Jaké role můžeme identifikovat v rámci kyberzločinu

cybercrimeTrestná činnost v kyberprostoru, tzv. kyberkriminalita, páchaná organizovanými skupinami, využívajícími schopností a prostředků dalších skupin a jednotlivců de facto funguje na stejném principu jako jakýkoliv jiný naprosto legitimní business, jehož cílem je generování zisku.

Dále v textu je zachyceno, jak jsou rozděleny jednotlivé role v rámci organizace páchající kyberzločin.

Oproti ostatním zdrojům je zde členění na jednotlivé role mnohem detailnější, což ale neznamená, že musí být vždy obsazeny všechny role, anebo že nemůže dojít i ke kumulaci rolí, neboť organizovaná skupina může v extrémním případě čítat jen dva nebo tři členy.

Jednotlivé skupiny se specializují na určité činnosti a vytvářejí produkty a služby, které lze označit jako Crime-as-a-Service (zkr. CaaS) a ty pak nabízejí ostatním. V určitých momentech pak dochází i k propojení klasického a kybernetického zločinu, kdy dochází k únosům, vydírání, fyzickým krádežím a též dalším aktivitám, které jsou na pomezí, např. instalace skimovacích zařízení apod.

Komunikace mezi jednotlivými členy organizovaného zločinu probíhá šifrovaně a každý zná zpravidla jen virtuální identitu nejbližšího článku dané skupiny. Pokud probíhá komunikace přes telefon, tak jsou použity předplacené anonymní karty nebo hacknuté VoIP ústředny, takže lze velice obtížně dohledat fyzické umístění a skutečnou identitu osoby páchající tuto trestnou činnost.

Komunikace, a sdílení zkušeností se pak odehrává na před veřejností a servery vyhledávačů skrytých diskusních fórech, tzv. dark webech skrytých v síti TOR, kam je možné se dostat jen na základě pozvánky od stávajícího člena.

