G Data
Whitepaper 2009
Underground Economy
Introducere: de la nişte atacuri ale unor hackeri inofensivi, la o afacerie cu profituri de milioane de dolari
Proliferarea economiei subterane în ultimii ani poate fi exemplificată clar printr-un fenomen aparte: hackerii, care odată se mândreau cu capacitatea lor de a obţine acces nelimitat la unele dintre nenumăratele site-uri Web pornografice de pe Internet, nu se mai limitează la aceasta; astăzi, ei se întrec în cantitatea de date personale care permit deturnarea fondurilor de pe carduri de credit pe care le-au furat cu ajutorul botnet-urilor construite de ei. Iar aceste date se pot materializa astăzi sub forma banilor gheată mai repede ca niciodată. De-a lungul timpului, această tendinţă s-a dezvoltat treptat, ducând la constituirea unei economii subterane. Acum, ea are toate elementele asociate unui mediu economic “autentic”: producători, comercianţi, furnizori de servicii, “şarlatani” şi clienţi. Deja pentru multe persoane, câştigul de bani din acest mediu obscur este doar o trambulină spre crima organizată, deşi (sau, mai degrabă, deoarece), nu se pune problema vreunui contact personal cu alţi oameni când vorbim de acest tip de tranzacţii, specifice economiei subterane.
În cele ce urmează, lucrarea va oferi o perspectivă succintă asupra comunităţii subterane şi a modului cum este structurată aceasta din urmă. Ea va demonstra clar cum această comunitate nu mai este o minoritate inofensivă, ci, din contră, un leagăn al crimei organizate şi al infractorilor.
La finalul documentului se poate consulta un dicţionar care explică terminologia specializată utilizată.
2. Structura economiei subterane
2.1. Locuri de socializare şi comunicare în cadrul comunităţilor
Una dintre principalele platforme pentru această comunitate sunt forumurile de discuţii, cunoscute şi sub denumirea de „board-uri”, unde topicurile principale de discuţie sunt: reţelele botnet, spam-ul, furtul de date şamd. Oferta se înscrie pe o scală care variază de la câteva scripturi pentru puştii care aspiră să devină hackeri, până la operaţiuni precum tranzacţionarea liberă de date legate de cărţi de credit, bunuri furate sau multe alte tipuri de “bunuri”. Toate acestea au un caracter ilicit irefutabil. De asemenea, cu cât caracterul ilegal pe care îl îmbracă conţinutul acestor forum-uri este mai pronunţat, cu atât eforturile operatorilor lor de protejare împotriva accesării neautorizate de ei este mai intens. Arareori formatul acestor forumuri este diferit faţă de cel al forumurilor normale. De cele mai multe ori, ele include o zonă care poate fi aceesată numai de membrii unei echipe sau de către cei care au atras atenţia asupra lor prin serviciile speciale pe care le oferă sau prin intermediul câştigurilor de care dau dovadă. Alţi membri pot accesa numai zonele pentru publicul obişnuit, dar chiar şi acolo comunităţile informale de infractori cibernetici pot găsi destule informaţii utile pentru ei.
De exemplu, pe un astfel de forum se găsesc instrucţiuni care te ajută să îţi instalezi pentru prima dată un botnet sau informaţii despre breşele de securitate din anumite sisteme informatice sau “Instrumente de Administrare la Distanţă”/Remote Administration Tools (RATs), cum sunt ele denumite în limba engleză. Membrii experimentaţi oferă adesea consiliere celor noi, bineînţeles, contra cost.
Fig. 1: Screenshot de pe un forum al economiei subterane.
Operatorii acestor forumuri oferă infrastructura necesară unei pieţe – numită frecvent “piaţă neagră” – pe care membrii îşi pot oferi bunurile şi/sau serviciile. Acestea acoperă o plajă largă, de la date furate de identificare pentru cărţi de credit şi până la liste de adrese de e-mail sau reţelele botnet. De exemplu, orice persoană care achiziţionează sau închiriază un botnet poate desfăşura atacuri DDoS, care de cele mai multe ori copleşesc site-urile Web cu un trafic ce nu mai permite accesare lor şi, prin urmare, duc la blocarea lor.
Mai mult, în aceste condiţii nu este de mirare că aproape orice date protejate de copyright pot fi descărcate de pe forumuri speciale de pe Internet.
În rândul comunităţii ce gravitează în jurul forumului se dă o luptă acerbă pentru supremaţie. Forumuriele competitorilor sunt adesea distorsionate ca aspect ori capacitatea lor de a oferi servicii este blocată. Astfel de “competitori” copiază şi bazele de date ale formurilor atacate şi le publică pe propriul forum. Aşa, ei îşi dovedesc eficacitatea şi se bucură de recunoaştere în rândul comunităţii create în jurul lor. Site-urile Web pot fi şi marcate grafic, lucru care se întâmplă frecvent, ca semn că au fost supuse unui atac de hacking.
Comunicarea directă cu privire la modul de cumpărare sau vânzare sau schimb, practicate în aceste comunităţi se desfăşoară de obicei prin intermediul programelor de mesagerie instant precum MSN, ICQ, Yahoo Messenger sau Jabber. Pentru stabilirea contactului iniţial, infractorii cibernetici folosesc şi funcţiile de mesagerie instant, în modul personal, pe care le au încorporate forumurile lor, dar, uneori, şi câteva add-on-uri.
Fig. 2: Bot-uri puse la vânzare pe un forum subteran
Mulţi furnizori din economia subterană recurg la mesageria instant pntru relaţionarea cu clienţii lor. De aceea nu este anormal ca unul sau două numere ICQ să fie introduse pe post de date de contact în locul unui formular sau a unei adrese de email. Partea interesată poate utiliza numai aceste numere pentru a contacta furnizorii.
Alt serviciu utilizat de comunitatea aceasta este Internet Relay Chat (IRC). Diversitatea sa şi lipsa controlului fac din el o platformă ideală pentru comunitatea subterană. IRC-urile cu servicii de chat funcţionează în timp cvasi-real. Acest lucru face posibilă reunirea într-o singură cameră de discuţii a mai multor sute de urilizatori. În orice caz, există semnale de alarmă serioase asupra efectuării de tranzacţii prin intermediul unui IRC din cauza riscului de a cădea pradă jafului.
Utilizarea unui IRC implică uneori necesitatea de apelare la reţele publice care pot fi accesate de oricine. De aceea, adesea se preferă să se recurgă la servere private de IRC .
Versiuni ale binecunoscutului IRC-Daemons au fost modificate pentru a răspunde imperativelor economiei subterane şi se folosesc pentru operarea serverelor private.
Fig. 3: Descărcarea unui server de IRC modificat
2.2. Comerţul: reduceri pentru cărţi de credit furate
Majoritatea datelor provenite din tranzacţii cu cardul de credit, pe PayPal sau eBay se tranzacţionează în locuri speciale de pe forumuri. Există şi forumuri care se ocupă numai de comerţul cu bunuri furate.
Vânzările au loc în spaţii din forumuri special create pentru a deservi acest scop. Aşa cum s-a menţionat şi mai sus, aceste locuri se numesc “pieţe negre” sau, uneori, numai “pieţe”. Tranzacţiile au loc după cum urmează: cineva pune anumite bunuri în vânzare, de exemplu, unul sau mai multe seturi de acces la date pe eBay. Persoana stabileşte o sumă pe care o doreşte în schimbul fiecărui cont. În cazul în care clientul doreşte să cumpere toate sau cele mai multe dintre aceste seturi de date de acces, vânzătorul oferă o anumită reducere. Mai mult, vânzătorul menţionează aproape de cele mai multe ori care este varinata sa preferată de plată. Părţile interesate îi răspund pe forum sau intră în contact direct cu vânzătorul, pe baza datelor de contact pe care acesta le-a postat pe forum pentru încheierea tranzacţiei.
Fig. 4: Piaţă cu diverse tipuri de oferte
Infractorii cibernetici pot fi atât de buni în ceea ce fac, încât să ajungă să îşi construiască mazagine online, de unde achizitorii de malware pot să îşi procure cele necesare la fel ca într-un magazin obişnuit.
