Pravidelný ISTR od Symantecu (je vydáván dvakrát ročně, předchozí viz Obchod s kradenými osobními údaji jen kvete zde na Lupě) se čerstvě věnuje stínové ekonomice, které se ostatně věnoval poměrně obšírně již v březnu tohoto roku, kdy vyšel první z letošních reportů. Stínová ekonomika je podle Symantecu ve stádiu efektivního celosvětového trhu, na němž je pravidelný zájem o nákup a prodej kradeného zboží i podvodných služeb. Od července 2007 do června 2008 tak ve stínové ekonomice bylo nabízeno zboží za hodnotu převyšující 276 milionů dolarů.
Nejžádanějším zbožím jsou nadále informace o kreditních kartách (31 %, jedna kreditka od 0.10 do 25 dolarů) a Symantec upozornil i na to, že se zvýšil objem peněz podvodně čerpaných z takto zobchodovaných karet, nyní se pohybuje nad hranicí 4000 dolarů. Pokud by se navíc čísla všech karet nabízených na tomto „trhu“ použila, mohlo by dojít k škode až 5,3 miliardy dolarů.
Druhou nejvíce nabízenou komoditou jsou informace o účtech v bankách a finančních institucích (20 %, 10 až 1000 dolarů za kus), kde také dochází k podstatně vyšším škodám – v průměru až 40 tisíc dolarů. A patří mezi velmi oblíbené, zejména pro snadnost čerpání peněz, byť je zpravidla nelze zpeněžit tak rychle a jednoduše jako při použití ukradené karty pro online nákup.
Nabídka | Poptávka | Kategorie | Nabídka % | Poptávka % |
---|---|---|---|---|
1 | 1 | Informace o kartách | 31% | 24% |
2 | 3 | Finanční účty | 20% | 18% |
3 | 2 | Spam a phishing | 19% | 21% |
4 | 4 | Služby výběru peněz / inkasní služby | 7% | 13% |
5 | 5 | Krádené identity | 7% | 10% |
6 | 7 | Účty na serverech | 5% | 4% |
7 | 6 | Kompromitované počítače | 4% | 4% |
8 | 9 | Účty na webech | 3% | 2% |
9 | 8 | Škodící aplikace | 2% | 2% |
10 | 10 | Účty v obchodech | 1% | 1% |
Statistiky Symantecu udávají, že bylo sledováno 60 130 různých aktivních prodejců a přes 44 milionů zpráv, které byly vyměněny na fórech kde se obchodují kradené informace. Desítka nejaktivnějších prodejců by mohla způsobit škodu 18,3 milionu dolarů, přičem odhadovaná hodnota zboží a služeb, které byly nabízeny těmito 10 prodejci, přesáhla 575 tisíc dolarů (zde si uvědomte, že desítka nejaktivnějších pochází z více než šedesáti tisíc).
Obchodování na internetových fórech
K zobchodování kradených informací jsou používána internetová fóra – prodejci kradených informací uveřejňují „inzeráty“ na své služby navíc na běžná fóra a těží z jejich zveřejnění zde do okamžiku, než jsou (pokud vůbec) smazána. Fóra jsou ale používána přímo organizacemi, které kradené informace prodávají – využívají přitom snadnosti zprovoznění, poskytnuté funkčnosti registrace uživatelů, přehledné struktury i dalších technických možností.
Jedním z příkladů organizovaných aktivit využívajících fóra je i případ webových fór pojmenovaných Counterfeitlibrary, které původně byly věnovaný diskusím ohledně podvodů, krádeže identi a zneužívání kreditních kret. V roce 2002 se několik členů Counterfeitlibrary odtrhlo a založili nové fórum, které později získalo jméno ShadowCrew site. To bylo aktivní až do roku 2004, kdy v rámci Operation Firewall (18 měsíců dlouhá a utajovaná aktivita amerických i mezinárodních agentu) došlo k zatčení hlavních operátorů. Zároveň s tímto webem došlo k likvidaci dalších webových fór – Carderplanet a Darkprofit. ShadowCrew nejspíš doplatitl na otevřenost – fórum bylo přístupné každému a nijak se netajilo tím, k čemu slouží. A zajímavé je i to, že obsah byl nabízen v angličtině a ruštině.
