Черный рынок данных: доступ к украденной информации может стоить всего 500 долларов 💻💸

Когда личные данные становятся жертвой утечек, как это случилось недавно с крупными атаками на компании в Австралии, эти данные часто начинают свой путь через теневой криминальный рынок, который следует традиционным моделям спроса и предложения. Пароли, персональная информация, копии документов, а также контактные данные жертв могут пройти через сеть сделок, происходящих на онлайн-форумах или скрытых частях интернета, и быть оплачены криптовалютой, прежде чем попасть в руки тех, кто намерен их использовать в преступных целях.

«Существует несколько различных рынков, или форумов», — объясняет Дин Уильямс, инженер по системам компании NortonLifeLock. «Здесь можно найти магазины с подтвержденными утечками данных, где можно искать по имени организации и получить доступ к полным спискам. Также есть платформы, где покупатели и продавцы могут обмениваться данными, и покупатели могут выбрать различные уровни [персональной информации] в различных количествах».

Крупнейшие из этих рынков предлагают услуги киберпреступности: можно заказать атаку отказа в обслуживании (DDoS), инструменты или услуги для распространения программ-вымогателей и вредоносных программ, которые потом можно использовать для атаки на выбранные цели. «Это позволяет людям попасть в мир киберпреступности без традиционных навыков, потому что они просто „покупают плохое“ или арендуют», — говорит Кэтрин Манстед, директор по киберразведке в CyberCX.

Сделки происходят с использованием криптовалюты — часто биткойна. Первоначальный доступ к организации в Австралии может стоить около 500 долларов США, однако Манстед уточняет, что цена может варьироваться в зависимости от размера организации, качества доступа и сектора, к которому относится эта организация. Стоимость обычно выше для компаний в крупных странах, например, в США.

Заработать репутацию в таких группах можно, предоставив пример данных — продавец утекших данных часто предоставляет образец, чтобы пользователи могли проверить его на наличие других утечек, удостоверившись, что материал действительно новый. Некоторые сайты даже используют систему голосования, как на Reddit.

«Из-за присутствия правоохранительных органов и исследователей рынки киберпреступников зависят от системы репутации, которая помогает отделить настоящих преступников от поддельных», — объясняет Брэтт Каллоу, аналитик угроз компании Emsisoft. «Некоторые рынки предлагают посреднические услуги, которые удерживают деньги до тех пор, пока покупатели не подтвердят, что продукт соответствует описанию».

Правоохранительные органы могут закрывать некоторые рынки или арестовывать крупных продавцов услуг, но эксперты говорят, что это все равно напоминает игру в «кота и мышку». Когда одна группа или сайт исчезает, появляется новый. «К сожалению, на киберпреступности зарабатываются большие деньги, и всегда найдутся люди, готовые занять пустующие ниши», — говорит Каллоу. «Когда мы проводим поиски, мы находим, что сайты исчезают, но затем появляются снова, только под другим URL».

Манстед утверждает, что черные рынки работают «точно так же», как и любые другие. «Некоторые группы становятся более сильными, другие — теряют влияние», — говорит она. «Некоторые продают лучшие товары и получают за них наибольшую цену. Люди с высокими навыками становятся лидерами, но иногда их внимание привлекают правоохранительные органы, и они быстро исчезают». Хакеры могут быть не только «технарями в капюшонах», но и обычными людьми — например, бабушками в странах бывшего Советского Союза. «Это люди, которые работают, как в обычном бизнесе, каждый день. Это криминальные бизнесы внутри рынка и экономики», — добавляет она.

«Как только вы понимаете это, вы начинаете понимать, как остановить их экономику», — говорит Манстед. «Можно понять, какие части системы уязвимы, и на них можно сфокусироваться. Это рыночная экономика, и мы должны понять, как сделать ее менее прибыльной для них».