Fig. 5: Magazin pe piaţa neagră ce tranzacţionează datele legate de cont
Fig. 5: Ai nevoie de mai multe date pentru cărţi de credit sau contul tău furat de PayPal este blocat? Nici o problemă. Reprezenanţii descurcăreţi ai pieţei negre au un magazinaş de unde poţi să îţi achiziţionezi altele, în “pachete” de câte o sută. Aici se pot emite chiar şi facturi, folosind servicii standard pentru comunitatea infractorilor precum: Western Union, Paysafecard, E- Gold sau Webmoney. În orice caz, această metodă nu este agreată de toată comunitatea, deoarece costurile pentru servici sunt considerate de departe foarte mari.
În ziua de astăzi, există şi un curent în rândul deţinătorilor de magazine ilicite, de a oferi intermediere celor care oferă “servicii integrate”: magazine, conturi de găzduire, domenii şi orice altceva necesar unei afaceri de pe piaţa neagră. Atunci când recurge la un astfel de pachet “all-inclusive”, vânzătorul trebuie doar să îşi plasez bunurile furate în magazinul cumpărat sau închiriat. Dar orice are un preţ - vezi fig. 6.
Acesta este un exemplu de secţiune FAQs de pe site-ul Web al unui asemenea operator, care descrie serviciile într-un mod accesibil.
(01/08/2009):
FAQ legate de Închirierea de magazine online.
Ce face *******.net? – Costurile pentru server
• Înregistrarea domeniului
• Actualizări gratuite ale serverului şi ale scripturilor
• Consultanţă gratuită în planificarea strategică a a afacerii
• Configurarea Serverului (protecţie DDoS şi securitate totală)
• Se ocupă de costurile cu publicitatea pe forumuri binecunoscute, pentru creşterea profitului
• Oferă scriptul (pentru mai multe informaţii despre script vezi *****.net/products) şi nu numai.
Ce trebuie să fac pentru a închiria un magazin?
Un rating pozitiv. Adică: trebuie să fie un om car epoate dovedi că este de încredere.
Acest lucru nu înseamnă că vei fi acceptat în mod automat; aceasta este o condiţie de bază pentru a închiria un site.
Nu îţi poţi deschide un magazin fără un rating pozitiv.
Cât mă va costa?
Costuri de instalare:
€50 – dacă se folosesc butoane pentru antet şi subsol.
€100 – design standard, dar care ţine cont de preferinţele clientului (antet şi subsol + butoane standard).
€200 – design complet standard. Acest lucru presupune că elementele configurate (butoane etc) nu sunt predefinite ca *******.cc sau ******.net sau ******.net sau *****.net, ci configurarea este una complet nouă.
Taxe din vânzare:
0-1000 euro pe lună: 33.33%
1000-3000 euro pe lună: 30%
Peste 3000 euro pe lună: 20%
Procentajele se calculează din venitul încasat
In cazul în care contractorul nu doreşte altfel, plata are loc din 3 în 3 zile, şi cel mai devreme la 24 de ore după ultima achiziţie.
Este de asemenea interesant faptul că unele dintre magazine oferă garanţii pentru funcţionarea bunurilor lor. Acest lucru înseamnă că, dacă un set de date de acces pentru cărţi de credit nu funcţionează, achizitorul poate cere înapoi costul plătit în schimbul lor şi primi această sumă în contul său. Acest lucru indică în mod clar cât de solid a devenit acest tip de relaţie dintre infractorii cibernetici. De asemenea, relaţia dintre hoţii şi dealerii de bunuri furate devine evidentă: dacă hoţii furnizează bunuri de proastă calitate, acest lucru influenţează şi dealerul/intermediarul. Nu în ultimul rând, reputaţia acestuia în rândul comunităţii se erodează, făcând ca pe viitor, clienţii să apeleze la alţi dealeri.
Fig. 6: magazin de pe Web pentru cărţi de cerdit, conturi PayPal furate şi multe altele
2.3. Escrocii - hoţii care îi fură pe hoţi
Escrocii din comunitate se comportă exact precum inractorii informatici descrişi mai sus. Ei sunt, dacă doriţi, hoţii care îi fură pe hoţi. Definiţia generică dată escrocheriei pe Wikipedia este următoarea:
Înşelăciune implicând sume de bani, literal, un şiretlic ce presupune înşelăciunea prin e-mail de tip mass (înainte,mass prin fax). Receptorii sunt împinşi prin fraude (cf. inginerie socială) să ia parte la jocuri piramidale sau să efectueze plăţi în avans, în aşteptarea unor rezultate promise de către expeditori (escroci).
Stratagemele utilizate sunt extrem de inventive. Victima este mai întâi făcută să creadă că poate obţine un profit eorm. Ea face o plată în avans, dar aşteaptă în van orice reutrnare a acestei investiţii (bani sau bunuri) (01.08.2009)
Escrocii pot oferi date, bunuri sau alte servicii, în schimbul efectuării unor plăţi în avans, fără ca cei care le-au comandat să le primească veodată. În unele cazuri, primii cumpărători chiar primesc bunurile comandate, pentru ca escrocului să fie creditat cu un oarecare grad de încredere. Ulterior, el poate atrage victimele mai uşor la masa tratativelor şi poate obţine sume mai mari. Multe dintre portalurile de cumpărare şi-au creat un sistem de avertizare, atât pentru vânzători, cât şi pentru cumpărători, construit după modelul celor eBay, Amazon sau alte magazine online care respectă legea. Ele oferă posibilitatea potenţialilor parteneri de afaceri să îşi facă o idee dacă urmează să încheie o tranzacţie cu o persoană creditată cu încredere.
Majoritatea forumurilor s-au confruntat de mult cu problema postării de anunţuri de către escroci. (vezi fig.7). Post-urile negative sunt folosite şi pentru a învinui competitorii nedoriţi şi pentru a-i scoate din afacere. Pe multe site-uri, a devenit în prezent un fenomen curent aceea de a cere clienţilor screenshot-uri şi înregistrări convingătoare pentru ca administratorii forumului să se convingă de buna credinţă a acestora faţă de clientul potenţial şi, dacă se impune, chiar pot bloca accesul utilizatorilor care nu se dovedesc credibili.
Fig. 7: Spaţiu pe forum cu un mesaj de avertisment împotriva escrocilor
3. Bunuri şi servicii
3.1. Informaţii care generează venituri
Bunurile oferite ca marfă pe piaţa neagră pot include diverse tipuri de date. Există o cerere mare de date de creare de conturi, acte furate de identitate sau orice alte asemenea date care sunt utile şi necesare comunităţii subterane. Gama de produse variază de la date personale precum: nume, adrese, etc. şi până la detalii bancare sau baze de date scoase din uz cu informaţii despre sute de seturi de date despre utilizatori. “Bazele de date – magazie”/„Database dump”, în engleză, desemnează copii ale bazelor de date ale magazinelor online sau ale forumurilor unde sunt stocate date despre utilizatori (pentru informaţii suplimentare, vezi fig. 8). Uneori, aceste date sunt oferite gratuit în rândul membrilor comunităţii. În orice caz, acest fenomen se reduce la bazele de date ale altor forumuri, deoarece datele generate de către propriul magazin online pot fi aducătoare de bani buni.
Există, de asemnenea, o mare cerere de adrese pentru aşa-zisele „cardable shops”. Acest termen se referă la un magazin online unde cumpărătorii pot comada cu uşurinţă bunuri cu ajutorul unor cărţi de credit furate, deoarece controalele la care sunt supuse acestea sunt limitate. Cu cât un magazin online cere mai multe detalii despre validitatea cardului de credit utilizat, cu atât infractorii trebuie să obţină sau să achiziţioneze mai multe date.
Şi cu cât mai complete sunt informaţiile despre cărţile de credit, cu atât ele sunt mai valoroase.
Fig. 8: Achiziţionarea unei baze de date într-un magazin online de pe piaţa neagră
3.2. Proxy-urile, modalităţi ideale de “ştergere a urmelor”
În economia subterană, majoritatea participanţilor sunt preocupaţi să îşi falsifice orice date care ar putea duce la identificarea lor în lumea reală. Prin urmare, este imperativ ca serviciil de tip proxy să fie folosite atunci când se utilizează forumuri sau site-uri Web subterane. Acestea permit infractorilor informatici să blocheze logarea cu ajutorul propriului lor IP. De fapt, acesta poate fi furat oricând printr-o breşă a sistemului, şi – după cum se întâmplă adesea – datele utilizatorului cu acel IP pot fi publicate în altă parte. Atunci când un utilizator trimite cereri către un proxy, iar acesta, în schimb, de ex. postează un post pe un forum, numai IP-ul serverului de proxy este listat sub forma log-urilor pe forum, nu cel al utilizatorului. Acest fapt face imposibilă determinarea IP-ului utilizatorului. În evenualitatea în care are loc, de exemplu, o infracţiune, este imposibil să se meargă la provider-ul de Internet implicat (de ex.. T-Online) cu mandat de aflare a utilizatorului şi a adresei acestuia, fără această informaţie.