Na historii konce ShadowCrew je zajímavé i to, že Operation Firewall vlastně vůbec nebyla nějakou sofistikovanou kybernetickou aktivitou, ale klasickou policejní prací, včetně hackerů hrajících to na obě strany. I s tou funkcí, že aktivovaný práskač shazuje i jiné skupiny, na které má napojení a vlastním lidem nabízí „bezpečnou“ komunikaci pomocí VPN proxy, ve skutečnosti dodanou FBI a sledující veškeré dění.
Operation Firewall nakonec zasáhla i do Ruska a mimo USA. A v podstatě byla ukončena předčasně, protože hacker jménem Ethic přišel právě na to, že VPN proxy je ve skutečnosti sledovacím zařízením FBI.
Nejrozšířenější je používání IRC
Pro oznamování a výměnu informací jsou ale používány i staré klasické internetové metody – IRC, Internet relay chat. IRC je oblíbeno hlavně pro možnost komunikace v reálném čase, nízké nároky na přenosové kanály, snadnost přístupu a možnost lehce programovat roboty, které na IRC posílají nebo z IRC přijímají data.
Symantec upozorňuje, že ve sledováném období bylo zjištění i více než 28 tisíc kanálů s 90 tisíci uživateli, které se věnovaly šíření informací o kreditních kartách a dalším kradeném zboží. IRC je pochopitelně zneužíváno i pro umisťování „inzerátů“ na kradené zboží. IRC kanály přitom v prodeji čísel kreditních karet a účtů hrají největší roli a podle Symantecu jejich využívání stoupá – hlavně pro snadnost použití a ztíženou možnost sledování, respektive postihování. Převážná většina IRC kanálů (41 %) přitom existuje pouze mezi 7–30 dny, další největší skupina (36 %) dokonce méně než 7 dní.
Nabídka | Poptávka | Služba nebo zboží | Nabídka % | Poptávka % | Rozsah cen |
---|---|---|---|---|---|
1 | 1 | Detaily o bankovních účtech | 18% | 14% | 10 – 1000 USD |
2 | 2 | Kreditní karty s CVV2 | 16% | 13% | 0.5 – 12 USD |
3 | 5 | Kreditní karty | 13% | 8% | 0.10 – 25 USD |
4 | 6 | E-mail adresy | 6% | 7% | 0.30 – 40 USD za MB |
5 | 14 | Hesla k e-mailům | 6% | 2% | 4 – 30 USD |
6 | 3 | Plné identity | 5% | 9% | 0.90 – 25 USD |
7 | 4 | Služby výběru peněz | 5% | 8% | 8% – 50% hodnoty |
8 | 12 | Proxy | 4% | 3% | 0.30 – 20 USD |
9 | 8 | Podvody | 3% | 6% | 2.50 – 100 USD za týden pro hosting, 5 – 20 USD za design |
10 | 7 | Rozesílače pošty | 3% | 6% | 1 – 25 USD |
Nejvíce serverů obchodujících s kradeným informacemí je přitom v Severní Americe (45 %). Následuje Evropa/Střední východ/Afrika (38 %), Asie/Pacifik (12 %) a Latinská Amerika (5 %). Radek Smolík, Country Manager Symantecu v ČR, na tiskové konferenci navíc upozornil, že populární hostingové země jsou i ve východní Evropě, specificky zejména Rumunsko. Mezi českými servery, které jsou sledovány v souvislosti se stínovou ekonomikou bylo jmenováno známé WarForum.
