Stínová ekonomika nadále roste, varuje Symantec

4. 12. 2008
Doba čtení: 11 minut

Sdílet

Autor: 29
Pravidelný Symantec Internet Security Threat Report (ISTR) vlastně nepřináší nic převratného, kyberzločinu se na Internetu nadále daří. Dlouhodobé sledování ale přináší řadu zajímavých zjištění. Jaké jsou konkrétní projevy?

Pravidelný ISTR od Symantecu (je vydáván dvakrát ročně, předchozí viz Obchod s kradenými osobními údaji jen kvete zde na Lupě) se čerstvě věnuje stínové ekonomice, které se ostatně věnoval poměrně obšírně již v březnu tohoto roku, kdy vyšel první z letošních reportů. Stínová ekonomika je podle Symantecu ve stádiu efektivního celosvětového trhu, na němž je pravidelný zájem o nákup a prodej kradeného zboží i podvodných služeb. Od července 2007 do června 2008 tak ve stínové ekonomice bylo nabízeno zboží za hodnotu převyšující 276 milionů dolarů.

Nejžádanějším zbožím jsou nadále informace o kreditních kartách (31 %, jedna kreditka od 0.10 do 25 dolarů) a Symantec upozornil i na to, že se zvýšil objem peněz podvodně čerpaných z takto zobchodovaných karet, nyní se pohybuje nad hranicí 4000 dolarů. Pokud by se navíc čísla všech karet nabízených na tomto „trhu“ použila, mohlo by dojít k škode až 5,3 miliardy dolarů.

Druhou nejvíce nabízenou komoditou jsou informace o účtech v bankách a finančních institucích (20 %, 10 až 1000 dolarů za kus), kde také dochází k podstatně vyšším škodám – v průměru až 40 tisíc dolarů. A patří mezi velmi oblíbené, zejména pro snadnost čerpání peněz, byť je zpravidla nelze zpeněžit tak rychle a jednoduše jako při použití ukradené karty pro online nákup.

Nabídka a poptávka
Nabídka Poptávka Kategorie Nabídka % Poptávka %
1 1 Informace o kartách 31% 24%
2 3 Finanční účty 20% 18%
3 2 Spam a phishing 19% 21%
4 4 Služby výběru peněz / inkasní služby 7% 13%
5 5 Krádené identity 7% 10%
6 7 Účty na serverech 5% 4%
7 6 Kompromitované počítače 4% 4%
8 9 Účty na webech 3% 2%
9 8 Škodící aplikace 2% 2%
10 10 Účty v obchodech 1% 1%

Statistiky Symantecu udávají, že bylo sledováno 60 130 různých aktivních prodejců a přes 44 milionů zpráv, které byly vyměněny na fórech kde se obchodují kradené informace. Desítka nejaktivnějších prodejců by mohla způsobit škodu 18,3 milionu dolarů, přičem odhadovaná hodnota zboží a služeb, které byly nabízeny těmito 10 prodejci, přesáhla 575 tisíc dolarů (zde si uvědomte, že desítka nejaktivnějších pochází z více než šedesáti tisíc).

Obchodování na internetových fórech

K zobchodování kradených informací jsou používána internetová fóra – prodejci kradených informací uveřejňují „inzeráty“ na své služby navíc na běžná fóra a těží z jejich zveřejnění zde do okamžiku, než jsou (pokud vůbec) smazána. Fóra jsou ale používána přímo organizacemi, které kradené informace prodávají – využívají přitom snadnosti zprovoznění, poskytnuté funkčnosti registrace uživatelů, přehledné struktury i dalších technických možností.

Jedním z příkladů organizovaných aktivit využívajících fóra je i případ webových fór pojmenovaných Counterfeitlibrary, které původně byly věnovaný diskusím ohledně podvodů, krádeže identi a zneužívání kreditních kret. V roce 2002 se několik členů Counterfeitlibrary odtrhlo a založili nové fórum, které později získalo jméno ShadowCrew site. To bylo aktivní až do roku 2004, kdy v rámci Operation Firewall (18 měsíců dlouhá a utajovaná aktivita amerických i mezinárodních agentu) došlo k zatčení hlavních operátorů. Zároveň s tímto webem došlo k likvidaci dalších webových fór – Carderplanet a Darkprofit. ShadowCrew nejspíš doplatitl na otevřenost – fórum bylo přístupné každému a nijak se netajilo tím, k čemu slouží. A zajímavé je i to, že obsah byl nabízen v angličtině a ruštině.

Na historii konce ShadowCrew je zajímavé i to, že Operation Firewall vlastně vůbec nebyla nějakou sofistikovanou kybernetickou aktivitou, ale klasickou policejní prací, včetně hackerů hrajících to na obě strany. I s tou funkcí, že aktivovaný práskač shazuje i jiné skupiny, na které má napojení a vlastním lidem nabízí „bezpečnou“ komunikaci pomocí VPN proxy, ve skutečnosti dodanou FBI a sledující veškeré dění.

Operation Firewall nakonec zasáhla i do Ruska a mimo USA. A v podstatě byla ukončena předčasně, protože hacker jménem Ethic přišel právě na to, že VPN proxy je ve skutečnosti sledovacím zařízením FBI.

Nejrozšířenější je používání IRC

Pro oznamování a výměnu informací jsou ale používány i staré klasické internetové metody – IRC, Internet relay chat. IRC je oblíbeno hlavně pro možnost komunikace v reálném čase, nízké nároky na přenosové kanály, snadnost přístupu a možnost lehce programovat roboty, které na IRC posílají nebo z IRC přijímají data.

Symantec upozorňuje, že ve sledováném období bylo zjištění i více než 28 tisíc kanálů s 90 tisíci uživateli, které se věnovaly šíření informací o kreditních kartách a dalším kradeném zboží. IRC je pochopitelně zneužíváno i pro umisťování „inzerátů“ na kradené zboží. IRC kanály přitom v prodeji čísel kreditních karet a účtů hrají největší roli a podle Symantecu jejich využívání stoupá – hlavně pro snadnost použití a ztíženou možnost sledování, respektive postihování. Převážná většina IRC kanálů (41 %) přitom existuje pouze mezi 7–30 dny, další největší skupina (36 %) dokonce méně než 7 dní.

Služby a zboží s cenovými informacemi
Nabídka Poptávka Služba nebo zboží Nabídka % Poptávka % Rozsah cen
1 1 Detaily o bankovních účtech 18% 14% 10 – 1000 USD
2 2 Kreditní karty s CVV2 16% 13% 0.5 – 12 USD
3 5 Kreditní karty 13% 8% 0.10 – 25 USD
4 6 E-mail adresy 6% 7% 0.30 – 40 USD za MB
5 14 Hesla k e-mailům 6% 2% 4 – 30 USD
6 3 Plné identity 5% 9% 0.90 – 25 USD
7 4 Služby výběru peněz 5% 8% 8% – 50% hodnoty
8 12 Proxy 4% 3% 0.30 – 20 USD
9 8 Podvody 3% 6% 2.50 – 100 USD za týden pro hosting, 5 – 20 USD za design
10 7 Rozesílače pošty 3% 6% 1 – 25 USD

Nejvíce serverů obchodujících s kradeným informacemí je přitom v Severní Americe (45 %). Následuje Evropa/Střední východ/Afrika (38 %), Asie/Pacifik (12 %) a Latinská Amerika (5 %). Radek Smolík, Country Manager Symantecu v ČR, na tiskové konferenci navíc upozornil, že populární hostingové země jsou i ve východní Evropě, specificky zejména Rumunsko. Mezi českými servery, které jsou sledovány v souvislosti se stínovou ekonomikou bylo jmenováno známé WarForum.

