Введение
К бразильскому преступному миру принадлежат несколько самых активных и изобретательных киберпреступников. Их кибератаки, как и атаки их собратьев из Китая и России, имеют ярко выраженный местный колорит. Чтобы их понять, нужно пожить в этой стране, изучить ее язык и культуру.
Бразильское подполье создает довольно много киберугроз – в основном это банковские троянцы и фишинговые кампании. Эти атаки могут быть довольно изобретательными и проводиться с учетом местных реалий. В 2014 г. Бразилию
Страны, наиболее пострадавшие от банковских троянцев в 2014 г.
Картина фишинговых атак мало чем отличается, здесь Бразилия также
Страны, больше всего подвергавшиеся фишинговым атакам в 2014 г.
Для совершения серии геораспределенных атак бразильские киберпреступники используют в своих вредоносных программах методы,
Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей. Мы заглянем на черный рынок краденых банковских карт и персональных данных, рассмотрим новые методы, используемые во вредоносном ПО, и узнаем, как бразильские киберпреступники взаимодействуют со своими собратьями из других стран.
Для многих людей Бразилия – это страна, известная своей культурой; страна пляжей, самбы и карнавалов. Но специалистам по безопасности она также известна как
Сумасшедшая жизнь, как у Бонни и Клайда
Первое, что бросается в глаза: бразильские киберпреступники любят бравировать тем, сколько денег они украли и какую красивую жизнь в результате ведут. Они сравнивают себя с Робин Гудом: ведь они обкрадывают «богатых» (каковыми в их глазах являются банки, финансовые системы и правительство) в пользу «бедных» (то есть самих себя). Это широко распространенное убеждение: они считают, что воруют не у людей, пользующихся услугами онлайн-банкинга, а у банков, потому что, согласно местному законодательству, финансовые учреждения обязаны возместить пострадавшему всю украденную сумму.
Господствует чувство безнаказанности, во многом потому, что до недавнего времени в бразильском законодательстве киберпреступление не было юридически определено как преступное деяние. В 2013 г. был принят
Хорошим индикатором того, насколько безнаказанными чувствуют себя киберпреступники, служит то, насколько легко можно найти в интернет их видео и фотографии или получить доступ к их профилям в социальных сетях. Часто можно видеть, как они хвастаются крадеными деньгами, наслаждаются красивой жизнью,
Бразилия известна во всем мире как место, где типы, подобные Бонни и Клайду, ведут роскошную жизнь. Сколько они крадут? Достаточно много.
Целевая аудитория киберпреступников в Бразилии достаточно велика: в стране насчитывается более 100 млн. интернет-пользователей; 141 млн. граждан имеет право использовать систему электронного голосования; более 50 млн. человек, ежедневно пользуются услугами интернет-банкинга.
В интернете можно найти видео, прославляющие преступную жизнь, и композиции, подобные песне «Rap dos Hackers» («Хакерский рэп»). В ней восхваляются киберпреступники, которые используют свои знания, чтобы украсть данные банковских счетов и пароли:
В песне говорится: «Я виртуальный террорист, я преступник; я сею ужас в Интернете, у меня нервные пальцы; берегись, я проникну в твой ПК; ты проиграл, плэйбой, теперь твои пароли стали моими».
Злоумышленники, занимающиеся скиммингом, тоже прославляют себя и хвастаются доходами в песне «Рэп клонированных банковских карт», которую можно найти на YouTube:
В этой песне есть такие слова: «Ты работаешь или воруешь, а мы клонируем карты, я – 171, профессиональный мошенник и клонер, мы крадем у богатых, как Робин Гуд, Я – Рауль…»
Недавно Федеральная полиция Бразилии арестовала
Операции C2C: От киберпреступника – киберпреступнику
Подобно другим нелегальным группировкам, бразильские киберпреступники организованы в небольшие и средние по размерам группы, каждая из которых обладает квалификацией в определенной области и продает свои услуги другим группам или действует совместно с ними. Встречаются и «независимые» киберпреступники, но обычно для достижения успеха им приходится сотрудничать друг с другом.
Чаще всего для ведения переговоров, покупки и продажи услуг бразильский киберпреступный мир использует каналы IRC-сети (Internet Relay Chat). Некоторые используют и социальные сети, такие как Твиттер или Facebook, но основной контент спрятан в каналах IRC-сети и на закрытых форумах, доступ к которым можно получить только по приглашению или при поддержке действующих членов форума. В этих IRC-чатах преступники обмениваются информацией об атаках, оказывают друг другу услуги и продают персональные данные со взломанных сайтов. Кодеры продают свои вредоносные программы, а спамеры – свои базы данных и услуги. Это настоящие операции C2C (от киберпреступника – киберпреступнику). Две самые популярные IRC-сети, используемые для проведения таких операций, – FullNetwork и SilverLords.
Однако широко распространенной проблемой в киберпреступном мире является так называемое «calote» (жульничество), или неплательщики – то есть люди, которые воруют у воров: они нелегально приобретают у киберпреступников услуги или программы, но не платят за них. Месть бывает быстрой, для этого используется один из двух способов. Во-первых, нечестного игрока могут «раскрыть»: опубликовать его подлинные личные данные с целью оповещения правоохранительных органов. Во-вторых, его имя могут добавить в большую базу данных, где хранятся сведения о хороших и плохих заемщиках. «Черный» и «белый» списки позволяют криминальному сообществу защитить себя: прежде чем вести дело с покупателем, проверяется его репутация.
