Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Czy wiesz, ile jesteś wart?

David Jacoby
Kaspersky Lab Expert
Dodany 27 grudnia 2018, 12:58 CET
Tagi:

Czy zastanawialiście się kiedykolwiek, ile jest warte wasze życie? Tak na poważnie? Załóżmy, że chcecie sprzedać wszystko, co posiadacie – swój dom, samochód, pracę, życie prywatne, zdjęcia i prywatne filmy z dzieciństwa, konta na różnych portalach społecznościowych, dokumentację medyczną itd. – na ile wycenilibyście to wszystko?    

Ja zastanawiałem się nad tym i już sama myśl, że ktoś mógłby, powiedzmy, przeczytać wszystkie moje osobiste wiadomości, które napisałem na Facebooku do znajomych, rodziny czy ukochanej, uzmysłowiła mi, że te rzeczy są bezcenne. Równie niepokojąca wydaje się perspektywa, że ktoś mógłby uzyskać dostęp do mojej poczty e-mail i zresetować hasła do każdego konta, do którego zarejestrowałem się przy użyciu danego adresu.  

W prawdziwym, niecyfrowym świecie mamy ogromny wybór polis ubezpieczeniowych, które pozwalają nam odzyskać nasze mienie w przypadku, gdy zostanie skradzione lub uszkodzone. Jeżeli ktoś ukradnie mój samochód lub potrzaskam telewizor, a wcześniej objąłem te przedmioty ochroną ubezpieczeniową, mogę wymienić je na nowe. Niestety w świecie cyfrowym nie mamy takiej opcji, a przecież na nasze życie cyfrowe składają się także bardzo osobiste i sentymentalne informacje. Zasadnicza różnica polega na tym, że życia cyfrowego nie da się nigdy wymazać – to, co powiedzieliśmy lub napisaliśmy, zdjęcia, które wysłaliśmy, czy zamówienia, które złożyliśmy, na zawsze pozostaną w rękach dostawców usług. 

Postanowiłem zbadać czarny rynek i sprawdzić, jakie rodzaje informacji są na nim sprzedawane. Powszechnie wiadomo, że do nabycia są tam narkotyki, broń i skradzione przedmioty, ale oprócz tego można również kupić tożsamość online. Jak myślicie, ile warta jest wasza tożsamość online?

Zhakowane konta

Badając temat zhakowanych kont, pojawia się problem zestawienia odpowiednich danych - tak ogromna jest liczba oferujących tego typu rzeczy na czarnym rynku. Trudno również zweryfikować unikatowość danych wystawionych na sprzedaż. Ale jedna rzecz jest pewna – to najpopularniejszy rodzaj danych, jakimi handluje się na czarnym rynku. Mówiąc o danych z popularnych serwisów, mam na myśli skradzione konta na portalach społecznościowych, dane dotyczące bankowości, zdalny dostęp do serwerów czy komputerów, a nawet dane z popularnych serwisów, takich jak Uber, Netflix, Spotify oraz niezliczonych stron poświęconych grom (Steam, PlayStation Network itd.), aplikacji randkowych i stron pornograficznych.

Najpopularniejszy sposób kradzieży takich danych to kampanie phishingowe lub wykorzystywanie luki w zabezpieczeniach związanej z siecią Web, takiej jak luka umożliwiająca wstrzyknięcie kodu SQL. Zrzuty haseł zawierają kombinację adres e-mail plus hasło do zhakowanych serwisów, ale powszechnie wiadomo, że większość ludzi stosuje te same hasła do wielu zasobów. Dlatego, nawet jeżeli włamano się do jednej strony internetowej, osoby atakujące mogą uzyskać dostęp do kont na innych platformach, wykorzystując tę samą kombinację adres e-mail plus hasło.      

Tego rodzaju ataki, choć nie odznaczają się szczególnym wyrafinowaniem, są skuteczne. To również pokazuje, że cyberprzestępcy zarabiają pieniądze na hakerach i haktywistach; osoby sprzedające takie konta prawdopodobnie nie są tymi, którzy przeprowadzili atak hakerski i rozprzestrzenili zrzut hasła.

Cena zhakowanych kont jest bardzo niska – w większości przypadków, sprzedaje się je za około 1 dolara za konto, a przy zakupie hurtowym są nawet tańsze.

181101-hey-there-how-much-are-you-worth-

181101-hey-there-how-much-are-you-worth-


Co więcej, niektórzy sprzedawcy udzielają dożywotniej gwarancji. Tym samym, jeśli jedno z kont nie będzie działało, otrzymacie za darmo nowe. Przykład oferty sprzedaży kont w serwisie Netflix przedstawiono poniżej.

