Исследование

Цифровые двойники

Киберпреступники похищают деньги со счетов, используя украденные цифровые профили

Кардингу уже больше двадцати лет и исчезать с арены киберпреступлений он не собирается. Более того, его арсенал развивается семимильными шагами. Да, совершать онлайн-покупки с помощью украденных номеров банковских карт или учетных данных платежных систем сегодня сложнее, чем десять лет назад, но «сложно» не значит «невозможно».

Современное финансовое кибермошенничество — это изощренные банковские атаки, такие как Carbanak и Silence, сотни семейств банковских троянцев и многое, многое другое. Однако начиналось все с кардинговых форумов в девяностых. И, как и тогда, основными источниками дохода киберпреступников остается мошенничество с банковскими картами, платежными системами и онлайн-банкингом.

По оценке Juniper Research, убытки от мошенничества с онлайновыми платежными системами к 2023 г. достигнут 43 млрд долларов США — то есть увеличатся на 22 млрд по сравнению с 2018 г. Причины этого ясны: злоумышленники постоянно разрабатывают новые методы и инструменты обхода защитных механизмов, совершенствуют вредоносное ПО, создают свои сервисы и магазины, обсуждают способы обмана систем безопасности на форумах и каналах теневого интернета. За прошедшие годы активность в этом сегменте киберпреступности не затихала ни разу, просто от знаменитого форума Cardingplanet злоумышленники перешли к магазинам украденных карт в теневом интернете, а их методы эволюционировали и стали еще опаснее. В этой ситуации меры противодействия и усиления кибербезопасности становятся важным приоритетом для отрасли.

Защита цифровых «отпечатков пальцев»

Как современные антифрод-системы противостоят мошенничеству в интернете? Модели их работы могут быть самыми разными, как и комбинации используемых для этого технических и аналитических методов, однако суть одна — система должна выявить злоумышленника и заблокировать незаконную трансакцию с использованием банковской карты или счета в платежной системе. Чтобы отличить мошенника от добропорядочного покупателя, система проверяет «маску» пользователя — его цифровой профиль. Если эта маска известна как легитимная или если она нова и уникальна, то система не будет бить тревогу. Пользователь с такой маской считается добропорядочным, а его запрос (например, попытка оплатить кредитной картой товар) удовлетворяется без проволочек. Если же цифровое «удостоверение» пользователя вызывает подозрения, трансакция будет отменена или отложена, пока ее не проверят вручную. Для дополнительной аутентификации у пользователя могут запросить более подробные сведения, например, срок действия карты или CVV. В некоторых случаях сотрудник онлайн-магазина или системы онлайн-платежей даже звонит покупателю, чтобы получить голосовое подтверждение.

По сути, вышеупомянутый профиль пользователя представляет собой его «отпечатки пальцев» — сочетание системных атрибутов, уникальных для каждого устройства, и личных поведенческих атрибутов, уникальных для каждого конкретного пользователя. В список системных атрибутов входят:

  • IP-адрес (внешний и локальный);
  • информация об экране (разрешение, размер окон);
  • версия прошивки;
  • версия операционной системы;
  • установленные в браузере расширения;
  • часовой пояс;
  • идентификатор устройства;
  • информация об аккумуляторе;
  • данные об аудиосистеме;
  • информация о GPU;
  • IP-адреса WebRTC;
  • данные анализа пакетов TCP/IP;
  • данные пассивного анализа SSL/TLS-трафика;
  • куки-файлы;
  • прочая информация.

Всего у устройства, с которого пользователь заходит в онлайн-магазин или платежную систему, может быть более ста атрибутов.

Вторая часть цифрового профиля — данные поведенческого анализа. Современные антифрод-решения анализируют учетную запись пользователя в социальных сетях (проверяя сторонние файлы cookies) и такие аспекты его поведения, как:

  • время, потраченное на сайте онлайн-магазина;
  • клики на сайте;
  • проявления заинтересованности (какие предметы разыскивает пользователь, сколько денег обычно тратит, цифровые или реальные товары приобретает и т. д.);
  • использование мыши или сенсорного экрана;
  • изменения конфигурации системы.

Антифрод-система проверяет, уникальны ли цифровые отпечатки и впервые ли они применяются, а если уже использовались для проведения трансакций, выясняет, были ли эти трансакции легитимными. Если киберпреступник будет совершать покупки в одном и том же магазине с одного компьютера с помощью разных банковских карт или учетных записей платежных систем, его платежи будут отклоняться. Защитные механизмы могут сравнить собранные отпечатки с базой данных устройств мошенников — если будет найдено совпадение, трансакция будет немедленно заблокирована.

Пример цифрового «отпечатка пальцев»

Однако преступники постоянно ищут способы обмана средств безопасности. Они проводят свои исследования: например, анализируют трафик браузеров на локальном прокси-сервере, чтобы разобраться в тонкостях сценариев и запросов, используемых антифрод-системами, а также проверяют, какая информация используется ими для создания цифровых отпечатков.

