Reklamy
Technologia

Życie cyberprzestępcy: jak nigeryjski haker zarobił ponad 100 000 dolarów?

 

Kiedy widzisz próbę wyłudzenia informacji lub wiadomość e-mail z podejrzanym załącznikiem w swojej skrzynce odbiorczej, zastanawiasz się czasem, kto jest nadawcą i jak uzyskał Twoje dane? Albo może nawet zadałeś sobie pytanie, ile naprawdę cyberprzestępcy zarabiają na swojej działalności? Specjaliści firmy Check Point dokonali gruntownego prześwietlenia jednego z nigeryjskich hakerów zarabiającego niemałe pieniądze na cyberprzestępczej działalności.

 

W ciągu ostatnich kilku miesięcy badacze firmy Check Point żmudnie tropili i odkryli tożsamość produktywnego cyberprzestępcy, znanego jako „Dton”, który działa aktywnie od ponad siedmiu lat i zarobił do tej pory na swojej działalności co najmniej 100 000 USD. W rzeczywistości kwota ta może być kilka razy wyższa.

 

„Dton” ma 25 lat, jest singlem i mieszka w Benin City, miejscu o populacji prawie 1,5 miliona, w południowej Nigerii. Wnioskując po życiorysie, Dton wydaje się być wzorowym obywatelem. Ale ma też drugą tożsamość: Bill Henry, cyberprzestępca zawodowy, który kupuje towary za pomocą skradzionych kart kredytowych i przeprowadza ataki typu phishing i malware.

 

Jak więc Dton (AKA Bill) rozpoczął życie jako cyberprzestępca, które przyniosło mu średnio co najmniej 14-krotność nowej krajowej płacy minimalnej w Nigerii i 3-krotność przeciętnego wynagrodzenia każdego roku od 2013 r.?

 

Pierwsze kroki: oszustwa związane z kradzionymi kartami kredytowymi

 

Bill/Dton zaczął od spekulacji: wydał około 13 000 USD na zakup danych 1000 kart kredytowych ze specjalnego internetowego sklepu specjalizującego się w skradzionych numerach kart płatniczych. Każdą skradzioną kartę (w cenie od około 4 do 16 USD) Bill zwykle próbował obciążyć kwotą około 200 000 nairy nigeryjskiej (NAN), co odpowiada około 550 USD. Jeśli transakcja była blokowana, próbował wykorzystać inny sklep lub inną kartę, dopóki mu się nie powiodło. Z jego „inwestycji” w 1000 skradzionych kart Bill był w stanie uzyskać co najmniej 100 000 USD.

 

Wydaje się jednak, że ciągłe kupowanie nowych plików z danymi skradzionych kart zaczęło drażnić Billa/Dtona: nie podobało mu się to, że musiał płacić z góry, a także chciał wyższych marż i zysków. Zaczął więc kupować „potencjalnych klientów” – masowe adresy e-mail swoich potencjalnych ofiar, aby zaatakować ich za pomocą własnych exploitów.

 

Przejście do wielopoziomowego marketingu złośliwego oprogramowania

Bill/Dton zaczął kupować narzędzia pracy, aby dzięki nim tworzyć złośliwe oprogramowanie do rozsyłania spamu do osób ze swojej listy ofiar. Narzędzia te obejmują gotowe programy pakujące i szyfrujące, komponenty infostealer i keylogger oraz exploity. Za pomocą tych narzędzi mógł tworzyć własne złośliwe oprogramowanie, wstawiać je do wyglądającego automatycznie dokumentu, tworzyć e-maile, a następnie masowo wysyłać je do swoich ofiar.

 

W rezultacie otrzymał dużo danych logowania, które mógł wykorzystać, aby zarobić więcej pieniędzy – i jednocześnie zadowolić swojego szefa. Tak, Bill/Dton nie jest samotnym graczem – ma menedżera, który także odpowiada przed swoim menedżerem. Ci menedżerowie przekazują w dół hierarchii kapitał początkowy, ale jednocześnie oczekują sporego zwrotu z inwestycji. To odpowiednik piramidy finansowej lub multi-level marketingu.

 

Po raz kolejny Billa/Dtona zaczęło irytować (jak czasem nas wszystkich) wywieranie presji przez szefa i zmniejszające się zyski z kupowanych narzędzi do tworzenia złośliwego oprogramowania. Postanowił zaprojektować własne złośliwe oprogramowanie od podstaw – o nieznanej sygnaturze, które mogłoby ominąć większość zabezpieczeń – tak, aby w końcu być na swoim.

 

Wszystkie chwyty dozwolone

 

Ponieważ Bill/Dton nie jest programistą, wynajął osobę o pseudonimie “RATs&exploits”, aby za niego tworzyła złośliwe oprogramowanie. Ale okazuje się, że kodeks honorowy wśród przestępców nie obowiązuje: Bill/Dton włamał się do komputera pana “RATs&exploits” za pomocą programu RAT (ang. – trojan zdalnego dostępu, ale słowo to oznacza również szczura), aby móc go szpiegować i wykraść część jego sekretów. Gdy to nie wystarczyło, chciał zatrudnić dodatkowo innego podejrzanego osobnika, specjalizującego się w wyspecjalizowanym programie do pakowania złośliwego oprogramowania, ale pokłócili się o ceny i warunki użytkowania na jednym z podziemnych forów. W rezultacie Bill/Dton nie otrzymał tego, czego chciał i zgłosił drugą stronę sporu do Interpolu. W świecie cyberprzestępców wszystkie chwyty jak widać są dozwolone, o czym świadczy fakt, że pomimo wszystko Bill/Dton kontynuował swoją działalność.

 

Droga przebyta przez Dtona pokazuje, że nawet stosunkowo niewykwalifikowana, niezdyscyplinowana osoba może sporo zarobić na oszustwach i złośliwej działalności online. Wynika to z faktu, że cyberprzestępczość, podobnie jak inne przestępstwa opiera się na statystyce. Nie jest ważne, że 499 odbiorców nie otworzy maila naszpikowanego złośliwym oprogramowaniem, wystarczy, że zrobi to osoba 500. A gdy możesz wysłać tysiące wiadomości naraz, wystarczy, że zainfekujesz kilka urządzeń, żeby osiągnąć zysk.

 

Aby ochronić się przed tysiącami Dtonów/Billów na świecie, wystarczy, że będziesz przestrzegał następujących zasad:

 

  1. Podczas zakupów online upewnij się, że zamawiasz towary ze sprawdzonego źródła. Nie klikaj na linki promocyjne umieszczane w mailach, zamiast tego wyszukaj w Google stronę sklepu i wejdź na nią bezpośrednio, aby uniknąć wycieku Twoich danych.
  2. Wystrzegaj się ofert specjalnych”. 80-procentowa zniżka na nowego iPhona czy unikalne lekarstwo na koronawirusa za 150 dolarów” to zwykle niezbyt wiarygodna oferta.
  3. Uważaj na domeny o nazwach zbliżonych do autentycznych, literówek w mailach i na stronach www oraz na nieznanych nadawców e-mail.
  4. Chroń swoją firmę za pomocą kompleksowej architektury end-to-end, aby zapobiec atakom typu zero-day.

 

Po odkryciu prawdziwej tożsamości Dtona/Billa, firma Check Point poinformowała organy ścigania w Nigerii oraz udostępniła cały zebrany materiał dowodowy. Szczegóły dotyczące ataków Dtona można znaleźć na blogu Check Point Research.

 

Reklamy