Работа в Стамбуле

Метка: Google

  • Недавняя активность ботнетов и оживление на площадках процессинга

    Недавняя активность ботнетов и оживление на площадках процессинга

    13 января — банковский троян Citadel и европейские банки 
    Согласно  отчету McAfee  первыми целями были объекты в Польше и ряде европейский стран, основная цель — хищение денежных средств. Отчет немного не бьется с той информацией, которую можно воспринимать как достоверную, так как Citadel является одним из популярных и далеко не новых банковских троянов, о котором так объемно можно рассуждать, ссылаясь на многочисленные протрояненные правительственные и индустриальные объекты.   

    монетизация трафика приносит стабильный доход

    17 января — возрождение Blackenergy в части рассылки спамма 
    Обнаружены новые сэмплы и модификации известного DDoS-бота Blackenergy, контрольные центры старых экземпляров которого были заблокированы в прошлом году. Отмечу, что троян квалифицируют как средство реализации рассылок, хотя первоначально все технические характеристики и его применение в составе ботнетов характеризовали его как DDoS-бота, активно использующегося в среде киберпреступников по причине простоты настройки, достаточно качественного кода и способности реализации разноплановых атак с применением множественных потоков.  


    20 января — распространение мобильного вредоносного кода под российские банки 
    На Google Play  появились  фейки приложений для мобильного доступа к ДБО Сбербанка и Альфа-банка. Group-IB осуществила удаление вредоносов путем взаимодействия с Google, после чего провела  анализ  отдельного экземпляра, в ходе чего были выявлены 2 управляющих центра, 1 из которых ранее распространял Carberp. 


    23 января — блокирование ботнета Virut 
    В настоящее время в состав ботнета Virut входят сотни тысяч зомби-машин. Symantec в конце 2012 года регистрировала порядка 308 тыс. активных ботов в сутки, отмечая их высокую концентрацию в Египте, Пакистане, Индии и Индонезии. В совместной  операции  при участии Spamhaus, Group-IB, NASK и CERT Польши были локализованы и заблокированы основные центры управления ботнетом.  


    31 января — “Покерный” ботнет и Facebook 
    Впервые ботнет PockerAgent был обнаружен в 2012 году. Троян предназначен для похищения учётных данных, а частности информации о кредитных картах участников социальной сети Facebook, которые используют игровое приложение Zynga Pocker. Основной регион его активности – Израиль, где было зафиксировано более 800 случаев проявления трояна. На сегодняшний день им уже похищены данные 16194 учётных записи. PockerAgent имеет несколько вариаций и относится к семейству MSIL/Agent.NKY. Троян написан на языке С# и легко декомпилируется. И после изучения исходного кода вируса, было обнаружено, что троян получает доступ к аккаунту жертвы, собирает статистику оплат и данные средств оплаты (кредитных карт) услуг в игре Zynga Pocker, а затем отправляет эти данные на удаленный C&C сервер .  


    Начало февраля — тоже бурное, обнаружен ZeroAccess, ботнет таргетированный на реализации подмене выдачи поисковых систем и фрода в BitCoin, что является немалой экзотикой. В данный момент насчитывает порядка 140 000 зараженных машин.  


    Отдельно в наступившем году стоит говорить о новой модификации банковского трояна Carberp с включенным модулем для заражения MBR-записи, количество ботнетов которого в мире растет с каждой новой продажей в руки киберпреступников. Группа продолжает вести активную деятельность по разработке и совершенствованию указанного банковского трояна.  


    В свою очередь, вчера на  Инфофоруме  выступал Никита Кислицин, руководитель стратегического развития Group-IB Bot-Trek™, уникального проекта по мониторингу ботнетов для проактивного предотвращения фрода в банках и злонамеренной активности в телекоммуникационной отрасли. В этом году о проекте узнают более подробно, так как он выйдет в массы и позволит эффективно бороться с мошеннической активностью, опережая ее реализацию.

