В сети найден огромный черный рынок «виртуальных личностей». Как он работает?

Безопасность в Интернете — это бесконечная игра в «кошки-мышки». Специалисты по безопасности постоянно придумывают новые способы охраны наших данных только для того, чтобы киберпреступники изобретали новые и хитрые способы подрыва этой защиты. Исследователи из Технологического университета Эйндховена обнаружили доказательства существования онлайн-площадки, на которой выставлены на продажу сотни тысяч очень подробных профилей пользователей. Настоящий «черный рынок» в сети. Рассказываем, как эти личные «отпечатки пальцев» позволяют преступникам обходить современные системы аутентификации, предоставляя им доступ к ценной пользовательской информации (такой, например, как данные кредитной карты) сколько стоит такой профиль и как защитить свои данные?

Проблема с системами аутентификации

Онлайн-экономика зависит от имен пользователей и паролей. Они необходимы, для подтверждения личности в интернете во время любых денежных операций: от покупок до банковских переводов, все завязано на личных данных. Однако этот ограниченный способ аутентификации оказался далеко не безопасным, поскольку люди склонны повторно использовать свои пароли в нескольких службах и веб-сайтах. Это привело к массовой и высокодоходной незаконной торговле учетными данными пользователей. Оцените масштаб: по недавним оценкам через подпольные рынки за год было продано около 1,9 млрд украденных учетных данных.

Неудивительно, что банки и другие цифровые сервисы разработали более сложные системы аутентификации, которые полагаются не только на то, что пользователи знают свой пароль. Например, у человека есть свой eToken.

eToken (от англ. electronic — электронный и англ. token — признак, жетон) — средства персональных средств аутентификации в виде USB-ключей и смарткарт, а также программные решения с их использованием. В России такие токены также продаются.

Процесс, при котором у пользователя есть и пароль и личный токен, известен как многофакторная аутентификация (MFA). Да, она сильно ограничивает возможность киберпреступности, но имеет и свои недостатки. Поскольку он предполагает «лишние телодвижения», многие пользователи не хотят регистрироваться для получения токена, а это означает, что немногие используют его.

Есть ли альтернатива?

Чтобы решить эту проблему, в последнее время стала популярной альтернативная система аутентификации в таких сервисах, как Amazon, Facebook, Google и PayPal. Эта система, известная как аутентификация на основе рисков (RBA), просматривает «отпечатки пальцев» пользователя, чтобы проверить чьи-то учетные данные. Они могут включать основную техническую информацию — такую ​​как тип браузера или операционной системы, а также поведенческие особенности пользователя. Речь идет о движении мыши, его местоположение и аже скорость нажатия клавиш. Если отпечаток пальца соответствует тому, что ожидается от пользователя — на основе предыдущего поведения — ему разрешается сразу войти в систему, используя только свой логин и пароль. В противном случае требуется дополнительная аутентификация с помощью токена.

Конечно, киберпреступники быстро придумали способы обхода RBA, разработав фишинговые наборы, которые также включают отпечатки пальцев. Однако им сложно превратить это в эффективный и прибыльный бизнес. Одна из причин заключается в том, что эти профили пользователей меняются со временем и в зависимости от служб, и их необходимо собирать с помощью дополнительных фишинговых атак.

Выдача себя за другое лицо как услуга

Недавно ученые из Технологического университета Эйндховена обнаружили доказательства наличия крупномасштабного и очень сложного рынка, который, похоже, преодолевает эти ограничения. Торговая площадка, расположенная в России, предлагает более 260 000 подробных профилей пользователей вместе с другими учетными данными, такими как адреса электронной почты и пароли.

«Уникальность этого подпольного веб-сайта заключается не только в его масштабе, но и в том, что все профили постоянно обновляются, что означает, что они сохраняют свою ценность», — объясняет Лука Аллоди, исследователь группы безопасности факультета математики и компьютерных наук, который вместе с доктором философии, студентом Микеле Кампобассо отвечал за исследование.

Чтобы подчеркнуть систематический характер веб-сайта, Аллоди и Кампобассо ввели термин «олицетворение как услуга» (IMPaaS), перекликающийся с хорошо известными сервисами облачных вычислений, такими как SaaS (программное обеспечение как услуга) и IaaS (инфраструктура как услуга).

«Насколько нам известно, это самый крупный и изощренный криминальный рынок, на котором систематически предлагаются эти услуги».

Изучить рынок было непросто, подчеркивают исследователи. Чтобы получить доступ к спискам доступных профилей пользователей, исследователям пришлось заполучить специальные коды приглашения, которыми пользуются существующие пользователи. Сбор данных также был затруднен — операторы платформы активно отслеживали «мошеннические» учетные записи. Также исследователи решили сохранить в секрете настоящее название сайта, чтобы минимизировать риск ответных действий со стороны операторов рынка.

Цена «виртуальной личности»

Цена «виртуальной личности» пользователя на торговой площадке колеблется от 1 доллара до примерно 100 долларов. Доступ к профилям криптовалюты и платформам WebMoney кажется наиболее ценным. «Простое наличие хотя бы одного профиля, связанного с криптовалютой, почти вдвое увеличивает среднее значение профиля», — говорит Аллоди.

Еще один важный фактор, повышающий цену, — это богатство страны, в которой находится пользователь. «В этом есть смысл: злоумышленники, стремящиеся выдать себя за профили пользователей и монетизировать их, придают большее значение профилям, которые могут принести большую финансовую выгоду, и они в основном встречаются в развитых странах», — считает Кампобассо.

Также очень высоко ценятся профили пользователей, которые предоставляют доступ к более чем одной службе, и профили с «настоящими» отпечатками пальцев, в отличие от отпечатков пальцев, «синтезированных» платформой.

