Gdzie przestępcy kupują dostępy do kont Polaków i polskich firm

dodał 29 marca 2021 o 06:56 w kategorii Włamania, Złośniki  z tagami:
Gdzie przestępcy kupują dostępy do kont Polaków i polskich firm

Zastanawiacie się czasem, skąd przestępcy mieli hasło do waszego konta albo w jaki sposób dostali się do firmowej sieci, logując się do RDP lub VPN-a przy pierwszej próbie? Prawdopodobnie wasze hasło zostało kupione w jednym ze sklepów z hasłami.

Opisywaliśmy już kiedyś sklepy z kontami w social media czy danymi cudzych kart płatniczych. Czas sprawdzić, co oferują sklepy z kontami dostępowymi i jakie dane z Polski można w nich kupić.

Supermarket z ciasteczkami

Zaczniemy od jednego z największych sklepów z danymi wykradzionymi z przeglądarek ofiar. Market Genesis oferuje tzw. „boty”, czyli komplety danych konkretnych ofiar. Najprawdopodobniej za pomocą złośliwego oprogramowania, nieświadomie zainstalowanego przez ofiarę, przestępcy pobierają z zainfekowanego komputera komplet ciasteczek oraz loginów i haseł zapisanych w przeglądarce. Klient dostaje całkiem przejrzysty panel wyszukiwania, gdzie może zaznaczyć interesujące go marki czy kraje. Wygląda to tak:

Jak widzicie, w ofercie sklepu znajduje się obecnie ok. 350 tysięcy „botów”. Wyszukiwanie tych z Polski pozwala ustalić, że niecałe 14 tysięcy pochodzi z naszego kraju.

W wyszukiwaniu możemy określić, jak bardzo aktualnych danych potrzebujemy (mogą być także z dnia wyszukiwania), jaki przedział cenowy nas interesuje i jakie zakresy adresacji IP są dla nas atrakcyjne (określić można dwa pierwsze oktety, np. 91.180.).

Możemy także wyszukać ofiary z kontami w określonym serwisie, np. w banku PKO:

Jak widać, sklep oferuje ich ponad 700. Nic nie stoi na przeszkodzie, by szukać także dostępów do systemów konkretnych firm – nietrudno natrafić na konto pracownika, logującego się do firmowej aplikacji z domowego komputera.

A może gotowy fingerprint?

Ciekawą funkcją Genesis jest możliwość pobrania gotowego fingerprintu przeglądarki. Po „zakupie” wybranej ofiary możemy wygenerować specjalny plik, który następnie trzeba załadować za pomocą odpowiedniej wtyczki do przeglądarki. Od tego momentu nasza przeglądarka w praktycznie każdym zauważalnym aspekcie będzie lustrzanym odbiciem przeglądarki ofiary. Umożliwia to łatwiejsze oszukiwanie systemów przeciwdziałającym nadużyciom – posiadając odpowiedni fingerprint, przestępca łatwiej ominie mechanizmy bezpieczeństwa, np. logując się do banku czy VPN-a. Więcej na temat fingerprintów i tego, jak walczą z nimi przestępcy, przeczytacie w tym świetnym cyklu artykułów Marcina Mostka.

Ile kosztuje jedna ofiara

Ceny botów są bardzo zróżnicowane. Ofiara, z którą powiązane jest tylko kilka mało atrakcyjnych kont w przypadkowych serwisach, wyceniana może być np. na 3 dolary, ale już ofiara z kilkuset kontami, w tym w serwisach kryptowalutowych, bankowych i hazardowych, warta może być nawet kilkadziesiąt razy więcej.

Zanim dokonamy transakcji, możemy rozwinąć opis kupowanych danych, widoczny w wynikach wyszukiwania jedynie w skróconej formie. Zobaczymy wtedy dużo więcej informacji.

Co ważne, kupujemy nie tylko loginy i hasła, ale także ciasteczka. W wielu przypadkach „podłożenie” odpowiedniego ciasteczka w przeglądarce pozwala otrzymać od serwera od razu zalogowaną sesję użytkownika – bez konieczności np. podawania kodów 2FA.

Jeśli przymierzacie się już do zakupów, to chcemy trochę ostudzić wasze zapędy – dostęp do sklepu otrzymać można tylko na zaproszenie.

Może zdalny pulpit w firmie?

W sieci kupić można nie tylko konta indywidualnych użytkowników. Na forum exploit.in nietrudno natrafić na oferty dostępu do polskich firm. Proste wyszukiwanie daje np. takie wyniki:

Widzimy tutaj oferty sprzedaży dostępów do usługi zdalnego pulpitu w trzech polskich firmach. Oferent określa nawet poziom rocznych przychodów ofiar i poziom dostępu. Po podobnych pierwszych oktetach adresów IP można wnioskować, że sprzedaż jest wynikiem owocnego skanowania dostępnych usług, a następnie zgadywania prostych haseł. Dostępy nie są drogie – cena „kup teraz” wynosi zaledwie 100 dolarów od sztuki. Tego rodzaju aukcje często kończą się infekcjami ransomware, zatem zwrot z inwestycji może być znaczny.

Czasem trafiają się także poważniej brzmiące oferty. Oto ogłoszenie z forum XSS.is:

Sprzedawca oferował w nim dostęp do sieci jednego z polskich banków. Nieoficjalnie wiemy, że oferta była prawdziwa i dotyczyła jednego z banków spółdzielczych.

Co można z tym zrobić?

Doświadczenie pokazuje, że handlu danymi raczej nie powstrzymamy – nawet jeśli uda się zamknąć jeden sklep, to w jego miejsce zaraz powstanie kolejny. Użytkownicy indywidualni powinni zatem pamiętać o tym, że antywirus na stacji roboczej to nadal niezbędne minimum bezpieczeństwa. Z kolei firmy nie powinny pozwalać na sytuację, gdy do sieci wystawiony jest na publicznych adresie IP zdalny pulpit z łatwym hasłem – to na pewno prędzej czy później źle się skończy.

Dziękujemy firmie Recorded Future za pomoc w zebraniu materiałów do artykułu. Jeśli interesuje was dostęp do analogicznych informacji, to możecie kontaktować się z Mateuszem, reprezentującym Recorded Future w Polsce. Jego e-mail to mateusz.olszewski [małpa] recordedfuture.com.

Dla pełnej przejrzystości: za publikację powyższego artykułu otrzymujemy wynagrodzenie.