Persoanele din Europa de Est preferă să utilizeze servere proxy din state precum Germania, Olanda sau Elveţia. Nemţii, pe de altă parte, preferă să folosească servere proxy din Polania, Rusia sau Ucraina pentru maşinaţinui ilegale etc. În rândul comunităţii, se pot regăsi numeroase liste cu servere gratuite proxy, pe mai multe site-uri. În orice caz, acestea au marele dezavantaj că sunt foarte încete. De aceea, oamenii preferă de cele mai multe ori să apeleze la providerii de servere de proxy comerciale. În multe cazuri, acestea sunt parte din comunitate şi îşi promovează produsele aici. Asemenea furnizori atrag atenţia asupra faptului că ei nu crează nici un el de log şi nu reacţionează dacă primesc e-mail-uri de tip spam. Ei oferă o gamă de produse care se întinde de la proxy-ui simple, care pot fi utilizate pentru a naviga anomim prin socket-uri SSH ssau conturi OpenVP. Faţă de proxy-urile normale, OpenVPN şi SSH sockets au avantajul că sunt compatibile cu orice program, precum Instant Messenger, IRC sau Skype.
Este o regulă ca în rândul comunităţii, plăţile pentru tranzacţii să se facă prin serviciile de plată online, Contactul cu privrire la aceasta are loc prin intermediul mesageriei instant.
3.3. Infecţiile: transformarea PC-urilor în “tunuri malware”
Aşă cum sugerează şi titlul, acest fenomen implică infecţiile care atacă computerele victimelor şi crează un botnet sau exploatează computerele infestate pentru a obţine câştiguri din emiterea de spyware sau adware. Există mai multe căi de a face asta. Unele implică exploatarea pe baza oferirii de materiale pornografice gratuite. Altă formă de distribuţie o reprezintă e-mailul. Malware-ul încă este transmis sub forma de ataşamement. Nu este nevoie decât ca cineva să dea un click negljent şi computerul este infectat. Mulţi troieni se distribuie de asemenea prin intermediul programelor de schimburi de fişiere; ei iau forma unor false programe sau jocuri etc. Odată ce a ajuns în computerul gazdă, troianul descarcă bot-ul de pe Internet şi transformă PC-ul într-o componetă din botnet. De aceea, este evident că este necesară o soluţie eficientă antivirus instalată în computer pentru ca utilizatorul său să se asigure că protecţia este la zi.
Fig. 9: Site Web unde infecţiile sunt scoase la vânzare
Oricine nu doreşte să infecteze mai departe computere poate apela la o gamă largă de furnizori de servicii. Infecţiile computerului simt oferite ca un serviciu pe forumurile subterane. Preţurile se stabilesc în funcţie de statele unde locuiesc victimele. Computerele infectate din Europa Occidentală, America de Nord sau Australia sunt cele mjai căutate. Acest lucru este legat în mod evident de faptul că aceste state au o infrastructută Internet puternică şi o distribuţie densă de reţele. Urmează stabilirea dealerilor de bot, care oferă o cantitate de 1000 de computere infectate. Repetăm, preţul depinde de ţara din care sunt victimele.
Dar această afacere funcţionează şi invers: părţile interesate pot identifica provideri prin Internet pe care îi pot contacta pentru a infecta computere (vezi fig. 9).
Succesiunea de acţiuni după infectarea unui computer este în general următoarea: orice dată care poate fi folosită pentru obţinerea de bani neste copiată şi vândută. Apoi, datele despre cont sunt furate şi puse la vânzare pe piaţa neagră. După ce toate datele utilizabile au fost exploatate, bot-urile sunt folosite pentru a trimite spam sau sunt setate pentru a desfăşura atacuri DdoS.
3.4. Găzduirea “cu acte în regulă”: furnizorii ilegali de date protejate de copyright şi de materiale pornografice cu copii
Găzduirea “cu acte în regulă” pe care furniorii le-o furnizează clienţilor este cea în care serverul este plasat într-o locaţie sigură din punct de vedere al investigaţiilor internaţionale. Cele mai cunoscut nume sunt Russian Business Network (RBN) sau compania nord-americană Hoster McColo. În timp ce McColo a fost înlăturată de pe internet, RBN operează în continuare ca înainte prin inermediul unor filiale mici şi numeroase. Acesta este Raiul pentru oricine caută breşe de de scuritate pentru reţelele sale botnet, dezvoltarea de magazine ilegale, servere securizate pentru magazine de tip „Comandă şi Control”/ Command & Control(C&C) şi alte asemenea afaceri ilicite. Sintagma „Drop zones” în acest context se referă la servere pe care, de exemplu, spyware-ul instalat pe computerul victimei poate înregistra datele pe care le-a colectat. Ca şi în cazul furnizorilor legitimi, serviciile oferite se întind de la spaţii mici din Web până la servere virtuale şi clustere de servere, în funcţie de buget şi de cerere.
Fig. 10: Privire de ansamblu asupra serviciilor oferite de o gazdă
“Termenii de utilizare” pentru aceste servere sunt de cele mai multe ori exprimate foarte vag; uneori, poţi identifica foarte greu secţiunea intitulată “Excepţii şi comportament inadecvat”. În orice caz, în comunitate este binecunoscut care provider dă dovadă de cele mai bune practici. Aceasta înseamnă că ceea ce este oferit variază de la conţinut protejat de copyright şi difuzat ilicit până la provideri care acceptă ca materiale cu pronografie infantilă să fie încărcate pe serverele lor. Plaja de state în care asemenea servicii sunt oferite este imensă: adesea întâlneşti servicii de acest tip oferite de servere din ţări precum Rusia, Turcia sau Panama.
Fig. 11: O listă de servicii permise de host(gazdă).
O mare problemă pentru frăţia infractorilor este că, atunci când înregistrezi un domeniu precum www.my-bad-site.com la o gazda publică, detaliile legate de cei cărora le aparţine site-ul sunt stocate într-o bază de date publică. Acest lucru face ca infromaţii precum numele, adresa, numărul de telefon sau adresa de email să poată fi identificate. O căutare de tip “Cine este” va oferi imediat informaţii despre identitatea infractorului – ceva ce el vrea, în mod firesc, să nu se cunoască .
Prin urmare, gazdele “cu acte în regulă” vor încerca în mod normal să falsifice aceste date. Ele reuşesc să facă aceasta prin înregistrarea de date de la “servi”din state îndepărtate, de obicei din Africa ori Asia. Acest lucru face ca oricine foloseşte un serviciu “cu acte în regulă” de găzduire îşi are protejată identitatea şi nu are de ispăşit urmările legale ale faptelor sale.
Alt serviciu “cu acte în regulă” este e-mailul bulk. Acesta permite e-mail-urilor, în general spam, să fie trimise în număr foarte mare folosind serverul providerului. Furnizorii se laudă adesea că e-mailul trimis de ei ca trece de filtrele de spam şi chiar va ajunge la utlizatori. Câţiva utilizatori chiar oferă liste specializate de e-mail – bineînţeles, în schimbul banilor.
Operatorii unor astfel de servicii sunt de obicei activi pe binecunoscutele forumuri subterane şi îşi fac reclamă acolo.
Alt serviciu, disponibil la scară largă, este protecţia DDoS, care permite clienţilor să lanseze atacuri care nu pot fi blocate.
Aceasta este necesară deoarece conflictele şi rivalitatea din comunitate duc adesea la atacuri masive îndreptatea asupra concurenţilor de către fiecare din părţi.
3.5. Spam-ul ca sursă de venit
Cu siguranţă, aspectul economiei subterane care este cel mai bine cunoscut de către majoritatea persoanelor este trimiterea de e-mailuri nesolicitate în masă, pe scurt, spam. Şi în interiorul comunităţii, această activitatea este foarte la modă, nu în ultimul rând datorită faptului că ea aduce mari câştiguri. Suma pe care deţinătorulul unui botnet o plăteşte pentru a trimite 1 000 000 de e-mail-uri este situată între circa 250 şi 700 de dolari americani. Dacă se foloseşte un botnet mai puţin performant, cu aproximativ 20 000 de bot-uri care trimit, de ex. două e-mailuri pe secundă per bot activ, va dura numai 25 de secunde pentru ca această activitate să fie finalizată.
Acest lucru explică interesul imens faţă de crearea constantă de bot-uri în plus care să fie adăugate la reţeaua cuiva.
Clientul poate alege locul unde ajung mesajele spam. În consecinţă, mulţi operatori botnet fac publice limitele geografice ale zonei unde spamul este transmis. E-mailul poate fi trimis şi spre grupuri specializate, de exemplu, grupuri de gamer-i online.
Listele de adrese se achiziţionează uşor din magazinele de pe cele mai multe forumuri sau de la providerii de servicii de e-mail bulk. Acstea sunt de obicei sortate în funcţie de diverse categorii sau surse. Vânzătorii susţin adesea că receptorii nu au mai primit spam-uri înainte. În orice caz, acest lucru înseamnă numai că lista nu a mai fost vândută pe un alt site specializat, dar nu garantează că adresa nu a mai fost utilizată înainte de cei care trimit spam.
3.6. Atacurile DDoS care fac serverele să cedeze
Una dintre cele mai mari probleme cu care se conruntă deţinătorii de site-uri Web sunt, fără îndoială, atacurile DDoS (Distributed Denial of Service)/”Refuz distribuit de servicii”. Există mai multe variante. Un scenariu obişnuit este bombardarea serverelor Web cu cerinţe standard, până la punctul în care acestea sunt complet depăşite de situaţie şi nu mai pot răspunde cerinţelor din partea utilizatorilor obişnuiţi. Altă variantă este flood-ul SYN. În acest caz, atacatorii pregătesc un număr covârşitor de conexiuni. În orice caz, aceste nu sunt create în întregime, adică – în funcţie de configuraţie – ţinta aşteaptă un interval de timp de la câteva secunde până la câteva minute pentru ca instalarea lor să se finalizeze. Dacă site-ul target este apoi “inundat” cu asemenea cereri, se face câte un log pentru fiecare conexiune, chiar dacă ea este numai pe jumătate deschisă, şi, prin urmare, în acelaşi timp memoria serverului este încărcată la maxim. Când se ajunge la această situaţie, ţinta nu mai poate accepta alte conexiuni şi nu mai poate fi aceesată.
Pe mâsură ce intensitatea creşte – de ex. se foloseşte o lăţime de bandă mai mare – nu există practic nici un mod de a opri atacul. Operatorii nu au aproape nici o altă alternativă decât să aştepte ca atacul să înceteze. Numai după aceasta, site-urile lor Web sau serviciile oferite mai pot fi folosite de către utilizatori. De aceea, aceste tipuri de atacuri sunt de interes pentru competitorii cu intenţii necurate: cum competiţia nu mai poate fi contactată, clienţii potenţiali se pot îndrepta spre ei. Atacurile DDoS pot de asemenea să afeceteze reputaţia, spre ex, a, providerilor de e-mail. Dacă un serviciu nu este disponibil sau clienţii ori partenerii de afaceri nu îşi mai pot accesa informaţiile de interes, ei vor deveni curând nemulţumiţi.
Fig. 12: Reclamă de tip banner pentru atacuri DDoS, exact sub forma întâlnită pe Internet
Atacurile DDoS sunt orientate frecvent împotriva altor site-uri sau forumuri din comunitate, pentru a le scoate literal de pe Internet. Acest fenomen are explicaţii comerciale. Dar uneori se poate ca el să se bazeze strict pe ciuda sau antiptia faţă de alţii.
Cantităţile şi metodele de contact se aplică şi aici, pentru tranzacţionarea acestui tip de servicii.
3.7. Utilizarea documentelor false pentru ascunderea adevăratei identităţi
Un alt exempul de bunuri aflate la mare căutare pe piaţa neagră sunt documentele. Interesul faţă de acest tip de articole se manifestă mai ales când este vorba de permise de conducere false sau de informaţii personale de identificare, Orice document care poate permite camuflarea identităţii proprii sau crearea uneia secrete se află la mare căutare. Un comerţ sănătos cu acest tip de documente înfloreşte mai ales în Rusia.
Documentele falsificate sau furate sunt utile, cu excepţia deschiderii unui cont care va fi ulterior folosit pentru efectuarea de plăţi în schimbul bunurilor furate. Înregistrarea pentru cazinouri online sau la case de licitaţii presupune de cele mai multe ori ca persoana să furnizeze date din documentele de identitate.
De aceea, experţii în securitate atrag atenţia cetăţenilor să raporteze pe loc orice pierdere a unui document personal. În caz contrar, plata pentru actele de ilegalitate comise în numele lor cade asupra acestora, dacă cineva le utilizează cartea de identitate, de exemplu, pentru a deschide un cont.
3.8. Cardurile: plăcerea nelimitată, neîngrădită, de a face cumpărături
Prin intermediul “carding-ului” sau a fraudelor cu carduri de credit, infractorii utilizează datele care au fost furate sau falsificate de ei pentru a achiziţiona bunuri din anumite magazine, ca cele menţionate mai sus (vezi magazine “cardable”). Şnapanii obţin de obicei acces la date prin intermediul phishing-ului, folosing troienii pentru a infecta computerele victimelor sau pentru a penetra bazele de date ala magazinelor.
Cadrurile pot fi copiate adesea cu uşurinţă în timpul tranzacţiilor prin care se efectuează plăţi, fără ca posesorul lor să îşi dea seama.
Infractorul nu face altceva decât să treacă repede cardul printr-un alt dispozitiv şi obţine într-o secundă toate informaţiile de care are nevoie.
Asemenea incidente au loc în mod frecvent cu ocazia concediilor în străinătate.
Hoţii pot apoi să folosească datele pentru a merge la cumpărături în magazine – pe banii victimei. Din fericire, povara răspunderii pentru aceste fapte cade asupra companiei furnizoare de cărţi de credit; în orice caz, clientul interesat trebuie să raporteze frauda în termen de maxim 30 de zile de când a primit factura pentru un serviciu sau bun necomandat.
Ca multe alte lucruri, aceste date se comercializează pe scară largă pe multe forumuri şi în numeroase magazine.
Fig. 13: Magazin care oferă spre vânzare detalii despre cărţi de credit
Odată ce ai un set valid de date cu privire la cărţi de credit poţi să creezi seturi asemănătoare. Generatoarele de cărţi de credit, care se găsesc gratuit în comunitate, permit generarea rapidă şi uşoară a unor noi numere de carduri pentru o gamă largă de instituţii bancare, pentru ca acestea să fie folosite pentru efectuarea de achiziţii pe Internet. Acest lucru este posibil din cauza faptului că majoritatea proveiderilor folosesc numere crescătoare când creează cardurile, iar metodele de calculare a numerelor suplimentare de securitatea se cunosc pe scară largă.
Pentru aceşti falsificatori de carduri este foarte important ca setul de date să fie complet. Acest lucru presupune ca preţurile să fie calculate în funcţie de minimum două informaţii vitale: numărul cardului şi data sa de expirare, urmând ca preţurile să urce pe măsură ce datele furnizate sunt mai numeroase. Data de expirare a cardului este foarte valoroasă, iar preţurile de tranzacţionare a acesteia sunt pe măsură de mari.
3.9. Furtul de date din ATM (“skimming”/”răsfoire”)
Furtul de date de la ATM-uri nu este atât de răspândit deoarece infractorii care îl practică trebuie să fie activi în lumea reală, Hoţii folosesc dispozitive precum cititoare de carduri sau aparate de filmat ataşate ATM-urilor. Cititoarele de carduri citesc cardul victimei, în timp ce camera filmează codul PIN introdus.
Cum aceste acţiuni se desfăşoară în spaţiul public, nivelul de eşec rezultat în urma acestui tip de fraude este mult mai mic decât în cazul celor online pure. Mai mult, aceste echipamente au un cost relativ mai mare. Pe forumurile relevante se discută despre hardware-ul necesar, care poate atinge costuri de mii de euro. De asemenea, există un risc permanent ca echipamentul utilizat pentru furtul din ATM-uri să fie descoperit şi confiscat. De departe, cel mai mare risc este cel la care sunt supuşi escrocii în timpul instalării echipamentelor, deoarece majoritatea ATM-urilor sunt monitorizate video.
Fig. 14: ATM “echipat” (sursa: comunicat de presă al Poliţiei din Bavaria,, 23/08/07)
Hoţii sunt cel mai adesea veniţi din străinătate, mai ales din Europa de Est. ATM-urile din oraşe mari sunt principalele expuse riscului deoarece ele presupun utilizarea continuă faţă de unele plasate într-un orăşel mic. Dar, din acelaşi motiv, riscul hoţilor de a fi prinşi este semnificativ mai mare.
Înainte, asemenea instalaţii de furt din ATM-uri erau de cele mai multe ori identificate de către clienţii atenţi, care apoi anunţau reprezentanţii poliţiei sau ai băncii.
De atunci însă lucrurile au căpătat o întorsătură diferită: acum aceste dispozitive sunt făcute atât de bine, încât este foarte greu ca o persoană obişnuita să le detecteze. Acest lucru se datorează mai ales faptului că infractorii cunosc cu precizie dimensiunile pe care le au ATM-urile şi pot să fabrice echipamente care au exact aceleaşi dimensiuni.
3.10. Furtul de date dintr-un click (phishing)
Phishingul devine din ce în ce mai popular deoarece îţi permite să obţii orice date doreşti.
Eşti un falsificator şi ai nevoie de detalii bancare? Nici o poblemă. Trebuie doar să îţi creezi o serie de pagini Web false, să îti foloseşti botnet-ul pentru a trimite cantităţi imense de spam cu linkuri către site-urile tale de phishing şi paoi să te relaxezi şi să aştepţi ca oamenii care pică în capcană şă îţi trimită datele care îţi trebuie. Gama de date care pot fi obţinute este aproape imposibil de epuizat.
Cererea pe piaţă subterană vizează orice poate fi transformat în cash – de la conturi de jocuri, date ale cărţilor de credit şi date de acces, la conturi online sau rezerve online. Pariurile online şi conturile pentru cazinouri online sunt în egală măsură de populare. Infractorii le folosesc adesea în scopuri ilicite pentru a spăla banii pe care i-au câştigat în urma altor afaceri online murdare.
Scopul vânzării de bunuri în economia subterană este aproape nelimitat. Oricine accesează forumuile online subterante va găsi spre vânzare inclusiv conturi MySpace sauTwitter, sau, cel puţin, oferite spre schimb cu alteceva “de valoare”. Infractorii sunt interesaţi să obţină cât mai multe date personale despre victime. De aceea, ei pot să fure identitatea victimei şi să o folosească în scopurile dorite de ei.
Prin urmare, oricine utilizează un asemenea serviciu de pe Internet trebuie să îşi trateze datele personale cu extrem de multă seriozitate şi să verifice exact unde sunt stocate şi către cine sunt transferate. Ar trebui să vă puneţi semne de întrebare în cazul în care, spre exemplu, vi se cer mai multe numere de tranzacţie pe un aşa-zis site Web bancar sau dacă datele nu sunt criptate.
La modul ideal, utilizatorul ar trebui să marcheze cu semne de carte URL-urile relevante şi să le utilizeze numai pe acelea. Mai mult, este de preferat ca link-urile care par a fi trimise prin e-mail de către utilizatori autentici să fie mai întâi verificate. Un singur click neatent vă poate duce pe un site malware.
3.11. Modul cum mesajele mass atacă munca dumneavoastră: botnet-urile şi modul cum sunt construite
Infractorii utilizează “exploits” pentru a instala cu succes troieni şi viermi pe computerele victimelor. “Exploit-urile” sunt puncte slabe în sistemul de operare sau într-un program deja instalat pe computer, care pot fi exploatate. Pentru a stopa acţiunea programelor antivirus, care au rolul de a bloca aceste programe, troienii sunt criptaţi cu ajutorul aşa-numitor “cripteri”, care le camuflează codul. Există şi versiuni disponibile oricui ale acestor cripteri; în orice caz, datorită răspândirii cvasi-universale, ei sunt aporape inutilizabili. Rezultatul lor este detectat instantaneu de către cele mai multe motoare de scanare din antiviruşi. Există şi versiuni private, disponibile numai contra cost. Programele de criptatre sunt tranzacţionate de obicei de către creatorii lor pe forumuri, unde ei îşi oferă serviciile. Asemenea instrumente se află la mare căutare în interiorul comunităţii şi sunt adesea oferite ca un serviciu. Malware-ul creat cu ajutorul cripterilor şi a packer-ilor nu poate fi detectat în funcţie de semnătură, atâta vreme cât semnătura lor nu este listată intergral în baza de date. Versiunile unice sunt vândute cu denumirea de servere Fully UnDetectable (FUD)/ “Servere Integral Nedetectabile” şi nu pot fi detectate un timp de către scanerele antivirus.
Un lucru asemănător se întâmplă în cazul bot-urilor: majoritatea bot-urilor disponibile gratis au “back door-uri”/”uşă din spate”, prin care cel care le-a construit le poate controla ulterior. Bot-urile sunt programe mici, care rulează în general pe fundalul acţiunilor desfăşurate pe computerul victimei. În funcţie de scopul şi de funcţionalitatea lor, ele îndeplinesc mai multe sarcini DDoS, precum înregistrarea caracterelor introduse de la tasatatură şi multe altele. Scopul lor funcţional depinde în general de cât de mare este suma pe care persoana doreşte să o investească în bot-ul său. Bot-urile construite pentru un scop foarte amplu constă mai puţin decât cele mai simple, care au posibilităţi reduse de acţiune.
Aşa-numitele servere “Command and Control(C&C Servers)” se folosesc pentru administrarea unui botnet. Bot-urile instalate pe computerele victimelor se conectează independent la acest server de control şi aşteaptă comenzi de la acesta. Există numeroase tipuri de astfel de servere C&C: unele bot-uri se loghează într-un IRC şi accesează un anumit canal de acolo. Din motive de securitate, serverele IRC pe care nu le-a mai accesat nimeni sunt aproape întotdeauna utilizate în acest scop. (vezi fig.15). Ele pot aştepta pe canal să primească eventuale comenzi.
Fig. 15: Canal IRC cu bot-ui
O opţiune utilizată frecvent este administrarea printr-o interfaţă de tip Web (vezi fig.17). Aceasta poate fi folosită pentru a administra computerele din botnet direct, pe baza de user şi parolă. În funcţie de scopul funcţional al bot-ului, există mai multe opţiuni pe interfaţa Web. Ea oferă, de asemenea, statistici privind câte computere din botnet sunt online, câte au fost infectate în total şi ce tip de sisteme de operare sunt utilizate. Actualizările se fac prin intermediul interfeţei.
Fig. 16: Interfaţa Web a unui botnet
Odata ce un troian s-a instalat în computerul victimei, de obicei el descarcă un bot de pe Internet, plasat anume acolo de către infractori. Serviciile gazelor “cu acte în regulă” sunt oferite ca o sursă de download.
Dacă un infractor doreşte să deţină un botnet actualizat, el va aborda un programator pentru a cumpăra o versiune la zi a softului. Bot-urile sunt oferite adesea în cod binar sau sursă, preţul pentru codul sursă fiind de 5 până la 10 ori mai mare. Acest lucru îi oferă cumpărătorului posibilitatea să vadă dacă versiunea sa are sau nu o “uşa din spate”. În orice caz, pentru un programator neexperimentat, acest lucru este practic imposibil.
RATs (Remote Administration Tools)/”Instrumente de Administrare la Distanţă” se folosesc adesea şi ele. Pentru infractori, ele au avantajul principal că pot fi folosite pentru a stabili o conexiune cu computerul victimei. Infractorii pot apoi verifica dacă au prins în cursă un utilizator sau bot-ul tocmai instalat a fost prins în mrejele unui producător de antivirus.
Dacă acest lucru s-a întâmplat, atunci versiunea curentă a bot-ului său va fi curând recunoscută de către orice scaner antivirus actualizat. Acest lucru înseamnă că el trebuie să îşi recripteze bot-ul şi să îşi actualizeze fiecare instalare înainte ca orice scaner să îl detecteze şi să îl elimine si apoi să cureţe sistemul.
