Метка: анонимный обнал
-
Как работать в процессинге через систему быстрых платежей
На прошлой неделе специалисты ФинЦЕРТ Центрального Банка России разослали в банки бюллетень с описанием новой схемы хищения средств со счетов пользователей. В процессинге использовали для этого Систему быстрых платежей Центрального Банка (СБП) и уязвимость в одной из банковских систем. По словам участников рынка, это первый случай хищения средств с помощью СБП Центрального Банка.Собственный источник в среде дроповодов пояснил, что через уязвимость оператор процессинга получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент банка, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого же банка. Система ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП ЦБ команду на перевод средств, который она и осуществила. Таким образом и был осуествлён процессинг с чужих счетов банка на сумму около полумиллиона долларов США.В бюллетене ФинЦЕРТ отмечалось, что номера счетов жертв процессинга были получены перебором в ходе успешной авторизации при использовании недокументированной возможности API системы дистанционного банковского обслуживания (ДБО).«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и система ДБО) и носила краткосрочный характер. Она была оперативно устранена», — комментируют представители Центробанка России. При этом название банка в котором отработал процессор не раскрывается, но подчеркивается, что сама СБП надежно защищена.Интересно, что, по имеющимся данным, уязвимость была настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — сообщил источник обного из крупных обнальных форумов даркнета.Само списание денежных средств с чужого счёта и процессинг на счёт дропа заключалось в том, что в мобильном приложении не проверялось поле отправителя. Оператор процессинга от своего имени осуществлял перевод, но вместо своего номера счета, с которого нужно списать средства, подставлял номер счета жертвы (в СБП можно указать номер телефона). В итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер счёта дропа. И банк принимал эту операцию.Проблема не в системе быстрых платежей, а в ее реализации в конкретном приложении конкретного банка, оператору процессинга удалось провернуть эту схему потому, что он внимательно изучил приложение мобильного банкинга и обнаружил, что поле отправителя не обновляется и его можно подменить. Есть ли у кого-то еще такие уязвимости? Надеюсь, что списание денежных средств со счетов клиентов банков таким вот образом не стало массовым, и такой баг — скорее исключение. К сожалению, в этой схеме пользователи не могут себя обезопасить, а вот банки могут и должны провести независимый аудит своих мобильных приложений и внедрить системы поведенческого анализа, которые защищают мобильный банкинг. -
Зачем нужен трафик для работы в процессинге?
Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать процессить фиат или крипту, и причём по-крупному.И тут сразу возникает вопрос о покупке банковского бота или банкера. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми, и их можно запросто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на машине холдера, перед загрузкой основного тела программы банковского бота.
Однако это ещё только начало… чтобы что-либо процессить с помощью этих инструментов их панели управляения для начала нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк или мобильное приложение, и только после этого можно приступать к основной части работы.
Во Львове и Ивано-Франковске недавно разговаривал со многими дроповодами, и все мне рассказывали об одной и той же проблеме — сейчас практически стало невозможно достать качественный трафик, где бы присутствовало много пользователей дистанционных банковских услуг или владельцев смартфонов, с установленными банковскими приложениями.
Поэтому основное вложение в этом бизнесе сейчас уже приходится делать не в программное обеспечение (его и так можно бесплатно скачать в интернете), а в покупку качественного целевого трафика. Самый хороший трафик, это тот, который идет с лома в одни руки или снимается с Multihomed AS транзитного провайдера, например RETN или Евротранстелеком напрямую.
Но увы, такого трафика на рынке практически нет, и его приходится добывать самому. Проверенный дроповод, при наличии хорошего трафика, в месяц может зарабатывать до 1 млн. Евро и даже больше, и это не оборот процессинга, а уже цифры чистого заработка.