Нелегальная репутационная система в сети Fullnetwork.org для защиты от неплательщиков
«Раскрытие» и другие атаки на конкурирующие преступные группировки – обычное дело в преступном мире Бразилии. Некоторые из группировок даже празднуют арест других кибермошенников. Именно так и произошло с Алехандре Перейра Барросом (Alexandre Pereira Barros), ответственным за сеть SilverLords. Он вместе с тремя другими киберпреступниками был арестован Федеральной полицией Бразилии в
Бразильские киберпреступники, арестованные в 2013 г. До тюрьмы дело не дошло.Типичная бразильская киберпреступная группировка состоит из четырех или пяти членов, хотя некоторые группы могут быть и более многочисленными. У каждого члена группы своя роль. Главный персонаж в этом сценарии – кодер. Он отвечает за разработку вредоносной программы, приобретение эксплойтов, создание системы контроля качества вредоносной программы, построение статистической системы для подсчета жертв и объединение всех этих компонентов в пакет, которым можно будет легко торговать и который смогут легко использовать другие киберпреступники. Некоторые кодеры не ограничивают себя рамками одной группы и могут работать сразу с несколькими группами. Обычно они предпочитают «не пачкать руки» крадеными деньгами, а зарабатывают продажей своих творений другим киберпреступникам. Кодер может быть руководителем группы, но такое встречается не часто. Их редко арестовывают.
В каждой группе бывает один-два спамера. Они отвечают за приобретение списков рассылки, виртуальных выделенных серверов (VPS) и разработку «engenharia» (приемов социальной инженерии, используемых в почтовых сообщениях, которые рассылаются жертвам). Их задача – распространить заражение как можно шире. Часто спамеры имеют опыт «дефейса», что позволяет им внедрять вредоносные плавающие фреймы в зараженные сайты. У спамеров нет твердого оклада: их доход зависит от количества зараженных пользователей. Именно поэтому кодировщик встраивает во вредоносную программу счетчик жертв, чтобы можно было рассчитать сумму, которую должен получить спамер.
Кроме того, в группе имеется агент по найму (рекрутер), который отвечает за наем «денежных мулов» (их еще называют «laranjas» – «апельсины»). У рекрутера очень важная задача, так как он напрямую контактирует с другими людьми и несет ответственность за внешние операции: координацию действий по переводу денежных средств или снятию денег в банкоматах, оплату счетов (обычно в лотерейной компании) и получение товаров, приобретаемых через интернет с помощью украденных банковских карт, – то есть за «correria» (налет). Обычно рекрутеры нанимают в качестве «денежных мулов» членов своей семьи, так как они могут получить до 30% от украденной суммы, распределенной по счетам «денежных мулов». Во время полицейских операций первыми, как правило, арестовывают «денежных мулов», а затем рекрутера.
Реальный руководитель группы отвечает за координацию действий остальных членов группы и за все операции, за согласование новых кейлогеров с кодером, запрос новой «engenharia» у спамеров и организацию «correria» агентами. Он также отвечает за набор новых членов группы и продажу их продуктов другим киберпреступным группировкам. Роли жестко не закреплены: некоторые члены группы могут выполнять сразу несколько функций или работать в нескольких группах, их доходы могут меняться. Некоторые киберпреступники предпочитают работать независимо и продавать свои услуги и продукты нескольким группам.
Другие киберпреступники открывают интернет-магазины, где продают свои изделия и рекламируют услуги более простым и удобным образом. В этих магазинах можно купить шифратор, хостинг, услугу написания новых троянцев и т. д. Для таких целей создавался, в частности, отключенный сейчас «BlackStore». Посмотрим, сколько же стоят такие «изделия»:
100 % не обнаружимый шифратор, 100 реалов (30,00 долларов США)
Хостинг: 17 долларов США
Идеальное место для фишинговых атак, размещения вредоносных программ и скриптов.
Услуги кодера: 170 долларов США
Мы воплотим ваши идеи. Просто расскажите нам, что вы задумали: проект или приложение, и мы напишем код для него. Мы занимаемся:
кодированием для десктопов
веб-программированием
совместимостью со всеми ОС
совместимостью со всеми браузерами
разработкой систем, свободных от ошибок,
системами лицензирования.
Тестер краденых банковских карт: 130 долларов США
Оцените последнюю версию обновленного тестера банковских карт, предназначенного для проверки статуса банковских карт (CCS) без использования контрольного числа (CVV).
Сеть DNS: 1500 долларов США
Самая передовая система. Подмена DNS позволяет вносить изменения в компьютер жертвы в режиме реального времени.
Вредоносный Java-апплет: 25 долларов США
Система чаще всего используется для заражения. С помощью Java-апплетов можно легко заразить десятки пользователей.
Вирусный Facebook: 20 долларов США
Новый вирусный Facebook с очень гибкой системой «Like» (Нравится) и «Share» (Поделиться). Быстрое распространение вредоносных ссылок; новая система «Share» позволяет быстро распространить заражение. Мы предлагаем полный пакет + доменное имя + хостинг
Распространитель спама VPS Spam: 20 долларов США
На сегодняшний день это самая эффективная система рассылки спама. VPS отправляет 30 000 сообщений за 30 минут.
Система SPAM PHP: 10 долларов США
Система Spam PHP пригодится тем, кто хочет немного инвестировать в спам. Это отличный инструмент для тех, кому нужна базовая система рассылки спама. Подходит для начинающих.
Клавиатурный шпион: 300 долларов США
Клавиатурный шпион для тех, кому важно качество украденной банковской информации. С помощью панели администратора вы сможете контролировать все заражения и сохранять информацию в своем почтовом ящике.
