КИБЕРПРЕСТУПНОСТЬ
Владимир Овчинский, Юрий Жданов
Эволюция или революция?
11 ноября 2021 года опубликован доклад Европола “Оценка угрозы организованной преступности в Интернете (IOCTA) 2021”.
IOCTA — это ежегодный стратегический продукт Европола, который обеспечивает ориентированную на правоохранительные органы оценку возникающих угроз и ключевых событий в области киберпреступности. Сочетание аналитических данных правоохранительных органов и частного сектора позволяет представить всеобъемлющий обзор ландшафта угроз.
Европол продолжает реализовывать инновации в правоохранительной сфере и предлагает различные решения для правоохранительных органов в отношении шифрования, криптовалют и других проблем.
Европол продолжает оказывать поддержку крупным трансграничным операциям по борьбе с киберугрозами, число операций увеличилось с 57 в 2013 году до 430 в 2020 году.
Ключевые выводы
Главной темой прошлогодней конференции IOCTA было то, что киберпреступность — это эволюция, а не революция. Хотя это всё ещё верно, последний год стал свидетельством того факта, что исключительные обстоятельства ускоряют эту эволюцию. Новая реальность, вызванная глобальной пандемией, требует быстрой адаптации, и вполне вероятно, что темп и организация личной и профессиональной жизни навсегда изменились. Неизбежно эти события также стимулировали инновации среди киберпреступников, которые стремились извлечь выгоду из новых возможностей.
Оцифровка затрагивает все формы преступности. Методы и инструменты, используемые киберпреступниками, все чаще применяются в других областях преступности, а цифровая криминальная экосистема продолжает развиваться тревожными темпами. Конфиденциальность и удобство, предлагаемые платформами связи, распространения и криптовалюты, выгодны при любой незаконной деятельности.
Операторы вредоносных программ для мобильных устройств воспользовались ростом онлайн-покупок, используя службы доставки в качестве фишинговых приманок, чтобы обманом заставить своих жертв загрузить свой вредоносный код, крадут их учетные данные или совершают различные формы мошенничества с доставкой.
Трояны мобильного банкинга стали особенно серьезной угрозой из-за возросшей популярности мобильного банкинга.
Преступники продолжают использовать нарративы COVID-19 для онлайн-продажи поддельной медицинской продукции и стремятся украсть учётные данные.
Хотя Биткойн в настоящее время остается предпочтительной криптовалютой для пользователей и поставщиков Dark Web, популярность Monero и других монет конфиденциальности растет. Преступники всё чаще конвертируют свои незаконные доходы, полученные в биткойнах.
Материалы о сексуальном насилии над детьми (CSAM) активно продаются в одноранговых (P2P) сетях и Dark Web, где криптовалюты также используются для платежей, при этом правоохранительные органы сообщают об увеличении коммерческого распространения.
Анонимность в Интернете усугубляется широким распространением технологий шифрования, которые могут принести пользу и законным пользователям, и преступникам одновременно. Помимо законных услуг, международные правоохранительные органы пристально следят за поставщиками VPN и криптографических телефонов, которые обслуживают криминальные элементы нашего общества.
Преступность как услуга продолжает распространяться
Модель «Преступление как услуга» (CaaS) остается важной чертой киберпреступного подполья и является сквозным фактором во всех подобластях киберпреступности. Доступность наборов эксплойтов и других услуг не только обслуживает преступников с низким уровнем технических навыков, но также делает операции зрелых и организованных злоумышленников более эффективными.
За последний год европейские правоохранительные органы сообщили об увеличении предложения MaaS в Dark Web, из которых партнёрские программы по вымогательству кажутся наиболее заметными. Эти программы представляют собой эволюцию модели Ransomware-as-aService (RaaS), в которой операторы делятся прибылью с партнёрами, которые могут взломать целевую сеть, либо собирать всю информацию, необходимую для запуска атаки, либо самостоятельно развертывать вредоносное ПО.
Это расширило рынок продажи доступа к взломанной инфраструктуре и утечкам данных. Связанный с деятельностью операторов программ-вымогателей и мобильных вредоносных программ, доступ как услуга (AaaS) также пользуется большим спросом, поскольку он помогает как опытным командам вредоносных программ, так и преступникам низкого уровня, арендующим инструменты для доступа к корпоративным сетям.
