Работа в Стамбуле

Метка: анонимный обнал

  • Новый Android-банкер для процессинга с помощью NFC

    Новый Android-банкер для процессинга с помощью NFC

        Исследователи обнаружили недавно новый банкер для Android процессинга, который может переводить деньги со счёта холдера без его ведома, передавая на устройство дроповода данные, считанные через NFC чип смартфона. Банкер, получивший название NGate, позволяет эмулировать карты терпил, совершать несанкционированные платежи или даже снимать наличные в банкоматах.
        По данным специалистов, NGate активен с ноября прошлого года и связан с недавними участившимися случаями использования Progressive Web Application (PWA) и WebAPK для процессинга с использованием банковских учетных данных у пользователей из Чехии. Также исследователи пишут, что в ряде случаев NGate применялся для прямого снятия наличных со счёта холдера в банкомате без его ведома.
    Установка WebAPK через подставной сайт, похожий на Google Play
        Процессинг с помощью нового банкера начинается с рассылки SMS-сообщений, автоматизированных звонков с заранее записанными сообщениями или Google-рекламы. Все это должно вынудить холдеров установить на свои устройства PWA, а затем банкер WebAPK, как исследователи уже описывали в прошлом отчете.
        Такие приложения не требуют никаких разрешений при установке и используют API браузера, в котором запускаются, чтобы получить необходимый доступ к аппаратному обеспечению устройства, в том числе к NFC чипу.
        После установки WebAPK терпилу хитростью вынуждают установить еще и NGate, и банкер активирует опенсорсный компонент NFCGate, который был разработан академическими исследователями для экспериментов с NFC. Этот инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования и далеко не всегда требует root-доступа для работы.
        Банкер применяет NFCGate для перехвата данных NFC с платежных карт, находящихся в непосредственной близости от заряженного таким образом устройства под управлением ОС Android, а затем передает информацию на устройство дроповода (напрямую, либо через специальный сервер).
        В итоге дроповод получает возможность сохранить эти данные в виде виртуальной банковской карты на своем смартфоне, а затем воспроизвести сигнал в банкомате, поддерживающем NFC для снятия наличных, или совершить PoS-платеж в точке продаж или супермаркете.
    процессинг на обычном компьютере
        Хотя для снятия наличных в большинстве банкоматов потребуется PIN-код, исследователи уверены, что узнать его нетрудно с помощью банальной социальной инженерии. К примеру, после того как нужный PWA/WebAPK уже установлен, дроповод звонит холдеру, притворяясь сотрудниками банка, и сообщают о некой проблеме с безопасностью. Затем он отправляет терпиле SMS со ссылкой для загрузки NGate, выдавая банкер за специальное приложение для верификации существующей банковской карты и PIN-кода.
        После того как холдер просканирует своюю карту заряженым устройством и введет PIN-код для «верификации» в NGate, конфиденциальные данные будут переданы дроповоду.
    Схема взаимодействия дроповода и холдера
        В приведенном ниже видео специалист Лукас Стефанко (Lukas Stefanko) демонстрирует, что компонент NFCGate в NGate также может использоваться для сканирования и перехвата данных карт в кошельках и рюкзаках окружающих дроповода людей в метро и прочьих людных местах.
        Специалист отмечает, что помимо этого банкер может использоваться для клонирования уникальных ID некоторых NFC-карт доступа и токенов, что может помочь дроповоду проникнуть в закрытые зоны режимных объектов.
        Эксперты сообщают, что евромундиры уже взяли одного дроповода, осуществлявшего такие операции в Праге. Однако исследователи опасаются, что эта тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android.
        Также в экспертных кругах подчеркивают потенциальную опасность, возникающую при клонировании карт доступа, транспортных билетов, ID-бейджей, членских карт и других NFC-носителей, объясняя, что процессинг фиатных денег в данном случае — далеко не единственный негативный сценарий.
        Для защиты от таких операций эксперты советуют отключать NFC на смартфоне, если он не используется постоянно. Также рекомендуется внимательно изучить все права доступа приложений и отозвать лишние, устанавливать банковские приложения только с официального сайта финансового учреждения или из официального магазина Google Play Store, а также убедиться, что используемое приложение не является WebAPK.
  • Как найти реального процессора крипты

    Как найти реального процессора крипты

    Своего первого реального партёра по процессингу крипты, который показал мне как можно использовать сценарий bgp spoofing и реализовывать bgp hijacking для mitm на майнинг и мутить процессинг в крипте при помощи подмены маршрута в зоне bgp, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером, немного подрабатывая настраивая сетевое оборудование налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах типа Darkmoney, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 10.000 долларов в Гарант, но потом призадумался, а стоит ли?

    Как найти реального процессора крипты


    И ко мне начал обращаться народ обращается разных категорий…

    1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10.000 USDT им на Coinbase или Huobi в качестве аванса.

    2. Реальные мэны, которые льют сразу большую сумму в крипте и просят организовать им вывод в фиат по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал или отбиваешь MT103, они сразу пропадают, суть данных действий я так и не понял, зачем пропадать, если всё прошло итак гладко? 
    3. Мутные личности, берущие реквизиты криптокошелька и очень долго что-то пытающиеся залить в USDT, в итоге пропадают, хорошо если еще криптокошелёк после всех этих проделок с процессингом в крипте остаётся жив и не вносится в стоп листы криптовалютных бирж и обменников.

    4. Серьезные судя по общению цисководы, очень долго насилуют мозг спрашивая про отзывы и сумму которую я смогу закинуть в Гарант, после того, как им предлагаю первыми закинуть Гаранту его комиссию, так как в случае их исчезновения я попадаю на комиссию, сразу сваливаются, стуча копытами или кричат что я кидала, так как отказываюсь от работы с их Гарантом.

    5. Самые адекватные те, кто льет небольшую проверочную сумму и потом уже начинают лить в крипте серьезные деньги с жирных криптовалютных кошельков BitCoin или Etherium, но таких, к сожалению, попадается очень мало.
    Итог моей работы в паблике: вложения примерно — 150.000 долларов США, которые с трудом окупились из за убитых фирм и банковских счетов, пластиковых карт, и учёток на криптобиржах и обменниках, которые продавцы лочат через 2 месяца после продажи, и прочих прелестей. Если люди обращаются по рекламе — тут уже не отличишь нормальных от ненормальных, для тех, кто обратился в первый раз, есть гостевой криптокошелёк, без привязки к биржам и другим сервисам, реквизиты которого даю всем подряд, на который можно лить крипту из любой помойки, а проверенным людям — уже потом предоставляю новые реки чистого криптокошелька, гостевой корпоративный счёт желательно постоянно проверять на работоспособность перед зачислением о отправкой на него денег с обменника или криптобиржи.
    Найти сейчас грамотного человека, кто будет реально лить хорошие суммы в крипте стабильно вполне возможно, но для этого его нужно чем-либо заинтересовать, чтобы он согласился работать именно с тобой и ни с кем другим. Вы наверное сами всё хорошо знаете, что предложение обнала грязной крипты с выводом в фиат в сотни раз превышает число реальных людей, умеющих лить крипту через интернет с использованием техник mitm майнинга по сценарию bgp spoofing с реализацией bgp hijacking, которые ищут себе грамотных обнальных партнёров по обмену грязной крипты на фиат. 

    Однако, серьезных людей, которые кое-что понимает про bgp в криптоканалах, всегда можно заинтересовать своими хорошими связями в телекоммуникационной среде среде, умением решать любые скользкие вопросы в том или ином небольшом или скажем совсем скромном банке (а как вам уже наверное стало понятно, что ни один серьёзный процессор крипты не будет связываться с публичным банком), либо может пригодиться ваш предыдущий опыт работы в крупной телекоммуникационной компании, как это было в моём случае. 

    Можно также попытаться сработать с грамотным человеком, предоставив ему данные телеметрии OSS FM/PM системы какого-нибудь крупного телекоммуникационного холдинга, включая распечатку IP/MPLS сообществ — это значительно упростит или даже ускорит реализацию той или иной схемы процессинга крипты через mitm с майнинга и реализации bgp hijacking по сценарию bgp spoofing. С этой задачей вполне может справиться любой социализированный дроп, работающией сетевым инженером в такой крупной компании, маргинальные дропы для такой работы не годятся.
     

    Хочу добавить, что все серьёзные люди, занимающиеся процессингом крипты после всем известных нам событий уехали за границу года три тому назад, и работают от туда, а работать с теми, кто остался по выводу крипты в рублевом пространстве — сплошной нудняк. Новичку без связей в банковской или телекоммуникационной среде влиться в эту тему просто нереально, если только не надеяться на чудо.

  • Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

    Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

        Один пока никому не известный специалист по процессингу btc и eth, используя протокол BGP и сценарии bgp spoofing вместе с реализацией bgp hijacking, успешно перенаправил трафик DNS-сервиса Amazon Route 53 на свой сервер в России и на несколько часов подменял настоящий сайт MyEtherWallet.com с реализацией web-кошелька криптовалюты Ethereum.

    префикс 205.251.192.0/24 объявлялся из сети eNet в сети Hurricane Electric и TDS Telecom

    На подготовленном нарушителем клоне сайта MyEtherWallet была организована фишинг-атака, которая позволила за два часа угнать 215 ETH (около 137 тысяч долларов) на кошельки дропов.

    Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet AS10297 в Колумбусе штат Огайо. После перехвата BGP-сессии и BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный нарушителю сервер, размещённый в датацентре провайдера Equinix в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.

    Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга слить около 137 тысяч долларов на кошельки дропов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что нарушитель или как его ещё можно назвать дроповодом,  оказался очень состоятельным человеком — на одном ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится 24276 ETH, что составляет более 15 млн долларов США.

    Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-кошелёк).

    получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика

    По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.

  • Почему обменники криптовалют иногда закрывают

    Почему обменники криптовалют иногда закрывают

    Минфин США наложил санкции на два российских криптообменника — PM2BTC и Cryptex — и их администратора. По версии американского регулятора, администратором обоих сервисов являлся гражданин России по имени Сергей Иванов.
    Обменять крипту на рубле по прежнему можно без предъявления документов

    Оба обменных сервиса, по данным Минфина США, были связаны с отмыванием денег, полученных от процессоров крипты и дроповодов и от иной нелегальной деятельности. Государственный департамент США предложил вознаграждение в размере до $10 млн, которая приведет к аресту и/или обвинительному заключению в отношении Иванова.
    Сервис Cryptex, по данным ведомства, зарегистрирован в Сент-Винсенте и Гренадинах под названием International Payment Service Provider. Обменник, как утверждает Минфин США, «предоставляет финансовые услуги кибернегодяям» и «работает в секторе финансовых услуг в экономике Российской Федерации».
    Cryptex рекламирует свои услуги на русском языке, говорится в пресс-релизе. Через этот сервис, предположительно, прошло и было обналичено более $51,2 млн денежных средств, связанных с программами-вымогателями. Cryptex также, по данным Минфина США, связан с транзакциями на сумму более $720 млн с сервисами, «часто используемыми российскими разработчиками программ-вымогателей и киберхулиганами», включая магазины личных данных, криптомиксерами и биржами без идентификации клиентов, в частности, подсанкционной российской Garantex.
    По данным властей США, Иванов на протяжении 20 лет занимался отмыванием денег для кибернегодяев и провел операции на сотни миллионов долларов, в том числе через собственную платежную систему под названием UAPS. Кроме того, он обеспечивал услуги обработки платежей для нелегальных онлайн-площадок, включая закрытый в 2023 году магазин аккаунтов Genesis Market. Незадолго до публикации пресс-релиза Минфина США президент Джо Байден заявил о подрыве «глобальной криптовалютной сети» в целях предотвращения обхода санкций Россией. Официальная речь Джо была опубликована 26 сентября этого года на сайте Белого дома.
    «В целях противодействия уклонению от антироссийских санкций и отмыванию денег Минюст, Минфин и Секретная служба США в сотрудничестве с международными партнерами предприняли действия, направленные на ликвидацию глобальной криптовалютной сети», — говорится в заявлении Байдена. 19 сентября стало известно, что власти Германии конфисковали серверы почти полусотни криптообменников, связанных с Россией. Большая часть этих сервисов — русскоязычные онлайн-обменники. Теперь при переходе на их сайты пользователей автоматически переводит на страницу уголовной полиции Германии (BKA) c обращением к клиентам закрытых сервисов, опубликованном на русском языке. На этой странице содержится написанное на русском языке обращение к «аффилиатам шифровальщиков-вымогателей, собственникам ботнетов и вендорам иных услуг в даркнете», в котором говорится, что ведомство изъяло серверы обменных сервисов, которыми, как предполагается, пользовались дроповоды.
    Криптоплатформы для обмена помогали проводить анонимные транзакции, способствуя отмыванию денег, утверждают в BKA. По результатам изъятия инфраструктуры, немецкие правоохранительные органы получили данные о пользователях и транзакциях закрытых обменников. Власти планируют активно использовать эту информацию в расследованиях. «Среди пользователей есть группы программ-вымогателей, торговцы даркнета и операторы ботнетов, которые вымогают деньги», — заявили BKA. 
    «Дорогие аффилиаты шифровальщиков-вымогателей, собственники ботнетов и вендора иных услуг в даркнете:
    На протяжении многих лет администраторы нелегальных криптовалютных обменных пунктов и бирж заверяли Вас, что места размещения их серверов невозможно обнаружить, что они не хранят данные клиентов, и что все данные удаляются непосредственно после подтверждения транзакции. Казалось бы абсолютно анонимные обменные пункты и биржи, дающие Вам возможность, без страха уголовного преследования, отмывать доходы Вашей преступной деятельности. Но мы считаем такие обещания пустыми! Мы нашли и изъяли их сервера разработки, рабочие и резервные сервера. Мы владеем данными с указанных серверов — Вашими данными (транзакции, регистрационные данные, IP-адреса). С этого момента мы начинаем собирать Ваши следы. До встречи оффлайн!»
    Мы обсудили с экспертами потенциальное влияние действий немецких властей на рынок сервисов, позволяющих обменивать криптоактивы на фиатные валюты. В начале года правоохранительные органы в Германии конфисковали 50 тыс. монет, конфискованных BKA у операторов пиратского сайта Movie2k. В середине июня власти Германии начали переводить конфискованные биткоины на кошельки бирж и маркетмейкеров. В середине июля правительство реализовало на открытом рынке все 50 тыс. биткоинов.

