В первом полугодии прошлого года число зафиксированных попыток не совсем легальных банковских транзакций фиата ежемесячно увеличивалось почти на восемьдесят процентов.
Количество инцидентов, связанных с нарушением требований к защите информации при переводе денежных средств, то есть попыток не совсем легальных денежных переводов, в первом полугодии растет опережающими темпами. Такие данные содержатся в аналитическом обзоре Национального Банка Украины.
Согласно документу, число инцидентов, выявляемых за месяц, в первом полугодии выросло на 79,7%: в январе банки зафиксировали 1564 таких случая, а за июль — уже 2859, во второй половине прошлого года число ежемесячно выявляемых инцидентов в месяц росло на 57,1%. Суммарно в июле—декабре прошлого года банки выявили 7968 подобных историй, за аналогичный период текущего года — 10 531 (рост на 35,2%).
“Подобный рост может быть связан с тем, что банки стали более тщательно отслеживать и обнаруживать случаи нарушения целостности информации, куда могут попадать и технические сбои, но, разумеется, большинство таких случаев — попытки сделать процессинг фиата на счета неразводных дропов”, — говорит вице-президент Ситибанка Анатолий Луценко.
Рост числа случаев не совсем легальных транзакций или процессинга фиата связан в том числе с развитием продажи услуг доступа к дистанционным каналам банковского обслуживания (мобильные приложения, системы “банк—клиент” для обслуживания корпоративных клиентов, онлайн-банкинг для физических лиц) неразводными дропами, которые часто становятся объектами особого контроля, пояснил господин Луценко.
Статистика НБУ подтверждает это предположение: в 51,5% случаев попытки слива информации, процессинга фиата и обнала денежных средств через счета неразводных дропов происходили с автоматизированными системами и программным обеспечением, которое используется для дистанционного банковского обслуживания.
Более подробно обсудить со мной вопрос работы по обозначенной территории можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Трейдер, занимавшийся процессингом фиата через сеть интернет с помощью кабинета дистанционного банковского обслуживания и банковской карты, оформленной на школьника, обнаружен в Москве оперативниками Управления “К” МВД России, его доход за неделю мог составлять около 2 млн рублей.
В ходе оперативно-розыскных мероприятий специалисты Управления “К” получили сведения о том, что 23-летний сотрудник одного из крупных московских банков, используя уязвимости в IT-инфраструктуре финансовой организации, переводил принадлежащие указанной кредитной организации денежные средства на банковский счёт неразводного дропа, а затем уже на свой криптовалютный кошелек получал от него цифровые активы, такие как Биткойн и USDT.
Для того, чтобы запутать следы, молодой человек выстроил многоступенчатую схему процессинга фиатных денежных средств с банковских счетов: используя удаленный доступ к системе, он задействовал счёт неразводного дропа, открытый в том же банке, для процессинга фиата с дальнейшей покупкой криптовалюты дропом и зачислением уже на свой виртуальный кошелек одной из платежных систем, а впоследствии продавал криптовалюту в сети Интернет и перечислял часть полученных таким образом фиатных денежных средств на счета мобильных телефонов, принадлежащих ему и его родственникам.
Проработав в должности специалиста банка всего две недели, молодой человек не смог устоять против возможности быстрого обогащения: перестал появляться на работе, а спустя еще пару недель уже являлся обладателем крупной суммы денег, утекший из банка по схеме процессинга.
Сотрудники Управления “К” установили, что выйдя из схемы процессинга фиата на банковский счёт своего неразводного дропа и электронные кошельки в USDT и биткойнах, молодой человек уехал в Элисту, поменял паспорт и жил в частном доме своих родственников.
В ходе проведения обыска по месту жительства трейдера была обнаружена и изъята компьютерная техника, с помощью которой он и совершал процессинг денежных средств банка, в котором он и работал, а также часть товаров, приобретенных в сети Интернет на денежные средства, полученные им не совсем легально.
Мне удалось даже посмотреть короткий репортаж по телевидению, где рассказывалось более подробно об этой схеме процессинга.
Более подробно обсудить со мной работу в процессинге можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Amazon ağ mühendislerinin üç saatlik hareketsizliğinin kripto para sahiplerine nasıl 235.000 dolara mal olduğundan bahsedelim.
Amazon yakın zamanda bulut hizmetleri sağlamak için kullandığı IP adreslerinin kontrolünü kaybetti ve telekomünikasyon mühendislerinin ağın kontrolünü yeniden ele geçirmesi üç saatten fazla sürdü. Bu hata, bilinmeyen bir tarafın kullanıcılardan 235.000 dolar değerindeki kripto para birimini çalmasına izin verdi.
