Специалисты по безопасности нашли в Facebook 74 киберпреступных сообщества состоящих из 385 000 участников. Деятельность групп заключалась в торговле похищенными данными, в том числе кредитных карт и документов, и продуктами разработок хакеров. Помимо этого, они продвигали свои услуги по переводу средств. Один из преступников перелагал инструменты для почтовой рассылки как представитель компании Apple.
Логово киберпреступников
В социальной сети Facebook раскрыто 74 преступных сообщества, которые были созданы для обмена данными между спамерами, скамерами и похитителями личности. Общий пул челнов группы практически 385 000 человек.
Находка обнаружилась в связи с проверкой подразделения по исследованию кибербезопасности Talos компании Cisco.
По степени угрозы сообщества можно разделить на сомнительные и незаконные. Вторые легко вычислить по кричащим названиями вроде Spam Professional, Facebook hack (Phishing) и Spammer & Hacker Professional. Присоединиться к таким сообществам можно было через поиск по ключевым словам, таким как, например, spam, carding или CVV. Система Facebook устроена таким образом, что дальнейшие группы автоматически предлагались пользователю как схожие по интересам, что значительно облегчало дальнейший поиск.
Несмотря на то, что создатели сообществ и не думали скрываться, часть незаконных групп существовала уже около восьми лет — руководство соцсети все это время не предпринимало никаких шагов по их закрытию. Таким образом, в ряды пользователей незаконными услугами вступали тысячи людей. Исследователи полагают, что соцсеть до последнего надеялась на сознательность пользователей и ждала сообщения от них.
Представители компании Talos использовали несколько путей для блокировки деятельности сообществ. Сначала они действовали через механизм подачи жалобы на оскорбительный контент. Этот метод привёл к немедленному закрытию некоторых сообществ, но в других были лишь удалены некоторые публикации. Тогда специалисты киберзащиты обратились к команде безопасности Facebook и только после этого им удалось добиться закрытия большей части групп.
Такой случай возникает в социальной сети не первый раз. Годом ранее, в 2018, другой исследователь безопасности обратил внимание на найдённый им список из 120 преступных сообществ, численностью более 300 000 пользователей. Группы специализировались на продаже ботнетов, инструментов мошеннического возврата налогов и других незаконных сервисов. Тогда Facebook удалил все группы после обращения специалиста. Однако Talos утверждает, часть найденных ими групп носит те же названия, что и преступные сообщества из ранее найденного списка.
О деятельности преступного объединения
Специализация сообществ, найденных специалистами по безопасности, весьма широка — на продажу был выставлен целый ассортимент услуг в области киберпреступности. В том числе продажа ворованных данных кредитных карт, кража и продажа логинов и паролей к различным сайтам, а также внушительный спектр инструментов и сервисов для рассылки спама по электронной почте.
Помимо этого, было найдено несколько публикаций, содержащих номера кредитных карт и CVV-код к ним, а также фото и данные владельцев документов, выставленные на продажу.
Иные группы публиковали длинные списки адресов электронных почтовых ящиков, для рассылки спама о продажах, а также услуги денежных переводов на крупные суммы и обналичивание средств. Активно продавались также и shell-аккаунты доступа к серверам различных организаций, включая правительство. Не обошлось без предложений по изготовлению фальшивых удостоверений личности.
Большинство заказов было необходимо оплачивать в криптовалюте. Но были и те, кто проводил сделки с участием посредников, взимающих процент за свою работу, и это позволяло покупателю провести оплату через платёжный сервис PayPal.
Здравствуйте, мы из Apple
Одно из сообществ приютило спамера, специализирующегося на услугах по рассылке писем с вредоносным ПО в почтовые ящики Hotmail и Yahoo. Корреспонденция отправлялась от имени службы поддержки Apple. Объявление было сопровождено скриншотом, наглядно демонстрирующим, как такое письмо выглядит в папке «Входящие».
Именно благодаря этой визуализации специалисты смогли обнаружить образец письма в реальном почтовом ящике. Выяснилось, что письму прикреплялся PDF-файл, сделанный один в один как накладная Apple о совершенной покупке. Файл содержал две ссылки позволяющих просмотреть или отметит заказ. Обе ссылки перенаправляли пользователя фишинговый веб-сайт, часто используемый злоумышленниками, зарегистрированный на домене с адресом прохожим на координаты Яблочной компании. PDF-файл, сделанный один в один как накладная Apple о совершенной покупке. Файл содержал две ссылки позволяющих просмотреть или отметит заказ. Обе ссылки перенаправляли пользователя фишинговый веб-сайт, часто используемый злоумышленниками, зарегистрированный на домене с адресом прохожим на координаты Яблочной компании.