Главная Блог Цифровой след: эпизод 1 «Волк в овечьей шкуре»
'
10 августа 2021
Цифровой след: эпизод 1 «Волк в овечьей шкуре»

С каждым днем ​​киберпреступления становятся все более изощренными, а финансовые и репутационные потери жертв таких преступлений – более масштабными. По подсчетам Netscout 2020 года, ежедневно в мире происходит более 26 000 кибератак, то есть 18 атак в минуту. Компания FS Group подготовила для вас цикл статей «Цифровой след», в котором мы описываем реальные кейсы наших клиентов и рассказываем, как не дать киберпреступникам навредить вашей организации.

Несмотря на общепринятое мнение, что киберпреступники должны обладать незаурядными техническими знаниями и навыками, на деле оказывается, что только незначительное количество злоумышленников являются действительно квалифицированными IT-экспертами. Подавляющее большинство сетевых злоумышленников – это рядовые граждане, которые просто ищут возможности обогатиться, пользуясь пробелами в системах информационной безопасности бизнеса, государственных институций и даже учреждений критической инфраструктуры. Одним из самых распространенных типов незаконной деятельности в Интернете является кража данных. По данным IBM и Института Понемона «Стоимость потери данных», в рамках которого было опрошено более 3000 специалистов по вопросам IT и безопасности из 17 стран, средняя финансовая стоимость потери данных в мире в 2020 году составляет 3,86 миллиона долларов США. Сегодня мы презентуем вам историю о краже данных одного из украинских банков, расследованием которого занимались специалисты FS Group.

В ходе мониторинга хакерских форумов в Darkweb, эксперты FS Group обнаружили предложение о продаже конфиденциальной информации клиентов одного из украинских банков. Команда R&F (research & forensic) начала поиск злоумышленника.

Найти товар

«Началом расследования стал поиск предложений о продаже информации клиентов украинских банков в Darkweb.

Поскольку информация – это продукт скоропортящийся, обычно злоумышленники размещают объявления о продаже данных в течение 1-2 дней с момента кражи. Конечно, если их цель не шантаж компаний, у которых они похитили данные»,

– отмечает Евгений Волчок, эксперт-расследователь FS Group.

По результатам мониторинга, было установлено особу, которая выставила на продажу заполненные анкеты-заявки на получение банковских услуг, фотографии клиентов банка, паспортов и банковских карточек.

«Обычно хакерские форумы найти нелегко. Их адреса передаются по «сарафанному радио» и постоянно меняются. Нужно иметь как технические навыки, так и информаторов из мира киберпреступлений, чтобы выйти на необходимый форум», – добавляет Евгений.

В DarkWeb распространенным является обман покупателей запрещенных продуктов и услуг, ведь продавцы оставляют минимум информации о себе. Оплата осуществляется в криптовалюте или при помощи анонимных платёжных сервисов, поэтому определить конечного получателя средств практически невозможно. Чтобы проверить валидность предлагаемых к продаже данных, необходимо было наладить контакт с продавцом и получить от него часть данных для дальнейшей проверки. После подтверждения того, что данные являются подлинными, эксперты FS Group приступили к розыскным действиям.

Деанонимизация

«В Даркнете существует такая профессия как гарант. Это человек, который выступает посредником между покупателем и продавцом. К их услугам обращаются для того, чтобы снизить риски обмана при заключении сделки и потому что, как правило, гарант получает средства от покупателя в криптовалюте, а отправляет продавцу в любой удобный способ»,

–  объясняет Евгений.

Первое общение со злоумышленником происходило через гаранта. Когда тот убедился, что расследователю можно доверять, то согласился коммуницировать напрямую и предоставил персональный номер телефона. Это стало ключевым моментом деанонимизация преступника. Предоставленный номер использовался преступником исключительно для платежных операций. Расследователю FS Group удалось установить, что телефон с этим номером включался только один раз – для регистрации на сайте платежного сервиса. Кроме того, номер телефона позволил определить реквизиты электронного кошелька злоумышленника. С этой информацией эксперт смог выйти на личный счет в одном из украинских банков, на который киберпреступник выводил средства.