Bilinmeyen saldırganlar, İnternet’in temel alanlararası yönlendirme protokolündeki bilinen güvenlik açıklarını kullanarak bir BGP oturumunu ele geçirerek yaklaşık 256 IP adresinin kontrolünü ele geçirdi. BGP, otonom sistemler olarak bilinen büyük ağlar tarafından diğer benzer ağlar veya ASN sistemleriyle iletişim kurmak için kullanılan bir protokoldür. Büyük miktarda veriyi dünya çapında gerçek zamanlı olarak yönlendirmedeki önemli işlevine rağmen BGP hala büyük ölçüde güvene dayanmaktadır; Bu, ağların ve sistemlerin hangi IP adreslerinin haklı olarak hangi ASN’lere ait olduğunu izlemesini engeller.
SSL sertifikası verirken kimlik hatası yaptık
Geçen ay, Birleşik Krallık ağ operatörü Quickhost.uk’ye ait olan 209243 nolu otonom sistem, birdenbire bgp aracılığıyla, kendi altyapısının diğer ASN’lerin, Amazon tarafından yönetilen en az üç ASN’den biri olan AS16509‘a ait /24 IP adres bloğuna erişmesinin en iyi yolu olduğunu duyurmaya başladı. Güvenliği ihlal edilen blok ayrıca, Celer Bridge kripto para borsası akıllı sözleşmelerinin kritik kullanıcı arayüzüne hizmet etmekten sorumlu bir alt alan adı olan cbridge-prod2.celer.network‘ü barındıran 44.235.216.69 IP adresini de içeriyordu.
17 Ağustos’ta bilinmeyen kişiler, Letonya’daki GoGetSSL sertifika yetkilisine bu alt alan adını kontrol ettiklerini gösterebildikleri için cbridge-prod2.celer.network için TLS sertifikası almak amacıyla ilk kez BGP oturum ele geçirmeyi kullandı. Bilinmeyen kişiler daha sonra bu sertifikayı aynı alanda kendi akıllı sözleşmelerini barındırmak için kullandılar ve gerçek Celer Köprüsü olan cbridge-prod2.celer.network‘e erişmeye çalışan kişilerin ziyaretlerini beklediler.
Siber güvenlik şirketi SlowMist’in raporuna ve tehdit istihbarat grubu Coinbase’in raporuna göre sahte sözleşme, 32 döviz hesabından toplam 234.866,65 dolar elde etmeyi başardı.
Coinbase’in bu olayla ilgili görüşü
Kimlik avı sözleşmesi, birçok özelliğini taklit etmesi açısından resmi Celer Bridge sözleşmesine çok benzer. Kimlik avı sözleşmesinde açıkça tanımlanmayan herhangi bir yöntem için, çağrıları meşru Celer Bridge sözleşmesine yönlendiren bir proxy yapısı uygular. Proxy sözleşmesi her zincir için benzersizdir ve başlatma sonrasında yapılandırılır. Aşağıdaki komut, kimlik avı sözleşmesi proxy sözleşmesinin yapılandırılmasından sorumlu depolama yuvasının içeriğini gösterir:
Kimlik avı sözleşmesi kullanıcı fonlarını iki şekilde çalar:
Kimlik avı kurbanları tarafından onaylanan tüm jetonlar, 4 baytlık 0x9c307de6() değerine sahip özel bir yöntem kullanılarak kaldırılır.
Kimlik Avı Sözleşmesi, kurbanın jetonlarını anında çalmak için tasarlanmış aşağıdaki yöntemleri geçersiz kılar:
send() – tokenleri çalmak için kullanılır (ör. USDC)
sendNative() – yerel varlıkları (örneğin ETH) çalmak için kullanılır
addLiquidity() – tokenleri çalmak için kullanılır (ör. USDC)
addNativeLiquidity() – yerel varlıkları (örneğin ETH) çalmak için kullanılır
Varlıkları daha önce BGP oturumunu ele geçiren kişinin cüzdanına yönlendiren ters mühendislik ürünü bir kod pasajı örneğini burada bulabilirsiniz:
Hey Amazon, ağ mühendisiniz nerede?
Ağ izleme şirketi Kentik’ten Doug Madory tarafından bu grafiğin üst kısmındaki yeşil bölümlerde gösterildiği gibi, sahte BGP reklamı 17 Ağustos’ta 19:39 UTC civarında başladı ve birkaç saniye içinde önek tüm dünyaya yayıldı. Bilinmeyen nedenlerden dolayı önek duyurusu 20:22’de kaldırıldı, ancak iptal edildi ve sonraki iki saat içinde üç kez daha kaldırıldı.
BGP rota reklamında 44.235.216.0/24 adresinin Amazon’un diğer ASN’lerinden biri olan AS14618’den kaynaklandığı ve AS20943 Quickhostuk üzerinden yönlendirilmesi gerektiği iddia edildi. Tüm İnternet’in Amazon IP adreslerini birkaç saniye içinde Quickhostuk ASN üzerinden yönlendirmesine neden olan bunun gibi yeni bir BGP duyurusu, bulut sağlayıcı tarafından derhal bir soruşturma yapılmasına yol açması gereken bir olaydır. Bilinmeyen nedenlerden dolayı Amazon, sahte BGP yönlendirme bilgisi reklamlarının başlamasından üç saatten fazla bir süre sonra saat 23:07’ye (yukarıdaki grafikte mor renkle gösterildiği gibi) kadar /24 bloğu için doğru yolu tanıtmaya başlamadı.
