На страже кошелька: как работает киберразведка

Это чем-то напоминает центр управления полетом или пункт наблюдения за космическим пространством. Ряды столов с компьютерами, за ними — в основном молодые ребята, хотя есть и девушки. Многие юноши носят кипы — религиозность в Израиле не считается признаком «непродвинутости». А космос здесь ни при чем — тут наблюдают совсем за другим пространством. Мы находимся в израильском Командном центре по борьбе с кибермошенничеством (AFCC), работающем в структуре EMC RSA. Вот на большом экране на стене сводная таблица предлагаемых к продаже номеров кредитных карт. Специальное ПО разыскивает эти предложения в Сети и собирает воедино. Нам объясняют: здесь предлагают просто номер карточки — его цена $5, а вот номер вместе с данными с магнитной полосы плюс год рождения и номер социального страхования владельца. Поскольку эти данные часто используются для верификации личности держателя карты, вероятность успешного мошенничества возрастает. Но и цена выше — $25. На другом большом экране — карта мира. На ней то тут, то там прыгают красные кружочки. Карта показывает, из каких точек мира осуществляются попытки фишинга в отношении клиентов компании. Фишинг — это использование программных средств, имитирующих интерфейс сайтов банков или других подобных организаций, для кражи номеров счетов, паролей и прочей чувствительной информации. Клиенты RSA — это банки и другие организации, которые заинтересованы в своевременном пресечении попыток финансового кибермошенничества в отношении их самих и тех, кого они обслуживают. Также на дисплеи выводится разного рода аналитика. Мониторинг в Командном центре идет круглосуточно — обо всех обнаруженных в Сети попытках мошенничества RSA тут же оповещает своих клиентов.

Но если в Командном центре мониторинг идет в пассивном режиме, то сотрудники киберразведки RSA ведут активные поиски. Они пытаются внедриться в открытые и закрытые сетевые сообщества и выявить угрозы для клиентов компании.

«Наша работа проводится и до, и после того, как финансовые данные украдены, — говорит Орен Карми, глава отдела киберразведки. — Мы отслеживаем все, что происходит в сетевом подполье — европейском, американском, латиноамериканском, российском. В основном мы сосредотачиваемся на IRC-чатах, форумах и так называемых магазинах кредитных карт».

С IRC-чатом все просто. Сюда каждый может войти в любое время, в любое время выйти и вновь зайти под другим ником. Мошенники очень любят этот вид общения, так как там не требуется «светить» свои персональные данные. «Нам это тоже удобно, — объясняет Орен, — так как и нам легко оставаться неузнанными. На IRC-чатах все построено по принципу открытого рынка. Мошенники размещают свои объявления. Они стараются выделиться, пишут с капслоком, разными цветами. Здесь торгуют не только номерами карточек и данными для входа в банковские аккаунты, но также и всякими вспомогательными вещами: адресами прокси-серверов, фальшивыми ID для входа на те или иные сервисы, сканами документов».

В чатах сотрудники отдела киберразведки EMC RSA действуют следующим образом: они вступают в контакт с мошенником, стараются перевести разговор в приватный режим и затем выясняют, что конкретно предлагает преступник. Задача специалиста RSA заключается в том, чтобы продемонстрировать мошеннику интерес к его предложению, начать обсуждать условия сделки и в конечном итоге выудить максимальное количество нужной информации.

Для успешного компьютерного мошенничества, по словам Орена, надо так много всего знать и понимать, что, как правило, одному человеку это не под силу. Как и в других сферах организованной преступности, специалисты в разных областях ищут друг друга и объединяются. Одни знают, как взламывать пароли, чтобы получить доступ к счетам, другие умеют заражать удаленные компьютеры вредоносным ПО, которое ворует данные, третьи «вынимают» наличные. Таким образом, если мошенник располагает данными кредитной карточки, но ищет человека, который мог бы снять с нее деньги, сотрудник RSA может предложить ему такой вариант. После договоренности о сделке преступник пересылает своему новому «партнеру» украденные данные, а тот, естественно, сразу оповещает банк: такой-то счет может стать объектом кибератаки.

Интересуемся у руководителя киберразведки, а нельзя ли схватить за руку мошенника в процессе получения денег за незаконные действия в Сети. «Это сложно, — отвечает Орен. — Для взаимных расчетов мошенники используют специальные кошельки, активно применяют биткойны и прочие криптовалюты. Например, причитающиеся мне деньги могут прийти на биткойн-кошелек, на котором уже есть большая сумма, затем оттуда они будут отправлены мелкими порциями на несколько других кошельков и только потом уже мне. Отследить такие транзакции практически невозможно. Эта услуга тоже стоит денег, но киберпреступления обычно совершаются в кооперации, которая построена на взаимном доверии участников».

Еще одна разновидность кибермошенничества — «кардинг», то есть покупка товаров с помощью украденных карточек. Это альтернатива прямому снятию денег с чужих счетов (дело довольно сложное), но и в кардинге требуется кооперация. Ведь никто же не станет заказывать покупку в интернет-магазине на свой личный адрес, если расплачиваться придется с помощью украденных данных с чужой карточки. Для получения товара существуют специальные провайдеры подставных адресов — почтовых ящиков, открытых на поддельные документы. Тот, кто владеет адресом, пересылает затем пакет мошеннику (за определенную плату) или продает украденное и высылает долю. Возможен и другой вариант — например, в интернет-магазине покупаются два планшета. Один идет хозяину почтового ящика, другой отсылается покупателю. В результате подобных махинаций могут пострадать интересы владельцев карточек, выпущенных банком, безопасность которого обеспечивает RSA, а значит, и «кардинг» всходит в сферу интересов киберразведчиков.

