Работа в Стамбуле

Блог

  • Зачем нужен трафик для работы в процессинге?

    Зачем нужен трафик для работы в процессинге?

    Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать процессить фиат или крипту, и причём по-крупному.

    банкеры CarberP и ZeUS на службе дроповодам

    И тут сразу возникает вопрос о покупке банковского бота или банкера. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми, и их можно запросто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на машине холдера, перед загрузкой основного тела программы банковского бота.

    Однако это ещё только начало… чтобы что-либо процессить с помощью этих инструментов их панели управляения для начала нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк или мобильное приложение, и только после этого можно приступать к основной части работы.

    Во Львове и Ивано-Франковске недавно разговаривал со многими дроповодами, и все мне рассказывали об одной и той же проблеме — сейчас практически стало невозможно достать качественный трафик, где бы присутствовало много пользователей дистанционных банковских услуг или владельцев смартфонов, с установленными банковскими приложениями.

    Поэтому основное вложение в этом бизнесе сейчас уже приходится делать не в программное обеспечение (его и так можно бесплатно скачать в интернете), а в покупку качественного целевого трафика. Самый хороший трафик, это тот, который идет с лома в одни руки или снимается с Multihomed AS транзитного провайдера, например RETN или Евротранстелеком напрямую.

    Но увы, такого трафика на рынке практически нет, и его приходится добывать самому. Проверенный дроповод, при наличии хорошего трафика, в месяц может зарабатывать до 1 млн. Евро и даже больше, и это не оборот процессинга, а уже цифры чистого заработка.

  • Как найти сотрудника банка или телекома для слива данных

    Как найти сотрудника банка или телекома для слива данных

    Теневой рынок Восточной Европы, связанный с получением конфиденциальной информации, в последние годы сильно разросся и вследствие этого обзавелся развитой инфраструктурой. В частности, появились различные сервисы, которые занимаются поиском персонала в банках и телекомах. Таких сервисов, по нашим подсчетам в даркнете насчитывается около 73. Однако, работающие в них вербовщики могут одновременно заниматься также поиском сотрудников в сотовых компаниях и других учреждениях, которые имеют доступ к персональной информации и не только.
    Сотрудники Ростелекома всегда согласны на подработку
    Большое количество групп, предоставляющих такие услуги, обусловлено тем объемом работы, которая на них сваливается, в сети их действительно много. Конечно, следует сделать поправку на то, что в даркнете один дроповод может создать сразу несколько сервисов и заниматься их раскруткой под разными названиями, но можно предположить, что один дроповод вытянет управление максимум тремя. Не стоит забывать, что в даркнете важным является понятие репутации, поэтому в большинстве случаев дроповоды раскручивают только одно представительство.
    Это обстоятельство, описанное выше, может сократить количество сервисов по поиску инсайдеров максимум наполовину, но в реальности их число, скорее всего, равно 50, что в любом случае много.
    Если заказов на получение конфиденциальной информации мало, то наём инсайдера в банке или телекоме происходит лично «пробивщиком». Однако, сейчас количество таких «просьб» в некоторых сервисах доходит до 50 в день, то есть их хватает для содержания целой индустрии. Поэтому поиском инсайдеров и занимаются специализированные структуры.
    Все схемы дроповодов с использованием персональных данных сейчас успешны и эффективны, поэтому нарушители активно ищут инсайдеров в банках и телекомах, обнальные группы, в том числе и в местах лишения свободы, могут эту информацию монетизировать, пользуясь возможностями по хищению и выводу денежных средств. Организации зачастую не хотят тратиться на средства и работу по защите этих данных, а также экономят на зарплатах сотрудников и инженеров электросвязи. В результате появляется целый пласт наёмных служащих, которые мало мотивированы, да ещё и видят, что корпоративную информацию никто не защищает, и её легко и относительно безопасно можно продать на стороне.
    В отличие от самих «пробивщиков», которые открыто размещают свои объявления на форумах даркнета и в Telegram, вербовщики — это более засекреченная «каста». Они рассказывают о себе лишь в специализированных чатах, либо рекламируя свои услуги сообщениями напрямую заказчику.

    Цена вопроса

    По нашим данным, вербовщик получает от «пробивщика» в среднем 300 долларов за каждого сотрудника. В задании указываются критерии поиска — например, позиция в организации. Дальше заказчик просто ждёт, пока вербовщик скинет ему в Telegram или Jabber контакты готового к работе сотрудника. Ожидание в среднем длится 5–7 суток.
    Стоимость вербовки колеблется от 100 до 1.500 долларов и зависит от сложности задачи. Если служба безопасности банка работает эффективно, цена будет намного выше.
    «Наем» сотрудника происходит обычно через социальные сети, мессенджеры, личные контакты, LinkedIn. Однако до сих пор существуют и вербовщики, которые работают вживую в полях. Эти люди подходят к сотрудникам банков, например, в курилках, и предлагают им подзаработать, в своем выборе они ориентируются на бейдж работника. Обычно это общительные и харизматичные парни 21–25 лет. В практике был случай, когда вербовщик — бывший банковский служащий — просто приходил к своему офису, останавливал действующих сотрудников и предлагал деньги за пробив.
    Однако, гораздо чаще сообщения присылают просто через Telegram. Одно из них поступило и нашему специалисту. Для того, чтобы убедиться в его рабочем статусе, специалист представился сотрудником Сбербанка из Москвы с доступом к информации о паспортных данных, номеру карты и мобильному телефону клиента. Вербовщик уточнил, есть ли у будущего инсайдера доступ к информации об остатках по счетам. За каждый пробив такой информации специалисту было обещано 50 долларов, но с примечанием, что этот заработок может быть нерегулярным — от двух запросов в неделю до десяти в день. «Рынок плавающий, — написал вербовщик, — всё зависит от количества клиентов. Бывает так, что придется один счет каждый день по два раза пробивать на остаток, ждать, пока туда упадут деньги, и сообщать мне».
    После этого специалист договорился подробнее узнать об условиях вечером, но так и не написал вербовщику повторно. Однако, через полторы недели вербовщик сам вышел на связь с предложением посмотреть баланс.

    Ревнивые супруги и хакеры

    Точное количество сервисов по вербовке назвать сложно, одни дроповоды точечно ищут людей, которые работают в определенных банках. Другие — хантят сотрудников любых финансовых учреждений. Существуют услуги предоставления части базы банка по выборке. Например, есть некий дроповод, желающий узнать ФИО VIP-клиентов, у которых на карточных балансах более 1 млн рублей. Дроповод просит через сервис пробива сделать выгрузку выборки с персональными данными. Потом по клиенту могут работать разводилы, для того чтобы вывести деньги. Второй вариант запроса — кодовое слово. То есть у дроповода уже есть данные какой-то карты и ему надо вывести деньги, но не хватает кодового слова.
    Кроме дроповодов, подобными услугами пользуются представители конкурентных организаций, ревнивые супруги и хакеры. Они являются основными покупателями на этом рынке. В штате у пробив-сервиса вполне может быть от 5 до 30 инсайдеров. Притом в некоторых особо популярных банках вербуются сразу нескольких человек, чтобы распределить нагрузку. Сервисы стараются не нагружать одного сотрудника более чем двумя заказами в день, потому как мониторинг активности инсайдера может быть отслежен службой безопасности банка, в котором он официально трудоустроен.
    поиск инсайдеров в прилегающих к Ростелекому кафе
    В последние несколько лет спрос на услуги и сервисы по обеспечению защиты финансовых организаций стабильно высок.
    Обычно службы безопасности банков и коммерческие SOCи проводят анализ сети, содержимого журналов, жестких дисков, запросов к базам данных, это позволяет отвечать на вопросы, откуда, как и когда были получены украденные данные, под какими учетными записями был доступ, с каких устройств. Понять, был ли это инсайдер или нет, обычно пытается сама организация на основании информации, полученной от технических экспертов. В последнее время участились обращения из финансовых организаций с просьбой провести пентесты (тестирование на проникновение).
    Ранее мы направляли в топ-30 банков запрос, обладают ли они информацией по возможной вербовке их сотрудников, и были ли в прошлом году зафиксированы случаи утечек. В Сбербанке от комментариев отказались. В ВТБ сообщили лишь, что постоянно проводят работу по предотвращению случаев утечек данных.
    Обычно в банке осуществляется разграничение прав доступа к информации, ведётся учет работников, имеющих доступ к защищаемой информации, используются технические средства контроля потенциальных каналов утечки, также уделяется повышенное внимание контролю над действиями работников, ознакомившихся с конфиденциальными данными, в том числе IT-специалистов.
  • Новый софт для сбора информации через PoS-терминалы

    Новый софт для сбора информации через PoS-терминалы

    Дроповоды похищают личную информацию клиентов, продают её или используют для кибершпионажа и процессинга фиата на банковские счета неразводных дропов.

    В сети появился новый софт, предназначенный для сбора данных держателей банковских карт через POS-терминалы, получивший название POSCloud. Его жертвами стали крупные продуктовые магазины, компании, занимающиеся розничной торговлей и малые предприятия. Атаки осуществлялись через web-браузеры Internet Explorer, Safari и Google Chrome.

    процессинг фиата на карту разводного дроппера

    Cогласно мнению бывшего подрядчика АНБ и сотрудника Booz Allen Hamilton Эдварда Сноудена системы front-офиса способны работать с устройствами, считывающими кредитные карты, сканерами штрих-кодов, кассовыми аппаратами и чековыми принтерами.

    Системы back-офисов работают с POS-терминалами. Это означает, что торговые компании имеют возможность хранить информацию и отчеты в общественной или как её ещё называют — облачной инфраструктуре. Таким образом, доступ к информации можно получить при помощи персонального компьютера или мобильного устройства.

    Несколько, основанных на использовании облачных вычислений, POS систем позволяют хранить данные банковской кредитной карты для дальнейшего использования их пользователями, а также информацию личного характера для проведения кампаний лояльности. В случае, если данные зашифрованы при хранении в облаке, дроповоды могут собирать информацию, когда оператор работает с POS-терминалом, на который установлен кейлоггер.

    Полученная дроповодами информация продается или используется для кибершпионажа против огромного числа пользователей из разных стран.

    Сноудену удалось обнаружить командные серверы дроповодов. Ему также удалось установить, что дроповоды используют определенный тип банковского бота, который действует как загрузчик. Он загружает и устанавливает дополнительные модули, предназначенные для перехвата личных данных клиентов магазина или отеля и обнаружения сетевого подключения POS-терминала к определенному провайдеру.

    В ближайшем будущем, Эдвард Сноуден прогнозирует рост числа инфицированных устройств преимущщественно в США, потому как там большиство до сих пор пользуется нечипованными банковскими картами с магнитной полосой.

