Prvý vtipný fakt: spammeri prešli na komponentový model. Každá "komponenta" sa dá kúpiť osobitne a celý podvod poskladať dokopy jak Lego (aj keď musia počítať s tým, že im do postavenej stavebnice bude kde-kto kopať). Bolo by zaujímavé vedieť, či majú nejaký Cech cyberkriminálov podobne jak Cech zlodejov v Pratchettovej Zemeploche (majú, ale nie úplne ako ten pratchettovský ;-)).
Softwarové komponenty
Začneme tým CAPTCHA decoderom: určite ste si všimli množstvo spamu v diskusiách, čo bol hlavný dôvod na zavedenie captchy (to opisovanie obrázkov). Paradoxne programy už začínajú byť pomaly lepšie na "opisovanie" captchy než ľudia.
Riešení prelomenia captcha je viacero, od používaní ľudí na opisovanie captcha zobrazených na warez sitoch (captcha obrázky sú stiahnuté zo stránok, ktoré chcú spamovať). Ďalej trebárs zamestnávanie vlastnej pracovnej sily na lúštenie captchy. Samozrejme a najlacnejšia je strojová metóda, ktorá je stále lepšia, viz napr. spomínaný čínsky cenník captcha breakerov.
Následne potrebujú nejaký phishing kit, predpripravený software, ktorý bude nasadený na napadnutých počítačoch a zberať údaje naivných klientov. Najznámejší a najrozšírenejší z tejto kategórie je asi Rock Phish, ktorý obsahuje prepripravenú phishingovú podobu množstva bánk. Krátke ale výstižné video o Rock Phish je na stránkach F-Secure (cca 2 minuty).
Tretia podstatná súčasť je spôsob doručenia. Tu je možnosť vyrobiť/kúpiť vlastný malware, ktorý neskôr bude spamovať, kúpiť zoznamy mailových adries, objednať spamovanie u niekoho iného, nakúpiť časť botnetu (jeden zombie stroj stojí medzi $1-$50 na čiernom trhu). Botnet je najverzatilnejšia metóda, pretože sa dá použiť na veľa vecí (výpalníctvo hrozením DDoS-om, schovávanie phishing stránok za sieťou proxy, apod). Je možné kúpiť rovno zoznam platobných kariet a prístupových údajov k nim.
Niektoré banky to ale phisherom ešte zjednodušujú: namiesto skutočnej two-factor authentication vymysleli "wish-it-was-two-factor-authentication" (zmršená atrapa two-factor authentication). O to prekvapivejšie je, že je ich dosť. Skoro neuveriteľný popis je možné vidieť v dvoch článkoch Wish-it-was Two Factor a Banking so Advanced. Vyzerá to tak neskutočne, že by si človek myslel, že je to len vtip, ale podľa toho, čo som pozeral, vyzerá že je to naozaj pravda.
Paradoxne existujú mnohé zraniteľnosti, o ktorých banky vedia, ale vypočítajú si, že opravenie by ich vyšlo oveľa drahšie než náklady na prípadné škody. Prosté štatistické modely. (Zraniteľnosti, ktoré v tomto odstavci spomínam, ani zďaleka nie sú také blbé ako "wish-it-was two factor").
Komponenty zložené z vody a proteínov
Tieto sú najmenej spoľahlivé, ale zatiaľ sa bez nich neobídu. Phisheri a iné "cyberživly" potrebujú hlavne bielych koní (nič netušiacich) alebo "šedých" koní (vediacich), ktorí budú vyťahovať peniaze z účtov získaných cez phishing stránky (tj. fyzicky prídu k bankomatu a vyberú hotovosť). Samozrejme phisher si nemôže len tak presypať tie peniaze na vlastný účet.
Táto časť, kde už potrebuje peniaze dostať k sebe, je najzložitejšia. Jednak číha štát kvôli daniam, banky na podozrivé transakcie a hlavne rozličné "kone" sa nie vždy chcú podeliť s "úrodou". Typicky najrozšírenejšia výhovorka je, že účet už vybielil niekto iný. Alebo sa už proste neukážu.
Komunikácia medzi "cyberživlami"
Typicky "cyberživly" nemajú všetky komponenty "vlastné", niektoré komponenty doslova outsourcujú (pretože mať všetky vyjde dosť draho). Preto existujú (neverejné) fóra, kde sa obchoduje s botnetmi, číslami kreditiek, zoznamami mailov, rozličnými "koňmi", malware (a ich autormi). Typická atmosféra na takých fórach je vysoko paranoidná, navzájom sa všetci obviňujú, že robia pre políciu/FBI. Samozrejme že je bežným javom že jeden "cyberživel natiahne druhý cyberživel", tj. zinkasuje a nepredá "tovar".
Na záver o malware
Nech ľubovolná firma tvrdí čokoľvek a akokoľvek halasne o svojom bezpečnostnom produkte (antivíre apod.), detekcia víru alebo škodlivého kódu je obecne algoritmicky nerozhodnuteľný problém (ekvivalentný halting problému). To znamená, že nie je možné napísať konečne dlhý program, ktorý by rozoznával všetky druhy malware alebo všetky víry (budúce, minulé). Antivírové programy používajú "signatúry" známych vírov a nejaké heuristiky, ale nikdy neodhalia všetky víry. V skutočnosti s (takmer) absolútnou istotou vždy pobehuje po "divočine" kopa "kreatúr", o ktorých nikto netuší. Menej obvyklé dokonca môžu ostať nepovšimnuté (a ostávajú).
Linky/references
I was a Cybercrook for the FBI, dlhšia a podrobnejšia pdf verzia - vynikajúca spoveď dolapeného cyberživla, ktorý bol donútený spolupracovať s FBI. Obsahuje jeho životný príbeh, ako sa k tomu dostal, jak prebiehalo "obchodovanie", ako ho dolapili, priebeh vyšetrovania
Ross Anderson: Searching for Evil (video), slajdy v pdf - prednáška o fungovaní šedých až čiernych "ekonomických cyberkomunít", od phisherov, cez podvodné banky, nábor bielych koní a iný "voňavý" biznis
Rock Phish - "najpopulárnejší" phishing kit