Хакери теглят пари от сметките ни, знаят с колко разполагаме,

Хакери теглят пари от сметките ни, знаят с какъв брой разполагаме, тъй като ровят в онлайн банкирането ни. Ако човек е влезнал в онлайн банкирането и сесията му е дейна – не я е затворил, а единствено е минимизирал браузъра, хакерите може да работят.

26-годишният IT експерт Владимир Гьорев е в основата на схемата за източване на 800-те хиляди лева от онлайн банкирането на 13 души и компании. Заедно с групата си младежът изпращал фишинг имейли, посредством които съумял да измами набелязаните жертви.

Хакери теглят пари от сметките ни, знаят с какъв брой разполагаме

Хамас не знае точния брой на оживелите израелски заложници 14.06.24 09:33 Хакери теглят пари от сметките ни, знаят с какъв брой разполагаме, тъй като ровят в онлайн банкирането ни 14.06.24 09:33 Орбан разгласи проектите на НАТО да сътвори три огромни бази за доставка на оръжие на Киев 14.06.24 09:25 Тръмп подлага на критика пакета от помощи за Украйна в Капитолия 14.06.24 09:18 Медведев: Специалната военна интервенция ще помогне на Украйна да се освободи от оковите на Запада 14.06.24 09:08

Как тъкмо е работила бандата, употребила ли е есемеси за влизане в профилите и по какъв метод са се усвоявали парите по-късно изяснява киберекспертът Любомир Тулев.

– Г-н Тулев, по какъв начин тъкмо е работила схемата на IT експерта Владимир Гьорев и негови познати, които бяха арестувани за източване на 800 хиляди лева посредством фишинг имейли?

– За последната година трима души, самостоятелни един от различен, се свързаха с мен, с цел да кажат, че са станали жертви на машинация по тази система. Фишинг имейлът работи на правилото на три съществени хипотези, посредством които хакерите пробват да изкопчат информация. Първият е фишинг имейл с линк, който води към фишинг уебсайт. Той е огледално копие на законния уебсайт на дадена институция. Целта на този тип офанзива е информацията да попадне в ръцете на измамника. Той ще я употребява, с цел да се впише в законния уебсайт, представяйки се за жертвата. По този метод пробва да излъже системата. При втората догадка има фишинг имейл с атачмънт, само че няма линк. Прикаченият файл е malware. Той е прикрит под формата на PDF файл, Word файл, Excel файл и прочие. Няма да видите така наречен прибавен файл с уголемение „.exe “ или прочие. Тоест ще бъде преднамерено замаскиран като законно изглеждащ.

Най-честото пояснение при този файл е, че имате призовка или уведомление. Когато го изтеглим, заразяваме системата ни с malware, който в разнообразни обстановки прави разнообразни неща. В общия случай дава далечен достъп на хакерите до компютъра ни. В третата догадка на фишинг имейла нямаме нито атачмънт, нито линк. Той пробва да изкопчи сензитивна информация от нас, в случай че отговорим на запитването му. Тук се употребява техниката на така наречен email address spoofing. Чрез нея хакерът се показва от името на някой различен, изпращайки мейл от законно изглеждаща пощенска кутия. Технически сега аз мога да изпратя имейл от името на [email protected] да вземем за пример. Това се употребява при доста огромни корпоративни структури, т.е. компании, които са наясно с техниките на фишинг имейлите. Виждал съм обстановки, в които има имейл от шефа или финансовия шеф до консуматор с естествени привилегии. В такава обстановка елементарният чиновник би върнал информация на шефа си, когато имейлът наподобява същински. Целта е да се изкопчи сензитивна корпоративна информация за някакви заплащания. Това са трите разновидността на фишинг имейлите.

– Има ли миксове сред тях?

– Разбира се. Много постоянно се комбинират атачмънт с URL.

– Но по какъв начин Гьошев и хората му са се сдобивали с есемесите за онлайн банкирането?

