Vær opmærksom på tegnebogen: hvordan cyber-intelligens fungerer

Herzliya er en moderne forstad til Tel Aviv, en by med et lille antal etager, skinnende med splinterny originale kontorbygninger. Dette er sådan en lille Silicon Valley - her er flere filialer af de største virksomheder inden for software og IT. EMC er et sådant selskab. Med hovedkvarter i USA har EMC etableret sig i Israel og har allerede erhvervet og integreret flere lokale startups i dens struktur. En af de vigtigste specialiteter i virksomheden er datalagringssystemer, især med brugen af ​​flashhukommelse som et alternativ til diskdrev. En anden er computersikkerhed. RSA, en tidligere uafhængig virksomhed, er ansvarlig for computersikkerhed og siden 2006 EMC-divisionen.

Kriminelt rum

Dette minder noget om et flykontrolcenter eller pladsobservationspunkt. Rækkerne med skriveborde med computere bag dem - for det meste unge fyre, selvom der er piger. Mange unge mænd bærer baller - religiøsitet i Israel betragtes ikke som et tegn på "ikke-fremme". Og plads har intet at gøre med det - her observerer de et helt andet rum. Vi er placeret i det israelske anti-cyber-svindelkommandocenter (AFCC), som er en del af EMC RSA. Her på den store skærm på væggen er en oversigtstabel over kreditkortnumre til salg. Speciel software søger efter disse tilbud på Internettet og indsamler dem sammen. De forklarer os: her tilbyder de simpelthen kortnummeret - dets pris er $ 5, men nummeret sammen med dataene fra magnetstripen plus fødselsåret og personnummeret til ejeren. Da disse data ofte bruges til at verificere kortholderens identitet, øges sandsynligheden for succesfuld bedrageri. Men prisen er højere - $ 25. På en anden stor skærm er et kort over verden. Her og der springer røde cirkler hit og der. Kortet viser, hvor i verden phishing forsøges mod virksomhedskunder. Phishing er brugen af ​​software, der efterligner interface fra banker eller andre lignende organisationer til at stjæle kontonumre, adgangskoder og anden følsom information. RSA-kunder er banker og andre organisationer, der er interesseret i rettidigt at undertrykke økonomiske cyber-svindelforsøg mod sig selv og dem, de betjener. Viser også forskellige slags analyser. Overvågning i Command Center er døgnet rundt - RSA underretter øjeblikkeligt sine kunder om alle svindelforsøg opdaget på Internettet.

Køb fra mig!

Men selvom overvågningen i Command Center er passiv, søger RSA-cyber intelligence-officerer aktivt. De forsøger at infiltrere åbne og lukkede netværkssamfund og identificere trusler mod virksomhedskunder.

”Vores arbejde udføres både før og efter at de økonomiske data er stjålet, ” siger Oren Carmi, chef for cyber intelligence. - Vi overvåger alt, hvad der sker i netværket under jorden - europæisk, amerikansk, latinamerikansk, russisk. Vi fokuserer hovedsageligt på IRC-chats, fora og såkaldte kreditkortbutikker. ”

IRC-chat er let. Alle kan indtaste dette sted når som helst og når som helst gå ud og gå tilbage under et andet kaldenavn. Svindlere er meget glade for denne type kommunikation, da de ikke behøver at "skinne" deres personlige data. ”Det er også praktisk for os, ” forklarer Oren, ”da det er let for os at forblive ukendt. Ved IRC-chats bygger alt på princippet om et åbent marked. Svindlere offentliggør deres annoncer. De prøver at skille sig ud, skrive med capsloc, i forskellige farver. Det sælger ikke kun kortnumre og data til indtastning af bankkonti, men også alle mulige hjælpe ting: proxyserveradresser, falske id'er til indtastning af visse tjenester og dokumentscanninger. ”

I chatrum fungerer EMC RSA-cyber-efterretningsoffiserer som følger: De kommer i kontakt med en svindler, prøver at sætte samtalen i privat tilstand og derefter finde ud af, hvad den kriminelle specifikt tilbyder. En RSA-specialist har til opgave at demonstrere for svigeren en interesse i hans tilbud, begynde at diskutere transaktionens betingelser og i sidste ende hente den maksimale mængde information, der er nødvendig.

