Трейдер, занимавшийся процессингом фиата через сеть интернет с помощью кабинета дистанционного банковского обслуживания и банковской карты, оформленной на школьника, обнаружен в Москве оперативниками Управления “К” МВД России, его доход за неделю мог составлять около 2 млн рублей.
В ходе оперативно-розыскных мероприятий специалисты Управления “К” получили сведения о том, что 23-летний сотрудник одного из крупных московских банков, используя уязвимости в IT-инфраструктуре финансовой организации, переводил принадлежащие указанной кредитной организации денежные средства на банковский счёт неразводного дропа, а затем уже на свой криптовалютный кошелек получал от него цифровые активы, такие как Биткойн и USDT.
Для того, чтобы запутать следы, молодой человек выстроил многоступенчатую схему процессинга фиатных денежных средств с банковских счетов: используя удаленный доступ к системе, он задействовал счёт неразводного дропа, открытый в том же банке, для процессинга фиата с дальнейшей покупкой криптовалюты дропом и зачислением уже на свой виртуальный кошелек одной из платежных систем, а впоследствии продавал криптовалюту в сети Интернет и перечислял часть полученных таким образом фиатных денежных средств на счета мобильных телефонов, принадлежащих ему и его родственникам.
Проработав в должности специалиста банка всего две недели, молодой человек не смог устоять против возможности быстрого обогащения: перестал появляться на работе, а спустя еще пару недель уже являлся обладателем крупной суммы денег, утекший из банка по схеме процессинга.
Сотрудники Управления “К” установили, что выйдя из схемы процессинга фиата на банковский счёт своего неразводного дропа и электронные кошельки в USDT и биткойнах, молодой человек уехал в Элисту, поменял паспорт и жил в частном доме своих родственников.
В ходе проведения обыска по месту жительства трейдера была обнаружена и изъята компьютерная техника, с помощью которой он и совершал процессинг денежных средств банка, в котором он и работал, а также часть товаров, приобретенных в сети Интернет на денежные средства, полученные им не совсем легально.
Мне удалось даже посмотреть короткий репортаж по телевидению, где рассказывалось более подробно об этой схеме процессинга.
Amazon ağ mühendislerinin üç saatlik hareketsizliğinin kripto para sahiplerine nasıl 235.000 dolara mal olduğundan bahsedelim.
Amazon yakın zamanda bulut hizmetleri sağlamak için kullandığı IP adreslerinin kontrolünü kaybetti ve telekomünikasyon mühendislerinin ağın kontrolünü yeniden ele geçirmesi üç saatten fazla sürdü. Bu hata, bilinmeyen bir tarafın kullanıcılardan 235.000 dolar değerindeki kripto para birimini çalmasına izin verdi.
Bilinmeyen saldırganlar, İnternet’in temel alanlararası yönlendirme protokolündeki bilinen güvenlik açıklarını kullanarak bir BGP oturumunu ele geçirerek yaklaşık 256 IP adresinin kontrolünü ele geçirdi. BGP, otonom sistemler olarak bilinen büyük ağlar tarafından diğer benzer ağlar veya ASN sistemleriyle iletişim kurmak için kullanılan bir protokoldür. Büyük miktarda veriyi dünya çapında gerçek zamanlı olarak yönlendirmedeki önemli işlevine rağmen BGP hala büyük ölçüde güvene dayanmaktadır; Bu, ağların ve sistemlerin hangi IP adreslerinin haklı olarak hangi ASN’lere ait olduğunu izlemesini engeller.
SSL sertifikası verirken kimlik hatası yaptık
Geçen ay, Birleşik Krallık ağ operatörü Quickhost.uk’ye ait olan 209243 nolu otonom sistem, birdenbire bgp aracılığıyla, kendi altyapısının diğer ASN’lerin, Amazon tarafından yönetilen en az üç ASN’den biri olan AS16509‘a ait /24 IP adres bloğuna erişmesinin en iyi yolu olduğunu duyurmaya başladı. Güvenliği ihlal edilen blok ayrıca, Celer Bridge kripto para borsası akıllı sözleşmelerinin kritik kullanıcı arayüzüne hizmet etmekten sorumlu bir alt alan adı olan cbridge-prod2.celer.network‘ü barındıran 44.235.216.69 IP adresini de içeriyordu.
17 Ağustos’ta bilinmeyen kişiler, Letonya’daki GoGetSSL sertifika yetkilisine bu alt alan adını kontrol ettiklerini gösterebildikleri için cbridge-prod2.celer.network için TLS sertifikası almak amacıyla ilk kez BGP oturum ele geçirmeyi kullandı. Bilinmeyen kişiler daha sonra bu sertifikayı aynı alanda kendi akıllı sözleşmelerini barındırmak için kullandılar ve gerçek Celer Köprüsü olan cbridge-prod2.celer.network‘e erişmeye çalışan kişilerin ziyaretlerini beklediler.
Siber güvenlik şirketi SlowMist’in raporuna ve tehdit istihbarat grubu Coinbase’in raporuna göre sahte sözleşme, 32 döviz hesabından toplam 234.866,65 dolar elde etmeyi başardı.
Coinbase’in bu olayla ilgili görüşü
Kimlik avı sözleşmesi, birçok özelliğini taklit etmesi açısından resmi Celer Bridge sözleşmesine çok benzer. Kimlik avı sözleşmesinde açıkça tanımlanmayan herhangi bir yöntem için, çağrıları meşru Celer Bridge sözleşmesine yönlendiren bir proxy yapısı uygular. Proxy sözleşmesi her zincir için benzersizdir ve başlatma sonrasında yapılandırılır. Aşağıdaki komut, kimlik avı sözleşmesi proxy sözleşmesinin yapılandırılmasından sorumlu depolama yuvasının içeriğini gösterir:
Kimlik avı sözleşmesi kullanıcı fonlarını iki şekilde çalar:
Kimlik avı kurbanları tarafından onaylanan tüm jetonlar, 4 baytlık 0x9c307de6() değerine sahip özel bir yöntem kullanılarak kaldırılır.
Kimlik Avı Sözleşmesi, kurbanın jetonlarını anında çalmak için tasarlanmış aşağıdaki yöntemleri geçersiz kılar:
send() – tokenleri çalmak için kullanılır (ör. USDC)
sendNative() – yerel varlıkları (örneğin ETH) çalmak için kullanılır
addLiquidity() – tokenleri çalmak için kullanılır (ör. USDC)
addNativeLiquidity() – yerel varlıkları (örneğin ETH) çalmak için kullanılır
Varlıkları daha önce BGP oturumunu ele geçiren kişinin cüzdanına yönlendiren ters mühendislik ürünü bir kod pasajı örneğini burada bulabilirsiniz:
Hey Amazon, ağ mühendisiniz nerede?
Ağ izleme şirketi Kentik’ten Doug Madory tarafından bu grafiğin üst kısmındaki yeşil bölümlerde gösterildiği gibi, sahte BGP reklamı 17 Ağustos’ta 19:39 UTC civarında başladı ve birkaç saniye içinde önek tüm dünyaya yayıldı. Bilinmeyen nedenlerden dolayı önek duyurusu 20:22’de kaldırıldı, ancak iptal edildi ve sonraki iki saat içinde üç kez daha kaldırıldı.
BGP rota reklamında 44.235.216.0/24 adresinin Amazon’un diğer ASN’lerinden biri olan AS14618’den kaynaklandığı ve AS20943 Quickhostuk üzerinden yönlendirilmesi gerektiği iddia edildi. Tüm İnternet’in Amazon IP adreslerini birkaç saniye içinde Quickhostuk ASN üzerinden yönlendirmesine neden olan bunun gibi yeni bir BGP duyurusu, bulut sağlayıcı tarafından derhal bir soruşturma yapılmasına yol açması gereken bir olaydır. Bilinmeyen nedenlerden dolayı Amazon, sahte BGP yönlendirme bilgisi reklamlarının başlamasından üç saatten fazla bir süre sonra saat 23:07’ye (yukarıdaki grafikte mor renkle gösterildiği gibi) kadar /24 bloğu için doğru yolu tanıtmaya başlamadı.