– При първата догадка те са правели така наречен фишинг уеб сайтове на български банки. Подканването да влязат в подобен уебсайт е било посредством операции – „ сметката ви би трябвало да бъде възобновена “, „ акаунтът ви би трябвало да бъде отключен, апелирам, кликнете тук “. Веднъж, откакто жертвата влезе и вкара информацията, хакерът е разполагал с нея, само че е имало проблем. Всяка една банка у нас е въвела така наречен двуфакторна верификация (първият фактор е паролата, вторият фактор за уверение е есемес код приложение – бел.ред.). Най-честата процедура е с есемес код. Другото е посредством приложение – на банката или външно.

Анализирайки трите случая на излъганите хора, които се свързаха с мен, открих, че един от мобилните оператори в България разрешава да се направи препис на симкартата на мобилен телефонен номер. Тоест, в случай че аз имам мобилен номер, мога да отида при един от операторите и да си издам копие на симкартата. Това се прави, в случай че искаш да си я поставиш във втори телефон, смартчасовник или устройство на автомобила. Тоест имаш еднакъв телефонен номер на повече от едно устройство. Възможно е да са употребявани пълномощни, които не са същински, само че измамниците са претендирали пред чиновниците, че имат документа от името на клиента и би трябвало да им издадат препис на симкартата. В мига, в който го вземат, само че и към този момент разполагат с потребителското име и паролата посредством фишинг имейла, на процедура са имали всичко належащо да влязат в онлайн банкирането на действителния консуматор. Въвеждали са име и ключова дума, след което са получавали есемес на копираната симкарта дружно с същинския човек. При моите случаи излъганите ми споделиха, че са получили есемес, само че не са му обърнали внимание.

– Имаше спекулации, че са вкарвали телефонните номера в уебсайт в тъмната мрежа и против 20 $ са чели есемесите на жертвата. Възможно ли е сходно нещо?

– Това не звучи съществено. Как по този начин в някакъв уебсайт против 20 $ ще зададеш всички есемеси на някого да бъдат взети? На какво съображение? Не звучи разумно. По-скоро приказваме за карта препис.

– Има ли догадка, при която есемеси въобще да не са били нужни?

– Такава е и втората ми догадка с атачмънта, който дава далечен достъп на измамниците до системата. Една от техниките е посредством вземането/кражбата на така наречен сесия. Случва се по следния метод – сега, в който се впишеш в онлайн банкирането ти и web приложението удостовери, че си ти, web сървърът изпраща до браузъра ти построена сесия. Тя може да се дефинира като онлайн еднаквост. В браузъра сесията се закрепва като така наречен в нашия IT език cookie. Идеята е, че, в случай че жертвата се е подлъгала да смъкна въпросния атачмънт, основан от хакера, malware може да е бил подобен, при който задачата е да се извлекат всичките дейни сесии, които потребителят сега има на неговия браузър. Ако той си е влезнал в онлайн банкирането и сесията му е дейна, да вземем за пример минимизирал е браузъра и не е затворил сесията, хакерът може да работи. Затова поучавам да се дава Log out, не просто да се затваря браузърът, тъй като сесията остава дейна и профилът си стои отворен. При банките няма толкоз дълга сесия, като фейсбук, защото приказваме за секюрити проблем. Те я поддържат дейна към 15-20-30 минути. Но това е моментът, в който, в случай че си се вписал и си затворил браузъра, в спомагателните минути хакерът посредством достъп до компютъра ти може непосредствено да изземе тази сесия. Дори не е необходим файл. Банките от време на време имат онлайн накърнимост, която дава опция на хакер, даже единствено подавайки линк да вземем за пример в мейл, потребителят, кликвайки непосредствено да изпрати сесията, която е на браузъра му – на място, което измамникът е показал.

В този случай хакерите не са се сдобивали с потребителско име и ключова дума, нито с копие на симкарта. Не е належащо, тъй като към този момент имат дейната сесия. С нея не ми се постанова да изисквам, че съм някой различен, тъй като към този момент съм откраднал онлайн идентичността. При втората догадка приказваме за така наречен кликване. Било то посредством прибавен файл – по този начин са давали далечен достъп, посредством който си търсят вътре каквото им би трябвало, или просто mailware е бил подобен, че е изпращал дейните сесии към хакерите.

– Какви суми са теглени от излъганите хора, които ви потърсиха?