«Если с IRC-чатами все просто, — объясняет Орен, — то с форумами кибермошенников работать гораздо сложнее. Уже по уровню защиты форума можно понять, что именно там можно найти. Есть форумы со свободной регистрацией, но есть и такие, куда невозможно попасть без рекомендации участников или даже без вступительного взноса, который может составлять несколько сотен долларов. Зато, в отличие от чата, там легче следить за определенными участниками. Там даже существует система "репутаций" — прежде чем иметь дело с конкретным продавцом ворованных данных, можно посмотреть, насколько он надежен как партнер».

Перед кибермошенниками всегда стоит дилемма: станешь работать в открытой сети — вычислят, закопаешься вглубь — будет мало клиентов. Как рассказали нам в RSA, российские кибермошенники, отличающиеся высокой организованностью и технологической компетентностью, любят работать на открытых ресурсах — очевидно, стараясь максимизировать число клиентов. Их коллеги из других частей мира зачастую предпочитают обитать в «темном интернете», так называемой сети TOR. В TOR, где поток данных между клиентом и сервером проходит в зашифрованном виде через каскад прокси-серверов и гарантирует анонимность, довольно сложно найти нужную информацию. И хотя там тоже есть что-то вроде поисковых систем, они работают не так, как Google или Yahoo. Иными словами, люди, заходящие в TOR, обычно знают, куда они идут.

«В сети TOR можно встретить много разнообразных криминальных проявлений: там торгуют наркотиками, оружием, детской порнографией, — говорит Орен. — И хотя у нас есть связи с полицейскими ведомствами и спецслужбами разных стран, надо понимать, что сами мы не являемся правоохранительной структурой. Наш интерес — выявить случаи финансового мошенничества в отношении клиентов нашей компании и сделать все возможное для того, чтобы они избежали потерь от рук киберпреступников».

Как можно понять, работа сотрудников киберразведки — это не только и не столько проникновение на всевозможные криминальные ресурсы, сколько работа с людьми. Действия кибермошенников, такие как, например, фишинг или фальшивые звонки из банков, называют социальной инженерией. Преступники не только применяют технические уловки, но и пользуются разного рода психологическими приемами, заставляющими жертву расстаться с важной информацией. Работа киберразведки — это социальная инженерия наоборот. Сотрудники отдела на английском, русском, испанском, португальском языках вступают в общение с кибермошенниками, и их задача не только не выдать себя, но и перехитрить того, кто уже сам успел перехитрить многих.

Сеть TOR (The Onion Router, «Луковый маршрутизатор») представляет собой систему прокси-серверов, маскирующих адрес пользователя и обеспечивающих его анонимность. Когда владелец компьютера с установленным TOR-клиентом посылает запрос на удаленный сервер, данные проходят в зашифрованном виде через каскад прокси, причем удаленный сервер видит адрес только последнего из них, так называемого exit? node. Сеть TOR используется как криминалом, так и разнообразными группами киберактивистов (хактивистов) типа «Анонимуса».

Помимо проблем компьютерной безопасности, в фокусе внимания компании EMC находится тема хранения данных. Как известно, большинство дата-центров в мире используют в качестве накопителей старые добрые жесткие диски. Что касается твердотельных носителей, или флеш-памяти, то мы привыкли видеть их в портативных электронных устройствах или в виде карманных «флешек». Тем не менее сейчас в больших хранилищах данных постепенно внедряются серверы, построенные на основе твердотельной памяти. На сегодня рынок такого оборудования имеет емкость около $1 млрд, при этом он переживает экспоненциальный рост. У каждого вида запоминающих устройств есть свои плюсы и минусы: в частности, хард-диск — электромеханическое устройство, и для считывания нужной информации необходимо навести головку на соответствующий сектор. Это занимает время. Флеш-память позволяет получать доступ к любому фрагменту данных практически мгновенно. Однако, превосходя жесткие диски в производительности, флеш-память пока стоит в несколько раз дороже.

Компания EMC выступает в качестве разработчика программных и аппаратных решений, которые делают серверы на основе флеш-памяти более эффективными, а значит, более привлекательными с точки зрения бизнеса. XtremeIO — одно из таких решений. Его составными частями являются программный продукт и «хард» — собранные в блоки («кирпичики») запоминающие устройства на основе твердотельной памяти. С помощью XtremeIO можно легко нарастить емкость дата-центра, разместив в «кирпичиках» hot data — например, базу данных, требующую высокой скорости обработки, и оставив cold data (информацию, не находящуюся в постоянной обработке) серверам на основе хард-дисков. Другой продукт EMC — ScaleIO — не включает в себя аппаратной части. Это чисто программное решение, позволяющее объединять вычислительные ресурсы и ресурсы хранения данных в высокоэффективную одноуровневую систему хранения данных. Ее главное достоинство — легкое масштабирование. С помощью ScaleIO можно объединить тысячи устройств, как хранящих данные, так и выполняющих приложения, в мощную сеть хранения данных (SAN).