Pořadí | Země | Procenta serverů |
---|---|---|
1 | USA | 41% |
2 | Rumunsko | 13% |
3 | Německo | 11% |
4 | Velká Británie | 6% |
5 | Kanada | 5% |
6 | Austrálie | 4% |
7 | Brazílie | 3% |
8 | Jižní Korea | 2% |
9 | Nizozemí | 2% |
10 | Švédsko | 2% |
Nástroje stínové ekonomiky
Nadále samozřejmě platí, že stínová ekonomika nabízí i dostatek pomůcek, které podporují další růst a rozvoj – můžete si koupit kompletní hotové kity a použít je k defraudacím, vykrádáním dat i phishingu. A můžete úplně stejně prodat to, co jste získali, v hromadné i jednotlivé podobě.
Stínová ekonomika funguje celosvětově a je poháněna jak jednotlivci, tak malými i většími organizovanými skupinami. Aktivním ve stínové ekonomice se dostávají nicméně i náhodní jedinci – Radek Smolík na tiskové konferenci upozornil na případ mladého Inda, který si hraním s trojským koněm polepšil k vlastnictví údajů o zákaznících hotelové řetězce Best Western Hotels (Fog of attack clouds Best Western hack).
V podstatě náhodné hraní s trojským koněm mu přineslo přístup do propojeného rezervačního systému a k Best Western údajům pro celou EMEA oblast. A právě poté mladý Ind využil IRC k nabídce ruské skupině, která neváhala a za pár stovek dolarů od něj informace koupila – pak už následovalo napsání nového kódu a získání údajů o několika milionech lidech – včetně čísel kreditních karet, čisel pasů, bydlišť, jmen a pochopitelně údajů o rezervacích hotelových služeb. A právě informace o tom, že někdo bude někde trávit čas, se ukázaly jako další výhoda. Následoval prodej zjištěných informací a „bonz“ novinářům ze Sunday Herald novin. Včetně následných klasických zastíracích technik a kroucení se Best Western – až se nakonec provalilo, že řetězec přišel o devět milionů údajů.
Pořadí | Druh informací | Podíl |
---|---|---|
1 | CVV2 čísla | 23% |
2 | Čísla karet | 18% |
3 | Údaje o expiraci | 15%; |
4 | Adresy | 12% |
5 | Telefonní čísla | 11% |
6 | E-mailové adresy | 6% |
7 | PIN ke kartám | 5% |
8 | Čísla sociálního pojištění | 4% |
9 | Plná jména | 4% |
10 | Data narození | 2% |
Potenciální tržba jednoho z nejlepších prodejců přesáhla odhadovaných 6,4 milionu dolarů. A jedna z nejaktivnější organizací, Rock Group, si v roce 2006 mohla přijít na 150 milionů dolarů z phishingových aktivit.
Další zajímavý případ je chlapík jménem „Script“, protože se týká i českých občanů – hlavní roli zde hraje server jménem Cardplanet.com. Pokud si představujete něco malého, tak na to zapomeňte – ve hře je například konference 150 lidí v Oděsse a aktivní podnikání – Cardplanet.com nakupoval údaje o kreditních kartách, vyráběl falešné kreditky a tam kde byly dodány CVV2/Pin informace, pak docházelo k výběru peněz nebo placení na internetových obchodech. Po zatčení skupiny v Rusku a na Ukrajině se zjistilo, že denní obraty skupiny na jednotlivých účtech představovaly i více než 100 tisíc dolarů.
A mezi členy tohoto sdružení byli mimochodem i lidé z České republiky – prozatím se neví kdo, ale je možné, že po dokončení analýzy získaných dat dojde k padání klecí i v ČR.
Součástí stínové ekonomiky je i poskytování služeb, již v předchozím reportu byla řeč o RBN (Russian Business Network). O půl roku později RBN funguje nadále a nepodařilo se jí ani odhalit, natož zlikvidovat – i přes několik případů vypínání klíčových systému v Rusku (na které RBN reagovalo velmi rychle zapnutím jiných systému v Číně). RBN se specializuje hlavně na hosting, maskovací operace, phishing a spam.
