Каждый босс хотел бы заранее знать, что злоумышленники, скрывающиеся в даркнете, замышляют похакать компьютеры его фирмы. Как ни странно, это возможно! Благодаря непрестанному мониторингу дипнета и внедрению на закрытые форумы спецы из компании Leakreporter обо многом узнают заранее. Как именно это работает, нам рассказал сотрудник Leakreporter, попросивший не называть его имя.

 

О Leakreporter

Проект начинался как альтруистический и некоммерческий: я хотел оповещать пользователей о том, что их хакнули. Сделано это было криво-косо — в виде рассылки на почту. Если оказывалась вскрыта почта, то мы отправляли на нее письмо: «Срочно смените пароль!» Потом на нас вышли крупные email-провайдеры и посоветовали монетизироваться.

Списки утекших аккаунтов попадали к нам, когда мы лазали по форумам и скачивали дампы. Утекает дикое количество информации, и иногда она попадает ко мне. Мне стало жалко людей, у которых угоняют кучу аккаунтов через эти почты. Надо было попытаться хоть что-то с этим сделать. Замутили в итоге такую рассылочку.

В чем-то это похоже на сайт Have I been pwned. Но там сервис основан на том, что пользователь должен сам зайти, вбить свой email, и тогда ему уже скажут, утекло ли что-нибудь. Как правило, там информация появляется с запозданием. Если пользователю не пришло никакое оповещение о том, что его взломали, то его аккаунт «отработают» очень быстро.

К Leakedsource я отношусь значительно хуже, чем к Have I been pwned. Его владельцы стимулируют работать фрод-движение. Раньше дампы продавались, но особенно никому не были нужны. Люди их копили годами, как тот же Twitter. Кстати, та база, которую на Leakedsource выдают за дамп аккаунтов Twitter, — это на самом деле логи с Malware и из всяких списков паролей. То есть куча аккаунтов собрана из разных источников. Фрод-движение подхватило эту тему, так как все поняли, что можно собрать побольше такого материала и продать его Leakedsource. Активизировались все: спамеры, фишеры, — все захотели урвать кусок пирога и начали активно действовать. Поэтому никогда нельзя платить теневым ребятам.

Помимо меня, в команде Leakreporter есть второй кодер, переводчик (мы много работаем с зарубежными комьюнити, и его услуги нужны) и наш инвестор, тоже безопасник.

Команда постоянно отслеживает фрод-комьюнити, мониторит сайты, собирает новости, а также всю информацию, которая стекается на ловушки. Реализуются они по-разному — как правило, таргетированы и призваны показать, сколько людей заинтересованы чем-то связанным с конкретной организацией. Секреты раскрывать не могу, но если обобщить, то ловушка — это место, куда стекается информация от фродеров, и они сами об этом не знают.

Сам я с заказчиками не разговариваю, для меня это большой стресс! С ними общается мой коллега.

Мы предлагаем разные услуги — тут все зависит от запросов и сферы деятельности компании. Первое, что мы можем сделать, — это обезопасить сотрудников. Второе — обезопасить от внутренних утечек. У нас достаточно информации для этого. Третье — мы можем помочь залатать неочевидные дырки, через которые тоже может утечь информация.

 

О клиентах

Бывает, что неявные угрозы сильно портят жизнь компаниям, и пентестеры на такие вещи обычно не обращают внимания. Самая большая уязвимость, как сейчас говорят, — это человек. Если не влез в систему, то можешь влезть в голову сотрудника. В даркнете сейчас стало много обсуждений социальной инженерии, социальные инженеры чуть ли не резюме стали выкладывать. Вот именно такие каналы мы и помогаем прикрыть. Ну и если инцидент уже произошел и клиент пришел после этого, то мы помогаем найти того, кто стоит за инцидентом.

Среди наших клиентов — крупные банки, а также компании, связанные с ИТ и ИБ. У нас есть информация, которая может очень помочь в предотвращении фрода. Мы можем провести расследование в том случае, если что-то уже утекло. А если еще нет, то можем предупредить о возможной утечке и о том, что над ней уже работают хакеры.

Для тех заказчиков, у которых стоят автоматизированные системы защиты от фрода, у нас есть API — онлайновый фид, который постоянно пополняется несчетное количество раз за день. И постоянно сопоставляется с условиями клиента.

Вот пара примеров того, как выглядят данные в этом фиде. Это теневой прокси и C&C ботнета.

[
  {
    "ip": “208.100.26.234",
    "seentimes": 1,
    "lastseen": "2016-08-21 16:06:37",
    "firstseen": "2016-08-21 16:06:37",
    "type": "cnc"
  },
  {
    "ip": "184.26.198.150",
    "seentimes": 1,
    "lastseen": "2016-08-21 16:11:39",
    "firstseen": "2016-08-21 16:11:39",
    "type": "proxy"
  }
]

А вот как выглядит лента по засветившимся пользовательским данным:

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…