К FS Group обратились представители одного из банков Республики Казахстан. Банкиры предоставили запрос на проведение анализа утечки данных из учреждения. Эксперты проверили информацию и действительно обнаружили на одном из «форумов с теневой репутацией» предложение о продаже финансовых данных клиентов этого банка. Однако само объявление было подозрительными.
Пользователь под псевдонимом Afonya был зарегистрирован на площадке с сентября 2017, но за это время разместил всего 4 объявления, 2 из которых касались продажи базы данных казахского банка. Это свидетельствовало о низкой активности хакера.
Экспертам удалось установить адрес, который мошенник использовал для регистрации на сайте форума. Этот адрес вывел на фейсбук-страницу, которая потенциально могла принадлежать мошеннику, а также помог определить аккаунт злоумышленника в Skype.
Обладая этой информацией, кардера начали искать на «профильных форумах». Как оказалось, злоумышленник был зарегистрирован на 10 самых популярных площадках по продаже банковских данных. Эксперты также установили временные промежутки активности преступника на таких сайтах и IP-адреса, с помощью которых он выходил на эти веб-ресурсы.
На одном из таких форумов были найдены посты злоумышленника, благодаря которым расследователь смог определить еще один электронный адрес злоумышленника, а затем – на еще один профиль ICQ, который раскрыл еще один имейл преступника, содержащий в названии имя и фамилию. Поиск по этому имейлу подтвердил взаимосвязь с найденными ранее аккаунтами и электронными адресами, а поиск информации по имени почты фигуранта дела привел к двум аккаунтам в русскоязычной социальной сети. Хотя они были удалены, эксперту удалось извлечь информацию из веб-архива и узнать имя подозреваемого, установить, что тот находится в Беларуси и определить вуз, в котором он учился.
«На основе проведенной работы удалось определить еще 2 электронных адреса, напрямую связанных с перепиской злоумышленника по кардингу. По одному из адресов злоумышленник зарегистрировал аккаунт на популярной российской онлайн-доске объявлений и оставил контактный номер телефона. Анализ второго электронного адреса позволил установить, что в 2013 году хакер находился в городе Москва, Россия», – рассказывает Игорь Быков, аналитик FS Group.
«Расследование позволило деанонимизировать злоумышленника и сформировать доказательную базу для последующей передачи материалов заказчику. На основе отчета можно сделать вывод, что злоумышленник умышленно проводил работу по популяризации своих профилей на даркнет форумах для создания негативной репутации банка и введения в заблуждение пользователей, желающих приобрести банковскую информацию клиентов банка. Реальными данными пользователей хакер не владел», – объясняют в FS Group
Источник: biz.nv.ua
