Жизнь в киберпространстве идет своим чередом: преступники совершают преступления, а агенты ФБР стараются их поймать. Но перед тем как киберпреступника поймать, необходимо установить его личность или местоположение. И вот тут возникает проблема, так как киберпреступники не хотят делиться подлинным IP-адресом, по которому их можно найти, и используют различные средства сокрытия вроде VPN, Tor и proxy.
Агенты ФБР постоянно ищут новые эффективные методы деанонимизировать пользователей, скрывающих свой IP-адрес. Конечно, установление личности не гарантирует арест, например, личность Slavik’а, разработчика трояна ZeuS, ФБР давно установило, но вот посадить его они так до сих пор и не могут, так как Анапа – это не Аляска и законы США в России не действуют.
Обычно после успешной деанонимизации киберпреступника из России или Украины ФБР дожидается его визита на отдых в одну из стран, с которой налажено сотрудничество, и дальше киберпреступник едет на суд в США.
Так было с Романом Селезневым, который прилетел с семьей отдыхать на Мальдивы, а оттуда отправился не домой в Россию, а в сопровождении агентов ФБР в США. И там федеральный судья Ричард Джонс вынес ему приговор, согласно которому ближайшие 27 лет он проведет в тюрьме.
Одних киберпреступников сажают, а на их место приходят другие. Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. Он не требует особых технических навыков, главное, уметь составлять грамотные письма и пытаться, пытаться, пытаться.
Обычно мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет. Из 1000 компаний, может быть, одна допустит ошибку, но иногда такие ошибки стоят больших денег.
В свое время известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей.
И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы можете догадаться, этот счет был отправлен мошенниками.
За рассылающими мошеннические письма и охотится ФБР, и не только ФБР, за ними охотятся все: от частных компаний, занимающихся расследованием киберпреступлений, до правоохранительных органов разных стран.
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это так: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность сайта FedEx от ФБР была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси».
Есть много способов определить использование прокси, Тор или VPN, предполагаю, что они просто проверяли IP-адрес на предмет принадлежности хостинг-провайдеру, это является явным признаком применения VPN, прокси или Тор.
«Хитрый» план ФБР заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в этом случае мне кажется примитивной. Я вам расскажу о более эффективном способе побудить пользователей отказаться от VPN, Тор и прокси и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов.
Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее. Возможно, вы помните эти неразборчиво написанные слова, которые надо было ввести.
И вот эту капчу сотрудники органов размещали на подконтрольном форуме, чтобы спровоцировать пользователей отказаться от применения VPN, прокси и Тор. Дело в том, что тех, кто использовал средства сокрытия IP-адреса, при каждом входе на форум встречала капча. И им приходилось по несколько раз вводить ее – это может вывести из себя даже человека с образцово крепкими нервами.
Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса.
Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее. Возможно, еще использовалась деанонимизация методом сопоставления соединений, я не знаю деталей операции.
Так или иначе, капча работала прекрасно, ведь даже у самых осторожных ребят не железные нервы. Из этих историй сложно вывести совет или заключение, их просто нужно помнить, может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.