Madory Perşembe günü şöyle yazdı: “Bu uyarıyı başka bir Amazon düğümünün görünümünden farklılaştıracak temel ayrıntı, yeni yukarı akışın BGP bakış açılarının %100’ü tarafından görülebilmesi olacaktır.” “Başka bir deyişle, bu yeni Amazon ön eki, nispeten bilinmeyen bu barındırma sağlayıcısı tarafından özel olarak paylaşıldı. Bu, Amazon NetOps ekibi arasında şüphe uyandırmış olmalı.”
Amazon temsilcileri, son dokuz gün içinde bu gönderiyle ilgili yorum isteyen üç e-postanın hiçbirine yanıt vermedi. Gönderinin yayınlanmasının ardından bir Amazon sözcüsü, yorum talebindeki birden fazla hedef adresin tamamının devre dışı bırakıldığını ve şirketin e-postaları göz ardı etmediğini söyledi.
Quickhostuk temsilcileri, sahte BGP yönlendirme bilgisi reklamlarının nasıl ve nerede ortaya çıktığını soran iki e-postaya yanıt vermedi.
Bu materyalin pratik uygulaması hakkında benimle özel mesaj yoluyla daha detaylı görüşebilirsiniz. İletişim bilgileri bu web sitesinin ilgili bölümünde yer almaktadır.
Большинство тимлидов процессинга — это «уличная шпана», они используют для скама процессинга и точек обмена токены площадок, полученные ими через десятые руки друзей и подруг, а также доступ к системам дистанционного банковского обслуживания по сим картам и телефонам своих неразводных дропов, иногда используются простые технологии, такие как CarberP или ZeUS, в основном нацеленные на доверчивых людей и компьютеры с минимальной сетевой защитой.
Но бывает и иначе: изредка появляются очень сложные угрозы, например мощные банковские боты, а в случае, если ты или даже не ты, а работодатель жены твоего племянника представляет серьезный коммерческий интерес в процессинге крипты, то на него вполне даже может быть организована целевая атака с применением специально подготовленного для неё банковского или криптовалютного бота. В обоих этих случаях банкер будет очень хитро спрятан и заранее проверен на «необнаруживаемость» обычным антивирусом.
Однако Каспер вместе с его командой охотников за призраками в доспехах придумал очередной инструмент, который может быть и обнаружит хорошо закриптованый банковский или криптовалютный бот, предназначенный для скама процессинга, а может и не обнаружит… всякое же бывает.
ZETA расшифровывается как «Zero-day, Exploits & Targeted Attack», то есть «угрозы нулевого дня, эксплойты и целевые атаки». Ну а Shield — это защита от всего перечисленного. Евгений Касперский, описывает ZETA Shield так: «ZETA Shield — антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрешки, прячущихся во вложенных сущностях сложных файлов. Короче, это уникальная технология защиты от будущих угроз, которая умеет находить неизвестную киберзаразу в самых неожиданных местах».
Погружаясь в технические подробности, можно сказать, что ZETA Shield сканирует потоки данных на компьютере в поисках фрагментов кода, характерных для эксплойтов, встроенных в легитимные файлы, будь то исполнимый код, внезапно обнаруженный внутри офисного документа, или попытка вызвать подозрительный набор команд в приложении просмотра картинок. Гибкость сканера очень высока, что позволяет проанализировать любое количество файлов и процессов на компьютере, сопоставляя полученные данные в рамках машины, а также запрашивая информацию из Kaspersky Security Network — вдруг подобные симптомы уже обнаруживались у других пользователей? Глубоко разбирая файлы и потоки данных, обнаруживая подозрительные или неуместные элементы, ZETA Shield сопоставляет множество косвенных индикаторов угрозы, чтобы принять решение о её блокировке.
Зачем эта сложная технология, заточенная для борьбы с целевыми атаками, появилась в антивирусе для «простых смертных»?
Сам Касперский объясняет это очень лаконично: «Жертвами целевых атак могут стать и становятся практически все пользователи и любые организации, а ещё помните поговорку «Лес рубят — щепки летят»? Это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв». Чтобы не стать такой жертвой, Каспер советует запускать иногда сканирование компьютера с максимальной глубиной хотя бы раз в месяц.
Однако, как можно защититься от целевого захвата IP адресного пространства площадки процессинга при использовании техники bgp route hijacking с последующим скамом и выводом всей крипты, которая имеется на площадке на текущий момент без использования каких бы то ни было банковских ботов, Каспер и на этот раз умолчал.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
