Jak FBI szuka cyberprzestępców? Stosuje phishing i wysyła szkodliwe pliki

Jak FBI szuka cyberprzestępców? Stosuje phishing i wysyła szkodliwe pliki28.11.2018 11:28
FBI podszywa się pod FedEx by ująć przestępców, Flaga FBI, depositphotos

Cyberatak w odpowiednich rękach może być wykorzystany do działania w obronie prawa. Funkcjonariusze FBI w ubiegłym roku przygotowali przynajmniej 2 ataki, złożone z zainfekowanych dokumentów Worda i fałszywej strony firmy kurierskiej FesEx, by zdemaskować cyberprzestępców. Można powiedzieć, że pokonali przeciwników ich własną bronią.

Działania zostały opisane w dokumentach z 2017 roku, odtajnionych w październiku 2018. Dwa nakazy przeszukania dotyczą poszukiwania scamerów – oszustów, którzy przekonywali firmy do przekazania im dużych sum pieniędzy, podszywając się pod inne, godne zaufania podmioty. Dokumenty opisują zastosowanie phishingu, czyli ataku socjotechnicznego, mającego zapewnić ofiarę, że może we wskazanym miejscu podać swoje dane, a także wysyłania złośliwych plików. Celem było odkrycie adresów IP przestępców, a w konsekwencji miejsca pobytu.

Przypadek 1: Fałszywa strona nie pomogła

Pierwsza sprawa dotyczy firmy Gorbel z Fishers (stan Nowy Jork), produkującej dźwigi. Cyberprzestępcy podszyli się pod CEO firmy, Briana Reha i przygotowali długi, potencjalnie mylący i wyglądający na oficjalny e-mail do działu księgowości. W nim znalazł się formularz zapłaty dla fikcyjnej firmy, przedstawionej jako nowy partner Gorbela. Dział finansowy wysłał czek na 82 tysiące dolarów oszustom.

Transakcja na szczęście została szybko zauważona. W czerwcu 2017 roku, gdy firma otrzymała kolejne e-maile tego typu, FBI było już na posterunku.

Czek miała dostarczyć firma FedEx, więc FBI przygotowało fałszywą stronę firmy kurierskiej i skierowała tam atakujących w nadziei, że uda się zarejestrować adres IP i odkryć ich fizyczne położenie. Strona miała nawet fałszywe powiadomienie o tym, że połączenia za pośrednictwem proxy są niedozwolone, by utrudnić kryminalistom ukrywanie się.

fragment nakazu, opisujący działanie fałszywej strony
fragment nakazu, opisujący działanie fałszywej strony

Ta próba jednak nie powiodła się od razu. Ostrożni cyberprzestępcy sprawdzili stronę z sześciu różnych IP, w tym z kilku proxy. FBI musiało wykorzystać techniki dochodzeniowe w sieci (NIT, network investigative technique, zbiorcza nazwa dla różnych cyberataków). Kolejny atak nie był jednak szczególnie finezyjny. Dla cyberprzestępców przygotowany został w Wordzie dokument z obrazkiem, który potajemnie nawiązał połączenie z serwerami FBI. Obrazek przedstawiał zrzut ekranu ze strony FedExu, pokazujący stan przesyłki. Cyberprzestępcy byli przekonani, że znajduje się w niej czek od producenta dźwigów, więc z pewnością byli zainteresowani terminem dostarczenia.

Do tej pory nie jest jasne, czy cała akcja odbyła się za zgodą firmy FedEx, ani czy w ogóle ktoś się o taką zgodę starał. FBI i reprezentanci firmy kurierskiej nie skomentowali akcji.

Przypadek 2: Formularz w Wordzie

Drugi scenariusz dotyczy firmy z zachodniej części Nowego Jorku, która otrzymała e-maila podszywającego się pod Invermar – dostawcę owoców morza z Chile i jednego z partnerów atakowanej firmy. Autorzy e-maila podszyli się pod znanego już pracownika Invermaru i prosili o przesłanie pieniędzy na nowe konto. Ofiary nie zauważyły, że domena firmy Invermar nie jest prawdziwa (kończy się na .us, a nie .cl) i w październiku i listopadzie przekazała oszustom aż 1,2 miliona dolarów. Udało się odzyskać tylko 300 tysięcy, nie jest do końca jasne jakim sposobem.

Tym razem FBI od razu wysłało e-mail ze spreparowanym załącznikiem. Był to formularz, którego wypełnienie było rzekomo konieczne do otrzymywania dalszych wpłat. By go wypełnić, cyberprzestępcy musieli wyjść z trybu chronionego Worda, a więc zezwolić na nawiązanie połączenia z internetem. W ten sposób teoretycznie możliwe było uzyskanie adresu IP drugiego celu.

Jak się zapewne domyślacie, FBI nie informuje o skuteczności swoich działań, a w dokumentach nie ma wzmianki o sukcesie zastosowanych technik. W przypadku firmy Gorbel Departament Sprawiedliwości kilkukrotnie zwracał się o wydłużenie mocy nakazu, prawdopodobnie więc były pewne problemy. Oba nakazy zostały jednak oznaczone jako wykonane, możemy więc przypuszczać, że udało się ująć oszustów.

FBI poszerza stosowanie cyberataków

Do niedawna wykorzystywanie cyberataków do ujmowania przestępców było zarezerwowane dla dystrybucji dziecięcej pornografii i ataków zagrażających bezpieczeństwu publicznemu. Jednak zacieranie za sobą cyfrowych śladów nie jest zarezerwowane tylko dla nich. Coraz częściej nowinki techniczne są wykorzystywane w przestępczości zorganizowanej i siatkach przeprowadzających cyberataki i szykujących kampanie phishingowe. Swoją tożsamość i położenie ukrywają też dziennikarze, artyści i zwykli obywatele, obawiający się nadzoru ze strony prywatnych firm. Nic dziwnego, że służby poszerzają zakres działań w cyberprzestrzeni, by nadążyć za przestępcami. Według dokumentów, do których dotarł Motherboard, FBI od niedawna wykorzystuje te techniki także w sprawach związanych z finansami.

Sposób działania FBI jest dowodem, że cyberataki przestają być egzotyczną bronią w walce z przestępcami. Z czasem zapewne FBI wypracuje sobie standardowe procedury stosowania technicznego podejścia do demaskowania przestępców. Wciąż nie jest jasne, czy w opisanych powyżej przypadkach FBI potrzebny był nakaz, by biuro miało możliwość wysyłania dokumentów wymagających wyjścia z trybu chronionego Worda i na wszelki wypadek zostało to ujęte w dokumentach.

Warto byłoby też zadbać o to, by ataki nie były przeprowadzane na szeroką skalę, która będzie miała wpływ na życie niewinnych obywateli. Podczas akcji przeciwko darknetowemu dostawcy Freedom Hosting, poszkodowani byli także zwykli użytkownicy dobrze zabezpieczonej usługi pocztowej. Takie sytuacje nie powinny się już powtarzać. W jednym z dokumentów znajdziemy wzmiankę o tym, że NIT powinny być stosowane jedynie przeciwko podejrzanym, a osoby postronne nie będą narażone na naruszenia prywatności. Z drugiej strony wprowadzona w 2016 roku przez Departament Sprawiedliwości zasada 41 pozwala amerykańskim sędziom podpisywać nakazy przeszukania komputerów także poza ich dystryktami. To szczególnie przydatne, jeśli nie wiadomo, gdzie przebywa cyberprzestępca.

Cyberataki są skuteczne, ale jeszcze jakiś czas nie będą traktowane na równi z innymi metodami śledczymi, jak podsłuchy czy infiltracja środowisk przestępczych. Rzecznik FBI powiedział redakcji Motherboard, że przeciwko stosowaniu NIT przemawia ich czasochłonność i wysokie koszty, więc w większości dochodzeń nie będą używane. Biuro nie cofnie się, gdy w grę będzie wchodziło ujęcie groźnych cyberprzestępców.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na