"Oszustwo nigeryjskie " nowej generacji
Kiedy widzisz próbę wyłudzenia informacji lub wiadomość e-mail z podejrzanym załącznikiem w swojej skrzynce odbiorczej, zastanawiasz się czasem, kto jest nadawcą i jak uzyskał twoje dane? Specjaliści firmy Check Point dokonali gruntownego prześwietlenia jednego z nigeryjskich hakerów zarabiającego niemałe pieniądze na cyberprzestępczej działalności.
W ciągu ostatnich kilku miesięcy badacze żmudnie tropili i odkryli tożsamość produktywnego cyberprzestępcy, znanego jako "Dton", który działa aktywnie od ponad siedmiu lat i zarobił do tej pory na swojej działalności co najmniej 100 000 dol. W rzeczywistości kwota ta może być kilka razy wyższa.
"Dton" ma 25 lat, jest singlem i mieszka w Benin City, miejscu o populacji prawie 1,5 miliona, w południowej Nigerii. Wnioskując po życiorysie, Dton wydaje się być wzorowym obywatelem. Ale ma też drugą tożsamość: Bill Henry, cyberprzestępca zawodowy, który kupuje towary za pomocą skradzionych kart kredytowych i przeprowadza ataki typu phishing i malware.
Jak więc Dton (AKA Bill) rozpoczął życie jako cyberprzestępca, które przyniosło mu średnio co najmniej 14-krotność nowej krajowej płacy minimalnej w Nigerii i 3-krotność przeciętnego wynagrodzenia każdego roku od 2013 r.?
Pierwsze kroki
Bill/Dton zaczął od spekulacji: wydał około 13 000 dolarów na zakup danych 1000 kart kredytowych ze specjalnego internetowego sklepu specjalizującego się w skradzionych numerach kart płatniczych. Każdą skradzioną kartę (w cenie od około 4 do 16 dolarów) Bill zwykle próbował obciążyć kwotą około 200 000 nairy nigeryjskiej (NAN), co odpowiada około 550 dolarów. Jeśli transakcja była blokowana, próbował wykorzystać inny sklep lub inną kartę, dopóki mu się nie powiodło. Z jego "inwestycji" w 1000 skradzionych kart Bill był w stanie uzyskać co najmniej 100 000 dolarów.
Wydaje się jednak, że ciągłe kupowanie nowych plików z danymi skradzionych kart zaczęło drażnić Billa/Dtona: nie podobało mu się to, że musiał płacić z góry, a także chciał wyższych marż i zysków. Zaczął więc kupować "potencjalnych klientów" - masowe adresy e-mail swoich potencjalnych ofiar, aby zaatakować ich za pomocą własnych exploitów.
Przejście na wyższy poziom
Bill/Dton zaczął kupować "narzędzia pracy", aby dzięki nim tworzyć złośliwe oprogramowanie do rozsyłania spamu do osób ze swojej listy ofiar. Narzędzia te obejmują gotowe programy pakujące i szyfrujące, komponenty infostealer i keylogger (programy śledzące klawiaturę) oraz exploity (wykorzystujące luki w systemie). Za pomocą tych narzędzi mógł tworzyć własne złośliwe oprogramowanie, wstawiać je do wyglądającego automatycznie dokumentu, tworzyć e-maile, a następnie masowo wysyłać je do swoich ofiar.
W rezultacie otrzymał dużo danych logowania, które mógł wykorzystać, aby zarobić więcej pieniędzy - i jednocześnie zadowolić swojego szefa. Tak, Bill/Dton nie jest samotnym graczem - ma menedżera, który także odpowiada przed swoim menedżerem. Ci menedżerowie przekazują w dół hierarchii kapitał początkowy, ale jednocześnie oczekują sporego zwrotu z inwestycji. To odpowiednik piramidy finansowej lub multi-level marketingu.
Po raz kolejny Billa/Dtona zaczęło irytować wywieranie presji przez szefa i zmniejszające się zyski z kupowanych narzędzi do tworzenia złośliwego oprogramowania. Postanowił zaprojektować własne złośliwe oprogramowanie od podstaw - o nieznanej sygnaturze, które mogłoby ominąć większość zabezpieczeń - tak, aby w końcu być na swoim.
Nie ufaj nikomu
Ponieważ Bill/Dton nie jest programistą, wynajął osobę o pseudonimie “RATs&exploits", aby za niego tworzyła złośliwe oprogramowanie. Ale okazuje się, że kodeks honorowy wśród przestępców nie obowiązuje: Bill/Dton włamał się do komputera pana “RATs&exploits" za pomocą programu RAT (ang. - trojan zdalnego dostępu, ale słowo to oznacza również szczura), aby móc go szpiegować i wykraść część jego sekretów.
Gdy to nie wystarczyło, chciał zatrudnić dodatkowo innego podejrzanego osobnika, specjalizującego się w wyspecjalizowanym programie do pakowania złośliwego oprogramowania, ale pokłócili się o ceny i warunki użytkowania na jednym z podziemnych forów. W rezultacie Bill/Dton nie otrzymał tego, czego chciał i zgłosił drugą stronę sporu do Interpolu. W świecie cyberprzestępców wszystkie chwyty jak widać są dozwolone, o czym świadczy fakt, że pomimo wszystko Bill/Dton kontynuował swoją działalność.
Droga przebyta przez Dtona pokazuje, że nawet stosunkowo niewykwalifikowana, niezdyscyplinowana osoba może sporo zarobić na oszustwach i złośliwej działalności online. Wynika to z faktu, że cyberprzestępczość, podobnie jak inne przestępstwa opiera się na statystyce. Nie jest ważne, że 499 odbiorców nie otworzy maila naszpikowanego złośliwym oprogramowaniem, wystarczy, że zrobi to osoba 500. A gdy możesz wysłać tysiące wiadomości naraz, wystarczy, że zainfekujesz kilka urządzeń, żeby osiągnąć zysk.
Po odkryciu prawdziwej tożsamości Dtona/Billa, firma Check Point poinformowała organy ścigania w Nigerii oraz udostępniła cały zebrany materiał dowodowy.