Sprytne metody cyberprzestępców

Phishing to technika, która polega na podszywaniu się pod zaufaną instytucję, np. bank internetowy. Użytkownik, wchodzi na stronę, do złudzenia przypominającą stronę banku, i pozostawia tam swój login i hasło. Parę chwil później przestępcy mają dostęp do konta bankowego nieświadomego użytkownika.

Sieć jest pod ostrzałem - takimi słowami rozpoczął swoje wystąpienie Philip Hallam-Baker, główny specjalista ds. przestępstw internetowych firmy Verisign. Wystąpienie, odbyło się w ramach konferencji World Wide Web 2006 w Edynburgu.

Narzędzia, dzięki którym można przeprowadzić atak, są powszechnie dostępne w internecie, można je kupić za ok. 300 USD - mówił Hallam-Baker. Nie ma problemu z wynajęciem sieci komputerów kontrolowanych przez hakerów, zwanych botnetami, choćby po to, żeby wysyłać spam. Na sprzedaż są listy adresów e-mail, zawierające nawet po 100 milionów wpisów.

Hallam-Baker opowiadał też, że rosyjscy hakerzy, są w stanie przygotować wysokiej jakości rootkit (oprogramowanie szpiegowskie, głęboko ukryte w systemie operacyjnym), za około 60 USD.

Specjalista Verisign, podał kilka przykładów nowego rodzaju przestępstw komputerowych, możliwych po przechwyceniu prywatnych danych.

Carding

Kiedy już numery kart kredytowych, trafią ze spreparowanych stron w ręce przestępców, rozpoczyna się carding. Tak nazywają specjaliści techniki, które polegają na jak najsprytniejszym użyciu numerów kart.

Jeden ze scenariuszy wygląda następująco: Oszust przedstawia, niczego nie świadomym ofiarom, ofertę dobrze opłacanej pracy w domu. Zajęcie polega na pakowaniu lub przepakowywaniu drogich produktów np. w ozdobne paczki. Takie paczki następnie przesyła się dalej. Nabrani w ten sposób ludzie, nazywani są przez oszustów "mułami".

"Muły" przesyłają zapakowane dobra do paserów, którzy albo je sprzedają, albo wysyłają do zainteresowanych, czyli tzw. carderów.

Kiedy oszukańcza transakcja wychodzi na jaw, pierwsza osoba, która jest oskarżona, to niczego nieświadomy "muł".

Aukcyjne matactwa

Ten przekręt wykorzystuje przewagę, jaką daje posiadanie konta aukcyjego z długą historią transakcji.

Użytkownik dostaje e-mail. Jest proszony o wysłanie laptopa, który rzekomo powinien być dostarczony kilka dni temu. Zdziwiony internauta, który nie miał wysyłać żadnego laptopa, wchodzi na stronę serwisu aukcyjnego. Sęk w tym, że naprawdę jest to witryna przygotowana przez phisherów, którzy w ten sposób zdobywają dane o koncie użytkownika.

Mając skradzione dane, oszuści umieszczają aukcję zawierającą ofertę sprzedaży aparatu cyfrowego. Proszą o przesłanie pieniędzy w trudny do przechwycenia sposób, np. za pośrednictwem Western-Union, jak tłumaczył Hallam-Baker.

Niczego nieświadoma ofiara, zaniepokojona brakiem aparatu, wysyła e-mail do sprzedawcy, ale nigdy nie otrzymuje odpowiedzi.

Giełdowe sztuczki

To jedno z trudniejszych do wykrycia przestępstw, głównie, ze względu na jego międzynarodowy charakter. To odmiana znanej techniki wykorzystywanej do oszustw na giełdzie, tzw. pump and dump.

Po zdobyciu dostępu do kilkunastu kont maklerskich, oszuści kupują po kilkaset akcji o bardzo niskiej wartości, często poniżej 1 USD. Następnie czekają, aż akcję pójdą w górę, wtedy sprzedają posiadane papiery wartościowe.

FBI prowadzi obecnie kilka spraw dotyczących przestępstw tego typu - mówił Scott McGaunn, agent do spraw przestępstw kryminalnych.

***

Tekst na podstawie artykułu: "Phishing remains root of flourishing e-crime", Jeremy Kirk, IDG News Service Londyn