Побочным продуктом роста многоуровневых схем вымогательства и широкомасштабных кампаний по воровству мобильной информации является приток личной информации на нелегальные рынки. Этот тип данных востребован широким кругом злоумышленников, поскольку он может значительно повысить вероятность успеха социальной инженерии, применяемой при любой форме атаки. В нынешнем виде пользователь часто остаётся самым слабым звеном в системе ИТ-безопасности. Это означает, что социальная инженерия остается важным вектором для получения доступа к информационной системе или, в случае мошенничества, к банковскому счёту жертвы.
Широкое использование серой инфраструктуры повышает операционную безопасность преступников
Помимо CaaS, различные другие услуги, инструменты и технологии продолжают способствовать облегчению киберпреступности. Некоторые из них являются законными сферами, которые широко используются, но непреднамеренно полезны для достижения целей киберпреступников: безопасное общение, анонимность, сокрытие и отмывание преступных доходов и многое другое. Остальные услуги можно отнести к «серой» зоне. Такие службы часто находятся в странах с очень строгими законами о конфиденциальности. Они используются преступниками и рекламируются на криминальных форумах.
Услуги серой инфраструктуры включают в себя мошеннические обмены криптовалютой и виртуальные частные сети, которые обеспечивают безопасное убежище для преступников. Легальные услуги, которыми злоупотребляют киберпреступники, — обычное дело. Самая известная особенность таких сервисов — надёжное сквозное шифрование.
К другим законным инструментам и методам, которыми злоупотребляют киберпреступники, относятся криптовалюты и VPN. Киберпреступники скрывают и отмывают незаконно полученные средства с помощью криптовалют.
Многие законные криптовалютные биржи ужесточили свои правила «знай своего клиента» (KYC) с момента введения руководящих принципов и директив на различных уровнях. К сожалению, отмывание криптовалюты остаётся возможным из-за постоянства миксеров, сервисов обмена и бирж, работающих в серых зонах. Киберпреступники также могут использовать законных провайдеров VPN, поскольку они обеспечат им безопасный и надежный просмотр веб-страниц. Эти компании по-прежнему будут выполнять законные запросы о предоставлении информации, когда их услуги используются для киберпреступной деятельности.
Европейские правоохранительные органы, однако, всё больше сосредотачиваются на сервисах, которые не просто работают для обеспечения безопасности пользователей, но, скорее, оптимально защищают киберпреступников от захвата правоохранительных органов. Хотя не все пользователи таких услуг обязательно являются преступниками, уровень преступности, связанный с такими услугами, часто настолько высок, что национальные правоохранительные органы, обнаружив достаточно доказательств преступных злоупотреблений, могут рассматривать их как преступные предприятия.
В течение прошлого года Европол — вместе со своими партнерами — скоординировал демонтаж различных сервисов, работающих в серых зонах, таких как уничтожение двух VPN, которые обеспечивали безопасное убежище для киберпреступников: DoubleVPN8 и Safe-Inet9. Провайдеры зашифрованной связи (также известные как «криптофоны») привели к арестам сотен преступников и конфискации тонн запрещенных наркотиков, огнестрельного оружия и миллионов евро. Однако, что более важно, эти операции предоставили глобальным правоохранительным органам бесценную информацию о действиях преступников и их сетях.
Операторы вредоносных программ, особенно те, которые связаны с партнёрскими программами вымогателей, улучшили свои методы атак и функциональные возможности вредоносных программ. Мобильные банковские трояны совершили прорыв благодаря растущему числу пользователей, предпочитающих вести свою финансовую деятельность через мобильные устройства.
DDoS-атаки с целью выкупа возвращаются, поскольку преступники используют имена хорошо известных групп повышенной постоянной угрозы, чтобы запугать свои цели и заставить их выполнить требования выкупа.
Злоумышленники также осознали возросшее влияние DDoS-атак на системы их целей при отсутствии физических альтернатив, что привело к возрождению финансово мотивированных DDoS-атак.
Программы-вымогатели продолжают доминировать и распространяться
Несмотря на то, что мир радикально изменился за последний год, одна константа, которая осталась неизменной, — это угроза, которую программы-вымогатели представляют для нашей финансовой, общественной и даже физической безопасности. Большинство респондентов из правоохранительных органов отметили, что за отчётный период увеличилось количество сообщений о программах-вымогателях. Тенденции сосредоточения внимания на крупных корпорациях и государственных учреждениях, использования уязвимостей в цифровой цепочке поставок и многоуровневого вымогательства, которые мы наблюдали в прошлом году, усилились и стали более заметными, что свидетельствует о возросшей сложности и зрелости задействованных партнерских программ — вымогателей.
Распределенные атаки типа «отказ в обслуживании» (DDoS) с целью выкупа могут вернуться из-за растущей зависимости от онлайн-сервисов.
Киберпреступники продолжают двигаться к более продуманному выбору целей, и растёт число партнёрских программ по вымогательству, стремящихся к сотрудничеству с хакерами и другими разработчиками вредоносных программ.
Операции с программами-вымогателями все больше сосредотачиваются на атаках на крупные организации и их цепочки поставок.
Эти тенденции были отмечены в предыдущем IOCTA, но переход произошел быстрее, чем многие могли ожидать, за последний год обнаружились многочисленные крупномасштабные вторжения.
Преступники продолжают действовать всё более безжалостно и методично. Европол писал о росте числа бригад вымогателей, использующих методы двойного вымогательства путём извлечения данных жертв и угроз их публикации.
Многие из самых известных партнёрских программ по вымогательству развёртывают DDoS-атаки против своих жертв, чтобы заставить их выполнить требование выкупа. Эти методы работы становятся все более популярными среди преступников, занимающихся мошенничеством с инвестициями, что, по мнению правоохранительных органов Европы, является одной из основных угроз. Те, кто организует эти схемы, создают местные центры обработки вызовов, чтобы повысить доверие к ним среди пострадавших, говорящих на разных языках, а также перенацеливать своих «клиентов». Как только человек осознаёт, что его инвестиции были украдены, мошенники снова связываются с ним под предлогом, что представляют юридические фирмы или правоохранительные органы, предлагая помочь вернуть их средства.
В свете этих событий рынок криминальных товаров и услуг переживает бум. Личная информация и учётные данные пользуются большим спросом, поскольку они играют важную роль в повышении успешности всех типов атак социальной инженерии. К сожалению, рынок личной информации процветает, поскольку программы-вымогатели и мобильные кражи информации производят множество материалов для продажи в качестве побочного продукта первичной атаки.
Злоумышленники сосредоточены на особо важных целях. Использование традиционных массовых программ-вымогателей, похоже, сокращается, и злоумышленники переходят к программам-вымогателям, управляемым человеком, нацеленным на частные компании, секторы здравоохранения и образования, критически важную инфраструктуру и государственные учреждения.
Изменение парадигмы атаки указывает на то, что операторы программ-вымогателей выбирают свои цели на основе своих финансовых возможностей, чтобы соответствовать более высоким требованиям к выкупу, и их потребности в возможности как можно быстрее возобновить свои операции.
Уделять больше времени крупным корпорациям и государственным учреждениям — это эффективный подход для киберпреступников с точки зрения окупаемости инвестиций. Однако злоумышленники начали рассматривать внимание правоохранительных органов, привлекаемое к их деятельности, как важный критерий в своем внутреннем анализе затрат и выгод.
Увеличение возможностей и изощрённость
С начала пандемии киберпреступники воспользовались тем фактом, что большинству компаний пришлось хотя бы частично прибегнуть к дистанционной работе, что означало, что политики ИТ-безопасности стали более мягкими, а общее количество уязвимостей и поверхности атаки увеличились.
Злоумышленники продолжали проникать в сети организаций через подключения по протоколу удаленного рабочего стола (RDP) и эксплуатировать уязвимости в службах VPN.
Преступники осознали, насколько велик потенциал компрометации цифровых цепочек поставок — организациям необходимо предоставить доступ к сети дистрибьюторам обновлений, что делает этих сторонних поставщиков услуг идеальной целью. После проникновения в клиентскую сеть поставщика программного обеспечения операторы программ-вымогателей могут выбрать наиболее подходящие цели, далее проходят через свою сеть под видом законных пользователей, а затем развертывают свой вредоносный код в наиболее подходящий момент. Кроме того, ИТ-инфраструктуры чрезвычайно взаимосвязаны, поэтому успешное вторжение не только подвергает риску клиентов одной компании, но потенциально также открывает двери для компрометации других поставщиков услуг, обеспечивая еще большую масштабируемость атаки.
Атаки программ-вымогателей стали более изощрёнными, поскольку преступники проводят больше времени внутри сети, исследуя цель, чтобы ещё больше скомпрометировать инфраструктуру и получить больше данных.
Злоумышленники начали более широко использовать бесфайловые вредоносные программы (с использованием собственных средств системы для выполнения кибератак), чтобы избежать распространенных методов обнаружения, которые сканируют вложения вредоносных файлов или создание новых файлов. Безфайловые атаки программ-вымогателей используют собственные языки сценариев для записи вредоносного кода непосредственно в память целевой системы или захватывают встроенные инструменты для шифрования файлов.