Acest lucru este considerat modul “profesionist” de acţiune. În orice caz, el presupune şi un cost suplimentar semnificativ de partea infractorului în locul unei simple instalări automate. Toate aceste RAT-uri sunt propagate, aşa că nu există limite pentru ce pot face infractorii cu ele. Ei pot utiliza download-uri de tip “drive-by” pentru a le plasa pe computerele victimelor, le pot plasa pe huburi în reţele de tip P2P sau pot trimite milioane de e-mailuri în care ele să pară ataşamente obişnuite.
„Stealers” sunt foarte răspândite de asemenea. După cum le arată şi numele (“to steal”=”a fura”, în engleză), ele au rolul de a fura date despre conturi.
Aceasta înseamnă că datele de acces ale unei persoane pe eBay pot fi apropriate de către infractori cu uşurinţă. Stealer-ele se distribuie la fel ca RAT-urile sau troienii. Singura protecţie eficientă împotriva lor este o soluţie antivirus de calitate mare care să monitorizeze fiecare cale de acces, de exemplu: browser-ul, prin intermediul filtrului pentru HTTPsau mailul primit printr-un scaner de mail.
Acest grup include şi keylogger-ii. Aceste programe reduse ca dimensiuni se autoinserează pe computerul victimei.
Odată ce au pătruns în sistem, ele înregistrează fiecare secvenţă de caractere introdusă de utilizator de la tastatură. Aceasta permite infractorilor să obţina nume şi parole folosite pebtru logare, dacă ele nu sunt stocate în alt loc pe sistem, ci sunt doar reintroduse de mai multe ori de către utilizator.
4. Problema în cazul pagubelor
Oricât de variate ar fi instrumentele şi strategiile, toate au acelaşi scop: să atragă bani pentru infractori. Ironia este că una dintre cele mai mari probleme apar după ce hoţii au reuşit să facă bani. Ei trebuie să transforme banii virtuali în bani gheaţă. Dar aici apare o problemă, pentru că trebuie ca procesul să aibă loc fără ca altcineva să-şi dea seama de unde provin banii. În multe cazuri, bunurile sunt achiziţionate de pe Internet cu cărţi de credit furate sau cu monede virtuale pe care infractorii le-au primit în schimbul trimiterii de spam. Pentru ca infractorii să nu fie prinşi odată cu furnizarea bunurilor comandate, ele sunt expediate spre zone de tip “magazie”. Acolo există un intermediar, recrutat de obicei prin intermediul unui e-mail de tip spam în calitate de curier sau de specialist în logistică; acesta va trimite imediat bunurile mai departe. Zonele de tip “magazie” sunt prin urmare la mare căutare printre infractori, astfel că există o ofertă generoasă de astfel de servicii pe platformele subterane.
Procesul este neschimbat în toate cazurile: după ce bunurile au fost comandate, ele sunt trimise la o adresă din Rusia sau altă ţară. bunurile şi sunt apoi luate de la poştă şi trimise la adresa ţintă autentică. Intermediarul este bine răsplătit pentru serviciile sale – de obicei sub formă de bunuri comandate pentru el, odată cu celelalte.
În trecut, casele vacante sau apartamentele neocupate erau utilizate ca “depozite” pentru economia subterană. Scrisorile de la bănci erau de asemenea trimise către aceste adrese fixe. Schimul de adrese pe care îl presupune această schemă se face de obicei online. Sau infractorul poate merge pur şi simplu la bancă şi îşi poate ruga un prieten să schimbe adresa care figurează acolo. El poate achiziţiona documente false de pe forumurile subterane online la un preţ de nimic. Cât timp el îşi menţine sângele rece şi are încredere în capacitatea sa de manipulare, el poate folosi o casă pe post de depozit temporar pentru marfa sa.
Altă opţiune – foarte frecvent întâlnită mai ales în Germania – utilizarea căsuţelor poştale. Infractorii pot fura date de acces pentru acestea pe forumuri sau din magazine de pe piaţa neagră. Ei pot să îşi facă propria căsuţă poştală anonimă pe baza documentelor falsificate. Bunurile pot fi colectate din aceste locuri în mod anonim şi într-un mod relativ sigur.
Fig. 18: Ofertă de “magazii” pe un forum
Altă metodă este utiliarea cazinourilor pentru “mutarea” banilor. De exemplu, bani de pe un cont PayPal
pot fi depozitaţi într-un cont al unui cazino online. Înregistrarea pe site-ul cazinoului se face de cele mai multe ori cu date furate în loc de date autentice. Forumurile subterane conţin feedback, ca, de exemplu, ce cazino sau portal de pariuri sportive sunt mai potrivite pentru maşinaţiuni ilegale. Cu alte cuvinte, dacă există controale atente ale datelor necesare creării unui cont sau copiile ilegale ale actelor de identitate sunt acceptate fără mare dificultate. Conturile furate au fost deja verificate, aşa că sunt preferate pentru acest tip de operaţiuni.
Banii pot fi trimişi mai departe de aici, de preferat la un “depozit bancar”. “Depozitele bancare” sunt conturi pe care cineva le-a accesat, dar care nu sunt create pe numele acelei persoane. Acesta este cu siguranţă una dintre cele mai mari probleme. Nu este deci de mirare de ce instrucţiunile pentru crearea unui cont anonim sunt printre cele mai scumpe articole oferite în comunitate. Sugestiile date acoperă o plajă largă, de la miturirea unui factor poştal pentru ca un cont verificat prin procesul de Post-Ident să poată fi deschis, ori achiziţionarea de documente de identitate false, care pot fi apoi folosite pentru deschiderea unui cont. Post-Ident presupune prezentarea la oficiul poştal a persoanei cu o carte de identitate. Un lucrător poştal va verifica documentele şi va trimite verificarea înapoi la banca unde contul se va deschide.
Adesea, se recurge la combinaţii ale acestor opţiuni. Un model poate fi cel care urmează: infractorul achiziţionează bunuri de la un magazin de pe Internet, unde verificările cardului nu sunt stricte şi le trimite la punctul de recepţie, pe baza unor date de acces furate de la o terţă parte care nu bănuieşte nimic. El preia bunurile, le vinde la o casă de licitaţii şi îşi transferă banii în contrul său privat.
5. Concluzie: creşterea fenomenului infracţionaliţătii elecronice
Au apus de mult timpurile în care comunitatea de hackeri era compusă în principal din tineri de sex masculin care utilizau Internetul pentru divertisment sau pentru a învăţa mai multe. Intr-adevăr, termenul „hacker” nu mai este adecvat pentru noua generaţie care ţine frâiele economiei subterane contemporane. Există acum şi infractori fără cunoştinţe tehnice, care nu diferă de spărgătorii de seifuri sau de orice alţi infractori „convenţionali”. Această comunitate se concentrează asupra obţinerii de profit financiar şi scoate profituri de milioane de dolari în fiecare an, fie prin furtul activ de la victime, fie din spam. Nu arareori, făptaşii fac parte din grupuri de crimă organizată, cu roluri bine stabilite.
Pentru utlizatorii domestici, aceasta înseamnă că este mai important ca niciodată să îşi protejeze computerele de influenţele infractorilor.
Oricine utilizează azi Internetul făra să deţină un ativirus eficient şi o soluţie firewall este supus riscului de a cădea pradă acestor infractori. Şi astăzi, în special, când licitaţiile online şi serviciile bancare online fac parte integrantă din viaţa cotidiană, ele pot fi sursa unor mari pericole.
Un alt subiect important este tratamentul la care sunt supuse datele personale. Mulţi oameni îşi plasează pe profilurile din reţelele de socializare fără nici o ezitare o sumedenie de date personale fără să se găndească măcar că ele sunt practic în mâinile infractorilor făcând asta. Chiar şi informaţii aparent neimportante, precum data naşterii, pot ajuta infractorii să-şi completeze un set de date despre cărţile de credit.
De asemenea, se constată un curent în creştere de utilizare a datelor de cont furate de pe computerele victimelor cu scopul de a fi folosite pe site-urile Web ale acestora cu alte scopuri. De aceea, companiile de securitate îndeamnă oamenii să nu testeze numai computerul propriu, în eventualitatea unei infecţii, ci şi site-urile pe care le deţin. În caz contrar, consecinţele pot fi neplăcute: dacă infractorii introduc malware pe un site Web, posesorul lui va fi considerat răspunzător.
