Skip to main content

как Сбербанк выявяет активность дропов и дроповодов

Компания SixGill, исторически связанная с подразделением 8200, занимающимся радиоэлектронной разведкой в израильской армии, оказывает Сбербанку "информационные услуги" по выявлению угроз в даркнете и Telegram. Ряд других российских банков тоже использует инструменты для мониторинга сети tor.

"Народ, здравствуйте, я раздобыл вход в приложение Сбербанк одного человека, знаю, что в понедельник у него зарплата. Как лучше всего вывести бабки оттуда, чтобы не вышли на меня?" - такие сообщения можно легко обнаружить практически в любом популярном чате обнальной тематики в Telegram.

Когда автор сообщения - с набором символов вместо имени и милой аватаркой с котом - не пытается "вывести" чужую зарплату, он промышляет банковскими картами от 3 тыс. рублей за штуку. Он состоит, по меньшей мере, в 18 таких чатах и обещает доставить "пластик" курьером по Москве и Санкт-Петербургу в комплекте с сим-картой, пин-кодом, фото паспорта и кодовым словом. Такие оформленные на третьих лиц карты применяются в серых схемах по обналичиванию.

обнальный чат Ростелекома пестрит выгодными предложениями


В обнальных чатах - тысячи подобных дроповодов: они обмениваются инструментами для взлома, вербуют сотрудников банков, продают данные о балансах, кредитные истории, персональные данные и многое другое. Те, кто преуспел, создают свои подпольные "корпорации" и привлекают дропов за границей.

Этот рынок нелегальных обнальных сервисов принято называть даркнетом. Хотя технически даркнет - это часть интернета, куда можно попасть только через анонимный браузер tor.

Архитектура "темной" сети сопротивляется тому, чтобы ее изучали сторонними инструментами. Чаты недолговечны или доступны для эксклюзивного круга дропов и дроповодов. Владельцы форумов усложняют регистрацию, чтобы не допустить роботов, собирающих информацию для поисковиков и полицейских служб типа Европола.

Это не значит, что нарушителей в даркнете невозможно вычислить. Некоторые из них используют один и тот же имейл для обнальных операций и покупок в обычных интернет-магазинах - так, известный банковскими взломами хакер aqua приобрел детскую коляску на имя москвича Максима Якубца, выдачи которого теперь требует ФБР.

Другие дроповоды забывают стереть метаданные со снимков своего товара. В 2020 году исследователи из Технологического университета в Теннесси обнаружили на нелегальных торговых площадках в даркнете более 800 фото с "зашитыми" в них географическими координатами, которые могут указать место съемки с точностью до нескольких метров. Наши исследователи проанализировали и русскоязычные площадки, где таких улик не оказалось.

Любитель кошек и банковских карт из обнального чата использовал свой уникальный ник на сайте для любителей аниме, а также на площадке для найма фрилансеров. Там он представляется как 23-летний Тимур из Москвы; этот же возраст он указывал в одном из чатов в даркнете, когда искал работу.

"Крутой поставщик"

Можно ли сделать поиск таких улик автоматическим? Исследовательская компания Gartner в руководстве по кибербезопасности советует IT-компаниям использовать программы для непрерывного мониторинга даркнета.

Одно из первых таких решений - DarkOwl - производства одноименной американской компании, уже более 10 лет архивирует основные обнальные торговые площадки. В 2019 году DarkOwl по нашему запросу нашла в своем архиве посты наркоторговца "Мигеля Моралеса" с удаленного к тому времени форума Russian Anonymous Marketplace.

Следственный комитет считает, что "Мигель Моралес" заказал убийство подполковника юстиции Евгении Шишкиной в октябре 2018-го.

Если DarkOwl выбрала своим символом сову (owl), то ее конкурент, израильская SixGill - глубоководную шестижаберную акулу (sixgill shark). Gartner включила основанную в 2014 году компанию в список "крутых поставщиков" (cool vendors), то есть тех, кто "демонстрирует новые подходы к решению сложных задач".