Команды программ-вымогателей начали использовать службы передачи голоса по Интернет-протоколу (VoIP), чтобы вызывать журналистов, клиентов организации и деловых партнеров для дальнейшего принуждения.
В некоторых случаях операторы программ-вымогателей также угрожают своим жертвам DDoS-атаками и публикацией личной информации своих сотрудников, если они не выполнят требование выкупа.
Частные партнёры сообщают о резком росте количества выплаченных выкупов (увеличение более чем на 300%) в период с 2019 по 2020 год из-за большего времени, затрачиваемого на выполнение атак, и многоуровневых методов вымогательства.
Устранение EMOTET
В январе 2021 г. правоохранительные и судебные органы по всему миру отключили ботнет Emotet. Emotet был доставлен на компьютеры жертв через электронные письма, содержащие вредоносную ссылку или заражённый документ. Если жертвы открывали вложение или ссылку, вредоносное ПО устанавливалось. Компьютер становился уязвимым и предлагался в аренду другим преступникам для установки других типов вредоносных программ. Как работал Emotet? Заманивание жертв Установка инфекции Trickbot, QakBot и Ryuk были среди семейств вредоносных программ, которые использовали Emotet для проникновения в машину. Emotet открыл двери для: троянских программ-вымогателей, похитителей информации об известных транзакциях на общую сумму более 400 миллионов долларов США. Кроме того, средняя сумма выплачиваемого выкупа увеличилась со 115 123 долларов США в 2019 году до 312 493 долларов США в 2020 году (увеличение более чем на 170%).
Рост числа партнёрских усилий по программам-вымогателям
Всё дополнительное время и усилия, затрачиваемые на атаки программ-вымогателей для получения более крупных выплат, обеспечиваются постоянным развитием и специализацией экосистемы криминальных структур (модель «Преступление как услуга»). За последний год был отмечен рост партнёрских усилий по программам-вымогателям, независимо от того, продаются ли они публично широкому кругу потенциальных пользователей или предлагаются частным образом небольшой группе хакеров.
Общедоступные партнёрские программы вымогателей — не совсем новое явление, поскольку субъекты, взламывающие систему жертвы и затем платящие оператору за использование своего вредоносного ПО, уже довольно давно наблюдаются в экосистеме киберпреступников. Больше поводов для беспокойства вызывает рост частных партнерских программ, которыми обычно управляют более известные преступные группы вымогателей.
Эти злоумышленники ищут разработчиков и хакеров, чтобы улучшить функциональность вредоносного ПО или получить доступ к инфраструктуре важных целей. Команды программ-вымогателей также сотрудничают с другими разработчиками вредоносных программ.
Угроза мобильного вредоносного ПО становится реальностью
Мобильное вредоносное ПО уже долгое время представляет собой надвигающуюся угрозу в Европе, но так и не материализовалось в ожидаемой степени из-за отсутствия масштабируемости как устойчивой бизнес-модели. К сожалению, в этом году киберпреступники совершили прорыв, и количество сообщений о вредоносном ПО для мобильных устройств в правоохранительные органы значительно увеличилось. Улучшены мобильные банковские трояны. Ландшафт угроз для банковских троянов Android теперь включает новые тактики и методы кражи учётных данных. В ряде семейств вредоносных программ для мобильного банкинга реализованы новые возможности на устройстве для совершения мошенничества путем манипулирования банковскими приложениями на устройстве пользователя с помощью модулей автоматизированной системы переводов (ATS) на базе Android Accessibility Service.
Банковские трояны, такие как Cerberus и TeaBot, также способны перехватывать текстовые сообщения, содержащие одноразовые коды доступа (OTP), отправленные финансовыми учреждениями и приложениями двухфакторной аутентификации (2FA), такими как Google Authenticator. FluBot быстро распространяется. В настоящее время FluBot является одним из самых распространенных мобильных банковских троянов, сеющих хаос в Европе и США. Ключевой частью функциональности вредоносного ПО является его способность устанавливать оверлеи для отображения для проверки в Google Play и различных банковских приложений, что позволяет кражу учетных данных жертв (банковских, кредитных карт и криптокошельков). FluBot использует алгоритм генерации доменов (DGA) для подключения к своему серверу C2, генерируя список доменов, которые нужно попробовать, пока не найдет тот, с которым сможет связаться. Используя этот метод, злоумышленники могут быстро переключать домены, которые они используют для связи C2, когда они блокируются или отключаются. FluBot распространяется путем самораспространения, отправляя фишинговые текстовые сообщения с зараженного устройства в его список контактов.