“Listă de preţuri” pentru marfa tranzacţionată în economia subterană
Acest tabel conţine preţurile pentru bunurile şi serviciile tranzacţionate pe forumuri subterane în lunile iunie şi iulie, 2009. Există mari variaţii de preţuri, determinate de reducerile practicate şi de abilităţile de negociere ale celor care tranzacţionează aceste mărfuri.
Produs Preţ minim Preţ maxim
RAT – în funcţie de caracteristici 20,00 € 100,00 €
Stealer – vezi mai sus 5,00 € 40,00 €
Carte de identitate/ Permis de conducere falsificat – în funcţie de calitatea falsului 50,00 € 2.500,00 €
Fişier Bot – preţul depinde de caracteristici si de programator 20,00 € 100,00 €
Cod sursă Bot 200,00 € 800,00 €
Serviciu Preţ minim Preţ maxim
Găzduire – în funcţie de scopul serviciului, orice de la spaţii Web până la servere multiple
5,00 € 9.999,00 €
serviciu FUD 10,00 € 40,00 €
atac DDoS pe oră 10,00 € 150,00 €
instalări Bot pe mia de computere – preţuri determinate de locaţia geografică 50,00 € 250,00 €
1 million de e-mailuri spam către adrese specifice, de ex. gamers-ii sunt un premium 300,00 € 800,00 €
Date Preţ minim Preţ maxim
Baze de date – preţul depinde de conţinutul şi scopul precis al bazei de date, inclusiv cumpărarea integrală a unei baze de date 10,00 € 250,00 €
Date legate de cărţi de credit – preţuri care depinde de cât de complete sunt datele.
Doar un număr de card de credit şi o dată de expirare nu valorează mult. Cu cât se oferă mai multe date, cu atât preţul este mai mare.
2€ 300€
1 milion de adrese de e-mail – adrese verificate sau grupuri specializate de adrese costă mai mult.
30,00 € 250,00 €
Conturi Preţ minim Preţ maxim
Cont Steam – preţul e determinat de volumul de jocuri instalate 2,00 € 50,00 €.
Cont WoW – depinde de scopul utilizării datelor şi de nivelul caracterelor.
5,00 € 30,00 €
Cont Pack station – preţurile sunt determinate de scopul utilizării datelor furnizate şi de două aspecte: dacă ele au fost falsificate sau furate.
50,00 € 150,00 €
Cont PayPal - cu cât sunt mai multe date în cont, cu atât costul este mai mare.
1,00 € 25,00 €
Cont Click & Buy – vezi mai sus 10,00 € 35,00 €
Cont e-mail prin e-mail privat – preţurile variază în uncţie de dealer 1,00 € 5,00 €
Anexa 2
Dicţionar
Abuse: “Abuz”; dacă cineva îşi foloseşte pagina de Internet pentru a răspândi, de exemplu, viruşi, se trimite un e-mail către provider pentru a se raport incidentul. Acest termen este utilizat adesea în sintagma „abuse mail”.
Account: “Cont”; termenul “cont” se referă la accesarea autorizată a sistemului unui computer, ea este de obicei împărţită într-un: User ID (User Identification)/”date de identificare a utilizatorului” şi o Parolă (secretă).
Administrator: “Administrator” este termenul folosit pentru administratorul unui sistem de tip reţea. Administratorii au acces limitat la reţea şi sunt responsabili pentru mentenanţa şi funcţionarea reţelei.
Bulk Mail: Termenul se referă la e-mailurile de tip mass/trimise în masă. Acesta este un sinonim mai puţin dur pentru spam.
Crypter: Cripterii se folosesc pentru criptarea fişierelor, în scopul de al le face mai dificil de recunoscut ca viruşi de către sistemele de scanare din ativiruşi şi, prin urmare, de recunoscut ca malware.
DoS (Denial of Service): În tipul unui atac de tip refuz de servicii, computerele (de obicei servere Web) sunt inundare cu anumite sau/şi cu o multitudine de cerinţe. Prin urmare, ele nu mai pot persta servicii şi cedează din cauza încărcăturii prea mari de date care trebuie gestionate.
DDoS (Distributed Denial of Service): Un atac de tip Distributed Denial of Service/”Refuz distribuit de servicii” se bazează pe aceleaşi principii ale unui atac DoS normal, diferenţa constând în faptul că el implică un atac distribuit. Astfel de atacuri sunt derulate de zeci de mii de PC-uri zombie.
Dump: Un “dump/magazie” este un program ce presupune copierea unor date, de ex. copierea unei baze de date.
Email: Poşta electronică este una dintre principalele funcţii ale Internet-ului. Nenumărate scrisori de afaceri sau private sunt trimise electronic în fiecare zi. În orice caz, e-mailul nu este util decât ca un canal primar de răspandire a malware-ului. Viermii (“Worms”) se autopropagă în mod frecvent prin trimiterea automată de e-mail cu un ataşament care conţine viermele. Cei care creează viruşii încearcă prin toate mijloacele de camuflare să înşele receptorul mesajului şi să-l facă să deschidă ataşamentul care conţine viermele. Alte e-mailuri ademenesc cititorul să acceseze site-uri web cu conţinut infectat. Unele e-mailuri HTML instalează viermele numai la deschiderea e-mailului. Pentru a preveni acest lucru, există sisteme software cu sisteme de securitate pentru e-mail, care detectează şi îndepărtează un virus până ca el să fie lansat în necunoştinţă de cauză de către utilizator.
Exploit: Un program care exploatează o vulnerabilitate existentă a unui computer ţintă şi îl determina să execute orice cod de program.
FAQ: Un FAQ răspunde la “Frequently Asked Questions”/ “Cele mai frecvente întrebări” despre un anumit subiect.
Flooding: “Inundaţie”; termenul este unul generic pentru tehnicile care obstrucţionează utilizarea anumitor PC-uri dintr-o reţea sau chiar le suprasolicită până la refuz.
File Transfer Protocol:The "File Transfer Protocol" sau FTP este un protocol de transfer pentru schimbul de date între două computere. FTP nu depinde de sistemul de operare şi de tipul de transfer, spre deosebire de HTTP, de exemplu, FTP stabileşte o conexiune şi o menţine pe parcursul întregului transfer.
FTP server: "FTP servers" (File Transfer Protocol servers)/ “Serverele bazate pe Protocolul de Transfer de Fişiere/FTP” se folosesc pentru a permite descărcarea de fişiere şi directoare de către utilizatorii de Internet. Pe serverele publice de FTP, te poţi loga adesea cu un user ID "anonim" şi cu propria adresă de e-mail şi parolă. Unii viruşi şi troieni îşi instalează propriile lor servere FTP cu care pot descărca fişiere de pe PC-uri infectate.
FUD (Fully UnDectable): “100% nedetectabil”; termenul „Fully UnDetectable” desemnează un tip de fişiere create de cripter (precum cele de tip RAT sau bot) care pot fi detectate de programele de scanare şi detectare de viruşi.
Hijacker: Hijacker-ii se instalează în linişte şi modifică setările browser-ului (de ex, pagina de start) sau funcţiile lui (de ex, funcţia de căutare). Ei sunt, de fapt, troieni. Hijacker-ii de browser duc utilizatorii fără intenţia lor spre anumite site-uri Web (adesea pornografice) prin modificarea paginii de strat sau a funcţiei de căutare.
Câteodată, barele adiţionale de mediu sau ferestre care nu pot fi închise sunt expuse de asemenea şi ţin de acţiunea acestor programe malware.
Hijacker-ii de browser exploatează adesea breşele de securitate şi se inserează în sistemul de operare în profunzimile sale. Internet Explorer este atacat cel mai frecvent. Înlăturarea problemei este de cele mai multe ori o sarcină dificilă.
Unul dintre cei mai dăunători Hijacker-i este Cool Web.
ICMP: The Internet Control Message Protocol (ICMP) se ocupă de transmiterea de mesaje de eroare, precum şi de teste şi de pachete de informaţie şi face parte din TCP/IP.
Instant Messenger: Un sistem de mesagerie instant permite comunicarea între două sau mai multe persoane. Mesajele scrise sunt trimise instant şi expuse instant pe interfaţa grafică a “interlocutorului”. Fiecare dintre cei doi participanţi la comunicare trebuie să fie logaţi la acelaşi provider.