-
Carbanak — почти легальный процессинг и работа дропом
Никто ни у кого не спрашивает имена и не встречается лично или про то, как простому птушнику влиться в международный бизнес по процессингу криптыОператоры процессинга и дроповоды всё чаще маскируются под легальные ИТ-компании и ищут пентестеров на популярных сайтах по поиску работы. По такой схеме московская фирма несколько лет нанимала людей, которые не подозревали, что окажутся на тёмной стороне.Летом прошлого года американский Минюст сообщил об аресте трех участников группировки Carbanak. Группу считают причастной к взлому более 100 американских компаний и хищению данных 15 млн банковских карт. Carbanak с 2015 года совершала преступления не только в США, но и в Великобритании, Австралии и Франции. Арестованным по этому делу гражданам Украины Федору Гладырю, Дмитрию Федорову и Андрею Колпакову вменяют многочисленные эпизоды банковского мошенничества, компьютерных взломов и краж личных данных. Все они были высокопоставленными участниками хакерской группы, утверждают правоохранительные органы США.Однако, по заявлению ряда изданий, Carbanak продолжает создавать программное обеспечение для процессинга и проводить нелегальные операции с криптовалютой, а множество её участников, по данным Минюста, остаются на свободе. Поиск людей в Carbanak все эти годы был организован масштабно: дроповоды открыли фиктивную компанию Combi Security, которая официально занималась пентестами (тестирование защищенности ИТ-систем), и от имени которой искали сотрудников на сайтах по поиску легальной работы. Combi Security оказалась не единственной ширмой операторов процессинга.Нам стало известно, как выпускники московского технического вуза создали ещё одну компанию, связанную с Carbanak, и нанимали людей, которые сами того не зная, оказались «процессорами крипты».Семейный IT-подряд
Весной прошлого года семья Завгородних из Тулы праздновала свадьбу сына, 25-летнего Артема. Гуляли в Москве, в украшенном золотом и лепниной Большом дворце, построенном в конце XVIII века в парке «Царицыно». Отец Артема Владимир Завгородний охотно делился снимками в соцсетях: он запечатлел себя рядом с украшенным цветами BMW, купленным незадолго до торжества, затем позировал в центре богато украшенного зала.Владимир долгое время не имел отношения к информационным технологиям. Он работал на Тульском механическом заводе, затем создал небольшую компанию по поставкам промышленного оборудования, а потом переехал в Москву и сейчас называет себя владельцем «Центра продвижения инвестиционных проектов». Следов какой-либо деятельности этой компании обнаружить не удалось, а юридическое лицо ООО «Центр продвижения инвестиционных проектов» не существует — в прошлом году Завгородний переименовал его в ООО «Легион-Ремоут», а затем создал ещё одну компанию с таким же названием в Минске. Сферой деятельности обоих предприятий указал разработку программного обеспечения.Артем Завгородний технологиями интересовался. В конце нулевых годов он поступил в Московский государственный университет приборостроения и информатики (МГУПИ) и стал предпринимать попытки зарабатывать в интернете. Для регистрации в различных онлайн-сервисах он выбрал себе ник zavartyom. Электронную почту с этим никнеймом Завгородний-младший использовал для переписки с нами, на неё же, согласно сервису восстановления паролей, зарегистрировал своей первый аккаунт во «ВКонтакте». Те же никнейм и почту он указал на форуме для торговцев криптовалютами Hamaha и в сервисе Foursquare. В профилях во всех его соцсетях и на форуме для трейдеров есть фотографии, на которых изображен один и тот же человек.В начале десятых годов на электронную почту и имя Артема, по данным Reg.ru, было зарегистрировано более десятка различных доменов — xakmen.ru, allblack.ru, forextreme.ru и др., которые zavartyom пытался безуспешно продать на специализированном форуме. В прошлом году на banki.ru появилось сообщение zavartyom о поиске банка «для ООО, вопросы про обнал». Спустя год на форуме Dark Money — одном из крупнейших для общения по вопросам обналичивания — zavartyom пытался продать данные о банковских картах, предложив купить у него три карты МТС Банка за 6500 руб. Двумя годами позже zavartyom появился на форуме Vor.nz (позиционирует себя как форум для нелегальных операций с банковскими картами, то есть процессинга крипты) и на предложение одного из пользователей обучить процессингу оставил сообщение: «Буду рад поработать с тобой». В том же году Завгородний-младший окончил университет и в конце десятых годов работал в компании отца. На его странице в LinkedIn указано, что он был венчурным партнером «Легион-Ремоут».В этот бизнес он пришел не один. С середины десятых годов системным аналитиком в «Легион-Ремоут» работал Иван Аляпкин из Пензы, говорится в его резюме, размещенном на сайте SuperJob. Это однокурсник Завгороднего по МГУПИ, значится на его странице во «ВКонтакте», этот факт на условиях анонимности подтвердила общая знакомая молодых людей, которая училась вместе с ними.Аляпкин по телефону подтвердил, что работал в «Легион-Ремоут», но сообщил, что компания была «фиктивная». После вопросов, как «Легион-Ремоут» связана с Combi Security и операциями по процессингу крипты, он прервал разговор и перестал отвечать на звонки и сообщения. Артем Завгородний в ответ на вопросы о «Легион-Ремоут» и Carbanak предложил встретиться, чтобы дать комментарии, но отменил встречу. Владимир Завгородний на письма и сообщения не ответил. После расспросов Завгородние и Иван Аляпкин удалили большую часть информации о себе из соцсетей, пропали в том числе и фото пышной церемонии в Царицыно.И имя им «Легион-Ремоут»
Нежелание говорить о «Легион-Ремоут» может быть связано с фактом, что на сайте SuperJob компания Combi Security, которую правоохранительные органы США считают ширмой Carbanak, в некоторых объявлениях сначала фигурировала под именем «Легион-Ремоут», следует из кэша «Яндекса» и Google. В пресс-службе SuperJob подтвердили, что страница компании была зарегистрирована в середине десятых годах и ранее называлась «Легион-Ремоут», а в последствии была переименована в Combi Security. Но в некоторых вакансиях на сайте рекламных объявлений Cataloxy и в справочнике SpravkaForMe.ru по-прежнему указано, что под брендом Combi Security работает «Легион-Ремоут».С середины десятых годов, когда начала работу Carbanak, и до прошлого года «Легион-Ремоут» массово размещала на сайтах по поиску работы практически идентичные с Combi Security вакансии для ИТ-специалистов из России, Белоруссии и Украины, в основном реверс-инженеров — специалистов, которые могут изучить исходный код готовой программы и, при необходимости, внести в него какие-то изменения. Среди требований было базовое понимание разработки эксплойтов, то есть программ для проведения атаки на вычислительные системы с помощью уязвимостей, которые есть в установленном на этой системе софте.«В поисках квалифицированных кадров дроповоды часто пытаются замаскировать предложения работы, связанной с написанием вредоносного кода, под легальные вакансии. Конечно, реверс-инженеры могут быть наняты для легитимных целей, но когда от кандидатов требуется понимание разработки эксплойтов, навыки работы с инъекциями в процесс (внедрение кода программы в другую, не нарушающее функционирования последней) и другие умения, которые ценятся среди авторов вредоносного ПО, это может косвенно указывать на попытку маскировки вакансии вирусописателя», — рассказывает руководитель нашего исследовательского центра.В интернет-архиве Wayback Machine сохранилась версия сайта legion-remote.com от декабря прошлого года, согласно которой компания специализировалась на разработке системы удаленного доступа и зарегистрирована в Москве, на Волгоградском проспекте. Этот же адрес указан для ООО «Легион-Ремоут» в ЕГРЮЛ, однако найти там офис этой компании нам не удалось: опрошенные сотрудники фирм, снимающих офисы по этому адресу, никогда не слышали о «Легион-Ремоут».Дмитрий Брындин сообщил нам, что «Лаборатория Касперского» ведет собственную базу легального программного обеспечения и каких-либо упоминаний о «Легион-Ремоут» в ней нет. «Отсутствие цифровых следов о «Легион-Ремоут» в сочетании с объявлениями о работе, в которых одновременно упоминаются «Легион-Ремоут» и Combi Security, использование адреса массовой регистрации для «Легион-Ремоут» ставят под сомнение подлинность компании и позволяют предположить, что существует вероятность, что «Легион-Ремоут» — ещё одна подставная компания для Carbanak», — подтвердил наши выводы старший аналитик американской компании по информбезопасности Digital Shadows Николай Плешаков.Но «Легион-Ремоут» по-прежнему существует минимум на бумаге. Московское ООО сейчас находится в негативном реестре: компания не предоставляла налоговую отчетность более года. Структура из Минска включена в реестр лжепредпринимателей и готовится к ликвидации.Работа на анонимного дядю
Бывший сотрудник Combi Security, на условиях анонимности пообщавшийся с нами, утверждает, что устроился туда как раз по объявлению на сайте поиска работы. По его словам, он и коллеги не подозревали, что занимаются чем-то противозаконным, и не были знакомы друг с другом. «В глаза я никого не видел. Все проходило удаленно: давалось задание и время на выполнение, мы возвращали результат. К процессингу крипты и фиата на банковские карты через дропов и POS-терминалам конкретно моя группа ни разу не прикасалась. Собственно, все были уверены, что мы работаем как red team (команда пентестеров, которые имитируют атаку на информационные ресурсы), но легально», — говорит он.Никого из менеджмента Combi Security, по его словам, он не знал, с тремя арестованными гражданами Украины, которых обвинили в участии в Carbanak, не знаком, с Артемом и Владимиром Завгородними — тоже. Партнер юридической фирмы Bukh Global Аркадий Бух, который защищает арестованного по запросу США Федора Гладыря, утверждает, что тот тоже не знаком не только с Артемом и Владимиром Завгородними, но и с Андреем Колпаковым и Дмитрием Федоровым, но что в среде дроповодов это обычное дело.«Культура форумов в даркнете, где обычно знакомятся дроповоды с операторами процессинга, такова, что никто ни у кого не спрашивает имена и не встречается лично. Доступ сюда предоставляется по рекомендациям и за определенную плату, которая может составлять до $50.000. По этой причине люди, которых обвиняют в участии в хакерских группировках, в большинстве случаев ничего не знают друг о друге, хотя и могли работать вместе», — говорит Бух. Адвокат Дмитрия Федорова Колин Фиман не ответил на просьбы о комментариях. Запросить Колпакова не удалось — у него нет адвоката, следует из материалов дела.Обнал на миллиард
Из-за использования компаний, которые занимаются пентестами, в качестве ширм процессинга появилось предубеждение, что этичные специалисты, которые действительно ищут уязвимости и делают пентесты для проверки защищенности различных компаний, также могут участвовать во взломах. Однако Юрий Гуркин, руководитель компании Gleg, занятой исследованиями уязвимостей в промышленном программном обеспечении, в это не слишком верит. «Сейчас вокруг пентеста ходит масса слухов, что «белые» хакеры могут промышлять несанкционированными взломами, но я не знаю прецедентов, когда это было бы доказано. Власти США, например, обвиняли в чем-то подобном компанию Digital Security, но доказательств не представили, так что это скорее политика», — утверждает он. Российская Digital Security, которая занимается пентестами, попала под санкции США в июне прошлого года. Министерство финансов обвинило её в неавторизованной киберактивности. Но глава Digital Security Илья Медведовский все обвинения в адрес своей компании отвергал.В любом случае, пентест — уже значительный рынок в России, его объем по итогам прошлого года составляет примерно 1 млрд руб., сообщили нам в компании Zecurion. Только за прошлый год на сайте hh.ru было опубликовано 178 вакансий, в описании которых в качестве обязательного навыка указано умение работать с эксплойтами, а годом ранее таких вакансий на сайте было 150. Проблема лишь в том, что они могут использоваться как при пентестах, так и при проведении настоящих хакерских атак.Разработка эксплойтов, согласно ст. 273 УК России, незаконна, но следственным органам ещё нужно доказать, что программа действительно является вредоносной, поясняет юрист Центра цифровых прав Саркис Дарбинян. «В теории компании могут нанимать специалистов со знанием разработки эксплойтов для абсолютно легальных целей. Однако массовый поиск таких специалистов компанией, которая не занимается таким тестированием и вообще неизвестна на рынке, может быть предметом для дополнительного интереса», — говорит Дарбинян.Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков говорит, что «исследование уязвимостей, тестирование на проникновение и разработка специализированного софта могут использоваться во вред без ведома самого сотрудника, особенно если он не слишком опытный. Вредоносное программное обеспечение обычно имеет сложную составную структуру, и некоторые функциональные модули могут не содержать явных признаков того, что их планируется использовать в нелегитимных целях».Дрюков предупреждает, что соискателям стоит быть осторожнее и обращать внимание на задачи, которые им предлагает решить компания. Например, подозрительным является требование реализовать в исходном коде разрабатываемого софта функции, направленные на сокрытие его активности, в особенности от средств защиты. Кроме того, стоит обращать внимание на отсутствие какой-либо коммуникации с заказчиком или вендором, чьи инфраструктуры и продукты проверяются, а также дополнительные вопросы от работодателя о вариантах использования результатов работы — найденных уязвимостей и других брешей в защите компании. Но гарантий нет, заключает Дрюков. -
Как делают процессинг на карты и банковские счета дропов
Примерно 1,1 млн человек пришлось поделиться с дроповодами и оператором процессинга из Новосибирска не только своим транзакционными данными, но и сведениями о номерах социального страхования, которые находились в распоряжении электронной платежной системы финансового провайдера RBS WorldPay, принадлежащей банку Royal Bank of Scotland.
Персональные данные почти 1,5 млн человек оказались оказались в распоряжении грамотного оператора процессинга, который получил доступ к базе данных банковской системы, успешно проэксплуатировав SQL инъекцию клиентского Web портала Royal Bank of Scotland.
Однако в финале купленные на обналиченные деньги дорогие иномарки и недвижимость пришлось переоформить на незнакомых дроповоду лиц, которые и помогли ему остаться на свободе.
В прошлом году жителю Новосибирска Алексею Аникину удалось получить доступ к базе данных RBS WorldPay. На основе полученных данных о TRACK2 и пин-кодов реальных банковских карт были изготовлены копии банковских карт, так называемый «белый пластик», по которому в течение 12 часов в банкоматах по всему миру и произошло обналичивание денег.
Сколько всего дропов и дроповодов насчитывала обнальная сеть, до сих пор не известно, однако совершенно очевидно, что снятие денежных средств из ббанкоматов происходило в 280 городах в США, на Украине, в России, Эстонии, Италии, Японии и ряде других стран.
-
Как работать в процессинге на Украине через карты и счета неразводных дропов?
Сегодняшняя экономика Украины смертельно больна. Для того, чтобы работать в «белую», нужно иметь ОЧЕНЬ прибыльный бизнес с минимальными затратами.
Либо отмывать прибыли при помощи офшоров и возврата НДС. Либо иметь возможность его компенсировать, не работая на экспорт. Или, еще несколько схем – через розницу, но, это для тех, кто может. Остальным, для того, чтобы выжить, и платить более или менее нормальную заработную плату, нужно этот самый НДС куда-то девать, дописывая расходы.
Система построенная во второй половине 90-х стариком Козлодоевым, любителем капусты и украинского язiка и его фондом «Профессионал», не только не рухнула, но успешно простояла почти до середины второго десятилетия, многократно мутируя и модернизируясь. Крышевали этот бизнес все понемногу – и прокуратура, и налоговая, и СБУ, и кое-где, даже доблестная «милицiя». Если вначале тарифы на «помывку» были божеские и составляли 3-5%, то в начале десятых годов всех участников процесса собрали в одном месте и строго-настрого предупредили, что крыша у всех теперь одна. И тарифы поднимаются в 2-3 раза. Без вариантов. То есть на выходе – от 9 до 12% комиссии от суммы. Почти на пределе, если заплатить нормальный НДС, но, все-таки, гораздо меньше, если заплатить еще и налоги на зарплату.
Тех, кто пытался поработать «налево» быстро вычислили и поставили на место. Схемы с векселями, успешно отработанные в конце 90-х, грамотные крышеватели тоже перекрыли. Поэтому хочешь – не хочешь, а всем «прачечным» пришлось работать под крышей минсдоха. Зато с оформлением никогда проблем не было.
Адреса таких фирм передавались из уст в уста, функционировали, особо не скрываясь, миллионы гривен возились мешками и рюкзаками, охрана была из «своих», система работала как часы.
Предпринимателей, в целом, ситуация тоже устраивала, т.к. во время проверок оборот по этим фирмам никто «не замечал». Введение реестров налоговых накладных позволяло проконтролировать процесс с двух сторон – не «крысят» ли денежку помывщики.
В целом, наемные работники тоже не возмущались, когда получали деньги по ведомости и в конверте, потому что всем понятно, что в этой системе если не подшустришь – не проживешь.
И вот настало 21 февраля 2014-го года. Система обнала без хозяина остановилась. Вместе с ней рухнула и система наличных платежей, во многих местах стали задерживать зарплаты. Кто-то, правда, заработал, на свой страх и риск, многие просто затаились, надеясь «договориться», как обычно, ведь в остальных местах должности вполне успешно покупаются, значит с новыми хозяевами все будет отлично.Что же делать в этой ситуации? Думаю, нужно принять волевое решение о смене системы налогообложения и устранения этой коррупционной схемы, которая позволила бы нормально выплачивать заработную плату, не кормя цепочку «прачечных» и их хозяев и не разоряя предприятия до трусов. Хотел бы услышать аргументированные ответы.
Но то, что отрыжка Азарова должна быть уничтожена – не подлежит никакому сомнению.