181101-hey-there-how-much-are-you-worth-

181101-hey-there-how-much-are-you-worth-

181101-hey-there-how-much-are-you-worth-

181101-hey-there-how-much-are-you-worth-

Paszporty i dokumenty tożsamości

Przyglądając się „czarnemu rynkowi”, odkryłem, że przedmiotem sprzedaży jest wiele innych informacji, takich jak fałszywe paszporty, prawa jazdy czy dokumenty (skany) tożsamości. Tutaj sprawa robi się poważniejsza – większość dokumentów tożsamości nie została ukradziona, ale wykorzystana, może przysporzyć wielu kłopotów w świecie niecyfrowym.  

Ktoś mógłby posłużyć się waszą tożsamością – za pomocą fałszywego dowodu tożsamości - żeby np. uzyskać abonament telefoniczny, otworzyć konta bankowe itd.

Na zrzucie ekranu poniżej ktoś chce sprzedać zarejestrowany szwedzki paszport, którego cena wynosi 4000 dolarów. Ten sam sprzedawca oferował paszporty z niemal wszystkich państw europejskich.    

181101-hey-there-how-much-are-you-worth-

Zestaw narzędzi scammerów

Większość „przedmiotów” sprzedawanych na czarnym rynku nie stanowi dla mnie żadnej nowości; o wszystkim tym mówi się w branży już od bardzo dawno. Uderzyć może natomiast fakt, że handluje się również skradzionymi lub fałszywymi fakturami oraz innymi dokumentami/skanami, jak rachunki za media.

Okazuje się, że przedmiotem kradzieży jest poczta e-mail, z której gromadzi się np. faktury, a następnie wykorzystuje do oszustw. Takie faktury są segregowane według branży i państwa. Następnie sprzedaje się skany w ramach zestawu narzędzi scammerów.   

Oszust może wykorzystać takie skany w celu złapania ofiar w określonych krajach, a nawet zawęzić swoje ataki do określonej płci, wieku czy branży.

Zajmując się tym badaniem, pomyślałem o badaniu mojego kolegi (Inbara Raza), które dotyczyło botów związanych z Tinderem. Dzięki własnemu badaniu udało mi się znaleźć związek pomiędzy skradzionymi kontami a takimi botami. Otóż, boty te są wykorzystywane do zarabiania jeszcze większych pieniędzy na skradzionych kontach. A zatem, konta nie tylko są sprzedawane na czarnym rynku – są również wykorzystywane w innych działaniach cyberprzestępczych.

Ciekawostką w przypadku fałszywych profili na Tinderze jest to, że posiadają one pewne cechy wspólne, które ułatwiają ich identyfikację:

  • Wiele dopasowań
  • Większość kobiet wygląda jak super modelki
  • Brak informacji dot. stanowiska pracy czy wykształcenia
  • Skradzione zdjęcia z Instagramu z informacjami skradzionymi z kont na Facebooku.
  • Stworzone według szablonu wiadomości czatu

Większość botów, jakie badałem, ma związek z przekierowywaniem ruchu, spamem itd. Jak dotąd, nie trafiłem na żadne szkodliwe oprogramowanie – większość botów próbuje wplątać ofiarę w inne przestępstwo lub ukraść jej dane. Przykładowo może wyglądać to tak. 

Najpierw zostajesz skojarzony z botem. Bot nie zawsze kontaktuje się z tobą bezpośrednio, zamiast tego czeka, aż wejdziesz z nim w interakcję, aby odpowiedzieć. W niektórych przypadkach, przedstawia się zgodnie z ustalonym scenariuszem, pisząc, że chce ci pokazać nagie zdjęcia lub coś w tym stylu, a następnie umieszcza link.

181101-hey-there-how-much-are-you-worth-

Klikając link, przechodzisz przez kilka stron internetowych, które przekierowują cię w łańcuchu. Ten łańcuch realizuje wiele rzeczy, umieszczając, między innymi, ciasteczka w twojej przeglądarce, określając twoje ustawienia, takie jak lokalizacja, wersja i typ przeglądarki itd. W ten sposób, gdy znajdziesz się już na stronie docelowej, zostanie Ci zaserwowana odpowiednia podstrona. Z racji mojego szwedzkiego adresu IP zaoferowano mi naturalnie stronę w języku szwedzkim, co oznacza, że atakowane są osoby na całym świecie.

181101-hey-there-how-much-are-you-worth-

Tego typu strony zawsze zawierają wypowiedzi oraz cytaty innych użytkowników. Większość wykorzystywanych informacji, w tym zdjęcia profilowe, nazwisko i wiek, pochodzi ze skradzionych kont. Sam cytat jest naturalnie fałszywy, jednak takie podejście wygląda bardzo profesjonalnie.   