Madory Perşembe günü şöyle yazdı: “Bu uyarıyı başka bir Amazon düğümünün görünümünden farklılaştıracak temel ayrıntı, yeni yukarı akışın BGP bakış açılarının %100’ü tarafından görülebilmesi olacaktır.” “Başka bir deyişle, bu yeni Amazon ön eki, nispeten bilinmeyen bu barındırma sağlayıcısı tarafından özel olarak paylaşıldı. Bu, Amazon NetOps ekibi arasında şüphe uyandırmış olmalı.”
Amazon temsilcileri, son dokuz gün içinde bu gönderiyle ilgili yorum isteyen üç e-postanın hiçbirine yanıt vermedi. Gönderinin yayınlanmasının ardından bir Amazon sözcüsü, yorum talebindeki birden fazla hedef adresin tamamının devre dışı bırakıldığını ve şirketin e-postaları göz ardı etmediğini söyledi.
Quickhostuk temsilcileri, sahte BGP yönlendirme bilgisi reklamlarının nasıl ve nerede ortaya çıktığını soran iki e-postaya yanıt vermedi.
Большинство тимлидов процессинга — это «уличная шпана», они используют для скама процессинга и точек обмена токены площадок, полученные ими через десятые руки друзей и подруг, а также доступ к системам дистанционного банковского обслуживания по сим картам и телефонам своих неразводных дропов, иногда используются простые технологии, такие как CarberP или ZeUS, в основном нацеленные на доверчивых людей и компьютеры с минимальной сетевой защитой.
Но бывает и иначе: изредка появляются очень сложные угрозы, например мощные банковские боты, а в случае, если ты или даже не ты, а работодатель жены твоего племянника представляет серьезный коммерческий интерес в процессинге крипты, то на него вполне даже может быть организована целевая атака с применением специально подготовленного для неё банковского или криптовалютного бота. В обоих этих случаях банкер будет очень хитро спрятан и заранее проверен на «необнаруживаемость» обычным антивирусом.
Однако Каспер вместе с его командой охотников за призраками в доспехах придумал очередной инструмент, который может быть и обнаружит хорошо закриптованый банковский или криптовалютный бот, предназначенный для скама процессинга, а может и не обнаружит… всякое же бывает.
ZETA расшифровывается как «Zero-day, Exploits & Targeted Attack», то есть «угрозы нулевого дня, эксплойты и целевые атаки». Ну а Shield — это защита от всего перечисленного. Евгений Касперский, описывает ZETA Shield так: «ZETA Shield — антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрешки, прячущихся во вложенных сущностях сложных файлов. Короче, это уникальная технология защиты от будущих угроз, которая умеет находить неизвестную киберзаразу в самых неожиданных местах».
Погружаясь в технические подробности, можно сказать, что ZETA Shield сканирует потоки данных на компьютере в поисках фрагментов кода, характерных для эксплойтов, встроенных в легитимные файлы, будь то исполнимый код, внезапно обнаруженный внутри офисного документа, или попытка вызвать подозрительный набор команд в приложении просмотра картинок. Гибкость сканера очень высока, что позволяет проанализировать любое количество файлов и процессов на компьютере, сопоставляя полученные данные в рамках машины, а также запрашивая информацию из Kaspersky Security Network — вдруг подобные симптомы уже обнаруживались у других пользователей? Глубоко разбирая файлы и потоки данных, обнаруживая подозрительные или неуместные элементы, ZETA Shield сопоставляет множество косвенных индикаторов угрозы, чтобы принять решение о её блокировке.
Зачем эта сложная технология, заточенная для борьбы с целевыми атаками, появилась в антивирусе для «простых смертных»?
Сам Касперский объясняет это очень лаконично: «Жертвами целевых атак могут стать и становятся практически все пользователи и любые организации, а ещё помните поговорку «Лес рубят — щепки летят»? Это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв». Чтобы не стать такой жертвой, Каспер советует запускать иногда сканирование компьютера с максимальной глубиной хотя бы раз в месяц.
Однако, как можно защититься от целевого захвата IP адресного пространства площадки процессинга с последующим её скамом и выводом всей крипты, которая имеется на площадке на текущий момент без использования каких бы то ни было банковских ботов, Каспер и на этот раз умолчал.
Блогерам и владельцам веб-сайтов и каналов на YouTube из России сегодня приходится несладко, поскольку возможности монетизации контента у них строго лимитированы. В ситуации с Ютубом ни у кого теперь нет альтернативы прямым рекламодателям и интеграции рекламы в ролики. Так когда же Google AdSense вернется в Россию? Вопрос интереснейший, его частенько задают на нашем канале в Telegram и в паблике ВКонтакте.
Как вы помните, уход Google с российского рынка произошел из-за известных событий зимы-весны 2022 года. Но не стоит думать, что крупнейшая медиа корпорация не заинтересована в российском рынке, который занимает значительный процент в общемировом пространстве из-за большого населения. Плюс материалы на русском языке читают и люди из ближнего зарубежья и стран СНГ, да и на всём постсоветском пространстве, включая даже страны ЕС из Восточной Европы.
Можно с уверенностью утверждать, что сами владельцы сервиса Google AdSense активно ищут пути для возврата. Но препятствует этому американское правительство, санкции крупнейших банков и другие проблемы, связанные с отображением баннеров. Камень в огород поступает и со стороны РФ, где регулируют деятельность рекламных сетей и рекламораспространителей.
Сегодня операторы связи и провайдеры Интернета обязаны дублировать информацию, хранить её на RU-серверах и передавать регуляторам по первому запросу. Хочет ли этим заниматься “Гугл”? Пока непонятно. Отдельные IT-бренды идут на уступки, другие игнорируют требования и получают блокировку.
Монетизация сайтов и YouTube в 2026 году: когда Google AdSense вернется в Россию?
Следующий вопрос касается общей просадки российского рынка. Среди веб-сайтов полно некачественных порталов, где контент полностью сгенерирован нейросетями или скопирован с уже существующих сайтов. Ранее изготовление подобного шлама требовало больших усилий, а теперь с этим может справиться любой школьник. Поэтому в настоящее время значительный процент рекламодателей отказываются от размещения баннеров без ограничений на любых площадках.
Не забываем и о вновь введённых требованиях относительно маркировки рекламных объявлений в сети Интернет. Её необходимо в обязательном порядке делать с осени прошлого года, в противном случае юридические и физические лица рискуют нарваться на штрафы.
Компания Яндекс решила вопрос самостоятельно, она самостоятельно вместо блогеров уже занимается вопросом маркировки. Не ясно, захочет ли американской корпорация Google идти на поводу у российского правительства.
Вероятнее всего сроки возврата Google AdSense в Россию прогнозируются на 2028 – 2030 годы или позже. И только при условии, что активная фаза боевых действий закончится. Но у корпоративных боссов в голове могут быть иные планы, включая полный уход из России окончательно, как в своё время Google ушёл из Китая
Сейчас для независимых YouTube-блогеров и владельцев контентных порталов самым эффективным остаётся прямая реклама. Но получить её могут только владельцы сайтов или каналов на YouTube, имеющие определённую аудиторию на своих проектах. Если это меньше десятков тысяч человек, что-либо урвать из скромного пирога теперяшнего российского рекламного рынка будет весьма проблематично.