После этого киберпреступники пытаются подменить реальный отпечаток системы фальшивым. Для этого они обманывают защитную систему, выдавая уникальные данные в ответ на ее запросы, или же подсовывают ей информацию из украденного «отпечатка».

Магазин Genesis

Киберпреступники вскоре поняли, что уникальные цифровые отпечатки пользователей — это ценные данные. Они преступили к разработке вредоносного ПО для кражи цифровых профилей с компьютеров пользователей для последующей их продажи вместе с другими похищенными данными с тех же ПК. Мы обнаружили и смогли исследовать крупнейший магазин данных такого типа под названием Genesis.

Домашняя страница магазина Genesis

Genesis — это частный онлайн-магазин с доступом только по приглашениям, где можно купить украденные цифровые профили. Сейчас здесь выставлено на продажу более 60 тыс. так называемых ботов. Такой бот может включать «отпечатки пальцев» браузера, имена и пароли пользователей на различных сайтах, файлы cookies, реквизиты банковских карт.

Цена бота зависит от ценности информации и колеблется от 5 до 200 долларов. Например, если в составе есть имя и пароль учетной записи банковского сервиса, цена выше. Как объяснили владельцы магазина в своей теме на теневом форуме, цена назначается автоматически с использованием уникального алгоритма.

Боты на продажу

В интерфейсе Genesis есть настраиваемая панель поиска, которая позволяет найти бот с определенными параметрами. Сортировать результаты можно по сайтам, для которых есть данные авторизации, стране проживания жертвы, операционной системе, дате, когда бот появился в магазине, и т. д.

Поисковая панель в Genesis

Владельцы Genesis хотят максимально упростить использование украденных профилей, поэтому они разработали специальный плагин для браузеров на основе Chromium. Расширение одним кликом устанавливает украденный цифровой профиль в браузер киберпреступника, позволяя ему стать цифровым двойником жертвы. После этого для обхода антифрод-системы достаточно подключиться к прокси-серверу с IP-адресом, соответствующим расположению жертвы.

Плагин Genesis

Настройки цифровых отпечатков в плагине Genesis

Если клиент не хочет покупать настоящего бота, он может создать новый уникальный отпечаток. Магазин Genesis позволяет использовать свои алгоритмы и плагин для генерации произвольных цифровых профилей, с которыми можно, например, ввести данные украденной банковской карты в онлайн-магазине. Уникальный «отпечаток пальцев» браузера будет настроен так, чтобы не вызвать подозрений у защитных систем.

Генератор «отпечатков пальцев» Genesis

Темная сфера

Еще один инструмент, который мошенники широко используют для обхода защитных решений, — браузер Tenebris Linken Sphere. Разработчики позиционируют его как рабочий инструмент для тех, кто стремится к анонимности, однако по факту он уже много лет используется для кардинга. В отличие от плагина Genesis, Sphere — это полнофункциональный браузер с расширенными конфигурациями «отпечатков пальцев», автоматической проверкой прокси-серверов, вариантами их использования и т.д. В нем даже есть эмулятор пользовательской активности: киберпреступники могут запрограммировать его открывать нужные сайты, кликать по ссылкам, оставаться на страницах нужное количество времени и т.д. — в общем, обманывать модули анализа поведения защитных решений. Кроме того, разработчик Tenebris Linken Sphere создал магазин уникальных «отпечатков пальцев», которые можно использовать в браузере.

Сайт Tenebris

В отличие от Genesis, Sphere предоставляется по подписке. Месяц использования браузера стоит 100 долларов США, а с доступом к магазину отпечатков цена возрастает до 500 долларов.

Лицензии Tenebris Sphere

У Sphere значительно больше настроек для генерации «отпечатков пальцев», чем у продукта Genesis, и большинство параметров регулируется в широких пределах. Браузер дает возможность создать именно тот отпечаток, который нужен, чтобы изобразить реального пользователя в тех или иных условиях.

Панель настроек

Панель настроек

Заключение

Кардинг приносит прибыль, и потому киберпреступники не собираются от него отказываться. В результате, несмотря на развитие защитных систем, развиваются и инструменты для их обхода.

Снижение рисков этой и подобных ей угроз должно быть постоянным приоритетом для служб безопасности всех без исключения финансовых организаций. Двухфакторная аутентификация любых трансакций должна применяться в обязательном порядке — даже в тех случаях, когда система защиты не видит в профиле пользователя ничего криминального. Конечно, клиентам не очень удобно проходить проверку при каждой покупке, однако на настоящий момент это наиболее эффективная защита от кардинга.

Кроме того, необходимо развивать и внедрять новые методы анализа пользовательского поведения и уникальные технологии снятия цифровых «отпечатков пальцев», в том числе аппаратные, которые будут работать на более глубоком уровне. Полезным также может быть внедрение дополнительных методов биометрической аутентификации.

Цифровые двойники

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике