Prevaranti varaju druge prevarante
NIKO NIJE Imun na prevaru na mreži — čak ni ljudi koji se bave prevarama.
Na forumima o sajber kriminalu, žalbe korisnika na prevaru mogu slučajno otkriti njihov pravi identitet
Sajber-kriminalci koji koriste forume za hakovanje da bi kupili softverske eksploatacije i ukradene podatke za prijavu, padaju na prevare i bivaju prevareni za hiljade dolara, otkrila je nova analiza. Štaviše, kada se kriminalci žale da su prevareni, oni takođe ostavljaju trag svojih ličnih podataka koji bi policiji i istražiteljima mogli otkriti njihov stvarni identitet. Hakeri i sajber kriminalci se često okupljaju na određenim forumima i tržištima da bi poslovali jedni sa drugima. Oni mogu da reklamiraju predstojeći posao za koji im je potrebna pomoć, da prodaju baze podataka ukradenih lozinki i informacija o kreditnim karticama ili da reklamiraju nove bezbednosne propuste koji se mogu koristiti za provalu u uređaje ili sisteme ljudi.
Međutim, ovi dogovori često ne idu po planu. Novo istraživanje, koje je danas objavila firma za sajber bezbednost Sophos, ispituje ove neuspele transakcije i pritužbe ljudi na njih. „Prevaranata koji prevare prevarante na kriminalnim forumima i tržištima je mnogo više nego što smo prvobitno mislili“, kaže Met Viksi, istraživač iz Sophos X-Ops koji je proučavao tržišta. Viksi je ispitao tri najistaknutija foruma o sajber kriminalu: forume na ruskom jeziku Exploit i XSS, plus BreachForums na engleskom jeziku, koji je zamenio RaidForums kada su ga zaplenili američki organi za sprovođenje zakona u aprilu. Iako sajtovi funkcionišu na malo različite načine, svi imaju sobe za „arbitražu“ u kojima se mogu žaliti ljudi koji misle da su ih drugi kriminalci prevarili ili da su im naneli nepravdu. Na primer, ako neko kupi zlonamerni softver i on ne radi, može da jadikuje administratorima sajta.
Žalbe ponekad dovode do toga da ljudi dobiju svoj novac, ali češće deluju kao upozorenje za druge korisnike, kaže Viksi. U poslednjih 12 meseci – period koji pokriva istraživanje – kriminalci na forumima izgubili su više od 2,5 miliona dolara od drugih prevaranata, kaže se u analizi. Neki ljudi se žale na gubitak od samo 2 dolara, dok se srednja vrednost prevara na svakom od sajtova kreće od 200 do 600 dolara, prema istraživanju koje je predstavljeno na konferenciji o bezbednosti BlackHat Europe. Prevare dolaze u više oblika. Neki su jednostavni, drugi sofisticiraniji. Često postoje prevare „rip-and-run”, kaže Viksi, gde kupac ne plaća ono što je dobio ili prodavac dobija novac, ali ne šalje ono što je prodao. Druge vrste prevara uključuju lažne podatke ili bezbednosne eksploatacije koje ne funkcionišu: Jedna osoba na BreachForums tvrdi da je prodavac pokušao da im pošalje Facebook podatke koji su već bili javni. U jednom ekstremnom incidentu na forumu Exploit, jedan nalog je objavio dugačku žalbu da su nekome dali eksploataciju Windows kernela i da im nije plaćeno 130.000 dolara koliko su se dogovorili za to. Kupac je rekao da će platiti kada testiraju softver, ali nikada nisu dobili novac.
„U svakoj fazi davao je različite izgovore za odlaganje plaćanja“, kaže se u prevedenoj verziji žalbe. U nekim prevarama, činilo se da više naloga ili ljudi rade zajedno, kaže istraživanje. Korisnik sa dobrom reputacijom može upoznati jednu osobu sa drugom. Ovaj saučesnik zatim upućuje žrtvu na veb lokaciju za prevare. U jednom slučaju, kaže Viksi, korisnik je želeo da kupi lažnu kopiju NFT-fokusirane igre Axie Infinity. „Hteli su njenu lažnu kopiju sa namerom da u osnovi izvuku sredstva legitimnih korisnika“, kaže Viksi. „Ovu lažnu kopiju su kupili od nekog drugog, a lažna kopija je sadržavala backdoor koji je zatim ukrao ukradenu kriptovalutu. Prevarant je u suštini prevaren putem sopstvene prevare”. Iako ne bi trebalo da bude iznenađenje što kriminalci često pokušavaju da prevare jedni druge – ipak, među sajber kriminalcima nema časti – istraživanje pokazuje koliko je to rasprostranjeno.
U 2017, bezbednosna firma Digital Shadows istakla je bazu podataka koja je stvorena da imenuje i sramoti poznate ripere. Slično tome, 2021. godine, kompanija je otkrila da neki administratori na forumima o sajber kriminalu varaju svoje klijente. U protekloj deceniji, bilo je na hiljade pritužbi o kriminalcima koji jedni druge prevaravaju, prema obaveštajnoj kompaniji za pretnje Analyst1. U međuvremenu, prethodna analiza kompanije TrendMicro je zaključila da iako forumi i tržišta imaju pravila, ona ne odvraćaju prevarante. „Počinioci su obično oni koji žele brzu zaradu umesto reputacije“, kaže se u istraživanju kompanije iz 2019.
Verovatno je najorganizovanija prevara koju je Viksi uočio proizašla iz istrage o Genesis tržištu, koje je na mreži od 2017. godine i prodaje detalje za prijavu u hotel, kolačiće i pristup podacima iz kompromitovanih sistema. Istražujući Genesis, Sophos je otkrio lažnu verziju veb stranice koja se pojavljuje visoko u Google-ovim rezultatima pretrage. „Ovo je zaista bizaran slučaj“, kaže Viksi. „To je bio zaista osnovni WordPress šablon i tražio je novac, dok je prava Genesis samo pozivnica. Naoružani detaljima sa lažne veb stranice Genesis — uključujući delove teksta i adrese kriptovaluta — istraživači su otkrili 20 veb lokacija za koje se čini da ih povezuje i vodi ista grupa ili pojedinac. Svi veb-sajtovi izgledaju isto i registrovani su između avgusta 2021. i juna 2022. — njih osam je još uvek aktivno. Skoro sve ove veb stranice, kaže Viksi, imitiraju ugašena kriminalna tržišta i pokušavaju da nateraju ljude da plate da im pristupe.
Istraživač kaže da su bitkoin adrese na koje sajtovi za prevare plaćaju zajedno primili 132.000 dolara, iako je oprezan kada kaže da je sav novac možda došao sa lažnih veb lokacija. Viksi kaže da kriminalci koji se žale da su prevareni i pokušavaju da reše svoje sporove arbitražom mogu biti potencijalno bogat izvor obaveštajnih podataka za istražitelje. Pošto oni koji se žale na prevare moraju da objave dokaze kako bi podržali svoje tvrdnje, često dele snimke ekrana koji sadrže više ličnih podataka nego što su možda nameravali. Sophos kaže da je video „riznicu“ podataka, uključujući adrese kriptovaluta, ID-ove transakcija, email adrese, imena žrtava, neki izvorni kod zlonamernog softvera i druge informacije. Svi ovi detalji mogu pomoći da se otkrije više informacija o ljudima iza korisničkih imena ili da daju naznake o tome kako oni rade. U jednoj pritužbi na prevaru, korisnik je podelio snimak ekrana koji prikazuje nečija Telegram korisnička imena, email adrese, Jabber imena za čet, plus Skype i Discord korisnička imena.
U drugima su prikazane IP adrese i zemlje u kojima se korisnici mogu nalaziti. Snimci ekrana otkrivaju softver koji ljudi koriste, kao i veb lokacije koje posećuju i detalje o podešavanju računara. U nekim slučajevima, Viksi je video detalje o žrtvama koje su gađali sajber kriminalci. Kriminalci, po prirodi onoga što rade, obično su veoma oprezni kada dele bilo šta što ih može identifikovati. Prava imena se ne koriste; često će koristiti usluge anonimizacije kao što je Tor. „Oni obično koriste prilično dobru operativnu sigurnost, ali sa izveštajima o prevarama to nije baš tako“, kaže Viksi. „Toliko od ovih stvari jednostavno nije dostupno nigde drugde na ovim tržištima. U budućnosti, podaci bi se mogli pokazati korisnim alatom za pronalaženje nekih kriminalaca. To je svakako početna tačka“.
Izvor: Wired