Ростелеком пока не блокирует tor и можно пользоваться

Именно услугами SixGill в марте этого года и решил воспользоваться Сбербанк: доступ к программе на год обошелся российской госкомпании в 70,7 тыс. долларов (около 5 млн рублей). Формально контракт исполняет российская компания "Инфосистемы Джет", но автором программы указан именно израильский стартап.

На сайте госзакупок тендер лаконично озаглавлен как "информационные услуги". И хотя закупка была публичной, стороны отказываются делиться подробностями, ссылаясь на договор о неразглашении. Сбербанк не ответил и на более общие вопросы про даркнет.

Некоторые детали можно почерпнуть из технического задания:

  • Сбербанк приобрел "бронзовый" пакет SixGill - не самый дорогой, судя по названию. Программа позволяет мониторить подпольные, нелегальные и запрещенные торговые площадки в "глубоком" интернете, к которому относится и даркнет.
  • Помимо сайтов в Tor, программа ищет информацию в мессенджерах с возможностью группового общения - Telegram, китайском QQ, IRC-сетях. Сайт для программистов GitHub, файловое хранилище Dropbox, соцсети Twitter, LinkedIn, Myspace и другие также под колпаком.
  • Изображения на всех ресурсах анализируются на наличие метаданных - скрытых характеристик, позволяющих вычислить автора и место съемки.
  • При запросах по ключевым словам программа обращается к своему архиву. Это позволяет выходить в даркнет как можно реже и собирать информацию, не вызывая подозрений у владельцев сайтов.
  • SixGill поддерживает русский, английский, китайский, арабский, португальский и другие языки. Оповещения об инцидентах приходят оператору в режиме, близком к реальному времени, и ранжируются по степени опасности.
  • Программа видит "портрет" нарушителя- его связи, репутацию и специализацию (примеры из технического задания: хакер, дроп, дроповод или спамер). Если нарушитель использует разные имена на разных сайтах, программа все равно вычислит его по "уникальным идентификаторам" - это сетевые и криптовалютные адреса, имейлы, имена в мессенджере Jabber (самом популярном в даркнете до появления Telegram).
  • Из необычного - под радары попадают сайты из ZeroNet - эта децентрализованная сеть пока не очень популярна в России, в отличие от Китая, где её используют для обхода цензуры. В марте этого года подведомственный Роскомнадзору Государственный радиочастотный центр (ГРЧЦ) заказал исследование анонимных сетей, в том числе ZeroNet, и возможностей их блокировки за 9,2 млн рублей.

Вероятность 1 процент из 1 процента

SixGill исторически связана с израильской киберразведкой - знаменитым "подразделением 8200", которое занимаются радиоэлектронной разведкой и входит в структуру Управления военной разведки (АМАН) Армии обороны Израиля.

Один из оздателей SixGill, уроженец Уругвая Ави Каштан, в 1990-е годы писал код для контроллера связи между танками, вертолетами и военнослужащими по заказу Армии обороны Израиля. Как сам он пишет на своей странице в LinkedIn, устройство использовало GPS для определения места и времени и передавало информацию через зашифрованные радиоканалы.

Вице-президент SixGill по продуктам и технологиям Рон Шамир ранее возглавлял отдел разведки киберугроз в Израильском национальном киберуправлении, а до этого 25 лет служил в "подразделении 8200".

Вместе со спецслужбами США это подразделение могло создать вирус Stuxnet, поразивший в 2010 году иранскую ядерную программу, писала New York Times. Эксперты из Symantec и других IT-компаний нашли в коде вируса дату 9 мая 1979 года ("19790509"), когда в Иране казнили лидера местной еврейской общины, промышленника Хабиба Элгханиана.

Объекты израильской военной разведки на границе с Ливаном

С 2007 по 2016 годы Шамир возглавлял разведывательное управление "подразденения 8200", говорится на его странице в LinkedIn. На сайте SixGill его фотография вывешена без какой-либо справки.