Internet Relay Chat (IRC): Protocolul “The Internet Relay Chat”/”Chat bazat pe suport Web” permite la două sau mai multe persoane de pe Internet să comunice în timp real.
IP address: “Adresa IP” (IP) este o adresă alfanumerică folosită pentru a identifica computerele care fac parte dintr-o reţea de tip TCP/IP. Această adresă e compusă din patru octeţi (de ex: 193.98.145.50). Se compune din două părţi:
1. adresa reţelei logice 2. adresa unei gazde/host din reţeaua logică. Deoarece oamenii nu pot memora cu uşurinţă adrese IP, se folosesc de obicei domenii nominale pentru a se localiza un computer anume de pe Internet.
Keylogger: Un “keylogger” înregistrează datele introduse într-un computer prin intermediul tastaturii şi apoi le poate transmite mai departe către un destinatar (le poate forwarda). Acest fapt permite parolelor sau a altor inormaţii personale. Un exemplu de astfel de program se numeşte Padodoor.
Login: “Login-ul/Autentificarea” este procedura care implică conectarea unei persoane la sistemul unui computer, înregistrarea şi probarea autenticităţii datelor sale (de obicei, prin furnizarea unei parole).
OpenVPN: OpenVPN poate fi folosit pentru a crea conexiuni criptate cu alte computere sau alte computere sau cu alte reţele. Este posibil să fie captat întragul trafic pe Internet al unei persoane printr-o conexiune de tip OpenVPN. Când se foloseşte acest tip de conexiune, doar IP-ul computerului conectat poate fi vizualizat de către alte personane.
P2P (Peer to Peer): “De la amic la amic”; în reţelele de tip "Peer to Peer" nu au un server central şi toate computerele intră în asociere cu drepturi egale.
Patch: “Petic/plasture”; un “patch” repară erorile sau soluţionează erorile de securitate dintr-un program. Patch-ul înlocuieşte numai fişierele eronate şi nu întreaga versiune a software-ului.
Payload: Termenul “Payload/pată pentru transportul mărfii-literal” se referă la o funcţie vătătmătoare a unui virus (la propriu). Identificarea funcţionalităţilor dăunătoare poate fi asociată cu o condiţie - stimulul payload. Definiţia “payload” este discutabilă deoarece unii cercetători consideră “payload-uri” şi utilizarea resurselor de sistem sau lungimile de bandă asociate transferului de date.
Phishing: Phishing-ul este o încercare de obţinere a datelor personale precum date de autentificare, parole, numere de cărţi de credit, date de autentificare pentru conturi bancare etc. prin intermediul unor site-uri Web construite cu scopul de a înşela sau a e-mailului nesolicitat. Tentativele de phishing se adresează clienţilor băncii prin intermediul ofertelor bancare (Citibank, Postbank), al serviciilor de plată (Paypal), al provider-ilor de servicii de internet (AOL) sau al magazinelor online (eBay, Amazon). Oamenii sunt adesea direcţionaţi spre site-uri contrafăcute, care sunt identice din punct de vedere grafic cu site-urile originale; această redirecţionaere de face prin email sau un serviciu de mesagerie instant.
Posting: “Postare”; postarea unui mesaj presupune publicarea sa pe Internet, de obicei pe un newsgroup, o listă de e-mailuri sau pe un forum de discuţii.
Protocol: Un protocol se foloseşte pentru asigurarea comunicării dintre mai multe computere care fac parte dintr-o reţea. El conţine o grupare formală de reguli care controlează schimbul de mesaje. Exemple de protocoale sunt: FTP, HTTP, POP3 sau TCP/IP.
Provider: “Furnizor”/Companie care oferă acces la Internet.
Proxy: Un proxy se comportă ca un centru de intermediere a tranzacţiilor dintre emiţători şi receptori, dar care face ca receptorii să vadă numai adresa proxy-ului, nu şi pe cea a emiţătorului de date.
Warez: Warez se referă la o copie pirat – o copie fără licenţă, neautorizată a unui program, rezultată ilegal din pogramul original. Posesiunea sau fabricarea de copii pirat se pedepseşte prin legea copyright-ului.
RAT (Remote Administration Tool): “Instrument de administrare la distanţă”; aceste instrumente sunt utilizate de infractori pentru a controla de la distanţă computerele victimelor lor.
Server: Un server este un program care face date sau servicii disponibile pentru un client.
Skype: Skype se foloseşte pentru a efectua convorbiri telefonice prin – fie prin intermediul PC-ului, fie al telefonului. Ţintele potenţiale pentru atacuri informatice sunt fie alte computere de pe Internet, fie telefonane fixe sau mobile
Social engineering: “Inginerie socială”; termenul se referă la tactici de persuadare pe care hackerii le folosesc pentru a face un utilizator să divulge informaţii care pot aduce atingere organizaţiei din care acesta face parte. Hackerul adesea pretinde că are autoritea de a solicita date de acces sau parole.
Stealer: Programe utlizate pentru a sonda după date de acees la computerul victimei atacului informatic.
Spam: La mijlocul anilor 1990, spam era un termen utilizat pentru descrierea fenomenului de postare de mai multe ori şi eronat a aceloraşi mesaje pe forumurile de tip Usenet. Termenul provine dintr-un scketch al lui Monty Python. În ziua de azi, termenul “spam” are mai multe semnificaţii. Ca termen generic, “spam” presupune transmiiterea oricărui e-mail nesolicitat. Într-un sens mai restâns, el se limitează la emailurile publicitare, neincluzând aici şi viermii, farsele, e-mailurile de phishing sau autoresponder-ele.
Spammer: Spamer; o persoană care trimite spam.
Spyware: Termenul “spyware” se referă la un software care înregistrează activităţile şi procesele de pe un computer şi care pune aceste date la dispoziţia unei terţe părţi fără ştiinţa/consimţământul proprietarului. Spyware-ul este adesea folosit pentru analiza comportamentului de navigare pe Internet pentru reclame sau pentru a se detecta datele bancare sau legate de conturi online.
SSH (Secure Shell): Secure Shell este în principal distribuită în ariile Linux şi Unix. Acest protocol se foloseşte pentru a conferi acces la distanţă asupra unui computer prin intermediu unei conexiuni criptate. Mai mult, este posibil ca aceste conexiuni să fie canalizate prin intermediul computerului unde o persoană este logată.
Transaction Number(TAN)/ Numărul de tranzacţie: Numărul de tranzacţie se foloseşte în tranzacţiile bancare online ca o formă suplimentare de verificare faţă de PIN. În timp ce un PIN este aproape întotdeauna acelaşi şi poate fi folosit de mai multe ori, TAN este valid în cazul unei singure tranzacţii. Prin urmare, pentru fiecare tranzacţie bancară online se alocă un nou TAN.
Troieni: Păstrând tradiţia istorică, denumirea de “cal troian” se referă la un pogram care pare a efectua o anumită funcţie dorită de utilizator. Însă troienii includ o componentă ascunsă de program, care deschide mai mult sau mai puţin o “fereastră din spate” în securitatea computerului afectat pentru ca apoi să poată obţine acces total la sistem, fără ca utilizatorul să îşi dea deama. Metodele de autocamuflare ale troienilor sunt aproape nelimitate. Aceste programe nocive sunt apoi trimise prin e-mail ca screen-saver-e sau jocuri. O singură rulare a unui asemenea program este suficientă pentru a permite infectarea sistemului.
Update (actualizare): Actualizările sunt noi versiuni de programe sau date (ex:. software, date de antivirus data, baze de date).
De exmplu, utilizatorii softurilor G Data security au opţiunea să îşi actualizeze periodic semnăturile de viruşi prin Internet (Virus Update). În orice caz, un soft de tip antivirus poate fi achiziţionate la zi printr-o updatare software.
Virtual: Termenul “virtual” se referă la un mediu în care nu se manifestă viaţa reală, ci care este generat pe computer. În mod eronat, oamenii folosesc greşit acest cuvânt în sintagma “realitate virtuală”/”virtual reality” (VR), în engleză.
Zombie (PC): un PC zombie este un computer care poate fi controlat de la distanţă printr-un “backdoor”/ “uşă din spate”. Ca şi un star de cinema, PC-ul zombie se supune numai comenzilor date de coordonatorul său ascuns şi, adesea, execută comenzile sale care ţin de sfera infracţionalităţii.
De obicei, un anumit număr de computere de tip “zombie” funcţionează împreună în reţele botnet.