У мережі знайдений величезний чорний ринок «віртуальних особистостей». Як він працює?

Проблема з системами аутентифікації

Онлайн-економіка залежить від імен користувачів та паролів. Вони

необхідні для підтвердження особистостіІнтернеті під час будь-яких грошових операцій: від покупок до банківських переказів все пов'язано з особистими даними. Однак цей обмежений спосіб автентифікації виявився далеко не безпечним, оскільки люди схильні повторно використовувати свої паролі у кількох службах та веб-сайтах. Це призвело до масової та високоприбуткової незаконної торгівлі обліковими даними користувачів. Оцініть масштаб: за недавніми оцінками через підпільні ринки за рік було продано близько 1,9 млрд вкрадених облікових даних.

Не дивно, що банки та інші цифровісервіси розробили більш складні системи аутентифікації, які покладаються не тільки на те, що користувачі знають свій пароль. Наприклад, у людини є свій eToken.

eToken (від англ. electronic - електронний та англ.token - ознака, жетон) - кошти персональних засобів аутентифікації у вигляді USB-ключів і смарткарт, а також програмні рішення з їх використанням. У Росії такі маркери також продаються.

Процес, при якому у користувача єі  пароль і особистий токен, відомий як багатофакторна автентифікація (MFA). Так, вона сильно обмежує можливість кіберзлочинності, але має свої недоліки. Оскільки він передбачає «зайві рухи тіла», багато користувачів не хочуть реєструватися для отримання токена, а це означає, що деякі використовують його.

Чи є альтернатива?

Щоб вирішити цю проблему, останнім часомстала популярною альтернативна система аутентифікації в таких сервісах, як Amazon, Facebook, Google і PayPal. Ця система, відома як аутентифікація на основі ризиків (RBA), переглядає «відбитки пальців» користувача, щоб перевірити чиїсь облікові дані. Вони можуть включати основну технічну інформацію - таку як тип браузера або операційної системи, а також поведінкові особливості користувача. Йдеться про рух миші, його місце розташування і аже швидкість натискання клавіш. Якщо відбиток пальця відповідає тому, що очікується від користувача - на основі попереднього поведінки - йому дозволяється відразу увійти в систему, використовуючи тільки свій логін і пароль. В іншому випадку потрібна додаткова аутентифікація за допомогою токена.

Звичайно, кіберзлочинці швидко придумалиспособи обходу RBA, розробивши фішингові набори, які також включають відбитки пальців. Однак їм складно перетворити це в ефективний і прибутковий бізнес. Одна з причин полягає в тому, що ці профілі користувачів змінюються з часом і в залежності від служб, і їх необхідно збирати за допомогою додаткових фішингових атак.

Видача себе за іншу особу як послуга

Нещодавно вчені з Технологічного університетуЕйндховена виявили докази наявності великомасштабного та дуже складного ринку, який, схоже, долає ці обмеження. Торговий майданчик, розташований у Росії, пропонує понад 260 000 детальних профілів користувачів разом з іншими обліковими даними, такими як адреси електронної пошти та паролі.

«Унікальність цього підпільного веб-сайтуполягає не тільки в його масштабі, а й у тому, що всі профілі постійно оновлюються, це означає, що вони зберігають свою цінність», — пояснює Лука Аллоді, дослідник групи безпеки факультету математики та комп'ютерних наук, який разом із доктором філософії, студентом Мікеле Кампобассо відповідав за дослідження.

Клієнти можуть виконувати пошук в базі даних,щоб вибрати саме того користувача інтернету, на якого вони хочуть націлюватися. Це дозволяє використовувати дуже небезпечні цільові фішингові атаки. До речі, покупці на цьому чорному ринку можуть отримати програмне забезпечення, яке автоматично завантажує придбані профілі користувачів на цільові веб-сайти.

Лука Аллоді, дослідник Т U/e

Надано: Технологічний університет Ейндховена.

Щоб наголосити на систематичному характерівеб-сайту, Аллоді та Кампобассо ввели термін «уособлення як послуга» (IMPaaS), що перегукується з добре відомими сервісами хмарних обчислень, такими як SaaS (програмне забезпечення як послуга) та IaaS (інфраструктура як послуга).

«Наскільки нам відомо, це найбільший і витончений кримінальний ринок, на якому систематично пропонуються ці послуги».

Вивчити ринок було непросто, підкреслюютьдослідники. Щоб отримати доступ до списків доступних профілів користувачів, дослідникам довелося дістати спеціальні коди запрошення, якими користуються існуючі користувачі. Збір даних також був утруднений - оператори платформи активно відстежували «шахрайські» облікові записи. Також дослідники вирішили зберегти в секреті справжня назва сайту, щоб мінімізувати ризик відповідних дій з боку операторів ринку.

Ціна «віртуальної особистості»

Ціна «віртуальної особистості» користувача наторговельному майданчику коливається від 1 долара до приблизно 100 доларів. Доступ до профілів криптовалюта і платформ з електронними грошовими переказами здається найбільш цінним. «Просте наявність хоча б одного профілю, пов'язаного з криптовалюта, майже вдвічі збільшує середнє значення профілю», - каже Аллоди.

Ще один важливий фактор, що підвищує ціну, -це багатство країни, в якій знаходиться користувач. «У цьому є сенс: зловмисники, які прагнуть видати себе за профілі користувачів і монетизувати їх, надають більшого значення профілям, які можуть принести велику фінансову вигоду, і вони в основному зустрічаються в розвинених країнах. вважає Кампобассо.

Також дуже високо цінуються профілі користувачів,які надають доступ до більш ніж однієї службі, і профілі зі «справжніми» відбитками пальців, на відміну від відбитків пальців, «синтезованих» платформою.

Використання профілів

У своїй статті дослідники також описуютькілька прикладів того, як злочинці «озброюють» ці профілі, які вони знайшли на секретному каналі Telegram, використовуваному клієнтами платформи. В одній з відомих атак зловмисник описує настройку фільтрів для поштових скриньок електронної пошти жертви. Мета - приховування повідомлень від Amazon, пов'язаних з покупками, досконалими зловмисником з використанням облікового запису жертви на платформі.

Наслідки торгівлі «цифровими особистостями»

Однак схожі ринки існують не тільки в Росії.

Компанія IntSights з Нью-Йорка, що займаєтьсярозвідкою загроз, націлена на надання підприємствам можливості «захищатися наперед», оголосила про випуск останнього звіту компанії «Ідентифікація цифрових браузерів: найгарячіша новинка чорного ринку».

У звіті стверджується, що «поява ринкуGenesis у листопаді 2018 року привернула увагу до нового типу підпільної послуги «„цифрової ідентичності“». Цей тип чорного ринку пропонує повне зняття «відбитків пальців» з веб-браузера користувача та характеристик комп'ютера, що дозволяє зловмиснику практично бездоганно видавати себе за жертву. «Це дає покупцю цифрової ідентичності можливість отримувати доступ до веб-сайтів в якості іншого користувача і обходити розширені служби захисту особистості». Дослідження стверджує, що це включає доступ до облікових записів електронної пошти (наприклад, Google, Yahoo, Microsoft), профілям в соціальних мережах (наприклад, Facebook, Twitter, LinkedIn), банкам та рахунках кредитних карт (включаючи PayPal), сайтам роздрібної торгівлі та електронної комерції (наприклад, eBay, Amazon, Best Buy), музичні сервіси (Spotify), додатки для пересування (Uber), державних послуг та навіть внутрішнім сторінкам входу в систему.

«Думайте про це як про цифроверозпізнавання осіб, але замість сканування вашої особи для перевірки вашої особи вони використовують властивості вашого пристрою для перегляду веб-сторінок», — пропонують автори звіту. Наслідки лякають, тому що це дає будь-якому можливість вторгатися і імітувати особистість користувача в інтернеті, оскільки користувачі зазвичай зберігають свої облікові дані в своєму браузері навіть для фінансових і робочих веб-сайтів для зручності.