  • Private data leakage from Swiss Bank

    Private data leakage from Swiss Bank

    A hacking group leaked identifying details about 30,000 clients of a small Swiss bank, after Banque Cantonale de Geneve (BCGE) declined the group’s request to pay a ransom.

    Swiss Bank data breach

    The hackers’ asking price for continued privacy: Ten. thousand. euros.

    The hack and its seemingly small-scale demand — $12,000 at current exchange rates — speak to the prevalence and ease of a rapidly growing extortion industry that deals in stolen or hijacked data.

    At around 6 p.m. central European time, the hacking group, which calls itself Rex Mundi, offered a link that it said contained purloined e-mails with clients’ names, phone numbers and account numbers, as well as their e-mails with the bank. The group said it will post the data tomorrow on its website.

    In a statement on its web site, Banque Cantonale de Geneve confirmed the client details had been released but said the information didn’t represent a financial risk for clients or the bank. It said it is conducting deeper analysis with authorities and that additional security measures put in place earlier this week have been effective.

    Earlier in the day, Banque Cantonale de Geneve said it “stands with its decision” to refuse the ransom demand, according to Helene De Vos Vuadens, a spokeswoman for the bank.

    Little Doubt

    That left little doubt that the information would be released, according to Chase Cunningham, a security analyst at FireHost, a security company based in Richardson, Texas.

    “One thing you can say about these guys is that you have to take them very seriously,” said Cunningham. “If you don’t pay up they are going to try to make you suffer.”

    The Rex Mundi hackers are a well-organized part of a broader legion of online hijackers whose tools include ransomware, a virus that locks up home computers and requires a payment from victims to release their data. In that case, home-computer owners can make the payments via credit card to the hackers, who often operate out of Eastern Europe or Russia, according to security experts.

    Rex Mundi has perfected a similar small-bore shakedown focusing on companies, Cunningham said. They scan for vulnerabilities in company networks, quickly extract data, ransom it for small amounts and then move on.

    Leaked E-Mails

    Earlier this week, the hackers released a statement that included two stolen e-mails to verify they had the data.

    “If we do not get paid in the meantime, we will post the Banque Cantonale de Geneve #leak tonight on our website,” Rex Mundi said on Twitter earlier today. “We would like to wish a merry tax audit to all the non-Swiss account holders listed in the BCGE files.”

    A later tweet from the account added: “It is easier to get 10 companies to pay 10K than to get 1 company to pay 100K.”

    Client information from Swiss banks has, in the past, been an object of particular scrutiny. Customer data from HSBC Holdings Plc’s Swiss unit provided to French authorities in 2008 led to a probe against the bank. The data was obtained by Herve Falciani, a software technician.

    BCGE is taking part in a U.S. program that allows Swiss banks to voluntarily disclose information on how they helped clients hide money from the Internal Revenue Service. In exchange, they may receive non-prosecution deals in relation to allegations that they fostered tax-evasion through cross-border accounts held by U.S. clients.

    Client Contacts

    The bank, which is partly owned by the canton of Geneva, said in statements that all affected clients were being contacted by their advisers.

    The Rex Mundi hacking group has been around for at least two years, Cunningham said, and includes hackers from Germany, Austria, France and possibly the U.S. He says the hacker group was formed from more militant elements of prevalent hacktivist groups, which have been hurt by arrests of top leaders over the last three years.

    “They’d much rather have 50 companies pay them $25,000 than one company pay them $5 million,” Cunningham said. “They definitely go for low-hanging fruit.”

    Other Rex Mundi victims have included Domino’s Pizza Inc., according to the group’s website.

    “There was an incident that was isolated to independent franchises in France and Belgium that took place in June,” Tim McIntyre, vice president of communications for Domino’s, said by telephone. The hackers accessed systems that were about to be updated, he said, which contained names and addresses but no credit card or financial information. The franchisees declined to pay and the systems were updated, he added.

    “It turned out to be much ado about nothing,” he said.

  • Как красиво получать платежи через киргизские банки

    Как красиво получать платежи через киргизские банки

    В феврале произошла странная история. Банк России распространил тревожное заявление, касающееся крупнейшего в Киргизии Азияуниверсалбанка (АУБ). Что не понравилось ЦБ? Слишком уж велик объем операций у АУБ с Россией — 170 млрд рублей за январь–июль 2005 года. «Масштаб этих операций, — говорилось в сообщении Центробанка России, — и их постоянный характер позволяют предполагать, что за ними скрывается оплата «серого» импорта».
    киргизские банки по прежнему привлекательны для рублёвых транзакций

    Впрочем, АУБ, хотя он и зарегистрирован на территории другой страны, можно с полным основанием считать «своим»: его создали российские банкиры для работы с Россией же.
    Первым владельцем киргизского банка был российский предприниматель Илья Карась, который прославился еще на заре перестройки. В 1987 году у бизнесмена была своя фирма по разработке компьютеров — МЭВЦ «Элекс» (впоследствии стала первым российским акционерным обществом). В 1988-м он участвовал в создании страховой компании «АСКО». А в начале 1990-х уехал из России — жил сначала в Венгрии, потом на Мальте. Среди многочисленных проектов Карася были и два маленьких банка, один из которых он в 1999 году решил продать.
    Речь шла о киргизской «дочке» International Business Bank, зарегистрированного в Западном Самоа (офшор в юго-западной части Тихого океана). Карась просил за киргизский банк всего $150 000, и это предложение заинтересовало большого специалиста в области финансового консалтинга Михаила Наделя. С 1995 года россиянин Надель большую часть времени так же, как и Карась, проводил в Венгрии, где у него был бизнес.
    Надель изучил киргизское законодательство и понял: эта страна — настоящее Эльдорадо. Формально в Киргизии высокие налоги, но фактически их никто не платит, так как в стране нет ограничений на хождение наличных. Как рассказывает Надель, через банки здесь расплачиваются лишь крупные энергетические компании и золотодобытчики. Банковское же законодательство Киргизии очень либерально. В отличие от российских банков киргизские могут, например, без ограничений переводить валюту со счетов своих клиентов их контрагентам в разные страны.
    В российском ЦБ утверждают, что 90% всех операций АУБ приходится на Россию, США и Великобританию. При этом по корсчетам АУБ в российских банках проводятся крупные платежи по сделкам, связанным с продажей клиентами киргизского банка товаров внутри России за рубли. Что это означает?
    По словам таможенных брокеров и банкиров, импортерам с каждым годом становится все сложнее ввозить товар в Россию по «серым» схемам. Прошли времена, когда бытовая техника ввозилась под видом полиэтиленовых пакетов или зеленого горошка. Сейчас импортеры просто занижают цену товара. Как? Допустим, крупная российская торговая сеть покупает партию плазменных панелей  Sony на $500 000. Напрямую российская сеть товар не приобретает. Сначала ее офшорная компания платит японцам полную сумму. Кроме офшорной компании, у торговой сети в России есть фирмы-однодневки, которые формально никак не связаны с ее владельцами. Именно они выступают в роли импортеров, а сеть покупает товар у них уже внутри страны. Фирма-импортер заключает договор с офшорной компанией о поставке тех самых плазменных панелей, но уже не на $500 000, а на $100 000. На российской таможне пошлина платится только с этих $100 000, но и российский банк, обслуживающий импортера, может перевести в оплату товара только указанные в контракте $100 000. Как передать своей офшорной фирме остальные $400 000?
    На этом этапе, как предполагают наши собеседники, и мог подключаться АУБ. У импортера на счету в российском банке есть недостающая сумма, но в рублях. Фирма просит перевести эти деньги якобы в оплату товара на счет киргизской или американской компании, открытый в АУБ. Далее АУБ с корреспондентского счета в России может от своего имени купить американскую валюту и перевести ее на долларовый счет своего клиента. Теперь напомним: клиентам АУБ разрешено переводить валюту за рубеж без ограничений. То есть деньги со счета в АУБ свободно могут быть отправлены в место своего конечного назначения.
    Фокус в том, поясняет один из наших собеседников, что при такой схеме российские банки осуществляют платежи только в рублях. И такие переводы контролировать никто не требует — банки обязаны проверять лишь импортные сделки, когда их клиент-импортер оплачивает товар переводом за рубеж. Подвергать сомнению каждую рублевую сделку банк просто не в состоянии — за день их проходит несколько тысяч.
    В самом АУБ, который исправно платит все положенные в Киргизии налоги, утверждают, что российский Центробанк заблуждается, подозревая АУБ в участии в схемах «серого» импорта. Руководитель АУБ говорит, что все клиенты — экспортеры банка проверяются самым строгим образом и оплаты «липовых» контрактов через банк не проходит. «Если бы ЦБ нас попросил, мы бы все показали и объяснили», — говорит Надель. Возможно, скоро ему действительно придется объясниться с ЦБ.
  • Как сын депутата Селезнева работал на площадке процессинга и скама банковских карт