Kde hostují servery nabízející kradené informace
Pořadí Země Procenta serverů
1 USA 41%
2 Rumunsko 13%
3 Německo 11%
4 Velká Británie 6%
5 Kanada 5%
6 Austrálie 4%
7 Brazílie 3%
8 Jižní Korea 2%
9 Nizozemí 2%
10 Švédsko 2%

Nástroje stínové ekonomiky

Nadále samozřejmě platí, že stínová ekonomika nabízí i dostatek pomůcek, které podporují další růst a rozvoj – můžete si koupit kompletní hotové kity a použít je k defraudacím, vykrádáním dat i phishingu. A můžete úplně stejně prodat to, co jste získali, v hromadné i jednotlivé podobě.

Stínová ekonomika funguje celosvětově a je poháněna jak jednotlivci, tak malými i většími organizovanými skupinami. Aktivním ve stínové ekonomice se dostávají nicméně i náhodní jedinci – Radek Smolík na tiskové konferenci upozornil na případ mladého Inda, který si hraním s trojským koněm polepšil k vlastnictví údajů o zákaznících hotelové řetězce Best Western Hotels (Fog of attack clouds Best Western hack).

V podstatě náhodné hraní s trojským koněm mu přineslo přístup do propojeného rezervačního systému a k Best Western údajům pro celou EMEA oblast. A právě poté mladý Ind využil IRC k nabídce ruské skupině, která neváhala a za pár stovek dolarů od něj informace koupila – pak už následovalo napsání nového kódu a získání údajů o několika milionech lidech – včetně čísel kreditních karet, čisel pasů, bydlišť, jmen a pochopitelně údajů o rezervacích hotelových služeb. A právě informace o tom, že někdo bude někde trávit čas, se ukázaly jako další výhoda. Následoval prodej zjištěných informací a „bonz“ novinářům ze Sunday Herald novin. Včetně následných klasických zastíracích technik a kroucení se Best Western – až se nakonec provalilo, že řetězec přišel o devět milionů údajů.

Příklady úniku citlivých informací
Pořadí Druh informací Podíl
1 CVV2 čísla 23%
2 Čísla karet 18%
3 Údaje o expiraci 15%;
4 Adresy 12%
5 Telefonní čísla 11%
6 E-mailové adresy 6%
7 PIN ke kartám 5%
8 Čísla sociálního pojištění 4%
9 Plná jména 4%
10 Data narození 2%

Potenciální tržba jednoho z nejlepších prodejců přesáhla odhadovaných 6,4 milionu dolarů. A jedna z nejaktivnější organizací, Rock Group, si v roce 2006 mohla přijít na 150 milionů dolarů z phishingových aktivit.

Další zajímavý případ je chlapík jménem „Script“, protože se týká i českých občanů – hlavní roli zde hraje server jménem Cardplanet.com. Pokud si představujete něco malého, tak na to zapomeňte – ve hře je například konference 150 lidí v Oděsse a aktivní podnikání – Cardplanet.com nakupoval údaje o kreditních kartách, vyráběl falešné kreditky a tam kde byly dodány CVV2/Pin informace, pak docházelo k výběru peněz nebo placení na internetových obchodech. Po zatčení skupiny v Rusku a na Ukrajině se zjistilo, že denní obraty skupiny na jednotlivých účtech představovaly i více než 100 tisíc dolarů.

A mezi členy tohoto sdružení byli mimochodem i lidé z České republiky – prozatím se neví kdo, ale je možné, že po dokončení analýzy získaných dat dojde k padání klecí i v ČR.

Součástí stínové ekonomiky je i poskytování služeb, již v předchozím reportu byla řeč o RBN (Russian Business Network). O půl roku později RBN funguje nadále a nepodařilo se jí ani odhalit, natož zlikvidovat – i přes několik případů vypínání klíčových systému v Rusku (na které RBN reagovalo velmi rychle zapnutím jiných systému v Číně). RBN se specializuje hlavně na hosting, maskovací operace, phishing a spam.

Ceny prodávaných pomůcek
Pomůcka Průměrná cena Rozsah cen
Botnet 225 USD 150 – 300 USD
Autorooter 70 USD 40 – 100 USD
SQL Injection 63 USD 15 – 150 USD
Shopadmin 33 USD 20 – 45 USD
RFI scanner 26 USD 5 – 100 USD
LFI scanner 23 USD 15 – 30 USD
XSS scanner 20 USD 10 – 30 USD
Hosting podvodných stránek 10 USD 2 – 80 USD
Podvodné stránky 10 USD 2 – 50 USD
Software pro spam 9 USD 3 – 20 USD
Podvodné dopisy 6 USD 1 – 10 USD

Pirátství, softwarové

Symantec se v aktuálním ISTRu věnoval i softwarovému pirátství prostřednictvím P2P sítí. Soustředil přitom data od července do září 2008 a sledoval aktivity více než 280 tisíc jednotlivých uživatelů a 320 tisíc instancí od přibližně 390 softwarových produktů.

Pirátsktví
Pořadí podle počtu souborů Země Procenta Pořadí podle počtu uživatelů Procenta
1 USA 19% 1 19%
2 Velká Británie 7% 2 7%
3 Kanada 6% 3 6%
4 Španělsko 5% 5 6%
5 Brazílie 5% 4 5%
6 Polsko 5% 6 5%
7 Francie 4% 7 4%
8 Švédsko 3% 8 3%
9 Nizozemí 3% 9 3%
10 Austrálie 2% 10 2%

Nejžádanější komoditou jsou, očekávatelně, počítačové hry (49 %) a nejprodávanější software. Hodnota pirátského software, který byl takto sledován na trhu v USA, přesáhla 83 milionů dolarů.

Pořadí pirátěného software
Pořadí Software Procenta
1 Hry pro PC 49%
2 Aplikace/utility 16%
3 Mutimediální aplikace 11%
4 Hry pro konzole 9%
5 Ostatní aplikace 5%
6 Kancelářské aplikace 5%
7 Operační systémy 4%
8 Nahrávání audio 1%

Nakonec příklady z praxe

Andrew Chapman, šéf IT jedné z fakult na Cambridge narazil na eBay na cenově výhodné systémy s velkými disky (One million bank accounts going, going, gone for £35 on eBay). Po zapnutí jednoho z nich přišel na to, že disky obsahují ISO image. Po vypálení na CD objevil údaje o několik milionech klientů bank, včetně toho, že jedna z nich byla například American Express. A údaje jdou tak daleko, že tam jsou nejenom osobní údaje, ale také čísla karet, CVV2 a dokonce naskenované podpisy. A ve finále je těchto údajů zhruba 30 milionů.

Chapman tento objev s chutí prozradil BBC a vznikl skandál se základní otázkou – jak je možné, že lze na eBay koupit údaje o milionech lidí. A ukázalo se, že bankovní domy mají smlouvu se společností, která jí dlouhodobě archivuje data. A jeden vyhozený zaměstnance této společnosti prodal na eBay dva systémy.

Jak Radek Smolík na tiskové konferenci upozorňoval, jde o klasické selhání lidského faktoru a absenci důsledné kontroly obchodních procesů – právě nefunkčnost obchodních procesů je v 50 % případech za podobnými úniky dat.

Jiný příklad, firma vyrábějící pro Velkou Británii elektronické občanky (něco co nás brzy čeká) a zjištění problému, že pro zhruba 90 tisíc vězňů je bude potřeba připravit také. Následně se tedy shromáždí data o vězních, které státní instituce předá zmíněné společnosti. „Bohužel“ zároveň s daty předá (na USB disku) i něco navíc, údaje o největších recidivistech ve Velké Británii.

A co by čert nechtěl, o dva dny později se USB disk ztrácí – včetně otevřených vyšetřovacích spisů o zmíněných recidivistech. Kde, co by čert nechtěl, jsou uvedeny dokonce informace o identitách práskačů.

