webmoney - Кребс в безопасности

Когда пришло время забронировать отпуск или быстрый отпуск, многие из нас обращаются к сайтам бронирования путешествий, таким как Expedia, Travelocity и другие службы сравнения. Но есть служба бронирования, дружественная к киберпреступности, которая не очень известна. Когда кибер-мошенники хотят уйти - с преступлением - они все чаще обращаются к подпольным сервисам онлайн-бронирования, которые позволяют мошенникам арендовать взломанные ПК, которые могут помочь им анонимно заниматься своей торговлей.

Мы часто слышим о взломанных ПК с дистанционным управлением или «ботах», используемых для рассылки спама или размещения вредоносных веб-сайтов, но исследователи безопасности редко вникают в механизм, лежащий в основе одного из самых основных видов использования бота: узел службы анонимности, который позволяет платящим клиентам прокси-соединение своих интернет-соединений через одну или несколько скомпрометированных систем.

Как я отметил в колонка "Вашингтон пост" в 2008 году «этот тип услуг особенно привлекателен для преступников, желающих использовать банковские счета в учреждениях, которые проводят элементарные проверки адресов в Интернете, чтобы гарантировать, что лицо, получающее доступ к учетной записи, действительно вошло в систему из географического региона законного клиента, в отличие от: Одесса, Украина ». Мошенники используют прокси-серверы всегда, кажется, но интересно, что найти жертв так легко, если вы являетесь пользователем службы анонимизации.

Вот обзор одной из самых продвинутых сетей анонимности на рынке, подписной службы только для приглашений, проданной на нескольких ключевых подпольных форумах по киберпреступности.

Когда я тестировал этот сервис, у него было более 4100 бот-прокси, доступных в 75 странах, хотя большинство взломанных ПК, которые продавались или арендовались, находились в Соединенных Штатах и ​​Великобритании. Кроме того, число доступных прокси меняется ежедневно, достигая максимума в обычные рабочие часы в Соединенных Штатах. Развернув карту США (см. Изображение выше), пользователи могут выбирать прокси по штатам или использовать поле «расширенный поиск», которое позволяет клиентам выбирать ботов в зависимости от города, диапазона IP-адресов, интернет-провайдера и скорости соединения. В эту услугу также входит довольно активный русскоязычный форум поддержки клиентов. Клиенты могут воспользоваться услугой после оплаты единовременного регистрационного взноса в размере 150 долларов США (гарантийный депозит?) В виртуальной валюте, такой как WebMoney или же свободный резерв , После этого отдельные загруженные системы можно арендовать примерно за доллар в день или «купить» для эксклюзивного использования за чуть больше.

Я попытался определить местонахождение некоторых владельцев взломанных машин, арендуемых через этот сервис. Первоначально это представляло проблему, поскольку большинство из перечисленных прокси-серверов представляют собой скомпрометированные ПК, подключенные к домашнему или малому бизнесу по кабельному модему или DSL-соединениям. Как видно из скриншота ниже, единственной идентифицирующей информацией для этих систем был IP-адрес и имя хоста. И хотя так называемые сервисы «геолокации» могут определять приблизительное местоположение интернет-адреса, эти сервисы не являются точными, а иногда и недоступны.

Я начал просматривать списки прокси-серверов, которые имели значимые имена хостов, например, доменное имя компании. Вскоре я наткнулся на веб-сайт The Securities Group LLC , частной брокерско-дилерской фирмы из Мемфиса, штат Теннесси, специализирующейся на партнерских отношениях с врачами в области здравоохранения. В соответствии с сайт компании «TSG привлекла более 100 000 000 долларов США, объединив более 200 проектов в области здравоохранения, включая целые госпитальные льготы, центры амбулаторной хирургии, хирургические больницы, центры визуализации PET, лаборатории CATH и LLC для лечения рака простаты с участием до 400 инвесторов-медиков». Прокси, продаваемый служба анонимизации была привязана к интернет-адресу почтового сервера TSG и к веб-сайту для Пенсионное сообщество Кирби Пайнс также в Мемфисе.

Продолжить чтение →