Skip to main content

как Сбербанк выявяет активность дропов и дроповодов

Компания SixGill, исторически связанная с подразделением 8200, занимающимся радиоэлектронной разведкой в израильской армии, оказывает Сбербанку "информационные услуги" по выявлению угроз в даркнете и Telegram. Ряд других российских банков тоже использует инструменты для мониторинга сети tor.

"Народ, здравствуйте, я раздобыл вход в приложение Сбербанк одного человека, знаю, что в понедельник у него зарплата. Как лучше всего вывести бабки оттуда, чтобы не вышли на меня?" - такие сообщения можно легко обнаружить практически в любом популярном чате обнальной тематики в Telegram.

Когда автор сообщения - с набором символов вместо имени и милой аватаркой с котом - не пытается "вывести" чужую зарплату, он промышляет банковскими картами от 3 тыс. рублей за штуку. Он состоит, по меньшей мере, в 18 таких чатах и обещает доставить "пластик" курьером по Москве и Санкт-Петербургу в комплекте с сим-картой, пин-кодом, фото паспорта и кодовым словом. Такие оформленные на третьих лиц карты применяются в серых схемах по обналичиванию.

обнальный чат Ростелекома пестрит выгодными предложениями


В обнальных чатах - тысячи подобных дроповодов: они обмениваются инструментами для взлома, вербуют сотрудников банков, продают данные о балансах, кредитные истории, персональные данные и многое другое. Те, кто преуспел, создают свои подпольные "корпорации" и привлекают дропов за границей.

Этот рынок нелегальных обнальных сервисов принято называть даркнетом. Хотя технически даркнет - это часть интернета, куда можно попасть только через анонимный браузер tor.

Архитектура "темной" сети сопротивляется тому, чтобы ее изучали сторонними инструментами. Чаты недолговечны или доступны для эксклюзивного круга дропов и дроповодов. Владельцы форумов усложняют регистрацию, чтобы не допустить роботов, собирающих информацию для поисковиков и полицейских служб типа Европола.

Это не значит, что нарушителей в даркнете невозможно вычислить. Некоторые из них используют один и тот же имейл для обнальных операций и покупок в обычных интернет-магазинах - так, известный банковскими взломами хакер aqua приобрел детскую коляску на имя москвича Максима Якубца, выдачи которого теперь требует ФБР.

Другие дроповоды забывают стереть метаданные со снимков своего товара. В 2020 году исследователи из Технологического университета в Теннесси обнаружили на нелегальных торговых площадках в даркнете более 800 фото с "зашитыми" в них географическими координатами, которые могут указать место съемки с точностью до нескольких метров. Наши исследователи проанализировали и русскоязычные площадки, где таких улик не оказалось.

Любитель кошек и банковских карт из обнального чата использовал свой уникальный ник на сайте для любителей аниме, а также на площадке для найма фрилансеров. Там он представляется как 23-летний Тимур из Москвы; этот же возраст он указывал в одном из чатов в даркнете, когда искал работу.

"Крутой поставщик"

Можно ли сделать поиск таких улик автоматическим? Исследовательская компания Gartner в руководстве по кибербезопасности советует IT-компаниям использовать программы для непрерывного мониторинга даркнета.

Одно из первых таких решений - DarkOwl - производства одноименной американской компании, уже более 10 лет архивирует основные обнальные торговые площадки. В 2019 году DarkOwl по нашему запросу нашла в своем архиве посты наркоторговца "Мигеля Моралеса" с удаленного к тому времени форума Russian Anonymous Marketplace.

Следственный комитет считает, что "Мигель Моралес" заказал убийство подполковника юстиции Евгении Шишкиной в октябре 2018-го.

Если DarkOwl выбрала своим символом сову (owl), то ее конкурент, израильская SixGill - глубоководную шестижаберную акулу (sixgill shark). Gartner включила основанную в 2014 году компанию в список "крутых поставщиков" (cool vendors), то есть тех, кто "демонстрирует новые подходы к решению сложных задач".

Ростелеком пока не блокирует tor и можно пользоваться

Именно услугами SixGill в марте этого года и решил воспользоваться Сбербанк: доступ к программе на год обошелся российской госкомпании в 70,7 тыс. долларов (около 5 млн рублей). Формально контракт исполняет российская компания "Инфосистемы Джет", но автором программы указан именно израильский стартап.

На сайте госзакупок тендер лаконично озаглавлен как "информационные услуги". И хотя закупка была публичной, стороны отказываются делиться подробностями, ссылаясь на договор о неразглашении. Сбербанк не ответил и на более общие вопросы про даркнет.

Некоторые детали можно почерпнуть из технического задания:

  • Сбербанк приобрел "бронзовый" пакет SixGill - не самый дорогой, судя по названию. Программа позволяет мониторить подпольные, нелегальные и запрещенные торговые площадки в "глубоком" интернете, к которому относится и даркнет.
  • Помимо сайтов в Tor, программа ищет информацию в мессенджерах с возможностью группового общения - Telegram, китайском QQ, IRC-сетях. Сайт для программистов GitHub, файловое хранилище Dropbox, соцсети Twitter, LinkedIn, Myspace и другие также под колпаком.
  • Изображения на всех ресурсах анализируются на наличие метаданных - скрытых характеристик, позволяющих вычислить автора и место съемки.
  • При запросах по ключевым словам программа обращается к своему архиву. Это позволяет выходить в даркнет как можно реже и собирать информацию, не вызывая подозрений у владельцев сайтов.
  • SixGill поддерживает русский, английский, китайский, арабский, португальский и другие языки. Оповещения об инцидентах приходят оператору в режиме, близком к реальному времени, и ранжируются по степени опасности.
  • Программа видит "портрет" нарушителя- его связи, репутацию и специализацию (примеры из технического задания: хакер, дроп, дроповод или спамер). Если нарушитель использует разные имена на разных сайтах, программа все равно вычислит его по "уникальным идентификаторам" - это сетевые и криптовалютные адреса, имейлы, имена в мессенджере Jabber (самом популярном в даркнете до появления Telegram).
  • Из необычного - под радары попадают сайты из ZeroNet - эта децентрализованная сеть пока не очень популярна в России, в отличие от Китая, где её используют для обхода цензуры. В марте этого года подведомственный Роскомнадзору Государственный радиочастотный центр (ГРЧЦ) заказал исследование анонимных сетей, в том числе ZeroNet, и возможностей их блокировки за 9,2 млн рублей.

Вероятность 1 процент из 1 процента

SixGill исторически связана с израильской киберразведкой - знаменитым "подразделением 8200", которое занимаются радиоэлектронной разведкой и входит в структуру Управления военной разведки (АМАН) Армии обороны Израиля.

Один из оздателей SixGill, уроженец Уругвая Ави Каштан, в 1990-е годы писал код для контроллера связи между танками, вертолетами и военнослужащими по заказу Армии обороны Израиля. Как сам он пишет на своей странице в LinkedIn, устройство использовало GPS для определения места и времени и передавало информацию через зашифрованные радиоканалы.

Вице-президент SixGill по продуктам и технологиям Рон Шамир ранее возглавлял отдел разведки киберугроз в Израильском национальном киберуправлении, а до этого 25 лет служил в "подразделении 8200".

Вместе со спецслужбами США это подразделение могло создать вирус Stuxnet, поразивший в 2010 году иранскую ядерную программу, писала New York Times. Эксперты из Symantec и других IT-компаний нашли в коде вируса дату 9 мая 1979 года ("19790509"), когда в Иране казнили лидера местной еврейской общины, промышленника Хабиба Элгханиана.

Объекты израильской военной разведки на границе с Ливаном

С 2007 по 2016 годы Шамир возглавлял разведывательное управление "подразденения 8200", говорится на его странице в LinkedIn. На сайте SixGill его фотография вывешена без какой-либо справки.

Партнер-основатель SixGill и ряда других компаний Инбал Ариэли также служила в 8200 - к 22 годам руководила подготовкой офицеров подразделения. "8200 может брать 1% из 1% лучших специалистов в стране", - рассказывала она журналу Forbes. Ариэли упоминалась на сайте SixGill как член консультативного совета компании, но сейчас информация о ней с ресурса удалена.

Фильтрация шума

Даркнет - это еще и нелегальный рынок персональных данных, источником утечек часто становятся банки.