    Немецкий подход

    Операция правоохранительных органов Германии по предотвращению деятельности обменных платформ может лишить пользователей доверия к немецким сервисам и компаниям из-за «неэтичности» работы властей. «Хотелось бы отметить, что избранный метод предоставления полученной информации не сильно отличается от преступных взломов, поэтому этичность такой спецоперации еще предстоит обсудить мировой общественности», — заявил старший аналитик агрегатора обменных сервисов Bestchange.ru Никита Зуборев.
    Эксперт напомнил, что в правовых государствах именно суд должен принимать решения о незаконном характере операций и раскрытии той или иной информации, а не самовольно созданные страницы в Сети с провокационными URL и недвусмысленным содержанием. «Все, что мы видим, — это вброс информации, полученной в досудебном порядке. Возможно, это результат долгих расследований, санкционированных судом, но точно без верификации добытых данных судом и без юридической силы предъявленных обвинений», — указал Зуборев.
    Все, что показала ситуация, что ряд обменных сервисов, которые выбрали местом дислокации хостинга немецкие сервера, действительно столкнулись с проблемами, отметил аналитик Bestchange. И скорее всего, это акция устрашения не обменных пунктов, а дроповодов, которые пытаются отмыть через них грязную криптовалюту — именно такой посыл считывается в сообщениях, размещенных на ресурсах BKA. «Речь идет о прецеденте фактического раскрытия чувствительной информации и досудебных обвинений госорганами страны лидера на рынке хостинга. В будущем многие даже серьезные проекты будут с опаской относиться к немецким серверам, отдавая предпочтения более защищенным в правовом смысле юрисдикциям или даже децентрализованному хранению данных», — полагает Зуборев.

    Подмоченная репутация

    Даже несмотря на то что закрытые обменники криптовалют не имеют никакого отношения к России, все они работали с российскими гражданами, использовали в своей деятельности карты местных банков и платежные системы, то есть фактически действовали в российском правовом поле. По мнению директора по аналитике компании «Шард» Федора Иванова, это может нанести дополнительный удар по репутации России. «В целом это может стать еще одним ударом по репутации России, которой и так снизили оценку соответствия Рекомендации 15 FATF», — рассуждает эксперт.
    FATF ( (Financial Action Task Force) — межправительственная организация, занимающаяся выработкой практик и стандартов противодействия сомнительным операциям в финансовом секторе, которые совершаются с целью обналичивания или отмывания преступных доходов, финансирования терроризма или распространения оружия массового уничтожения. Рекомендации FATF соблюдают около 190 государств и территорий, но участниками международной группы являются 37 стран, включая Россию. В феврале 2023 года FATF приостановила членство России в объединении. Украина соблюдает нормы FATF, но не входит в число стран-участниц.
    Западные правоохранительные органы активно анализируют сервисы, которые могут использоваться для отмывания «грязной» криптовалюты. Подобных обменных сервисов, работающих и с россиянами, насчитывается около 500. Как пишет Иванов, многие из них, как и в случае с закрытыми 19 сентября сервисами, судя по всему, контролируются одними и теми же администраторами и бенефициарами. И в большинстве случаев игнорируют проверку пользователей по нормам KYC (Know your customer).
    «В начале этого года мы проводили исследование, в результате которого выяснили, что процедуры KYC не проводит ни один русскоязычный обменник, а проверяют фактическое владение картой, с которой отправляют средства за приобретаемую криптовалюту, менее 40% из них. То есть большую часть не волнует даже возможное использование ворованных карт их клиентами», — отметил Иванов.