Банки-мишени:
Честные воры: подтверждение вашей нелегальной покупки
Профессионализация организованной киберпреступности, которую мы наблюдаем в Восточной Европе, достигла и преступного мира Бразилии. Инвестиции в технологии и маркетинг призваны увеличить прибыль преступников. На некоторых закрытых форумах киберпреступники даже начали рекламировать свои услуги, явно стремясь привлечь новичков, не привыкших разрабатывать собственный инструментарий.
Здесь написано: «Приобретая любой пакет приемов социальной инженерии, вы получаете в придачу пакет банкера, данные банковских карт и
«FUD как услуга»: услуга шифрования уже обнаруженных троянцев
Панель администратора управляет комплексной системой, с помощью которой злоумышленники могут контролировать зараженные машины, собирать данные банковских карт и обходить двухфакторную аутентификацию (2FA) любого вида: SMS-сообщения, ключи, карты с одноразовыми паролями и пр. Некоторые системы позволяют контролировать сайты и домены, используемые для распространения вредоносных программ, рассылать спам и управлять списками рассылки в рамках единого решения.
Нелегально продаваемая программа удаленного доступа для обхода двухфакторной аутентификации в бразильских банках
Продаются и DDoS-атаки. Используя мощность тысяч зараженных компьютеров, нетрудно помочь другим киберпреступникам организовать «отказ в обслуживании», используя синхронную атаку, усиленную UDP-атаку или другие виды атак. Цены показаны ниже: 300 секунд – 8,3 доллара, 450 секунд – 13 долларов, 1000 секунд – 28 долларов, 3600 секунд – 40 долларов.
DDoS-атаки напрокат: стоимость атаки зависит от ее продолжительности
Сколько стоит ваша банковская карта?
Самая ценная информация, которой обмениваются преступники, – это данные банковских карт. Банковские карты часто клонируют, используя
Что касается клонирования банковских карт, в Бразилии действуют самые изобретательные и активные киберпреступники. К счастью, в большинстве карт используется встроенная технология CHIP and PIN. Несмотря на последнюю информацию об обнаружении брешей в системе безопасности этого протокола, карты с пин-кодом остаются более защищенными и труднее поддаются клонированию, чем магнитные. Поскольку такие чипы EMV используются по всей стране, большинство операций клонирования производится в режиме онлайн: через фишинговые атаки, поддельные страницы банков, поддельные раздачи банковских карт и взломанные порталы электронной торговли, где предлагаются дорогие продукты по очень привлекательной цене. Если вы занимаетесь каким-либо видом онлайн-бизнеса, рано или поздно ваша карта будет атакована с использованием фишинговой атаки или через взломанный портал электронной торговли.
Данные банковских карт пользуются большим спросом; их можно купить на специальных сайтах или по каналам IRC-сети. В этот нелегальный бизнес вовлечены не только кардеры и киберпреступники, но и множество «обычных» преступников, занимающихся наркоторговлей и другой противозаконной деятельностью.
Цена клонированных банковских карт колеблется в зависимости от банка, страны происхождения и других факторов.
Реклама киберпреступника, который продает данные краденых банковских карт: вы сможете даже расплатиться за них своей банковской картой
Утечки данных как старт кибератак
Бразильское подполье жаждет получить доступ к персональным данным — это позволяет киберпреступникам монетизировать «кражу личности», открывая возможности для приобретения продуктов с помощью «laranjas», или «денежных мулов». Используя собранные данные, они могут опустошить ваш банковский счет, так как некоторые интернет-услуги запрашивают персональные данные для подтверждения личности клиента.
К сожалению, в стране пока нет специальных законов о защите персональных данных; политики еще только
За последнее время произошло несколько серьезных случаев утечки данных, от которых пострадали крупные веб-сайты, базы данных правительства, Федеральной налоговой службы (ФНС) и других организаций. Обычно украденные базы данных продаются нелегально. Например, базу данных DETRAN (Департамента дорожного движения), где хранятся данные о пяти миллионах граждан, можно купить всего за 50 долларов США:
Особенно опасны уязвимости государственных веб-сайтов. В 2011 г.
Фишинговое сообщение с указанием полного имени и номера CPF жертвы
Для получения всех персональных данных человека достаточно указать его номер CPF
Проблема брокеров данных
Другой проблемой, связанной с плохим управлением персональными данными, стали «брокеры данных», то есть компании, которые занимаются сбором и продажей данных другим компаниям. Те, в свою очередь, используют полученные данные для адресной рекламы и маркетинга в определенных группах, для проверки личности в целях защиты от мошенничества или же продают эту информацию отдельным лицам и организациям, чтобы те могли изучить данные конкретных людей.
Местные компании, такие как Serasa (теперь поглощена компанией Experian), часто становятся мишенью атак фишеров и авторов вредоносных программ. Учитывая, что они предлагают доступ к крупнейшей в стране базе данных с защитой от мошенничества и хранят полный профиль персональных данных каждого гражданина, то украденные учетные данные, открывающие доступ к этой базе, высоко ценятся среди мошенников.
Поэтому неудивительно, что многие мошенники перепродают результаты доступа к сервисам брокеров данных с использованием украденных учетных данных. Стоимость пакета – 30 долларов США за 15 дней или 50 долларов США за 30 дней полного доступа.