    Как сын депутата Селезнева работал на площадке процессинга и скама банковских карт

    Сын депутата гос.думы Селезнева, ранее участвовавший в банковском мошенничестве и аферах с кредитными картами, был задержан в международном аэропорту столицы Мальдив Мале.

    Селезнёв сдал дроповодов с Darkmoney

    По словам одного сотрудника Интерпола, Селезнев младший входил в транснациональную преступную организацию Operation Open Market (Операция Открытый Рынок). Ее члены покупали и продавали чужую личную и финансовую информацию на сетевых форумах для «кардеров», то есть мошенников с кредитными и дебитовыми картами.

    В 2012 году были арестованы 19 членов организации, но Селезнев оставался недосягаем для американской юстиции.

    Российские хакеры, которые по мнению АНБ США «представляют угрозу для американской коммерции, похоже, функционируют в атмосфере сравнительной безнаказанности. Российские правоохранительные органы преследуют киберпреступников ни шатко, ни валко. Эксперты по безопасности обясняют это рядом причин. Возможно, это коррупция, или некомпетентность, или политические соображения».

    Селезнев обвиняется в том, что он и его пока не установленные сообщники выискивали уязвимые места в чужих компьютерах и прогружали на них троянские программы, которые тайно похищали информацию о кредитных картах.

    Например, таким образом из компьютеров находившегося в Сиэтле популярного ресторана Broadway Grill с декабря 2009 по октябрь 2010 года были похищены номера 32 тысяч кредиток.

    Банки компенсировали потерпевшим амерам урон, потеряв на этом в общей сложности более 1,7 млн долларов. Однако потенциальные клиенты стали опасаться платить кредитками в этом заведении, и в прошлом году ресторану пришлось закрыться.

    Селезнев обвиняется в аналогичных хищениях в еще 4 ресторанах штата Вашингтон, а манхэттенском ресторане Latitude Bar and Grill, в ювелирном магазине в штате Мэн, в зоопарке в Фениксе (штат Аризона), в пекарне в Сиэтле, в четырех пиццериях фирмы Mad Pizza и в продуктовой лавке в Айдахо.

    Как говорится в 27-страничном обвинительном заключении, обнародованном в прошлую субботу, в общей сложности Селезнев похитил с ноября 2010 по февраль 2011 года номера более 200 тысяч кредиток и продал 140 тысяч из них на сайтах для кардеров, заработав более 2 млн долларов.

    Панели управления ботнетами для сбора персональных данных и банковской информации базировались на серверах, которые сын депутата арендовал в России, на Украине и в Маклине, штат Вирджиния.

    Похищенные трояном номера кредиток сбывались на специализированных форумах. Цена зависела от относительной годности номера для банковских операций. Например, номера с 95-процентной гарантией годности шли по 20-30 долларов.

    Параллельно устраивались дешевые распродажи номеров с 65-процентной гарантией. За них просили по 7 долларов.

    Оплата за валидный картон принималась только через онлайновые фирмы вроде Liberty Reserve, которые позволяли производить расчеты анонимно.