  • На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    Точка обмена межоператорским трафиком MSK-IX. расположенная на площадке М9 приступила к созданию «резервной копии» Рунета, об этом нам сообщили в среду, 6 июля, со ссылкой на источники в Ростелекоме.
    маршрутизация трафика на площадке М9
    Уже этой осенью может появиться резервная копия части инфраструктуры российского сегмента. Для этого автономная некоммерческая организация АНО MSK-IX создала отдельный фонд «Индата». Он будет заниматься развитием сетевых технологий, сообщил нам исполнительный директор фонда Александр Степанов и подтвердил глава MSK-IX Алексей Платонов. На первом этапе АНО инвестирует в этот фонд около 70 млн рублей.
    Фонд займется «макроскопическими исследованиями интернета», то есть анализировать маршрутизацию трафика и взаимодействие между собой автономных систем. Это позволит выявлять проблемы в маршрутизации и создать ряд web-инструментов, позволяющим российским инженерам электросвязи в режиме реального времени получать информацию о состоянии Сети и их взаимодействии друг с другом. После исследований будет создана единая система, объединяющая базы данных IP-адресов голландской регистратуры RIPE NCC (занимается распределением IP-адресов между операторами связи, в том числе российскими), и других регистратур (всего в мире существует пять таких организаций), а также базы данных маршрутной информации интернета.​
    Сейчас каждый оператор самостоятельно определяет политики маршрутизации трафика. Компании «отмечают» свои маршруты в базе данных. Уничтожение части информации из этой базы может привести к сбоям во всем интернете. Создаваемая система будет некоммерческой, а ее использование для операторов будет добровольным, сообщил Брындин. 
    В MSK-IX также подчеркнули о независимости фонда от Ростелекома. Компания «МегаФон» имеет собственную систему защиты от DDoS-атак, что «гарантирует клиентам отражение самых мощных атак», сообщила представитель компании Юлия Дорохина. Представители других операторов комментариев не дали по поводу самой инициативы АНО MSK-IX и ее перспектив.
    Наши эксперты отмечают, что Минкомсвязи пытался разработать «дубль» на государственном уровне еще в 2014 году. Идея возникла после обострения политической обстановки и опасений, что в критической ситуации российский интернет будет изолирован от глобальной сети. При этом идея создания системы в MSK-IX появилась еще год назад и не была связана с разрабатываемым Минкомсвязи законопроектом, заверяет Рыбников.
    В феврале 2016 года Минкомсвязи разработало законопроект о госконтроле интернет-трафика. Ведомство предложило создать систему мониторинга, которая позволит органам государственной власти понимать работу российского сегмента интернета. Закон обосновали необходимостью государства защищать рунет от внешних атак. 
    В мае Минкомсвязи опубликовало поправки в госпрограмму «Информационное общество», в которых планируется, что к 2020 году 99% российского интернет-трафика будет передаваться внутри страны. 
    На данный момент существует несколько вариантов законопроекта, ни один из которых публично не обсуждался. Судоплатов заявил, что идея создания системы в MSK-IX никак не связана с проектом Министерства.
  • Carbanak — почти легальный процессинг и работа дропом

    Carbanak — почти легальный процессинг и работа дропом

        Никто ни у кого не спрашивает имена и не встречается лично или про то, как простому птушнику влиться в международный бизнес по процессингу крипты
        Операторы процессинга и дроповоды всё чаще маскируются под легальные ИТ-компании и ищут пентестеров на популярных сайтах по поиску работы. По такой схеме московская фирма несколько лет нанимала людей, которые не подозревали, что окажутся на тёмной стороне.
    прибавка к зарплате или процессинг на карты дропов
        Летом прошлого года американский Минюст сообщил об аресте трех участников группировки Carbanak. Группу считают причастной к взлому более 100 американских компаний и хищению данных 15 млн банковских карт. Carbanak с 2015 года совершала преступления не только в США, но и в Великобритании, Австралии и Франции. Арестованным по этому делу гражданам Украины Федору Гладырю, Дмитрию Федорову и Андрею Колпакову вменяют многочисленные эпизоды банковского мошенничества, компьютерных взломов и краж личных данных. Все они были высокопоставленными участниками хакерской группы, утверждают правоохранительные органы США.
        Однако, по заявлению ряда изданий, Carbanak продолжает создавать программное обеспечение для процессинга и проводить нелегальные операции с криптовалютой, а множество её участников, по данным Минюста, остаются на свободе. Поиск людей в Carbanak все эти годы был организован масштабно: дроповоды открыли фиктивную компанию Combi Security, которая официально занималась пентестами (тестирование защищенности ИТ-систем), и от имени которой искали сотрудников на сайтах по поиску легальной работы. Combi Security оказалась не единственной ширмой операторов процессинга.
        Нам стало известно, как выпускники московского технического вуза создали ещё одну компанию, связанную с Carbanak, и нанимали людей, которые сами того не зная, оказались «процессорами крипты».