Отдел R&F использовал данные платежного сервиса, чтобы привязать номер телефона злоумышленника к геолокации и установить его личность с помощью инструментов OSINT и CSINT. OSINT и CSINT – это технологии поиска данных из различных источников информации. FS Group разработала собственные инструменты OSINT и CSINT, которые, при помощи уникальных алгоритмов  позволяют проводить высокоэффективный и быстрый поиск информации для расследования киберинцидентов.

«Мы буквально определили дом, в котором может проживать подозреваемый, маршруты, которыми он ходит на работу, места которыми он гуляет», – комментирует расследователь FS Group.

Связать точки

«Важно не только идентифицировать злоумышленника, но и доказать его связь с киберпреступлением. Часто, опытные хакеры используют взломанные аккаунты и гаджеты как прикрытие. Поэтому проверка причастности подозреваемого является самой важной частью работы»,

– делится эксперт.

Расследователи проанализировали ранее приобретенные у злоумышленника документы. На некоторых было указано имя работницы банка, которая занималась работой с клиентами. Также, на основе работы с документами удалось определить временной промежуток, в который они были созданы и возможных адрес отделения банка, из которого похитили данные.

Далее, команда R&F провела исследование страниц этой работницы в соцсетях и обнаружила ее связь с фигурантом расследования. На основе этой находки, эксперты сделали два предположения. Первое – что подозреваемый также может быть представителем банка. Второе – работница может быть причастной к преступной схеме.

Для того чтобы подтвердить или опровергнуть гипотезы, расследователь FS Group совершил проверку информации о фигуранте в Едином государственном реестре судебных решений Украины и обнаружил постановление о привлечении его к административной ответственности. Среди прочего, подозреваемый указал свое постоянное место работы. Это помогло установить, что фигурант дела является работником банка, который незаконно продает конфиденциальную информацию о клиентах в DarkWeb. Причастность девушки, которая также работает в банке, установлено не было.

«На это расследование мы потратили около трех месяцев. Ведь злоумышленник время от времени исчезал и удалял переписки. Поэтому нам пришлось несколько раз заново налаживать связь. Это распространенная практика, особенно когда злоумышленник не является опытным хакером и не знает, как обеспечить свою конфиденциальность. В рамках этого дела нам помогла Big data нашей организации. Она содержит наибольшее в мире количество данных о киберпреступниках, незаконных форумах и тому подобном», – заключает Евгений.

FS Group отмечает, что самой действенной защитой от кибератак и кражи данных является их предупреждение. Компании должны обязательно учитывать риски, которые несет за собой стремительная диджитализация. История с банком демонстрирует один из самых распространенных сценариев, когда злоумышленник устраивается в компанию для того, чтобы заниматься незаконной деятельностью для собственного обогащения.

Наша компания предлагает эффективный сервис по расследованию киберинцидентов – FS IRT. Услуга включает консалтинг с экспертами по вопросам безопасности, расследование конкретных инцидентов информационной безопасности, комплексное криминалистическое исследование цифровых доказательств киберпреступлений, предоставление отчетов о клиенте и персонале из различных источников, создание ежемесячного информационного бюллетеня с индивидуальными советами, тестирование на проникновение в систему, сканирование веб-приложений и ресурсов. FS Group создает эффективные решения для защиты бизнеса. Мы работаем для того, чтобы устранить риски возникновения киберинцидентов у наших клиентов.

Автор статті:
Константин Примак, PR manager FS Group
За более детальной информацией, с запросами СМИ и предложениями по поводу сотрудничества обращайтесь по телефону : +380 63 873 08 05 или электронному адресу: [email protected]
Похожие новости
Антифишинг решение для банка
30 апреля 2021
Антифишинг решение для банка
Детальнее
Расследование кибератаки на телекоммуникационного провайдера
29 января 2021
Расследование кибератаки на телекоммуникационного провайдера
Детальнее

Как и многие другие компании, FSG использует на своих веб-сайтах технологию cookie с целью улучшения  вашего пользовательского опыта, а также для корректной работы сайта

Если вы согласны с использованием всех файлов cookie на этом сайте, нажмите кнопку Ok. Чтобы узнать больше о технологии cookie, ее преимущества и о том, как ее использует FSG, ознакомьтесь с нашей

Политикой конфиденциальности