Opět chyba obchodních procesů – nakopírování nešifrovaných dat a předání „komusi“ aby je „někam“ odvezl.

Třetí příklad, norská vláda, omylem poslala britskému tisku deset milionů daňových přiznání svých občanů. V rámci snahy o otevřenější komunikaci s tiskem.

A příklad z domova – český T-Mobile a prodej údajů o zhruba 800 tisících klientech Komerční bance. Včetně toho, že tyto údaje obsahují informace o nákupním chování, velikosti účtů atd. Následně KB používá tyto údaje k nabídkám kreditních karet a obtěžovní z call center. T-Mobile je sice nakonec popotahován ÚÓOÚ, aby se ukázalo, že zákazníci T-Mobile teoreticky kdesi odklikli cosi, co operátorovi umožňuje jejich údaje komukoliv prodávat.

Radek Smolík také zmiňoval další alarmující příklady ochoty lidí ztratit vlastní soukromí – případ Kauza Libimseti.cz ukázala, že nejen král je nahý, slovenský Azet.sk a jeho děravé systémy a aktuální nabídku na WarForum, která slibuje lechtivá data uživatelů Lidé.cz

„Standardně jednou z velkých chyb, která to umožňuje, je nedbalost těch, kteří by si měli své údaje chránit,“ říká Smolík. A zároveň upozorňuje na další dva největší nešvary charakteristické pro české prostředí – prodeje informací z porodnic (kde je sestřičkám nabízeno až 100 tisíc korun za roční data) a prodeje informací o lidech s rakovinou prsu. „Je to velmi nepříjemné, je to velmi silné a velmi rozsáhle se to tady děje,“ dodává Smolík.

Prevence, chraňte se dřív, než bude pozdě

Již v minulém ISTRu (viz Obchod s kradenými osobními údaji jen kvete) Symantec doporučoval několik pravidel jak se bránit proti phishingu. V aktuální zprávě jde o malý kousek dál a doporučuje několik základních pravidel jak se bránit, rozdělených na pravidla pro podniky a jednotlivce.

Prevence v podniku
  • Šifrovat data v databázi
  • Omezit přístup k databázím, včetně využití nejvyšších privilegií
  • K přenosu citlivých informací používat pouze bezpečné kanály (VPN, atd)
  • Zajistit ochranu koncových počítačů, šifrovat USB disk, zavést politiku kopírování dat na USB disky a další média
  • Zmapovat umístění citlivých informací a zjistit, kdo a jak je používá, zavést preventivní politiky před ztrátou
Prevence v domácnostech
  • Nasadit poštovní filtry blokující phishingové zprávy
  • Produkty chranící počítače – antivirus, antispyware, antiphishing, prevenci průniků
  • Omezit množství osobních, citlivých informací uložených na PC („Setkal jsem se s blbem, který na svůj počítač skenuje úplně všechno, včetně třeba i rodného listu,“ říká k tomu Radek Smolík).
  • Používat silná hesla a pravidelně je měnit
  • Neukládat přístupy na účty pomocí prohližeče

Na závěr

Druhý letošní ISTR neobsahuje žádná nová šokující odhalení, jde více do hloubky co se údajů o stínové ekonomice týče a lépe rozkrývá čím je obchodováno. Nabízí velké množství čísel, které jdou mimo vhodný rozsah článku na Lupě. Nepřináší ani žádné tradiční katastrofické předpovědi pro příští rok, byť si je z uváděných informací můžete snadno představit. Pokud se celosvětově nepodaří nasadit účinné způsoby boje proti organizovanému kyberzločinu, budou další zprávy opět detailnější, čísla ještě větší a škody ještě horší.

Jak ukazují příklady z domova, problém ochrany osobních údajů, kam patří právě předměty obchodování v stínové ekonomice, je aktuální a akutní.

Ukládáte si na počítač oscanované úřední dokument?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).