Pomůcka | Průměrná cena | Rozsah cen |
---|---|---|
Botnet | 225 USD | 150 – 300 USD |
Autorooter | 70 USD | 40 – 100 USD |
SQL Injection | 63 USD | 15 – 150 USD |
Shopadmin | 33 USD | 20 – 45 USD |
RFI scanner | 26 USD | 5 – 100 USD |
LFI scanner | 23 USD | 15 – 30 USD |
XSS scanner | 20 USD | 10 – 30 USD |
Hosting podvodných stránek | 10 USD | 2 – 80 USD |
Podvodné stránky | 10 USD | 2 – 50 USD |
Software pro spam | 9 USD | 3 – 20 USD |
Podvodné dopisy | 6 USD | 1 – 10 USD |
Pirátství, softwarové
Symantec se v aktuálním ISTRu věnoval i softwarovému pirátství prostřednictvím P2P sítí. Soustředil přitom data od července do září 2008 a sledoval aktivity více než 280 tisíc jednotlivých uživatelů a 320 tisíc instancí od přibližně 390 softwarových produktů.
Pořadí podle počtu souborů | Země | Procenta | Pořadí podle počtu uživatelů | Procenta |
---|---|---|---|---|
1 | USA | 19% | 1 | 19% |
2 | Velká Británie | 7% | 2 | 7% |
3 | Kanada | 6% | 3 | 6% |
4 | Španělsko | 5% | 5 | 6% |
5 | Brazílie | 5% | 4 | 5% |
6 | Polsko | 5% | 6 | 5% |
7 | Francie | 4% | 7 | 4% |
8 | Švédsko | 3% | 8 | 3% |
9 | Nizozemí | 3% | 9 | 3% |
10 | Austrálie | 2% | 10 | 2% |
Nejžádanější komoditou jsou, očekávatelně, počítačové hry (49 %) a nejprodávanější software. Hodnota pirátského software, který byl takto sledován na trhu v USA, přesáhla 83 milionů dolarů.
Pořadí | Software | Procenta |
---|---|---|
1 | Hry pro PC | 49% |
2 | Aplikace/utility | 16% |
3 | Mutimediální aplikace | 11% |
4 | Hry pro konzole | 9% |
5 | Ostatní aplikace | 5% |
6 | Kancelářské aplikace | 5% |
7 | Operační systémy | 4% |
8 | Nahrávání audio | 1% |
Nakonec příklady z praxe
Andrew Chapman, šéf IT jedné z fakult na Cambridge narazil na eBay na cenově výhodné systémy s velkými disky (One million bank accounts going, going, gone for £35 on eBay). Po zapnutí jednoho z nich přišel na to, že disky obsahují ISO image. Po vypálení na CD objevil údaje o několik milionech klientů bank, včetně toho, že jedna z nich byla například American Express. A údaje jdou tak daleko, že tam jsou nejenom osobní údaje, ale také čísla karet, CVV2 a dokonce naskenované podpisy. A ve finále je těchto údajů zhruba 30 milionů.
Chapman tento objev s chutí prozradil BBC a vznikl skandál se základní otázkou – jak je možné, že lze na eBay koupit údaje o milionech lidí. A ukázalo se, že bankovní domy mají smlouvu se společností, která jí dlouhodobě archivuje data. A jeden vyhozený zaměstnance této společnosti prodal na eBay dva systémy.
Jak Radek Smolík na tiskové konferenci upozorňoval, jde o klasické selhání lidského faktoru a absenci důsledné kontroly obchodních procesů – právě nefunkčnost obchodních procesů je v 50 % případech za podobnými úniky dat.
Jiný příklad, firma vyrábějící pro Velkou Británii elektronické občanky (něco co nás brzy čeká) a zjištění problému, že pro zhruba 90 tisíc vězňů je bude potřeba připravit také. Následně se tedy shromáždí data o vězních, které státní instituce předá zmíněné společnosti. „Bohužel“ zároveň s daty předá (na USB disku) i něco navíc, údaje o největších recidivistech ve Velké Británii.
