Jak organizovaný zločin vydělává pomocí technologie: tak trochu jiný CIO (1)

Vzpomínáte si na počátek předminulého roku? Tehdy počítačoví piráti ukradli informace asi o 45 milionech platebních kartách používaných americkým maloobchodním řetězcem TJX. Osobně jsem se na tom nepodílel, řekněme, že jsem však byl na pivu s někým, kdo možná do jisté míry ano.



Lidé mne nazývají mnoha jmény. Nikdy mi neříkají CIO, ale předpokládám, že právě jím v podstatě jsem. Možná jsem o něco mladší a pravděpodobně i o něco techničtější než většina lidí na stejné pozici, v zásadě jsem ale také CIO.

Většina mých kolegů nemá ráda počítače. Často jsou jimi přiváděni k šílenství. Nejraději by vzali brokovnici a svá PC nakrmili olovem, jako to onehdy udělal jeden muž z Colorada. Příběh o onom střelci jsem vytiskl a dal jej jednomu z těchto kolegů. Moc se mu líbila hlavně pasáž, kde byl „mrtvý“ počítač demonstrativně pověšen na jednu ze zdí „vrahova“ baru. „Miluju toho chlapa,“ říkal kolega nadšeně a jal se šířit jeho příběh mezi další spolupracovníky. „Tohle prostě musíte vidět. Tuhle zprávu mi dal MIT a vážně stojí za to,“ halekal. Ano, říkají mi MIT, jako té organizaci – Massachusetts Institute of Technology – takže často slýchávám věci jako „Nefunguje to, zavoláme MIT, ten to určitě spraví,“ nebo: „Mám plnou schránku, můžeš mi ji vyčistit, MIT?“.

Ano, potýkám se s úplně stejnými problémy jako vy a ostatní CIO a uživatelé mi také způsobují pokročilou migrénu. Stále dokola mě volají ke stejným záležitostem a v popisu práce mám v podstatě dělání všeho potřebného k „dalšímu růstu společnosti“.

PODVOD S LEVNÝMI AKCIEMI

Spammeři rozpoutali zajímavý a masivní způsob manipulace s hodnotou akcií a cenných papírů na burze. Oč jde? O nevyžádané e-maily typu „pump-and-dump“. Tento typ spamu funguje následovně: Nejmenovaný spammer nakoupí velmi levné akcie. Rozešle miliony e-mailů, které v obsahu podporují koupi, a naláká nové „investory“. Tím se zvýší poptávka a v závěsu samozřejmě také cena akcií. Vychytralý spammer pak akcie prodá, slušně si vydělá, bublina splaskne a ostatní spláčí nad výdělkem.

Tento příběh pojednává o jednom mírně vylepšeném pump-and-dump podvodu. V jeho pozadí stál známý známého. Nejprve si k rozesílání e-mailů pronajal botnet. Zprvu jeho majiteli slíbí fixní měsíční sumu, pak ale obrátí a nabídne podíl z činnosti. Něco ve stylu „Zaruč mi dodání 10 milionů e-mailů každý měsíc a dostaneš pěkných pár procent ze zisku.“

Na to majitel botnetu slyší, a jelikož potřebuje, aby e-maily nebyly zachycené spamovými filtry, jde za klukem, který napsal skvělou aplikaci pro tvorbu obtížněji odhalitelného obrázkového spamu. Mladý programátor dostane pár desítek tisíc a má za úkol vytvořit spam přímo propagující vybrané levné akcie. To celé mu zabere pár desítek minut a vše je připravené ke spuštění.

Známý známého si zřizuje účet v Brazílii, aby mu na něj chodily eventuální platby. Prostřednictvím každého ze svých pobočníků zkupuje levné akcie vybraných společností – každý jich koupí okolo 10 000 za cenu 30 centů na akcii. Pak už jde do akce botnet a začínají se rozesílat upoutávky na tyto cenné papíry. A dobrou zprávou pro našeho spammera je fakt, že všechny tyto obrázkové e-maily obcházejí spamové filtry, neboť ty vyhledávají jen text a zde přitom detekují pouze miliony různých obrázků. A ačkoli jsou všechny jedinečné a různé, každý říká to samé: Kupujte tyhle akcie.

Po nějaké době do kýžených cenných papírů investuje dostatečný počet lidí a jejich cena stoupá. Třicet centů, osmdesát centů, dolar, dva dolary… Spammer a jeho společníci prodávají se ziskem pár set procent, akciová společnost hlásí bankrot a nebohé oběti spamu často přicházejí o všechno. Podvod pump-and-dump, který byl díky obrázkovému spamu ještě úspěšnější.

Vím, nad čím přemýšlíte. Ptáte se, kdo by věřil anonymnímu e-mailu, který hlásá cenový vzestup akcií společnosti XY (o níž navíc nikdo nikdy pořádně neslyšel). Dobrá otázka, také to nevím. Když si ale vezmete, že je rozeslán počet e-mailů rovnající se celkovému stavu naší populace v ČR (přes 10 milionů) a spammerovi k solidnímu výdělku stačí, aby se chytila pouhá tisícovka lidí, tedy pouhých 0,0001 procenta z celkového množství… Inu, myslím, že na světě je podíl naivních jedinců ještě o něco vyšší.

OSOBNÍ ÚDAJE „ZA VŠECHNY PRACHY“

Peníze vládnou světu. A abyste dostali peníze, potřebujete přístup k osobním informacím. Právě ty jsou na černém trhu v současnosti poptávaným artiklem číslo jedna a kupují se obrazně řečeno „na kila“.

Vzpomínáte si na počátek předminulého roku? Tehdy počítačoví piráti ukradli informace asi o 45 milionech platebních kartách používaných americkým maloobchodním řetězcem TJX. Osobně jsem se na tom nepodílel, řekněme, že jsem však byl na pivu s někým, kdo možná do jisté míry ano. Zní to jako loupež století, v podstatě to ale nebylo až tak komplikované. Stačí se držet tří základních věcí. Za prvé je třeba získat přístup zevnitř na místo, kde se pracuje s velkým množstvím osobních dat. Dobrým příkladem budiž třeba právě obchodní řetězec, kde jsou každou sekundu přijímány platební karty zákazníků. Za druhé je nutno investovat do antiforenzních nástrojů, aby člověk hned neskončil v síti expertů pro boj se zločinem. Za třetí, jakmile se dostanete k osobním údajům, chovejte se slušně. K tomuto bodu se ještě vrátím.

V aféře TJX se zločinci dostali k identifikačním údajům zaměstnanců tak, že je zachytili z bezdrátového provozu mezi pokladnami, handheldy pro kontrolu cen a dalšími zařízeními. Já bych na to šel jinak. Na ulici bych rozdával USB klíčenky a postaral bych se o to, aby pár z nich skončilo také u pracovníků obchodu. Nikdo neodmítne věc, která je zdarma, nebo snad ano? Jakmile by zaměstnanci flash paměť zapojili, nainstaloval by se do systému například keylogger či nějaký trojský kůň, který by mi zajistil přístup do sítě. Tradičních cest k získání přístupu je ještě více – prohledávání odpadků za obchodem může vést k nalezení dokumentů s údaji zaměstnanců, personálu lze za přístup k informacím zaplatit přímo apod. – počítače však vše výrazně usnadňují.

Po získání přístupu je čas na pořízení antiforenzních technologií. Může vám být jedno, že vidí, co jste udělal, nesmí však vědět, že jste to byl vy. K dispozici je velké množství softwaru, který umožňuje zamést stopy a učinit vás prakticky neviditelným, zatímco jste v cizím systému. Úžasné je, že mnohé antiforenzní nástroje jsou k dispozici zcela zdarma. Rozeseté jsou doslova po celém internetu. Některé aplikace tedy stáhnete, za jiné zkrátka zaplatíte.

Nyní jste chránění a v systému obchodního řetězce, máte vlastní prográmek, který sbírá osobní informace jeho zákazníků (například údaje z kreditních karet). A jelikož sami nechcete riskovat jejich využíváním, raději je prodáváte třetí straně. Peníze bez rizika? To v žádném případě.Pokud jste udělali až doposud všechno správně, můžete stále ještě narazit. A největší nebezpečí v tomto bodě obnáší vlastní nedisciplinovanost. Mnozí lidé totiž neumějí zacházet s penězi. Zbohatnou a hned začnou nezřízeně utrácet. Podívejte se na případ krádeže informací z TJX. Tam hackeři využívali získané osobní informace k nákupu nesmyslných položek, jako je dárková poukázka za 20 000 dolarů. Jen hlupák by se domníval, že něco takového zůstane bez povšimnutí. Trpělivost nese ovoce i v tomto případě…

(pokračování)










Komentáře