Другие преступники идут дальше и создают собственные сервисы брокеров данных. Владельцы этих сервисов продают их другим мошенникам, предлагая обширный пакет поисковых баз данных, полученных из частных источников или в результате утечек из государственных организаций. Такая масштабная деятельность создает впечатление, что в Бразилии киберпреступность настигнет каждого человека в любом случае.
Совместная база данных из государственных источников и от брокеров данных в одном нелегальном сервисе
Для рекламы своих услуг мошенники используют все возможные каналы, в том числе социальные сети, такие как Facebook. В досье, опубликованном на сайте
Реклама доступа к сервису краденых данных на Facebook
Фишинговая страница института IBAMA для кражи учетных данных
Бразильский злоумышленник на очень плохом русском предлагает купить доступ к 400 зараженным платежным терминалам
Бразильские киберпреступники уже начинают использовать инфраструктуру своих собратьев из Восточной Европы, иногда покупая или арендуя абузоустойчивый хостинг. Один из них, Жуау де Санту Кришту (вымышленный персонаж популярной бразильской песни), купил и предоставил хостинг в России 14 доменам вредоносной программы Boleto:
Неудивительно, что нам стали встречаться взломанные российские сайты, предоставляющие хостинг Boleto:
Зашифрованный пакет вредоносной программы Boleto: используется та же схема шифрования, что и у ZeuS
Сообщение от злоумышленников автору этих строк во вредоносном PAC-файле: реакция на обнаружение
Чтобы хорошо понимать киберкриминальную обстановку в Бразилии, антивирусные компании должны обращать особое внимание на реалии страны, вести сбор файлов в местном масштабе, создавать локальные ловушки и содержать штат местных аналитиков для мониторинга атак, главным образом, потому что киберпреступники Бразилии обычно ограничивают область заражения и распространения своих программ пользователями этой страны. Подобно тому, как это происходит в России и Китае, бразильские киберпреступники создали свою уникальную реальность, которую трудно понять постороннему.
К бразильскому преступному миру принадлежат несколько самых активных и изобретательных киберпреступников. Их кибератаки, как и атаки их собратьев из Китая и России, имеют ярко выраженный местный колорит. Чтобы их понять, нужно пожить в этой стране, изучить ее язык и культуру.
Бразильское подполье создает довольно много киберугроз – в основном это банковские троянцы и фишинговые кампании. Эти атаки могут быть довольно изобретательными и проводиться с учетом местных реалий. В 2014 г. Бразилию
Для просмотра ссылки необходимо нажать
Вход или Регистрация
cамой опасной страной с точки зрения финансовых атак, а бразильский банковский троянец из семейства
Для просмотра ссылки необходимо нажать
Вход или Регистрация
вторым по распространенности троянцем в мире после ZeuS.Страны, наиболее пострадавшие от банковских троянцев в 2014 г.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
первое место в мире. Неудивительно, что в списке
Для просмотра ссылки необходимо нажать
Вход или Регистрация
присутствует много бразильских брендов и компаний.Страны, больше всего подвергавшиеся фишинговым атакам в 2014 г.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Это могут быть
Для просмотра ссылки необходимо нажать
Вход или Регистрация
,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
или атаки против популярных национальных платежных систем, таких как
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей. Мы заглянем на черный рынок краденых банковских карт и персональных данных, рассмотрим новые методы, используемые во вредоносном ПО, и узнаем, как бразильские киберпреступники взаимодействуют со своими собратьями из других стран.
Для многих людей Бразилия – это страна, известная своей культурой; страна пляжей, самбы и карнавалов. Но специалистам по безопасности она также известна как
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Сумасшедшая жизнь, как у Бонни и Клайда
Первое, что бросается в глаза: бразильские киберпреступники любят бравировать тем, сколько денег они украли и какую красивую жизнь в результате ведут. Они сравнивают себя с Робин Гудом: ведь они обкрадывают «богатых» (каковыми в их глазах являются банки, финансовые системы и правительство) в пользу «бедных» (то есть самих себя). Это широко распространенное убеждение: они считают, что воруют не у людей, пользующихся услугами онлайн-банкинга, а у банков, потому что, согласно местному законодательству, финансовые учреждения обязаны возместить пострадавшему всю украденную сумму.
Господствует чувство безнаказанности, во многом потому, что до недавнего времени в бразильском законодательстве киберпреступление не было юридически определено как преступное деяние. В 2013 г. был принят
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, названный так в честь известной актрисы, из компьютера которой киберпреступники похитили фотографии, на которых она была снята обнаженной. Но этот закон оказался не очень эффективным, так как он предусматривает слишком мягкое наказание, а юридическая система слишком неповоротлива. Часто злоумышленников арестуют по три и даже четыре раза, а затем отпускают, даже не предъявив обвинения. Усугубляют ситуацию отсутствие эффективного законодательства по борьбе с киберпреступностью и высокий уровень коррупции в полиции.Хорошим индикатором того, насколько безнаказанными чувствуют себя киберпреступники, служит то, насколько легко можно найти в интернет их видео и фотографии или получить доступ к их профилям в социальных сетях. Часто можно видеть, как они хвастаются крадеными деньгами, наслаждаются красивой жизнью,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
во время карнавала и т. п.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Бразильской Федерации банков (FEBRABAN), в 2012 г. местные банки потеряли 1,4 млрд. реалов (примерно 500 млн. долларов США) в результате мошенничества, совершенного посредством интернет-банкинга, по телефону или путем клонирования банковских карт.Целевая аудитория киберпреступников в Бразилии достаточно велика: в стране насчитывается более 100 млн. интернет-пользователей; 141 млн. граждан имеет право использовать систему электронного голосования; более 50 млн. человек, ежедневно пользуются услугами интернет-банкинга.