  • Security researcher – bezpečnostní výzkumník hledá zranitelnosti v operačních systémech, prohlížečích, a aplikacích jako je Java, Flash, Adobe, Silverlight apod. To zda se podílí na páchání kyberzločinu je dáno jen tím, komu informace o zranitelnostech poskytuje nebo prodává. Pokud je to někdo jiný, než firma nebo autor daného SW, tak je jeho role minimálně kontroverzní.
  • Exploit writer – Zde již zpravidla není nutné zbytečně dlouho pochybovat o čistých úmyslech daného jedince, který vytváří funkčního exploit a nabízí ho k prodeji, protože mu musí být jasné, že ten, kdo ho kupuje, ho nejspíš bude chtít zneužít.
  • Dropper writer – kupuje exploit a začleňuje jej do malwaru, který zpravidla přidává počítače do botnetu. Jde o to, že exploit zneužívá nějaké zranitelnosti k tomu, aby obešel stávající ochrany a začlenil svůj kód do systému tak, aby bylo možné napadaný počítač na dálku ovládat, protože jedině takový počítač má nějakou hodnotu.
  • Malware writer – vytváří malware kit s pokročilými funkcemi a nabízí ho dále k prodeji. Takový malware na napadeném počítači, který se stává součástí botnetu, pak může provádět v podstatě cokoliv, na co si vzpomenete. Od rozesílání SPAMu, DDoS útoků, fungování jako proxy, až po C&C server v P2P síti.
  • Mobile app writer – kóduje aplikace pro mobilní platformu, zpravidla Android, které slouží k příjmu premium SMS, odchytávání SMS s jednorázovými kódy apod. Začleňuje škodlivý kód do stávajících aplikací, které jsou oblíbené a na internetu vyhledávané.
  • WebInjector writer – musí pochopit, jak konkrétní webová stránka funguje a jakým způsobem ji uživatel používá, aby mohl napsat kód, který např. bude na stránkách internetového bankovnictví zobrazovat falešný formulář vybízející k zadání telefonního čísla, karetních údajů, stažení aplikace do telefonu nebo přímo provádět podvodnou transakci.
  • Copywriter – píše e-maily, které budou použity v rámci phishing kampaně a text, který bude použit na falešném webu nebo vložen do stránek internetového bankovnictví.
  • Webdesigner – kóduje falešné weby poté, co zanalyzoval např. web banky nebo jiné instituce pro kterou budou později najímáni bílí koně, nebo na které bude uživatel přesměrován v rámci phishing kampaně. Dále se jedná o tvorbu podvodných e-shopů, 3D secure platebních bran
  • Hacker – hackuje legitimní weby, a ty pak slouží k umístění podvodných stránek, malwaru, jako drop zóna nebo C&C servery.
  • Harvester – sbírá a prodává e-mailové adresy a další citlivé údaje jako jsou čísla karet apod., která našel na webu, nebo získal pomocí malwaru z kompromitovaných webů.
  • Spammer – rozesílá phishing e-maily obětem (spolu s přílohou nebo odkazem). Může využívat cloudové služby nebo služeb botnetu, který si pronajme. Patří sem i scam, romance scam apod., kdy je cílem vylákat z oběti peníze.
  • Farmer – vlastník botnetu, který za úplatu pronajímá botnet k nejrůznějším účelům, spravuje ho a rozšiřuje počet zombií. Tyto služby pak nabízí na nejrůznějších webech a fórech, které nejsou pro běžné uživatele dostupné, ale mohou se tvářit i jako naprosto legitimní weby nabízející generování trafficu z celého světa.
  • Hosting providers – zcizená data a malware je potřeba někam uložit, nejlépe na servery, které se nachází u poskytovatelů, které moc nespolupracují (např. Rusko, Čína). Registrace nových domén je pak plně automatizovaná a pro generování názvů domén je použit DGA a fast flux DNS. Platba za domény je samozřejmě realizována jak jinak než prostřednictvím zcizených karet nebo bitcoinů.
  • Mule recruiter – píše a umísťuje inzeráty na sociální sítě a pracovní portály, a komunikuje s bílými koňmi (dále jen mule). Provádí cílené náborové kampaně v dané zemi za účelem získání mul s nějakými pohyby na účtu umožňující snadné vyvedení peněz z konkrétních bank a obejetí nejrůznějších AML a FDS.
  • Mule – vybírá peníze z bankomatu a posílá je přes Western Union nebo Money Gram. Kromě výběru z bankomatu může dojít i k výběru peněz na přepážce v bance, kde mula může vybrat i větší částku, ale zde se vystavuje riziku, že svých chováním vzbudí podezření. Peníze z účtu oběti jsou posílány na více mule accounts, aby transakce nebyla detekována a zvýšila se šance, že peníze budou doručeny útočníkovi.
  • Victim – oběť útoku, jejíž počítač je součástí botnetu, a který může být zneužit k dalším útokům, jako DDoS, šíření SPAMu, podvodnému klikání, luštění CAPTCHA, jako proxy a VPN server pro bezpečnou komunikaci s mothership, anebo je přímo cílem útoku, kdy je nakažen ransomware, jsou mu ukradeny Bitcoiny, jeho počítač je zneužit k těžení, jsou z jeho počítače získávány citlivé informace, anebo dochází k převodu peněz na účet bílého koně.
  • Fraudster – provádí podvodné transakce na základě získaných přihlašovacích a dalších údajů, nebo přes internet přistupuje na počítač oběti a transakce pak provádí přímo z tohoto počítače. Na základě získaných informací konfiguruje pravidla na C&C serveru.
  • Spear phisher – oslovuje jednotlivce na sociálních sítích a láká z nich peníze nebo realizuje cílený útok. Zakládá a prodává falešné profily na sociálních sítích, krade identity stávajících uživatelů, následně pak může požádat o finanční pomoc.
  • Affiliate partner – dostává provize za kliknutí na reklamu na podvodný e-shop, reklamu na falešný antivirus, (pay-per-click model) nebo za to, když si někdo nainstaluje falešný antivirus nebo do svého počítače stáhne ransomware (pay-per-install model).
  • Master – hlava celé organizace, která má v hlavě celý tento business a komunikuje s ostatními účastníky organizovaného zločinu.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Jaké role můžeme identifikovat v rámci kyberzločinu” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: