Xakep #305. Многошаговые SQL-инъекции
На конференции Security Analyst Summit 2019 исследователи «Лаборатории Касперского» рассказали об обнаружении интересной торговой площадки — Genesis. Клиентам этого ресурса предлагают приобрести не просто чужие персональные данные, но более 60 000 готовых сетевых «личин», то есть данные о поведении пользователей в сети: историю посещения сайтов, информацию об операционной системе, браузере, установленных плагинах и так далее.
Genesis заработал в 2018 году и активно рекламировался на кардерских форумах, как удобное и полезное решение для злоумышленников.
Каждый из выставленных на продажу наборов цифровых отпечатков включает в себя учетные данные от различных учетных записей (платежные аккаунты, профили в социальных сетях, сервисы обмена файлами и так далее), куки, детали user-agent, подписи WebGL, а также другую информацию о браузере и компьютере жертвы (зачастую более 100 различных параметров). Стоят такие комплекты данных от 5 до 200 долларов США.
Каким образом администраторы Genesis собирают эту информацию? При помощи самой разной малвари, ведь далеко не каждая вредоносная программа будет сходу шифровать данные и требовать выкуп или примется воровать деньги пользователя. В руки третьих лиц попадают самые разные личные данные пользователей, и чтобы стать жертвой подобной утечки, порой достаточно, к примеру, установить вредоносное расширение для браузера.
Эту информацию операторы Genesis продают другим киберпреступникам, которые занимаются мошенническими операциями, связанными, к примеру, с хищениями личности, организацией работы денежных «мулов» и так далее. Более того, эти наборы данных могут и просто помочь похитить чужие деньги, личные фото, закрытую документацию, или позволяют воспользоваться чужой «личиной» в рамках какой-либо масштабной операции, особенно если жертва, например, была госслужащим.
Для удобства своих покупателей создатели Genesis разработали специальное расширение для Chrome — Genesis Security. Это расширение позволяет злоумышленнику использовать купленную цифровую «маску» для воссоздания виртуальной личности ее настоящего владельца и тем самым обманывать системы защиты.
Феномен Genesis исследователи объясняют весьма просто. Дело в том, что в последние годы системы антифрода стали намного «умнее» и способны распознавать подозрительную активность аккаунта, отмечая даже самые мелкие детали. Купленные на Genesis цифровые «личины» позволяют злоумышленникам максимально правдоподобно имитировать настоящего владельца учетной записи и обманывать защиту, в том числе, платежных систем и банков.
Аналитики поясняют, что если защитное решение видит «маску», которая совпадает с той, что пользователь применял ранее, то транзакция с большой вероятностью будет одобрена. Многие банки в таком случае даже не станут отправлять код безопасности по SMS или push-уведомление для подтверждения операции. Как можно заметить на иллюстрации выше, в своей рекламе операторы Genesis хвастаются тем, что внимательно изучили 47 аналитических систем 283 крупнейших банков и платежных систем.
Фото: "Лаборатория Касперского", ZDNet