«Застосування цієї тактики маскараду виходитьза рамки шахрайства та фінансових злочинів. Хакери можуть атакувати певні компанії, шукаючи їх співробітників; педофіли можуть націлюватися на дітей і видавати себе за них, шукаючи жертв, які заходять на відомі дитячі сайти; а спецслужби можуть шукати різних державних службовців у відповідності з внутрішніми сторінками входу».

IntSights також зазначила, що Richlogs, новийконкурент Genesis поповнив ряди провідних темних торгових майданчиків. «Як і ринок Genesis, Richlogs збирає і продає вкрадені» цифрові відбитки пальців «пристрою перегляду веб-сторінок (тобто IP-адресу, інформацію про ОС, часовий пояс, поведінку користувача). Ці сайти дозволяють покупцеві видавати себе за законного онлайн-користувача і обходити стандартні протоколи безпеки, пропонуючи повний обліковий доступ до будь-якого сайту, який був збережений в браузері жертви».

Аріель Ейнхорен, керівник відділу дослідженьIntSights, підкреслює: «Рівень вторгнення в життя жертви, що забезпечується цифровий ідентифікацією, викликає тривогу. На карту поставлені не тільки кредитні картки, банківські рахунки або особиста інформація. Цифрова ідентифікація дає зловмисникам можливість практично повністю перехопити чужу ідентифікацію в інтернеті. Це включає в себе все: від перегляду витрат до відстеження щоденних маршрутів поїздок і перегляду податкової інформації ». Вона додала, що чим більше цифровий слід жертви, тим більше зловмисник може видати себе за неї. «Цифрові посвідчення особи в тому вигляді, в якому вони продаються на Richlogs і Genesis, пропонують повний цифровий відбиток людини на пластині, надаючи нескінченні можливості для шахрайства, шахрайства, крадіжки і доступу до особистого життя жертви».

Як захистити себе?

IntSights надав поради щодо захисту організації від шахрайства з цифровою ідентифікацією:

  • Постійно стежте за ринками цифрової ідентичності.Видимість і обізнаність - ключ до проактивногозахисту. «Моніторинг цих ринків може допомогти вам ідентифікувати скомпрометовані особи на ранньому етапі (наприклад, на одній з ваших внутрішніх сторінок входу в систему), щоб ви могли більш ретельно відслідковувати трафік на цю сторінку і / або покращувати методи перевірки при вході користувачів в систему».
  • Увімкніть двофакторну автентифікацію.«Запит другий (або навіть третій) змінної дляперевірки користувачів ускладнює злом облікових записів зловмисниками. Це може включати в себе мобільну перевірку або надання відповідей на додаткові питання безпеки, які будуть знати тільки замовник або працівник ».
  • Регулярно оновлюйте протоколи зняття відбитків пальців.Якщо ваша компанія використовує цифрові відбиткипальців для перевірки клієнтів або користувачів, регулярно оновлюйте ці протоколи і додавайте додаткові точки аутентифікації, щоб не відставати від оновлень версії Стілер.
  • Послідовно очищайте файли cookie та історію переглядів.«Очищення файлів cookie та історії переглядівобмежує обсяг вашої «цифровий історії» і, отже, не піддає ризику додаткові веб-сайти і / або профілі в разі зараження вашого пристрою ».
  • Регулярно міняйте паролі.Це завжди найкраща практика кібербезпеки, і вона, безумовно, застосовна і тут. Зміна паролів та запобігання повторному використанню паролів допомагають значно знизити ризик злому.

Читати також

Річна місія в Арктиці закінчилася, і дані невтішні. Що чекає людство?

Подивіться на найближчі знімки поверхні Сонця

Коронавіруси навчилися імітувати імунні білки людини і обманювати організм