        Семейный IT-подряд

        Весной прошлого года семья Завгородних из Тулы праздновала свадьбу сына, 25-летнего Артема. Гуляли в Москве, в украшенном золотом и лепниной Большом дворце, построенном в конце XVIII века в парке «Царицыно». Отец Артема Владимир Завгородний охотно делился снимками в соцсетях: он запечатлел себя рядом с украшенным цветами BMW, купленным незадолго до торжества, затем позировал в центре богато украшенного зала. 
        Владимир долгое время не имел отношения к информационным технологиям. Он работал на Тульском механическом заводе, затем создал небольшую компанию по поставкам промышленного оборудования, а потом переехал в Москву и сейчас называет себя владельцем «Центра продвижения инвестиционных проектов». Следов какой-либо деятельности этой компании обнаружить не удалось, а юридическое лицо ООО «Центр продвижения инвестиционных проектов» не существует — в прошлом году Завгородний переименовал его в ООО «Легион-Ремоут», а затем создал ещё одну компанию с таким же названием в Минске. Сферой деятельности обоих предприятий указал разработку программного обеспечения.
        Артем Завгородний технологиями интересовался. В конце нулевых годов он поступил в Московский государственный университет приборостроения и информатики (МГУПИ) и стал предпринимать попытки зарабатывать в интернете. Для регистрации в различных онлайн-сервисах он выбрал себе ник zavartyom. Электронную почту с этим никнеймом Завгородний-младший использовал для переписки с нами, на неё же, согласно сервису восстановления паролей, зарегистрировал своей первый аккаунт во «ВКонтакте». Те же никнейм и почту он указал на форуме для торговцев криптовалютами Hamaha и в сервисе Foursquare. В профилях во всех его соцсетях и на форуме для трейдеров есть фотографии, на которых изображен один и тот же человек.
        В начале десятых годов на электронную почту и имя Артема, по данным Reg.ru, было зарегистрировано более десятка различных доменов — xakmen.ru, allblack.ru, forextreme.ru и др., которые zavartyom пытался безуспешно продать на специализированном форуме. В прошлом году на banki.ru появилось сообщение zavartyom о поиске банка «для ООО, вопросы про обнал». Спустя год на форуме Dark Money — одном из крупнейших для общения по вопросам обналичивания — zavartyom пытался продать данные о банковских картах, предложив купить у него три карты МТС Банка за 6500 руб. Двумя годами позже zavartyom появился на форуме Vor.nz (позиционирует себя как форум для нелегальных операций с банковскими картами, то есть процессинга крипты) и на предложение одного из пользователей обучить процессингу оставил сообщение: «Буду рад поработать с тобой». В том же году Завгородний-младший окончил университет и в конце десятых годов работал в компании отца. На его странице в LinkedIn указано, что он был венчурным партнером «Легион-Ремоут».
        В этот бизнес он пришел не один. С середины десятых годов системным аналитиком в «Легион-Ремоут» работал Иван Аляпкин из Пензы, говорится в его резюме, размещенном на сайте SuperJob. Это однокурсник Завгороднего по МГУПИ, значится на его странице во «ВКонтакте», этот факт на условиях анонимности подтвердила общая знакомая молодых людей, которая училась вместе с ними.
        Аляпкин по телефону подтвердил, что работал в «Легион-Ремоут», но сообщил, что компания была «фиктивная». После вопросов, как «Легион-Ремоут» связана с Combi Security и операциями по процессингу крипты, он прервал разговор и перестал отвечать на звонки и сообщения. Артем Завгородний в ответ на вопросы о «Легион-Ремоут» и Carbanak предложил встретиться, чтобы дать комментарии, но отменил встречу. Владимир Завгородний на письма и сообщения не ответил. После расспросов Завгородние и Иван Аляпкин удалили большую часть информации о себе из соцсетей, пропали в том числе и фото пышной церемонии в Царицыно.
    дополнительный доход от процессинга

        И имя им «Легион-Ремоут»