В интернете можно найти видео, прославляющие преступную жизнь, и композиции, подобные песне «Rap dos Hackers» («Хакерский рэп»). В ней восхваляются киберпреступники, которые используют свои знания, чтобы украсть данные банковских счетов и пароли:
В песне говорится: «Я виртуальный террорист, я преступник; я сею ужас в Интернете, у меня нервные пальцы; берегись, я проникну в твой ПК; ты проиграл, плэйбой, теперь твои пароли стали моими».
Злоумышленники, занимающиеся скиммингом, тоже прославляют себя и хвастаются доходами в песне «Рэп клонированных банковских карт», которую можно найти на YouTube:
В этой песне есть такие слова: «Ты работаешь или воруешь, а мы клонируем карты, я – 171, профессиональный мошенник и клонер, мы крадем у богатых, как Робин Гуд, Я – Рауль…»
Недавно Федеральная полиция Бразилии арестовала
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, купленного на средства, украденные с помощью
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. В Бразилии быть киберпреступником выгодно. Очень выгодно.Операции C2C: От киберпреступника – киберпреступнику
Подобно другим нелегальным группировкам, бразильские киберпреступники организованы в небольшие и средние по размерам группы, каждая из которых обладает квалификацией в определенной области и продает свои услуги другим группам или действует совместно с ними. Встречаются и «независимые» киберпреступники, но обычно для достижения успеха им приходится сотрудничать друг с другом.
Чаще всего для ведения переговоров, покупки и продажи услуг бразильский киберпреступный мир использует каналы IRC-сети (Internet Relay Chat). Некоторые используют и социальные сети, такие как Твиттер или Facebook, но основной контент спрятан в каналах IRC-сети и на закрытых форумах, доступ к которым можно получить только по приглашению или при поддержке действующих членов форума. В этих IRC-чатах преступники обмениваются информацией об атаках, оказывают друг другу услуги и продают персональные данные со взломанных сайтов. Кодеры продают свои вредоносные программы, а спамеры – свои базы данных и услуги. Это настоящие операции C2C (от киберпреступника – киберпреступнику). Две самые популярные IRC-сети, используемые для проведения таких операций, – FullNetwork и SilverLords.
Однако широко распространенной проблемой в киберпреступном мире является так называемое «calote» (жульничество), или неплательщики – то есть люди, которые воруют у воров: они нелегально приобретают у киберпреступников услуги или программы, но не платят за них. Месть бывает быстрой, для этого используется один из двух способов. Во-первых, нечестного игрока могут «раскрыть»: опубликовать его подлинные личные данные с целью оповещения правоохранительных органов. Во-вторых, его имя могут добавить в большую базу данных, где хранятся сведения о хороших и плохих заемщиках. «Черный» и «белый» списки позволяют криминальному сообществу защитить себя: прежде чем вести дело с покупателем, проверяется его репутация.
Нелегальная репутационная система в сети Fullnetwork.org для защиты от неплательщиков
Для просмотра ссылки необходимо нажать
Вход или Регистрация
после мошеннических атак на финансовые системы, клонирования банковских карт, политических хакерских атак и многого другого. Их группа, владевшая в штате Гояс лотерейной компанией, ответственна за кражу 250 000 долларов. Празднуя их арест, другие киберпреступники разместили на YouTube видео – в отместку за неуплаченные долги:Бразильские киберпреступники, арестованные в 2013 г. До тюрьмы дело не дошло.
В каждой группе бывает один-два спамера. Они отвечают за приобретение списков рассылки, виртуальных выделенных серверов (VPS) и разработку «engenharia» (приемов социальной инженерии, используемых в почтовых сообщениях, которые рассылаются жертвам). Их задача – распространить заражение как можно шире. Часто спамеры имеют опыт «дефейса», что позволяет им внедрять вредоносные плавающие фреймы в зараженные сайты. У спамеров нет твердого оклада: их доход зависит от количества зараженных пользователей. Именно поэтому кодировщик встраивает во вредоносную программу счетчик жертв, чтобы можно было рассчитать сумму, которую должен получить спамер.
Кроме того, в группе имеется агент по найму (рекрутер), который отвечает за наем «денежных мулов» (их еще называют «laranjas» – «апельсины»). У рекрутера очень важная задача, так как он напрямую контактирует с другими людьми и несет ответственность за внешние операции: координацию действий по переводу денежных средств или снятию денег в банкоматах, оплату счетов (обычно в лотерейной компании) и получение товаров, приобретаемых через интернет с помощью украденных банковских карт, – то есть за «correria» (налет). Обычно рекрутеры нанимают в качестве «денежных мулов» членов своей семьи, так как они могут получить до 30% от украденной суммы, распределенной по счетам «денежных мулов». Во время полицейских операций первыми, как правило, арестовывают «денежных мулов», а затем рекрутера.
Реальный руководитель группы отвечает за координацию действий остальных членов группы и за все операции, за согласование новых кейлогеров с кодером, запрос новой «engenharia» у спамеров и организацию «correria» агентами. Он также отвечает за набор новых членов группы и продажу их продуктов другим киберпреступным группировкам. Роли жестко не закреплены: некоторые члены группы могут выполнять сразу несколько функций или работать в нескольких группах, их доходы могут меняться. Некоторые киберпреступники предпочитают работать независимо и продавать свои услуги и продукты нескольким группам.
