В начале марта 2020 года американские правоохранители сообщили об аресте россиянина Кирилла Викторовича Фирсова, которого считают оператором платформы для создания сайтов Deer.io.
Напомню, что мы рассказывали о Deer.io еще в 2016 году. Так, данная платформа существовала с 2013 года тогда позволяла любому желающему за 500 рублей в месяц запустить собственный интернет-магазин. Работало все это подобно WordPress: пользователю за плату предоставляли хостинг и дизайн.
Еще три года назад исследователи компании Digital Shadows писали, что услугами сервиса пользуются более 1000 магазинов, которые уже принесли своим операторам свыше 240 млн рублей, а сами создатели Deer.io уточняли, что на самом деле магазинов насчитывается свыше 4000.
Проблема заключалась в том, что в 2016 году исследователи обнаружили на Deer.io магазины, которым скорее стоило бы работать в даркнете, а ведь правила платформы (и законодательство РФ) запрещали продажу наркотических веществ, программ, устройств и скриптов для любых видов взлома, все связанное с кардерством и финансовыми махинациями, DDoS-услуги и так далее.
Эксперты утверждали, что администрация Deer.io сознательно закрывает глаза на такую активность. Так, отчет Digital Shadows гласил, что площадка прекрасно известна хакерам и активно рекламируется на форумах Xeksek, AntiChat, Zloy и Exploit.
Интересно, что представители платформы категорически отвергали эти обвинения, уверяли СМИ, что Deer.io работает в соответствии с законами Российской Федерации, а также регулярно блокирует магазины, которые занимаются продажей наркотиков/банковских аккаунтов и банит магазины по распоряжению Роскомнадзора или других уполномоченных органов Российской Федерации.
Не менее интересен и тот факт, что после публикации упомянутого материала о Deer.io на нашем сайте, операторы платформы угрожали «Хакеру» юридическим преследованием. Летом 2019 года компания внезапно потребовала от редакции удалить материал 2016 года на том основании, что в отчете Digital Shadows отсутствовал скриншот главной страницы каталога сайтов (на котором было отчетливо видно, что Топ-10 магазинов торгуют исключительно ворованными аккаунтами). Утверждалось, что скриншот сделали мы сами, а значит, публикация «не имеет подтверждения и порочит деловую репутацию компании».
Теперь, спустя три недели с момента ареста Фирсова, Министерство юстиции США отчиталось о ликвидации самого сайта. Домен был изъят в соответствии с постановлением суда, и на главной странице сайта теперь красуется красноречивая «заглушка».
Правоохранители пишут, что на момент закрытия платформа использовалась для размещения более 24 000 магазинов, чьи суммарные доходы составляли более 17 миллионов долларов. Создать собственный магазин здесь мог любой желающий, достаточно было заплатить 800 рублей в месяц, оплатив эту сумму в биткоинах или с помощью различных систем онлайн-платежей, включая WebMoney.
Следователи рассказывают, что 4 марта 2020 года ФБР совершило «контрольную закупку» и приобрело около 1100 игровых аккаунтов в магазине ACCOUNTS-MARKET.DEER.IS менее чем 20 долларов США, оплатив покупку криптовалютой. После оплаты правоохранители действительно получили учетные данные от аккаунтов игроков, включая имя пользователя и пароль для каждой.
Из 1100 этих учетных записей 249 оказались взломанными учетными записями неназванной компании А. Данная компания подтвердила следствию, что если хакер получал доступ к имени пользователя и паролю, то он получал возможность использовать эту учетную запись сам. При этом учетная запись игрока обеспечивает доступ ко всей его медиатеке, а также часто имеет связанные способы оплаты. То есть злоумышленник мог использовать связанный способ оплаты для совершения дополнительных покупок.
Но только лишь этим «контрольная закупка» не ограничилась. Так, 5 марта 2020 года ФБР приобрело примерно 999 записей с личными данными в магазине DEER.IO SHIKISHOP.DEER.IS (примерно за 170 долларов в биткоинах), а также около 2650 записей с личными данными в магазине DEER.IO SHIKISHOP.DEER.IS (примерно за 522 доллара в биткоинах). Используя приобретенную информацию, следователи смогли узнать имена, даты рождения и номера социального страхования для ряда лиц, проживающих в округе Сан-Диего.
«Deer.io был крупнейшей централизованной платформой, которая способствовала и облегчала продажу скомпрометированных аккаунтов социальных сетей, а также финансовых данных, персональной информации и взломанных компьютеров. Захват этого преступного сайта является большим шагом в вопросе сокращения [оборота] похищенных данных, используемых для атак на физических и юридических лиц в США и за рубежом», — резюмирует специальный агент ФБР Омер Мейзель.