Ondsindet samarbejde

For vellykket computersvindel skal du ifølge Oren vide og forstå så meget, at en person som regel ikke kan gøre det. Som på andre områder af organiseret kriminalitet er specialister på forskellige områder på udkig efter hinanden og forenes. Nogle mennesker ved, hvordan man knækker adgangskoder for at få adgang til konti, andre ved, hvordan man inficerer fjerncomputere med malware, der stjæler data, mens andre “tager” kontanter. Hvis en svindler således har kreditkortoplysninger, men er på udkig efter nogen, der kan trække penge fra hende, kan en RSA-medarbejder tilbyde ham denne mulighed. Efter at have aftalt en aftale, sender gerningsmanden de stjålne data til sin nye "partner", og han giver naturligvis straks banken besked: en sådan konto kan blive målet for et cyberangreb.

Vi er interesseret i lederen af ​​cyber-intelligens, men er det muligt at gribe svindleren i hånden i processen med at modtage penge til ulovlige handlinger på Internettet. ”Det er kompliceret, ” svarer Oren. - Ved gensidige afviklinger bruger svindlere specielle tegnebøger, bruger aktivt bitcoins og andre cryptocurrencies. For eksempel kan de penge, der skyldes mig, komme til en bitcoin-tegnebog, som allerede har et stort beløb, derefter sendes de derfra i små portioner til flere andre tegnebøger og kun derefter til mig. Det er næsten umuligt at spore sådanne transaktioner. Denne service koster også penge, men cyberkriminalitet er normalt begået i samarbejde, der bygger på deltagernes gensidige tillid. ”

En anden type cyberbedrageri er "kortlægning", det vil sige køb af varer ved hjælp af stjålne kort. Dette er et alternativ til direkte at trække penge ud af andres konti (dette er en temmelig kompliceret sag), men samarbejde er også nødvendigt for at kortlægge. Når alt kommer til alt bestiller ingen et køb i en online butik til deres personlige adresse, hvis de skal betale med stjålne data fra en andens kort. For at modtage varerne er der specielle udbydere af falske adresser - postkasser åbne på falske dokumenter. Den person, der ejer adressen, videresender derefter pakken til bedrageren (mod betaling) eller sælger den stjålne og sender andelen. En anden mulighed er også mulig - for eksempel købes to tabletter i en online butik. Den ene går til ejeren af ​​postkassen, den anden sendes til køberen. Som et resultat af sådan bedrageri kan interesserne for kortholdere, der er udstedt af en bank, hvis sikkerhed er sikret af RSA, og derfor "kortlægning" falder inden for cyber-intelligensinteresser, kunne lide.

Dyb søgning

"Hvis alt er enkelt med IRC-chats, " forklarer Oren, "så er det meget vanskeligere at arbejde med cyber-svindelforum. Allerede med forumets beskyttelsesniveau kan du forstå, hvad der nøjagtigt kan findes der. Der er fora med gratis registrering, men der er også dem, der ikke kan nås uden anbefaling fra deltagerne eller endda uden et gebyr, som kan udgøre flere hundrede dollars. Men i modsætning til chat er det lettere at følge visse deltagere der. Der findes endda et system med "omdømme" - inden du beskæftiger sig med en bestemt sælger af stjålne data, kan du se, hvor pålidelig han er som partner. "

Cyber-svindlere står altid over for et dilemma: hvis du arbejder i et åbent netværk - de beregner, graver dybt ind - der vil være få kunder. Som RSA fortalte os, synes russiske cybersvindlere, der er meget organiserede og teknologisk kompetente, at arbejde på åbne ressourcer - åbenlyst at prøve at maksimere antallet af kunder. Deres kolleger fra andre dele af verden foretrækker ofte at bo på det mørke internet, det såkaldte TOR-netværk. I TOR, hvor datastrømmen mellem klienten og serveren passerer i krypteret form gennem en kaskade af proxier og garanterer anonymitet, er det ganske vanskeligt at finde den nødvendige information. Og selv om der også er noget som søgemaskiner, fungerer de ikke som Google eller Yahoo. Med andre ord, folk der kommer ind i TOR ved normalt, hvor de skal hen.

”Der er mange forskellige kriminelle manifestationer på TOR-netværket: de sælger narkotika, våben og børnepornografi, ” siger Oren. - Og selv om vi har kontakter med politiafdelinger og særlige tjenester i forskellige lande, må vi forstå, at vi selv ikke er et retshåndhævelsesagentur. Vores interesse er at identificere tilfælde af økonomisk svig i relation til vores virksomheds kunder og at gøre alt for at undgå tab hos cyberkriminelle. ”

Som du kan forstå, er arbejdet for medarbejdere inden for cyber-intelligens ikke kun og ikke så meget indtrængen i alle former for kriminelle ressourcer, men snarere arbejde med mennesker. Handlingen fra cybersvindlere, som fx phishing eller falske opkald fra banker, kaldes social engineering. Kriminelle bruger ikke kun tekniske tricks, men bruger også alle slags psykologiske tricks, der får offeret til at deltage med vigtig information. Arbejdet med cyber intelligence er det modsatte af social engineering. Medarbejdere på afdelingen på engelsk, russisk, spansk, portugisisk kommunikerer med cybersvindlere, og deres opgave er ikke kun at ikke give ud af sig selv, men også at overliste den, der allerede har formået at overliste mange.

Krypterede tunneler

TOR-netværket (Onion Router, “Onion Router”) er et proxysystem, der maskerer brugerens adresse og sikrer dets anonymitet. Når ejeren af ​​computeren med den installerede TOR-klient sender en anmodning til den eksterne server, krypteres dataene gennem kaskaden af ​​proxier, og ser den eksterne server kun adressen på den sidste af dem, den såkaldte exit? node. TOR-netværket bruges både af kriminalitet og af forskellige grupper af cyberaktivister (hacktivister) såsom “Anonym”.

Flash-servere og harddiskservere: rivaler og partnere

Ud over computersikkerhedsspørgsmål fokuserer EMC på datalagring. Som du ved, bruger de fleste datacentre i verden gode gamle harddiske som drev. Med hensyn til solid-state medier eller flashhukommelse er vi vant til at se dem i bærbare elektroniske enheder eller i form af lommestørrelse flashdrev. Ikke desto mindre introduceres servere baseret på solid-state-hukommelse gradvist i store datalager. I dag har markedet for sådant udstyr en kapacitet på omkring 1 milliard dollar, mens det oplever eksponentiel vækst. Hver type lagerenhed har sine fordele og ulemper: især en harddisk er en elektromekanisk enhed, og for at læse de nødvendige oplysninger skal du rette hovedet mod den tilsvarende sektor. Det tager tid. Flashhukommelse giver dig adgang til ethvert stykke data næsten øjeblikkeligt. Dog overgår harddiske i ydelse, er flashhukommelse stadig flere gange dyrere.

EMC fungerer som udvikler af software og hardwareløsninger, der gør flashbaserede servere mere effektive og derfor mere attraktive ud fra et forretningsmæssigt synspunkt. XtremeIO er en sådan løsning. Dens komponenter er et softwareprodukt og en "hård" - samlet i blokke ("mursten") hukommelsesenheder, der er baseret på solid-state-hukommelse. Ved hjælp af XtremeIO kan du nemt øge datacentrets kapacitet ved at placere hot data i "mursten" - for eksempel en database, der kræver høj behandlingshastighed og efterlader kolde data (information, der ikke er i konstant behandling) til harddisk-baserede servere. Et andet EMC-produkt - ScaleIO - inkluderer ikke hardware. Dette er en ren softwareløsning, der giver dig mulighed for at kombinere computer- og opbevaringsressourcer til et meget effektivt datalagringssystem på enkelt niveau. Dets største fordel er nem skalering. Med ScaleIO kan du kombinere tusinder af enheder, både lagring af data og køre applikationer, til et magtfuldt lagringsområde-netværk (SAN).

Artiklen "Watching the Wallet" blev offentliggjort i magasinet Popular Mechanics (nr. 1, januar 2015).

Anbefalet

Forbund: Russisk bemandet rumfartøj
2019
Hvorfor lider menneskeheden af ​​tandfald, og er det muligt at bekæmpe det
2019
Denne test vil bestå enhver studerende: kan du?
2019