Использование профилей

В своей статье исследователи также описывают несколько примеров того, как преступники «вооружают» эти профили, которые они нашли на секретном канале Telegram, используемом клиентами платформы. В одной из известных атак злоумышленник описывает настройку фильтров для почтовых ящиков электронной почты жертвы. Цель — скрытие уведомлений от Amazon, связанных с покупками, совершенными злоумышленником с использованием учетной записи жертвы на платформе.

Последствия торговли «цифровыми личностями»

Однако похожие рынки существуют не только в России.

Компания IntSights из Нью-Йорка, занимающаяся разведкой угроз, нацеленная на предоставление предприятиям возможности «защищаться наперед», объявила о выпуске последнего отчета компании «Идентификация цифровых браузеров: самая горячая новинка черного рынка».

В отчете утверждается, что «появление рынка Genesis в ноябре 2018 года привлекло внимание к новому типу подпольной услуги «„цифровой идентичности“». Этот тип черного рынка предлагает полное снятие «отпечатков пальцев» с веб-браузера пользователя и характеристик компьютера, что позволяет злоумышленнику практически безупречно выдавать себя за жертву. «Это дает покупателю цифровой идентичности возможность получать доступ к веб-сайтам в качестве другого пользователя и обходить расширенные службы защиты личности». Исследование утверждает, что это включает доступ к учетным записям электронной почты (например, Google, Yahoo, Microsoft), профилям в социальных сетях (например, Facebook, Twitter, LinkedIn), банкам и счетам кредитных карт (включая PayPal), сайтам розничной торговли и электронной коммерции (например, eBay, Amazon, Best Buy), музыкальные сервисы (Spotify), приложения для передвижения (Uber), государственным услугам и даже внутренним страницам входа в систему.

«Думайте об этом как о цифровом распознавании лиц, но вместо сканирования вашего лица для проверки вашей личности они используют свойства вашего устройства для просмотра веб-страниц» — предлагают авторы отчета. Последствия пугающие, так как это дает любому возможность вторгаться и имитировать личность пользователя в Интернете, поскольку пользователи обычно сохраняют свои учетные данные в своем браузере — даже для финансовых и рабочих веб-сайтов — для удобства.

«Применение этой тактики маскарада выходит за рамки мошенничества и финансовых преступлений. Хакеры могут атаковать определенные компании, ища их сотрудников; педофилы могут нацеливаться на детей и выдавать себя за них, ища жертв, которые заходят на известные детские сайты; а спецслужбы могут искать различных государственных служащих в соответствии с их внутренними страницами входа».

IntSights также отметила, что Richlogs, новый конкурент Genesis, пополнил ряды ведущих темных торговых площадок. «Как и рынок Genesis, Richlogs собирает и продает украденные» цифровые отпечатки пальцев «устройства просмотра веб-страниц (т. е. IP-адрес, информацию об ОС, часовой пояс, поведение пользователя). Эти сайты позволяют покупателю выдавать себя за законного онлайн-пользователя и обходить стандартные протоколы безопасности, предлагая полный учетный доступ к любому сайту, который был сохранен в браузере жертвы».

Ариэль Эйнхорен, руководитель отдела исследований IntSights, подчеркивает — «Уровень вторжения в жизнь жертвы, обеспечиваемый цифровой идентификацией, вызывает тревогу. На карту поставлены не только кредитные карты, банковские счета или личная информация. Цифровая идентификация дает злоумышленникам возможность практически полностью перехватить чужую идентификацию в Интернете. Это включает в себя все: от просмотра расходов до отслеживания ежедневных маршрутов поездок и просмотра налоговой информации ». Она добавила, что чем больше цифровой след жертвы, тем больше злоумышленник может выдать себя за нее. «Цифровые удостоверения личности в том виде, в каком они продаются на Richlogs и Genesis, предлагают полный цифровой отпечаток человека на пластине, предоставляя бесконечные возможности для мошенничества, мошенничества, кражи и доступа к личной жизни жертвы».

Как защитить себя?

IntSights предоставил советы по защите организации от мошенничества с цифровой идентификацией:

• Постоянно отслеживайте рынки цифровой идентичности. Видимость и осведомленность — ключ к проактивной защите. «Мониторинг этих рынков может помочь вам идентифицировать скомпрометированные личности на раннем этапе (например, на одной из ваших внутренних страниц входа в систему), чтобы вы могли более тщательно отслеживать трафик на эту страницу и / или улучшать методы проверки при входе пользователей в систему».
• Включите двухфакторную аутентификацию. «Запрос второй (или даже третьей) переменной для проверки пользователей усложняет взлом учетных записей злоумышленниками. Это может включать в себя мобильную проверку или предоставление ответов на дополнительные вопросы безопасности, которые будут знать только заказчик или сотрудник».
• Регулярно обновляйте протоколы снятия отпечатков пальцев. Если ваша компания использует цифровые отпечатки пальцев для проверки клиентов или пользователей, регулярно обновляйте эти протоколы и добавляйте дополнительные точки аутентификации, чтобы не отставать от обновлений версии стилера.
• Последовательно очищайте файлы cookie и историю просмотров. «Очистка файлов cookie и истории просмотров ограничивает объем вашей« цифровой истории »и, следовательно, не подвергает риску дополнительные веб-сайты и / или профили в случае заражения вашего устройства».
• Регулярно меняйте пароли. Это всегда лучшая практика кибербезопасности, и она, безусловно, применима и здесь. Смена паролей и предотвращение повторного использования паролей помогают значительно снизить риск взлома.