Group совершил проверку информации о фигуранте в Едином государственном реестре судебных решений Украины и обнаружил постановление о привлечении его к административной ответственности. Среди прочего, подозреваемый указал свое постоянное место работы. Это помогло установить, что фигурант дела является работником банка, который незаконно продает конфиденциальную информацию о клиентах в DarkWeb. Причастность девушки, которая также работает в банке, установлено не было.
«На это расследование мы потратили около трех месяцев. Ведь злоумышленник время от времени исчезал и удалял переписки. Поэтому нам пришлось несколько раз заново налаживать связь. Это распространенная практика, особенно когда злоумышленник не является опытным хакером и не знает, как обеспечить свою конфиденциальность. В рамках этого дела нам помогла Big data нашей организации. Она содержит наибольшее в мире количество данных о киберпреступниках, незаконных форумах и тому подобном», – заключает Евгений.
FS Group отмечает, что самой действенной защитой от кибератак и кражи данных является их предупреждение. Компании должны обязательно учитывать риски, которые несет за собой стремительная диджитализация. История с банком демонстрирует один из самых распространенных сценариев, когда злоумышленник устраивается в компанию для того, чтобы заниматься незаконной деятельностью для собственного обогащения.
Наша компания предлагает эффективный сервис по расследованию киберинцидентов – FS IRT. Услуга включает консалтинг с экспертами по вопросам безопасности, расследование конкретных инцидентов информационной безопасности, комплексное криминалистическое исследование цифровых доказательств киберпреступлений, предоставление отчетов о клиенте и персонале из различных источников, создание ежемесячного информационного бюллетеня с индивидуальными советами, тестирование на проникновение в систему, сканирование веб-приложений и ресурсов. FS Group создает эффективные решения для защиты бизнеса. Мы работаем для того, чтобы устранить риски возникновения киберинцидентов у наших клиентов.