181101-hey-there-how-much-are-you-worth-

Na przedstawionej powyżej stronie proszono o adres e-mail w celu rejestracji na stronie oferującej pracę. Rzeczywista kampania nazywa się „Profit Formula Scam” i stanowi oszustwo związane z automatycznym handlem opcjami binarnymi. Media informowały o tym już wcześniej, dlatego nie będę podawał szczegółów.

Podsumowanie

Jesteśmy na ogół bardzo naiwni, jeśli chodzi o naszą tożsamość online, szczególnie w stosunku do usług, które wydają się nie mieć żadnego wpływu na naszą prywatność. Często słyszę opinie, z których wynika, że ludziom jest obojętne, czy ktoś uzyska dostęp do ich konta. Ktoś obcy będzie miał do niego wgląd, i tyle. Trzeba mieć jednak świadomość, że tak naprawdę nie wiemy, co przestępcy robią z zarobionymi pieniędzmi.     

A jeśli wydają je na narkotyki lub broń, które są następnie sprzedawane nastolatkom? A jeśli finansują platformy i serwery służące do rozpowszechniania dziecięcej pornografii? Warto pamiętać, że przestępcy współpracują z innymi przestępcami, co oznacza, że być może narkotyki kupowane są za pieniądze zarabiane na sprzedaży skradzionych kont w serwisie Netflix na czarnym rynku.   

Jedną z najbardziej niepokojących rzeczy, jakie zauważyłem, było to, jak tanio można dostać skradzione dane. Pomyślcie o informacjach, jakie ktoś mógłby zebrać na wasz temat, gdyby uzyskał dostęp do waszych kont na Facebooku – z pewnością nie chcielibyście, aby ktoś sprzedawał za dolara dostęp do kawałków waszego życia prywatnego.

Jednak ludzie korzystają nie tylko z Facebooka. Większość osób w wieku 15-35 lat jest prawdopodobnie zarejestrowanych w ponad 20 różnych serwisach, przy czym regularnie odwiedza jedynie 10 z nich. Serwisy, z których rzadko korzystamy, stanowią problem, ponieważ często zapominamy, że mamy na nich konto.  

Najczęściej posiadamy konta w takich serwisach jak Facebook, Instagram, Skype, Snapchat, Tinder (lub inne serwisy randkowe), poczta e-mail oraz serwisy rozrywkowe, takie jak Spotify, Netflix, HBO oraz YouTube. Można również mieć konto na stronie rządowej lub finansowej, takiej jak bank, firma ubezpieczeniowa itd. Warto również pamiętać, że niektóre z tych serwisów wykorzystują do uwierzytelnienia Google lub Facebooka, co oznacza, że nie trzeba użyć kombinacji adres e-mail plus hasło – można po prostu zalogować się przy pomocy konta na Facebooku lub Google.

USŁUGA

OPIS

CENA

Gry

Dowolny rodzaj konta w grze: Steam, PSN, Xbox itd.

$1 za konto

Email

Kombinacja adres e-mail plus hasło z różnych wycieków. Najczęściej sprzedawane hurtowo

Różna

Facebook

Bezpośredni dostęp do konta na Facebooku

$1 za konto

Spotify

Konto premium na Spotify

$2 za konto

Netflix

Konto w serwisie Netflix

$1-5 za konto

Komputer stacjonarny

Nazwa użytkownika oraz hasło do serwisów RDP, w tym VNC

$5-50 za konto

Serwer

Nazwa użytkownika oraz hasło do telnetu/ssh

$5-50 za konto

E-handel

Dostęp do różnych stron handlu elektronicznego, w tym Airbnb oraz podobnych usług

$10 za konto

 

Spoglądając na dane powyżej, wprost trudno uwierzyć, że można praktycznie sprzedać czyjeś całe życie cyfrowe za niecałe 50 dolarów. Nie mówię tu o dostępie do kont bankowych, można jednak uzyskać dostęp do serwisów, które również wymagają załączenia karty kredytowej, takich jak Spotify, Netflix, Facebook itp.     

Poza przejęciem pełnej kontroli nad czyimś życiem cyfrowym, dostęp do konta na takich serwisach może być wykorzystany przez innych przestępców, na przykład, w celu rozprzestrzeniania szkodliwego oprogramowania lub przeprowadzania ataków phishingowych.

Zadziwiające jest to, jak łatwo można zdobyć takie zhakowane lub skradzione konta – nie trzeba być zaawansowanym przestępcą, aby wiedzieć, gdzie je znaleźć.