A co by čert nechtěl, o dva dny později se USB disk ztrácí – včetně otevřených vyšetřovacích spisů o zmíněných recidivistech. Kde, co by čert nechtěl, jsou uvedeny dokonce informace o identitách práskačů.
Opět chyba obchodních procesů – nakopírování nešifrovaných dat a předání „komusi“ aby je „někam“ odvezl.
Třetí příklad, norská vláda, omylem poslala britskému tisku deset milionů daňových přiznání svých občanů. V rámci snahy o otevřenější komunikaci s tiskem.
A příklad z domova – český T-Mobile a prodej údajů o zhruba 800 tisících klientech Komerční bance. Včetně toho, že tyto údaje obsahují informace o nákupním chování, velikosti účtů atd. Následně KB používá tyto údaje k nabídkám kreditních karet a obtěžovní z call center. T-Mobile je sice nakonec popotahován ÚÓOÚ, aby se ukázalo, že zákazníci T-Mobile teoreticky kdesi odklikli cosi, co operátorovi umožňuje jejich údaje komukoliv prodávat.
Radek Smolík také zmiňoval další alarmující příklady ochoty lidí ztratit vlastní soukromí – případ Kauza Libimseti.cz ukázala, že nejen král je nahý, slovenský Azet.sk a jeho děravé systémy a aktuální nabídku na WarForum, která slibuje lechtivá data uživatelů Lidé.cz
„Standardně jednou z velkých chyb, která to umožňuje, je nedbalost těch, kteří by si měli své údaje chránit,“ říká Smolík. A zároveň upozorňuje na další dva největší nešvary charakteristické pro české prostředí – prodeje informací z porodnic (kde je sestřičkám nabízeno až 100 tisíc korun za roční data) a prodeje informací o lidech s rakovinou prsu. „Je to velmi nepříjemné, je to velmi silné a velmi rozsáhle se to tady děje,“ dodává Smolík.Prevence, chraňte se dřív, než bude pozdě
Již v minulém ISTRu (viz Obchod s kradenými osobními údaji jen kvete) Symantec doporučoval několik pravidel jak se bránit proti phishingu. V aktuální zprávě jde o malý kousek dál a doporučuje několik základních pravidel jak se bránit, rozdělených na pravidla pro podniky a jednotlivce.
Prevence v podniku
- Šifrovat data v databázi
- Omezit přístup k databázím, včetně využití nejvyšších privilegií
- K přenosu citlivých informací používat pouze bezpečné kanály (VPN, atd)
- Zajistit ochranu koncových počítačů, šifrovat USB disk, zavést politiku kopírování dat na USB disky a další média
- Zmapovat umístění citlivých informací a zjistit, kdo a jak je používá, zavést preventivní politiky před ztrátou
Prevence v domácnostech
- Nasadit poštovní filtry blokující phishingové zprávy
- Produkty chranící počítače – antivirus, antispyware, antiphishing, prevenci průniků
- Omezit množství osobních, citlivých informací uložených na PC („Setkal jsem se s blbem, který na svůj počítač skenuje úplně všechno, včetně třeba i rodného listu,“ říká k tomu Radek Smolík).
- Používat silná hesla a pravidelně je měnit
- Neukládat přístupy na účty pomocí prohližeče
Na závěr
Druhý letošní ISTR neobsahuje žádná nová šokující odhalení, jde více do hloubky co se údajů o stínové ekonomice týče a lépe rozkrývá čím je obchodováno. Nabízí velké množství čísel, které jdou mimo vhodný rozsah článku na Lupě. Nepřináší ani žádné tradiční katastrofické předpovědi pro příští rok, byť si je z uváděných informací můžete snadno představit. Pokud se celosvětově nepodaří nasadit účinné způsoby boje proti organizovanému kyberzločinu, budou další zprávy opět detailnější, čísla ještě větší a škody ještě horší.
Jak ukazují příklady z domova, problém ochrany osobních údajů, kam patří právě předměty obchodování v stínové ekonomice, je aktuální a akutní.