  • Почему картонным дропам льют на карты только по предоплате

    Почему картонным дропам льют на карты только по предоплате

    Дропы — это такие люди, кторые обналичивают денежные средства, чаще всего работают по найму, за комиссионные или даже за зарплату. Это едва ли не самая рискованная профессия.

    кто и как льёт на карты и счета без предоплаты

    Украинсккие дропы, как правило, деклассированные элементы. Скажем, алкоголики либо наркоманы. Иногда в эту сферу лезут школьники. Их миссия — сходить в банк и за гонорар в 2000 гривен и получить денежный перевод от друга из Европы, с которым они вместе учились в школе. Конечно, доверять таким людям на сто процентов нельзя, и организатор схемы, дроповод, иногда предоставляет своим клиентам гарантию на случай «кидка дропа» — в таком случае он полностью или частично возмещает похищенную сумму.

    Однако это не единственная схема работы с дропами. Распространена, к примеру, «вещевуха» —покупка товаров с помощью чужих номеров кредитных карт.

    Как и обычно, деньги а работу переводят на счет дропу — в США или в Западной Европе. Типичная легенда такого дропа: «Меня наняла фирма из Нью-Йорка, моя работа получать и пересылать посылки, мне платят $2000 в месяц — это хорошие деньги».

    Допустим, товар хочет купить кто-то в России, но западный интернет-магазин не пересылает товар напрямую. А вбивала тоже не хочет заниматься пересылкой сам и оформлять на себя покупку, оплаченную чужими деньгами не со своей банковской карты. Всё это делает дроп. Затем он пересылает полученный товар в Мариуполь. Очень популярный товар — МасВоок или iPhone: он достаточно дорог, чтобы окупить пересылку.

    Организаторы этих схем просят за обналичку от 20 до 40%. Для дропов это приемлемая цена. Для владельцев «серых» интернет-бизнесов вроде тех же порнографов или продавцов нелегальных лекарств это слишком дорого.

    Без системы вроде BitCoin они работать не могут, а другим похожим сервисам либо не доверяют веб-мастера, либо они сразу виснут от наплыва заявок на открытие счетов и карточек.

    Именно поэтому востребованность услуг картонных дропов становится всё меньше и меньше. Сейчас ни один заливщик не будет работать с незнакомым ему дропом без предоплаты, даже скрытые сети и Tor в частности не привнесли никаких изменений в стандартные обнальные бизнес-процессы. Площадки, на которых продаётся разнообразное программное обеспечение для перевода денежных средств клиентов банков, эксплоиты к уязвимостям, связки сплоитов и тому подобное по-прежнему остались во внешней сети. Попросту незачем уходить в сеть tor — это отсекает платёжеспособную аудиторию и клиентов, усложняя сервис. Разработчики троянских программ желают максимально упростить свою коммуникацию с заказчиками, и в этом процессе сеть Tor — неудобный и сомнительный инструмент.

    Только с точки зрения функционирования ботнетов сеть tor выступает хорошим средством сохранения панели администрирования C&C сервера управления ботнета.

    Что касается кардинг-площадок, то кардеры — люди очень жадные и ленивые. Зачем уходить в сеть tor, если достаточно ограничить доступ к контенту стандартными средствами веб-движков? Или ввести членский взнос за участие в форуме?

    Уязвимости нулевого дня уже трудно найти не только на закрытых площадках сети tor, но и на приватных бордах в традиционном интернете. Разработчики связок сплоитов теперь работают в командах и напрямую с конкретными заказчиками, так что им теперь вряд ли нужны форумы и уж тем более сеть tor.

    Однако, процесс «гугления» внутри торовских onion-ресурсов даёт несколько ссылок на продавцов банковского трояна ZeUS, однако все эти ссылки находились внутри крупного маркета, который наряду с троянами, продвигает услуги по анонимному обналу денежных средств, приёму заливов, изготовлению фальшивых документов и тому подобный стафф.