Технический директор компании DeviceLock Ашот Оганесян регулярно освещает такие утечки, в том числе из Сбербанка, в своем телеграм-канале.

К идее автоматического мониторинга даркнета он относится скептически. "Это такой рынок баз данных, где нельзя просто роботом вытащить все, здесь важна репутация продавца, - пояснил Оганесян. - Общение зачастую происходит завуалированно, на закрытых площадках, в мессенджерах. Много кидал и рипаков. В единицах случаев работают прямолинейные объявления типа "База Сбербанка, продаю за миллион рублей".

Оганесян считает, что решения, подобные SixGill, могут ускорить мониторинг угроз, но полностью полагаться на них нельзя: "Для меня это явно вторичный источник информации".

Опрошенные нами банки анализируют даркнет как вручную, так и с помощью специальных программ. Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов сообщил, что его сотрудники мониторят "темную" сеть tor своими силами, но с прямыми угрозами оттуда кредитная организация не сталкивалась.

"Автоматизированные инструменты мониторинга даркнета мы не используем по причине их низкой эффективности, - говорит Касимов. - Для успешного поиска необходимы достаточно нетривиальные запросы и анализ. Простой поиск по словам МКБ или "Московский кредитный банк" результата не даст, именно поэтому мониторинг проводят аналитики".

В банке ВТБ нам ответили, что используют "все имеющиеся возможности по противодействию дропам и дроповодам, в том числе изучение информации из различных источников".

"Мы всегда внимательно следим за любыми упоминаниями банка в любом контексте в дарквебе и перепроверяем каждое упоминание компании, - рассказали нам в банке Тинькофф. - Проверка ведется как своими внутренними силами, так с помощью нескольких ведущих вендоров на рынке, которые оказывают нам соотвествующие услуги".

Свой сервис мониторинга даркнета есть и у швейцарской компании ImmuniWeb. Ее гендиректор Илья Колошенко рассказал Би-би-си, что программу используют несколько крупных российских банков, а также страховые и юридические компании.

Глава Сбербанка Герман Греф выступает за поголовное чипирование населения

По мнению Колошенко, главное для таких программ - "эффективная фильтрация шума, правильная валидация и приоритизация угроз". "Значительное количество данных в даркнете - это дубликаты, откровенный мусор или фейки", - отмечает бизнесмен.

"Большая часть закрытых площадок требует внедрения в организованную преступность, поэтому мы уделяем внимание по большей части открытым или серым зонам даркнета, - продолжает Колошенко. - Нередко в открытых источниках, таких как "Твиттер" или Pastebin, можно обнаружить гораздо больше критических утечек, чем в закрытых сообществах".

Popular posts from this blog

Как работает банк со своими корреспондентами по SWIFT

Итак, наш банк имеет открытые корреспондентские счета в США (CITIBANK N.A. NEW YORK), в Европе (VTB BANK DEUTSCHLAND AG), в России (Промсвязьбанк Москва и Собинбанк Москва). Соответственно, все расследования по платежам происходят через эти банки согласно  установленным корреспондентским отношениям с использованием соответствующих форматов SWIFT MT-195/295, MT-196/296, MT-199/299 и MT-192/292 Кроме прямых корреспондентских отношений с банками, нашим банком установлены отношения и с другими финансовыми организациями через процедуру обмена ключами, что даёт возможность использовать SWIFT-форматы МТ-195, МТ-196 и МТ-199 для проведения процедуры расследования по стандартным платежам и платежам с покрытием: - DEUTSCHE BANK TRUST COMPANY AMERICAS USA - COMMERZBANK AG Germany - CITIBANK N.A. London - CITIBANK N.A. Brussels - BANQUE DE COMMERCE ET DE PLACEMENTS S.A. Geneva - NORVIK BANKA JSC  LV - ABLV BANK AS  LV В среднем процедура расследования занимает от 3 до 14 дней (е

Почему инженеры электросвязи становятся продажниками

Давно предупреждал инженеров электросвязи - если вы не развиваетесь, то рано или поздно превратитесь либо в дворника, либо в ассенизатора. О чем не предупреждал, каюсь, - так это о том, что локальный апокалипсис наступит прямо сейчас. Взять, например, сетевых инженеров  Ростелекома, которые бодро так искали, кого ещё подключить к интернету последние пару недель в Сочи и в Адлере. Скажете, инженеров заставляют работать продажниками - произвол и несправедливость? Лично я в этом совершенно не уверен. Чтобы было сразу понятно, о чем речь, готов проиллюстрировать свою мысль как работодатель. Мы ведь имеем здесь потенциальный конфликт в отношениях между работником и Ростелекомом , верно? И пока возмущенная общественность твердо стоит на стороне работника, предлагаю посмотреть чуть шире — не со стороны работодателя даже, а так, сбоку. Давайте возьмем, например, меня — типичного работодателя. Так случилось, что на меня работает некоторое количество весьма лояльных и толковых людей, ч

Как найти реального заливщика

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево , но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли? Ко мне начал обращаться народ обращается разных категорий 1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса  2. Реальные мэны, которые  льют сразу большую сумму по SWIFT  без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личност

Виртуальная сеть на базе Cisco CSR 1000V

Во время обучения, для того чтобы лучше разобраться как работает та или иная технология я пользовался и программой моделирования сетей DYNAGEN , и удаленным доступом к стенду с реальным оборудованием, любезно предоставленным нам организаторами обучения. Это, конечно же очень помогало, но меня все время не оставляла мысль найти какой-то вариант, который позволил бы иметь ощущение реальности при работе с устройством и в тоже время чтобы я мог его крутить так как мне захочется и в любое время, когда мне захочется. Я пробовал и GNS3, и IOU, при этом продолжая поиски. Так я узнал о таком продукте от CISCO как CSR 1000V Cloud Services Router -  http://www.cisco.com/c/en/us/products/routers/cloud-services-router-1000v-series/index.html  , скачать который можно в нашей подборке Cisco IOS . Небольшие выдержки из документации: «Развернутый на виртуальной машине Cisco CSR 1000V с IOS XE обеспечивает точно такую же функциональность, как если бы IOS XE работала на традиционной аппаратной платформе

М9 - точка обмена трафиком • Московский INTERNET EXCHANGE • MSK-XI

Вот так всё начиналось Изначально был всего один провайдер - Релком. Не было конкурентов - не было проблем. Рунет еще делал свои первые шаги, и все русскоязычные ресурсы были сосредоточены в одном месте. Позже Релком развалился на Релком и Демос, стали появляться другие провайдеры. Рунет тем временем подрос и... распался на множество отдельных сетей-сегментов, контролируемых разными провайдерами. Разумеется, конечные пользователи имели доступ ко всем ресурсам рунета, но прямого взаимодействия между провайдерами не было. Поэтому трафик шел с сервера одного провайдера по огромной петле через Америку, потом Германию, и только потом возвращался на сервер другого провайдера. Имела место неоправданная потеря и в скорости, и в деньгах. Пока трафик был незначительным, это мало кого волновало, но интернет бурно развивался, трафик по рунету стремительно увеличивался, и в один прекрасный день крупные провайдеры Москвы (по сути, Демос и Релком) сели друг напротив друга и решили, что им надо нал

Чем рискуют дропы и нальщики принимая заливы на свои карты

Зам.начальника управления Следственного департамента МВД Павел Сычев рассказал о криминальном бизнесе «нальщиков» - Глава Банка России Эльвира Набиуллина заявила о снижении объемов теневого оборота в конце 2013 года. Что показывает ваша статистика по выявлению незаконных операций? - В последние годы объем денежных средств, выведенных в теневой сектор, увеличивался, и криминогенная обстановка ухудшалась. Проблема находится в поле зрения президента -  в декабрьском послании Федеральному Собранию, он призвал избавить нашу финансовую систему от разного рода «отмывочных контор» и так называемых «прачечных». Оперативники уже получили ориентировку на более активное выявление этих преступлений. П о уголовным делам, расследованным МВД только в первом полугодии 2013 года, проходит 145 млрд рублей, обналиченных и незаконно выведенных заграницу. Это неуплаченные налоги, незаконный бизнес, хищения, взятки. Финансовый доход посредников от этих операций составил 8 млрд рублей. Расследовано 89