Другие киберпреступники открывают интернет-магазины, где продают свои изделия и рекламируют услуги более простым и удобным образом. В этих магазинах можно купить шифратор, хостинг, услугу написания новых троянцев и т. д. Для таких целей создавался, в частности, отключенный сейчас «BlackStore». Посмотрим, сколько же стоят такие «изделия»:
100 % не обнаружимый шифратор, 100 реалов (30,00 долларов США)
- Совместим с Delphi и Visual Basic
- 100% не обнаруживается 30 антивирусами
- Совместим с более чем 98 средствами удаленного доступа (RAT)
- Совместим с более чем 73 ботнетами
- 30 дней дней оказания услуг шифратора
Хостинг: 17 долларов США
Идеальное место для фишинговых атак, размещения вредоносных программ и скриптов.
- Быстрый хостинг
- MySQL без ограничений
- Предоставляется доменное имя
- Адреса электронной почты
- Поддержка 24 часа в сутки, 7 дней в неделю
Услуги кодера: 170 долларов США
Мы воплотим ваши идеи. Просто расскажите нам, что вы задумали: проект или приложение, и мы напишем код для него. Мы занимаемся:
кодированием для десктопов
веб-программированием
совместимостью со всеми ОС
совместимостью со всеми браузерами
разработкой систем, свободных от ошибок,
системами лицензирования.
Тестер краденых банковских карт: 130 долларов США
Оцените последнюю версию обновленного тестера банковских карт, предназначенного для проверки статуса банковских карт (CCS) без использования контрольного числа (CVV).
- Тестирование карт Visa, Master, Diners, Elo
- Великолепный удобный дизайн
- Понятный исходный код без ошибок
Сеть DNS: 1500 долларов США
Самая передовая система. Подмена DNS позволяет вносить изменения в компьютер жертвы в режиме реального времени.
- При доступе к сайту открывается всплывающее меню
- При посещении определенного сайта открывается поддельная страница
- Контроль всей передачи данных между сервером и клиентом
- Внедрение плавающих фреймов с помощью сервиса Adsense
- Внедрение баннерной рекламы поддельных раздач банковских карт
- Полнофункциональная панель администратора
Вредоносный Java-апплет: 25 долларов США
Система чаще всего используется для заражения. С помощью Java-апплетов можно легко заразить десятки пользователей.
- Панель управления
- Статистика
- Более 10 доменов со ссылками на зараженные сайты
- 100% не обнаружимый
Вирусный Facebook: 20 долларов США
Новый вирусный Facebook с очень гибкой системой «Like» (Нравится) и «Share» (Поделиться). Быстрое распространение вредоносных ссылок; новая система «Share» позволяет быстро распространить заражение. Мы предлагаем полный пакет + доменное имя + хостинг
Распространитель спама VPS Spam: 20 долларов США
На сегодняшний день это самая эффективная система рассылки спама. VPS отправляет 30 000 сообщений за 30 минут.
- Различные конфигурации
- Опции перезагрузки, форматирования и выключения
- Включает в себя скрипты для рассылки спама
Система SPAM PHP: 10 долларов США
Система Spam PHP пригодится тем, кто хочет немного инвестировать в спам. Это отличный инструмент для тех, кому нужна базовая система рассылки спама. Подходит для начинающих.
- 20 000 спам-сообщений в час
- 30-дневная гарантия
- Доставка 80 % сообщений
Клавиатурный шпион: 300 долларов США
Клавиатурный шпион для тех, кому важно качество украденной банковской информации. С помощью панели администратора вы сможете контролировать все заражения и сохранять информацию в своем почтовом ящике.
Банки-мишени:
- HSBC
- Itau
- Caixa
Честные воры: подтверждение вашей нелегальной покупки
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. 1 миллион бесплатных спам-сообщений от Интеллектуальных решений Бруно Диаша». Среди других часто рекламируемых услуг – веб-сайты, предлагающие «вредоносное ПО как услугу», шифраторы, полностью не обнаруживаемые вредоносные программы (FUD) и комплексная система управления информацией об украденных банковских счетах:«FUD как услуга»: услуга шифрования уже обнаруженных троянцев
Нелегально продаваемая программа удаленного доступа для обхода двухфакторной аутентификации в бразильских банках
DDoS-атаки напрокат: стоимость атаки зависит от ее продолжительности
Самая ценная информация, которой обмениваются преступники, – это данные банковских карт. Банковские карты часто клонируют, используя
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(скиммеры) в банкоматах и платежных терминалах, фишинговые страницы, клавиатурных шпионов, внедренных в компьютеры жертв, и другие способы.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Всемирного банка, в Бразилии очень много банкоматов. Есть 160 000 мест, где мошенники могут установить скиммеры, и они это делают постоянно. Даже в дневное время можно видеть, как они слоняются поблизости, расслабленные, в шлепанцах и пляжной одежде и устанавливают скиммеры в переполненном посетителями отделении банка.
Что касается клонирования банковских карт, в Бразилии действуют самые изобретательные и активные киберпреступники. К счастью, в большинстве карт используется встроенная технология CHIP and PIN. Несмотря на последнюю информацию об обнаружении брешей в системе безопасности этого протокола, карты с пин-кодом остаются более защищенными и труднее поддаются клонированию, чем магнитные. Поскольку такие чипы EMV используются по всей стране, большинство операций клонирования производится в режиме онлайн: через фишинговые атаки, поддельные страницы банков, поддельные раздачи банковских карт и взломанные порталы электронной торговли, где предлагаются дорогие продукты по очень привлекательной цене. Если вы занимаетесь каким-либо видом онлайн-бизнеса, рано или поздно ваша карта будет атакована с использованием фишинговой атаки или через взломанный портал электронной торговли.