– И в трите случая, с които аз се сблъсках, сумата от сметките бе изтеглена до стотинка. Имахме кражба на съответно число – тъкмо толкоз, колкото е имало по сметката. Това значи, че хакерът е бил вътре в онлайн банкирането, видял е каква е сумата и я е изтеглил. Бяха употребявали и няколко транзакции на неголеми суми (2-3 хиляди лева.), тъй че да не могат да задействат така наречен аларми на банката (при трансфер на над 8 хиляди лева при някои от банките се подвига спомагателна аларма).

– Конкретно за групата на Гьорев – огромна ли е облагата им от 800 хиляди лева Според проверяващи тя е източена за близо 8 месеца.

– Не са малко пари, само че ми звучат разумно. При жертвите, които се свързаха с мен, имаше загуби от 1000 лева до 10 хиляди лева Ако хипотетично вземем по-голямото число от 10 хиляди лева – 800 хиляди лева на процедура са 80 индивида. Ако за 8 месеца имаме 80 индивида, от които са взети приблизително по към 10 хиляди лева, това прави по 10 излъгани на месец. Напълно реалистично звучи.

– Парите не са отивали непосредствено към сметки на хакерите? Как са ги усвоявали?

– Хакерите остават в анонимност посредством така наречен финансови мулета, към които са трансферирани парите. През годините имаше юридически спор дали те в действителност са отговорни – т.е. дали са правили съзнателно дейности, или не са съзнавали това, което вършат. Голяма част от хакерите манипулират тези хора да мислят, че им оферират надомна работа, която се състои в това да си отворят банкова сметка в случайна банка в България. Обясняват им, че по нея ще получат пари, които би трябвало да изпратят към друга банкова сметка. За задачата им дават обещание 10% от постъпилата при тях сума. Когато бях в ГДБОП, правосъдната процедура приемаше, че мулетата са работили без предумисъл и са били със схващане, че правят работа, тъй като имат трудови контракти за това, което са правили. По този метод са работили несъзнателно, с цел да припечелят някой лев. Не знам дали обстановката към този момент се е трансформирала. Със сигурност Владимир Гьорев и хората му са употребявали мулета.

– Читатели алармираха за различен тип фишинг мейл – завещание от чужбина, само че той е написан на негоден български език. От коя страна идва?

– И двете хипотези са вероятни – както да се написа от българи, по този начин и от чужденци. Досега не съм виждал съзнателно българи да пишат погрешно. Може да става въпрос за така наречен нигерийци, тъй като по този начин започнаха първите нигерийски измами през 2006 година Тогава имейлите бяха за нигерийски принц или принцеса, които завещават завещание. В огромен % от случаите имейлите от чужбина идват съответно от Украйна и Русия, или от Северна Африка – Кот д’Ивоар, Мароко, Тунис. Много постоянно тези страни са засичани от нас по време на разработките ни като места, от които произлизат фишинг имейл акции.

– Какви са точните знаци за фишинг имейл?

– В него се виждат съответни неща. Едно от тях е формалното лого. Преди 2-3 месеца гледах фишинг акция, в която се твърдеше, че против теб се води полицейско произвеждане. В имейла имаше логото на Интерпол, на ГДБОП и на Националната полиция. Приличаше на коледна елха. Използването на специфични лога е честа процедура на хакерите, с цел да придадат лъжливото чувство за легитимност. Друг знак е потребление на имена на институции. Също и потребление на „ чувство за неотложност “. Тоест думи като „ вашият акаунт се заключва “, „ има невероятна интензивност в акаунта ви “, „ би трябвало незабавно, в този момент, незабавно да отворите… “. Жертвата няма рационалното време да намерения. Прикачените файлове и URL линкове са съпътстващи фишинг имейлите. По отношение на граматични и лексикални неточности – факт е, че при започване на тези акции за подправени мейли имаше всеобщо такива, при които не се използваше литературен български език. Това обаче изчезва, тъй като, в случай че през 2006 година нигерийците си помагаха с някакви онлайн преводачи, към този момент имаме Chat GPT, както и изкуствен интелект. Той приказва съвършено всички езици в света. С него няма проблем да бъде основан текст, който е едно към едно с езика на дадена народност. Не толкоз добре конструираните имейли ще понижават от ден на ден с времето.

Източник: 24 часа

Още вести четете в: Крими & Темида За още настоящи вести: Последвайте ни в Гугъл News