Партнер-основатель SixGill и ряда других компаний Инбал Ариэли также служила в 8200 - к 22 годам руководила подготовкой офицеров подразделения. "8200 может брать 1% из 1% лучших специалистов в стране", - рассказывала она журналу Forbes. Ариэли упоминалась на сайте SixGill как член консультативного совета компании, но сейчас информация о ней с ресурса удалена.

Фильтрация шума

Даркнет - это еще и нелегальный рынок персональных данных, источником утечек часто становятся банки.

Технический директор компании DeviceLock Ашот Оганесян регулярно освещает такие утечки, в том числе из Сбербанка, в своем телеграм-канале.

К идее автоматического мониторинга даркнета он относится скептически. "Это такой рынок баз данных, где нельзя просто роботом вытащить все, здесь важна репутация продавца, - пояснил Оганесян. - Общение зачастую происходит завуалированно, на закрытых площадках, в мессенджерах. Много кидал и рипаков. В единицах случаев работают прямолинейные объявления типа "База Сбербанка, продаю за миллион рублей".

Оганесян считает, что решения, подобные SixGill, могут ускорить мониторинг угроз, но полностью полагаться на них нельзя: "Для меня это явно вторичный источник информации".

Опрошенные нами банки анализируют даркнет как вручную, так и с помощью специальных программ. Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов сообщил, что его сотрудники мониторят "темную" сеть tor своими силами, но с прямыми угрозами оттуда кредитная организация не сталкивалась.

"Автоматизированные инструменты мониторинга даркнета мы не используем по причине их низкой эффективности, - говорит Касимов. - Для успешного поиска необходимы достаточно нетривиальные запросы и анализ. Простой поиск по словам МКБ или "Московский кредитный банк" результата не даст, именно поэтому мониторинг проводят аналитики".

В банке ВТБ нам ответили, что используют "все имеющиеся возможности по противодействию дропам и дроповодам, в том числе изучение информации из различных источников".

"Мы всегда внимательно следим за любыми упоминаниями банка в любом контексте в дарквебе и перепроверяем каждое упоминание компании, - рассказали нам в банке Тинькофф. - Проверка ведется как своими внутренними силами, так с помощью нескольких ведущих вендоров на рынке, которые оказывают нам соотвествующие услуги".

Свой сервис мониторинга даркнета есть и у швейцарской компании ImmuniWeb. Ее гендиректор Илья Колошенко рассказал Би-би-си, что программу используют несколько крупных российских банков, а также страховые и юридические компании.

Глава Сбербанка Герман Греф выступает за поголовное чипирование населения

По мнению Колошенко, главное для таких программ - "эффективная фильтрация шума, правильная валидация и приоритизация угроз". "Значительное количество данных в даркнете - это дубликаты, откровенный мусор или фейки", - отмечает бизнесмен.

"Большая часть закрытых площадок требует внедрения в организованную преступность, поэтому мы уделяем внимание по большей части открытым или серым зонам даркнета, - продолжает Колошенко. - Нередко в открытых источниках, таких как "Твиттер" или Pastebin, можно обнаружить гораздо больше критических утечек, чем в закрытых сообществах".

Popular posts from this blog

Чем рискуют дропы и нальщики принимая заливы на свои карты

Зам.начальника управления Следственного департамента МВД Павел Сычев рассказал о криминальном бизнесе «нальщиков» - Глава Банка России Эльвира Набиуллина заявила о снижении объемов теневого оборота в конце 2013 года. Что показывает ваша статистика по выявлению незаконных операций? - В последние годы объем денежных средств, выведенных в теневой сектор, увеличивался, и криминогенная обстановка ухудшалась. Проблема находится в поле зрения президента -  в декабрьском послании Федеральному Собранию, он призвал избавить нашу финансовую систему от разного рода «отмывочных контор» и так называемых «прачечных». Оперативники уже получили ориентировку на более активное выявление этих преступлений. П о уголовным делам, расследованным МВД только в первом полугодии 2013 года, проходит 145 млрд рублей, обналиченных и незаконно выведенных заграницу. Это неуплаченные налоги, незаконный бизнес, хищения, взятки. Финансовый доход посредников от этих операций составил 8 млрд рублей. Расследовано 89

М9 - точка обмена трафиком • Московский INTERNET EXCHANGE • MSK-XI

Вот так всё начиналось Изначально был всего один провайдер - Релком. Не было конкурентов - не было проблем. Рунет еще делал свои первые шаги, и все русскоязычные ресурсы были сосредоточены в одном месте. Позже Релком развалился на Релком и Демос, стали появляться другие провайдеры. Рунет тем временем подрос и... распался на множество отдельных сетей-сегментов, контролируемых разными провайдерами. Разумеется, конечные пользователи имели доступ ко всем ресурсам рунета, но прямого взаимодействия между провайдерами не было. Поэтому трафик шел с сервера одного провайдера по огромной петле через Америку, потом Германию, и только потом возвращался на сервер другого провайдера. Имела место неоправданная потеря и в скорости, и в деньгах. Пока трафик был незначительным, это мало кого волновало, но интернет бурно развивался, трафик по рунету стремительно увеличивался, и в один прекрасный день крупные провайдеры Москвы (по сути, Демос и Релком) сели друг напротив друга и решили, что им надо нал

Как найти реального заливщика

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево , но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли? Ко мне начал обращаться народ обращается разных категорий 1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса  2. Реальные мэны, которые  льют сразу большую сумму по SWIFT  без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личност

Understanding structured settlement loans

Structured Settlement loans can be obtained from all the states now with incredible benefits. Mostly, structured settlements are taken by people to receive compensation from companies or individuals after a certain lawsuit have been filed. Such compensation is paid over a period of set time and in equal installments. These installments are mostly paid as a form of insurance agreement that can also be used as collateral while applying for certain type of loans. If you want to apply for this loan, the process is extremely easy where you just need to consider few factors before going for it.  Prerequisites  Whenever you are applying for a loan, make sure what kind of structured settlement you currently have as different settlements can be applicable only for certain types of loan. You have to make sure that the agreement that you have signed on the structured settlement deal states this settlement as a part of your collateral security that can be shown to the banks for the loan. Eit

Сбербанк и подневольные дропы, и кто кого?

Количество денег, списаных с банковских счетов и обналиченых дроповодами, которые маскируются под банковские колл-центры, растет в геометрической прогресии, и расположены такие колл-центры в местах лишения свободы, СИЗО и тюрьмах. То есть там, где, по идее, не то чтобы туда мобильный телефон пронести, муха не пролетит без ведома начальства. Ещё в 2012 году основным нелегальным способом списания денежных средств с банковских  карт был скимминг — дроповоды крепили к банкомату считывающее устройство, узнавали номер карточки и пин-код и только после этого дропы шли к банкоматам и снимали деньги. Однако, уже в 2017 году начался резкий рост « социальной инженерии », это когда вам, к примеру, звонят и говорят: это служба безопасности вашего банка, у вас с карты списаны денежные средста, или у нас в банке работают мошенники, ваши деньги в опасности, и вы сейчас, чтобы их спасти, должны срочно пойти к банкомату, мы сообщим вам номер безопасного счета, на который и надо ваши деньги перевести. И

Обнал белого пластика или как работают дроповоды

Сбербанк снял неплохой фильм про работу нальщиков и дропов Называется " Карточные фокусы ", которые судя по рассказанному могут обогатить кого угодно практически за один месяц занятия этим бизнесом. В обнальных схемах как правило участвуют несколько лиц, это так называемый заливщик (ботовод), дроповод - человек работающий с дропами (денежными мулами) и сами дропы, которые непосредственно совершают подходы к банкоматам и делают обнал. На самом деле все здравые украинские банки уже внедрили антискимминговые мероприятия, если как показано в кино попытаться установить скиммер, то потенциальных желающих обналичить чужие банковские карты быстро примут. Однако, есть и другие варианты работы в обнале, например, установка 3G маршрутизатора в отделении банка, или же разведение банковских ботов в через интернет, которые будут лить на карты дропов автозаливами.