Данные банковских карт пользуются большим спросом; их можно купить на специальных сайтах или по каналам IRC-сети. В этот нелегальный бизнес вовлечены не только кардеры и киберпреступники, но и множество «обычных» преступников, занимающихся наркоторговлей и другой противозаконной деятельностью.
Цена клонированных банковских карт колеблется в зависимости от банка, страны происхождения и других факторов.
- Карты Infinity: карты таких флагманов, как American Express, и международные карты продаются по 42 доллара за штуку
- Карты Platinum: карты многонациональных банков, по 40 долларов за штуку
- Карты Black: по 30 долларов за штуку
- Карты Gold/ Premier: по 25 долларов за штуку
- Карты Classic: карты национальных банков, по 22 доллара за штуку
Реклама киберпреступника, который продает данные краденых банковских карт: вы сможете даже расплатиться за них своей банковской картой
Бразильское подполье жаждет получить доступ к персональным данным — это позволяет киберпреступникам монетизировать «кражу личности», открывая возможности для приобретения продуктов с помощью «laranjas», или «денежных мулов». Используя собранные данные, они могут опустошить ваш банковский счет, так как некоторые интернет-услуги запрашивают персональные данные для подтверждения личности клиента.
К сожалению, в стране пока нет специальных законов о защите персональных данных; политики еще только
Для просмотра ссылки необходимо нажать
Вход или Регистрация
различные варианты. В результате широко распространены взлом и кража данных в государственных организациях и частных компаниях. В настоящее время пострадавшие компании по закону не обязаны даже связываться с клиентами, пострадавшими от взлома, и информировать их о случившемся.За последнее время произошло несколько серьезных случаев утечки данных, от которых пострадали крупные веб-сайты, базы данных правительства, Федеральной налоговой службы (ФНС) и других организаций. Обычно украденные базы данных продаются нелегально. Например, базу данных DETRAN (Департамента дорожного движения), где хранятся данные о пяти миллионах граждан, можно купить всего за 50 долларов США:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
на сайте Министерства труда сделали доступной всю базу данных, в которой хранились данные за шесть месяцев обо всех гражданах страны. Брешь в системе безопасности сайта открыла доступ к конфиденциальным данным. Для получения дополнительной информации о человеке требовался только номер CPF (бразильский аналог ИНН).
Для человека, живущего Бразилии, CPF – один из основных документов. Этот номер уникален и требуется при выполнении целого ряда операций: открытия банковских счетов, получения или обновления водительского удостоверения, приобретения и продажи недвижимости, получения ссуды, устройства на работу (особенно в государственный сектор), получения паспорта и банковских карт. Утечка данных позволяет киберпреступнику выдать себя за жертву и выкрасть его персональные данные, например, чтобы взять ссуду в банке.
Не обходится и без фишеров, подобную информацию можно получить только через утечку данных. Неудивительно, что в бразильских СМИ часто рассказывают о киберпреступниках, которые продают компакт-диски с множеством конфиденциальных данных из системы Федеральной налоговой службы Бразилии, включая номера CPF. Вы можете встретить преступников, которые всего за 100 долларов продают компакт-диски с множеством баз данных, украденных из разных источников. Используя такие утечки данных, бразильские фишеры проводят свои атаки. В поддельных сообщениях они указывают полное имя и номер CPF своей жертвы, чтобы таким образом придать сообщению видимость легитимности. Атаки, подобные показанной ниже, проводятся регулярно, начиная с 2011 г.
Не обходится и без фишеров, подобную информацию можно получить только через утечку данных. Неудивительно, что в бразильских СМИ часто рассказывают о киберпреступниках, которые продают компакт-диски с множеством конфиденциальных данных из системы Федеральной налоговой службы Бразилии, включая номера CPF. Вы можете встретить преступников, которые всего за 100 долларов продают компакт-диски с множеством баз данных, украденных из разных источников. Используя такие утечки данных, бразильские фишеры проводят свои атаки. В поддельных сообщениях они указывают полное имя и номер CPF своей жертвы, чтобы таким образом придать сообщению видимость легитимности. Атаки, подобные показанной ниже, проводятся регулярно, начиная с 2011 г.
Фишинговое сообщение с указанием полного имени и номера CPF жертвы
Обилие персональных данных, украденных из различных источников, позволяет бразильским киберпреступникам предоставлять интернет-услуги поиска в базе данных, содержащей персональные данные миллионов граждан. Несмотря на все попытки властей закрыть такие сайты, ежемесячно возникают новые сервисы.
Для получения всех персональных данных человека достаточно указать его номер CPF
Другой проблемой, связанной с плохим управлением персональными данными, стали «брокеры данных», то есть компании, которые занимаются сбором и продажей данных другим компаниям. Те, в свою очередь, используют полученные данные для адресной рекламы и маркетинга в определенных группах, для проверки личности в целях защиты от мошенничества или же продают эту информацию отдельным лицам и организациям, чтобы те могли изучить данные конкретных людей.
Местные компании, такие как Serasa (теперь поглощена компанией Experian), часто становятся мишенью атак фишеров и авторов вредоносных программ. Учитывая, что они предлагают доступ к крупнейшей в стране базе данных с защитой от мошенничества и хранят полный профиль персональных данных каждого гражданина, то украденные учетные данные, открывающие доступ к этой базе, высоко ценятся среди мошенников.