        Нежелание говорить о «Легион-Ремоут» может быть связано с фактом, что на сайте SuperJob компания Combi Security, которую правоохранительные органы США считают ширмой Carbanak, в некоторых объявлениях сначала фигурировала под именем «Легион-Ремоут», следует из кэша «Яндекса» и Google. В пресс-службе SuperJob подтвердили, что страница компании была зарегистрирована в середине десятых годах и ранее называлась «Легион-Ремоут», а в последствии была переименована в Combi Security. Но в некоторых вакансиях на сайте рекламных объявлений Cataloxy и в справочнике SpravkaForMe.ru по-прежнему указано, что под брендом Combi Security работает «Легион-Ремоут».
        С середины десятых годов, когда начала работу Carbanak, и до прошлого года «Легион-Ремоут» массово размещала на сайтах по поиску работы практически идентичные с Combi Security вакансии для ИТ-специалистов из России, Белоруссии и Украины, в основном реверс-инженеров — специалистов, которые могут изучить исходный код готовой программы и, при необходимости, внести в него какие-то изменения. Среди требований было базовое понимание разработки эксплойтов, то есть программ для проведения атаки на вычислительные системы с помощью уязвимостей, которые есть в установленном на этой системе софте.
        «В поисках квалифицированных кадров дроповоды часто пытаются замаскировать предложения работы, связанной с написанием вредоносного кода, под легальные вакансии. Конечно, реверс-инженеры могут быть наняты для легитимных целей, но когда от кандидатов требуется понимание разработки эксплойтов, навыки работы с инъекциями в процесс (внедрение кода программы в другую, не нарушающее функционирования последней) и другие умения, которые ценятся среди авторов вредоносного ПО, это может косвенно указывать на попытку маскировки вакансии вирусописателя», — рассказывает руководитель нашего исследовательского центра.
        В интернет-архиве Wayback Machine сохранилась версия сайта legion-remote.com от декабря прошлого года, согласно которой компания специализировалась на разработке системы удаленного доступа и зарегистрирована в Москве, на Волгоградском проспекте. Этот же адрес указан для ООО «Легион-Ремоут» в ЕГРЮЛ, однако найти там офис этой компании нам не удалось: опрошенные сотрудники фирм, снимающих офисы по этому адресу, никогда не слышали о «Легион-Ремоут».
        Дмитрий Брындин сообщил нам, что «Лаборатория Касперского» ведет собственную базу легального программного обеспечения и каких-либо упоминаний о «Легион-Ремоут» в ней нет. «Отсутствие цифровых следов о «Легион-Ремоут» в сочетании с объявлениями о работе, в которых одновременно упоминаются «Легион-Ремоут» и Combi Security, использование адреса массовой регистрации для «Легион-Ремоут» ставят под сомнение подлинность компании и позволяют предположить, что существует вероятность, что «Легион-Ремоут» — ещё одна подставная компания для Carbanak», — подтвердил наши выводы старший аналитик американской компании по информбезопасности Digital Shadows Николай Плешаков.
        Но «Легион-Ремоут» по-прежнему существует минимум на бумаге. Московское ООО сейчас находится в негативном реестре: компания не предоставляла налоговую отчетность более года. Структура из Минска включена в реестр лжепредпринимателей и готовится к ликвидации.

        Работа на анонимного дядю

        Бывший сотрудник Combi Security, на условиях анонимности пообщавшийся с нами, утверждает, что устроился туда как раз по объявлению на сайте поиска работы. По его словам, он и коллеги не подозревали, что занимаются чем-то противозаконным, и не были знакомы друг с другом. «В глаза я никого не видел. Все проходило удаленно: давалось задание и время на выполнение, мы возвращали результат. К процессингу крипты и фиата на банковские карты через дропов и POS-терминалам конкретно моя группа ни разу не прикасалась. Собственно, все были уверены, что мы работаем как red team (команда пентестеров, которые имитируют атаку на информационные ресурсы), но легально», — говорит он.
        Никого из менеджмента Combi Security, по его словам, он не знал, с тремя арестованными гражданами Украины, которых обвинили в участии в Carbanak, не знаком, с Артемом и Владимиром Завгородними — тоже. Партнер юридической фирмы Bukh Global Аркадий Бух, который защищает арестованного по запросу США Федора Гладыря, утверждает, что тот тоже не знаком не только с Артемом и Владимиром Завгородними, но и с Андреем Колпаковым и Дмитрием Федоровым, но что в среде дроповодов это обычное дело.
        «Культура форумов в даркнете, где обычно знакомятся дроповоды с операторами процессинга, такова, что никто ни у кого не спрашивает имена и не встречается лично. Доступ сюда предоставляется по рекомендациям и за определенную плату, которая может составлять до $50.000. По этой причине люди, которых обвиняют в участии в хакерских группировках, в большинстве случаев ничего не знают друг о друге, хотя и могли работать вместе», — говорит Бух. Адвокат Дмитрия Федорова Колин Фиман не ответил на просьбы о комментариях. Запросить Колпакова не удалось — у него нет адвоката, следует из материалов дела.
    почему инженерам электросвязи мало платят

        Обнал на миллиард

        Из-за использования компаний, которые занимаются пентестами, в качестве ширм процессинга появилось предубеждение, что этичные специалисты, которые действительно ищут уязвимости и делают пентесты для проверки защищенности различных компаний, также могут участвовать во взломах. Однако Юрий Гуркин, руководитель компании Gleg, занятой исследованиями уязвимостей в промышленном программном обеспечении, в это не слишком верит. «Сейчас вокруг пентеста ходит масса слухов, что «белые» хакеры могут промышлять несанкционированными взломами, но я не знаю прецедентов, когда это было бы доказано. Власти США, например, обвиняли в чем-то подобном компанию Digital Security, но доказательств не представили, так что это скорее политика», — утверждает он. Российская Digital Security, которая занимается пентестами, попала под санкции США в июне прошлого года. Министерство финансов обвинило её в неавторизованной киберактивности. Но глава Digital Security Илья Медведовский все обвинения в адрес своей компании отвергал.
        В любом случае, пентест — уже значительный рынок в России, его объем по итогам прошлого года составляет примерно 1 млрд руб., сообщили нам в компании Zecurion. Только за прошлый год на сайте hh.ru было опубликовано 178 вакансий, в описании которых в качестве обязательного навыка указано умение работать с эксплойтами, а годом ранее таких вакансий на сайте было 150. Проблема лишь в том, что они могут использоваться как при пентестах, так и при проведении настоящих хакерских атак.
        Разработка эксплойтов, согласно ст. 273 УК России, незаконна, но следственным органам ещё нужно доказать, что программа действительно является вредоносной, поясняет юрист Центра цифровых прав Саркис Дарбинян. «В теории компании могут нанимать специалистов со знанием разработки эксплойтов для абсолютно легальных целей. Однако массовый поиск таких специалистов компанией, которая не занимается таким тестированием и вообще неизвестна на рынке, может быть предметом для дополнительного интереса», — говорит Дарбинян.
        Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков говорит, что «исследование уязвимостей, тестирование на проникновение и разработка специализированного софта могут использоваться во вред без ведома самого сотрудника, особенно если он не слишком опытный. Вредоносное программное обеспечение обычно имеет сложную составную структуру, и некоторые функциональные модули могут не содержать явных признаков того, что их планируется использовать в нелегитимных целях».
        Дрюков предупреждает, что соискателям стоит быть осторожнее и обращать внимание на задачи, которые им предлагает решить компания. Например, подозрительным является требование реализовать в исходном коде разрабатываемого софта функции, направленные на сокрытие его активности, в особенности от средств защиты. Кроме того, стоит обращать внимание на отсутствие какой-либо коммуникации с заказчиком или вендором, чьи инфраструктуры и продукты проверяются, а также дополнительные вопросы от работодателя о вариантах использования результатов работы — найденных уязвимостей и других брешей в защите компании. Но гарантий нет, заключает Дрюков.