Поэтому неудивительно, что многие мошенники перепродают результаты доступа к сервисам брокеров данных с использованием украденных учетных данных. Стоимость пакета – 30 долларов США за 15 дней или 50 долларов США за 30 дней полного доступа.
Совместная база данных из государственных источников и от брокеров данных в одном нелегальном сервисе
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, представлены свидетельства того, что в эту схему вовлечены и государственные служащие, торгующие базами данных и учетными данными.Реклама доступа к сервису краденых данных на Facebook
Как фишинговая атака разрешила вырубку леса в Амазонии
Можете ли вы представить себе фишинговую атаку, которая позволила бы провести вырубку деревьев в самом большом тропическом лесу в мире? Именно это случилось с
В результате нескольких атак на сотрудников IBAMA (вероятно, с помощью фишинговой рассылки, похожей на показанную ниже) бразильские киберпреступники смогли выкрасть учетные данные и взломать онлайн-систему института. После этого они
Можете ли вы представить себе фишинговую атаку, которая позволила бы провести вырубку деревьев в самом большом тропическом лесу в мире? Именно это случилось с
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, Бразильским институтом окружающей среды и возобновляемых природных ресурсов. Институт IBAMA отвечает за ограничение вырубки лиственных деревьев в регионе Амазония и разрешает производить вырубку только уполномоченным компаниям.В результате нескольких атак на сотрудников IBAMA (вероятно, с помощью фишинговой рассылки, похожей на показанную ниже) бразильские киберпреступники смогли выкрасть учетные данные и взломать онлайн-систему института. После этого они
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, временно отстраненные от работ за экологические преступления, и позволили им возобновить лесодобычу.Всего за 10 дней эти компании добыли древесины на 11 миллионов долларов. Этой нелегально добытой древесины хватило, чтобы нагрузить 1400 грузовиков.
Фишинговая страница института IBAMA для кражи учетных данных
Подпольное сотрудничество с Восточной Европой
У нас достаточно доказательств сотрудничества бразильских киберпреступников с группировками из Восточной Европы, ответственными за создание ZeuS, SpyEye и других банковских троянцев в этом регионе. Это сотрудничество напрямую влияет на качество и уровень опасности бразильского вредоносного ПО, так как его авторы начинают использовать в своих программах новые приемы.
Бразильских киберпреступников можно встретить на
У нас достаточно доказательств сотрудничества бразильских киберпреступников с группировками из Восточной Европы, ответственными за создание ZeuS, SpyEye и других банковских троянцев в этом регионе. Это сотрудничество напрямую влияет на качество и уровень опасности бразильского вредоносного ПО, так как его авторы начинают использовать в своих программах новые приемы.
Бразильских киберпреступников можно встретить на
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, где они ищут вредоносные образцы, покупают новых зловредов, вредоносное ПО для банкоматов и платежных терминалов, ведут переговоры и предлагают свои сервисы. Первым результатом такого сотрудничества стало появление новых атак, подобных той, от которой пострадала платежная система Boletos в Бразилии.Бразильский злоумышленник на очень плохом русском предлагает купить доступ к 400 зараженным платежным терминалам
Это доказывает, что бразильские киберпреступники осваивают новые приемы в результате сотрудничества со своими европейскими собратьями. По нашему мнению, это лишь верхушка айсберга, и такой обмен опытом будет расширяться по мере того, как бразильские киберпреступники будут изобретать и искать новые способы атак на компании и рядовых пользователей.
Прогресс в разработке бразильского вредоносного ПО
Контакты с киберпреступниками из Восточной Европы влияют на качество бразильского вредоносного ПО. Так, например, мы обнаружили во вредоносной программе Boleto ту же схему шифрования, что и в пакетах троянца ZeuS Gameover.
Прогресс в разработке бразильского вредоносного ПО
Контакты с киберпреступниками из Восточной Европы влияют на качество бразильского вредоносного ПО. Так, например, мы обнаружили во вредоносной программе Boleto ту же схему шифрования, что и в пакетах троянца ZeuS Gameover.
Зашифрованный пакет вредоносной программы Boleto: используется та же схема шифрования, что и у ZeuS
Мы также впервые столкнулись с бразильскими вредоносными программами, использующими алгоритм генерации доменных имен (DGA). Одна из таких программ, Trojan-Downloader.Win32.Crishi, распространяет сообщения, подобные следующему:
Другим свидетельством прогресса в разработке бразильского вредоносного ПО в результате сотрудничества с киберпреступниками из Восточной Европы стало использование в атаках Boleto
Заключение
Бразилия является одним из самых динамичных и перспективных рынков в мире благодаря ведущей роли в Латинской Америке и своей специфике. Постоянный мониторинг вредоносной деятельности бразильских киберпреступников позволит компаниям, занимающимся вопросами IT-безопасности, обнаружить новые атаки с использованием финансового вредоносного ПО. В некоторых случаях эти атаки бывают очень оригинальными (как, например, использование
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Заключение
Бразилия является одним из самых динамичных и перспективных рынков в мире благодаря ведущей роли в Латинской Америке и своей специфике. Постоянный мониторинг вредоносной деятельности бразильских киберпреступников позволит компаниям, занимающимся вопросами IT-безопасности, обнаружить новые атаки с использованием финансового вредоносного ПО. В некоторых случаях эти атаки бывают очень оригинальными (как, например, использование
Для просмотра ссылки необходимо нажать
Вход или Регистрация
).
Сообщение от злоумышленников автору этих строк во вредоносном PAC-файле: реакция на обнаружение
Для просмотра ссылки необходимо нажать
Вход или Регистрация