Возобновление денежно-мотивированных DDoS-атак
Правоохранительные органы и частные партнеры сообщают о повторном появлении DDoS-атак, сопровождаемых требованиями выкупа, а также об увеличении массовых атак по сравнению с предыдущим годом. Киберпреступники нацелены на поставщиков интернет-услуг (ISP), финансовые учреждения, а также малый и средний бизнес (SMB). Обычно небольшая демонстрационная атака на услуги целевых организаций предшествует требованию выкупа. Злоумышленники начали утверждать, что они связаны с хорошо известными группами продвинутых постоянных угроз (APT), такими как Fancy Bear и Lazarus, чтобы запугать жертву и заставить ее заплатить выкуп. Имеются смешанные сообщения о последствиях несоблюдения требований, когда в некоторых случаях угроза крупномасштабной атаки не материализовалась, в то время как в других, таких как атака на Новозеландскую фондовую биржу, злоумышленники выполнили свое обещание.
Сексуальное насилие над детьми в Интернете
Основные тенденции и угрозы, связанные с сексуальной эксплуатацией детей в Интернете, в течение отчетного периода оставались относительно стабильными. Хотя на развитие этой преступной деятельности повлиял ряд факторов, правоохранительные органы не обнаружили значительных изменений. На производство и распространение материалов о сексуальном насилии над детьми (CSAM) повлияло растущее бесконтрольное присутствие детей в Интернете. Распространение приложений для обмена зашифрованными сообщениями и платформ социальных сетей влияет на методы обработки и распространение CSAM среди правонарушителей.
В социальных сетях и на игровых онлайн-платформах наблюдается резкий рост активности по уходу за собой в Интернете. Ключевой угрозой является производство самогенерируемого материала. Этот материал все чаще демонстрируют дети младшего возраста.Общая активность, связанная с распространением CSAM в P2P-сетях, значительно возросла.
Dark Web остается важной платформой для обмена материалами о сексуальном насилии над детьми (CSAM).
Производство и распространение материалов о сексуальных надругательствах над детьми остается серьезной проблемой
Производство и распространение CSAM в Интернете было серьезной проблемой с момента появления Интернета. Правоохранительные органы и некоммерческие организации, занимающиеся защитой детей, ежегодно обнаруживают огромное количество материалов. Во многих случаях преступники производят CSAM в домашней среде жертвы, чаще всего создаваемой теми, кто находится в кругу доверия ребенка.
Дети выходят в Интернет без присмотра в очень раннем возрасте и проводят долгие часы за электронными устройствами. Это подвергает их серьёзным угрозам. Пандемия COVID-19 оказала значительное влияние на присутствие детей в Интернете. Национальные ограничения вынудили к дистанционному и виртуальному обучению, в то время как неспособность участвовать в социальной деятельности привела к тому, что значительно больше времени проводилось в онлайн-играх и на платформах социальных сетей.
Кроме того, растущая нормализация сексуального поведения в Интернете меняет отношение молодых людей к обмену откровенным контентом друг с другом. Эти социальные изменения предоставили правонарушителям более широкую группу потенциальных жертв.
Производство самогенерируемых материалов — ключевая угроза
В течение отчётного периода правоохранительные органы сообщали о резком росте обнаружения самогенерируемых материалов, которыми обмениваются в социальных сетях, в том числе с изображением детей младшего возраста. Неправительственные организации, занимавшиеся обнаружением и удалением онлайн-сообщений CSAM, сообщают, что почти две трети подтвержденных отчетов содержали самодельные материалы, часто созданные в собственной спальне жертвы. Злоумышленники используют уязвимости, чтобы войти в контакт и завоевать доверие несовершеннолетних в Интернете, прежде чем приступить к злоупотреблениям, ведущим к самопроизвольной деятельности жертв.
Правоохранительные органы сообщают о пике случаев онлайн-груминга за последний год, особенно в социальных сетях и на игровых платформах. В других случаях несовершеннолетние вступают в сексуальные отношения в сети с обидчиками, которые завоевывают их доверие, выдавая себя за их сверстников. Преступники, использующие вымышленные личности, часто получают самодельные материалы с помощью манипуляций или шантажа. Некоторые исследования указывают на создание подростками сексуальных образов и обмен ими как на исследование своей сексуальности.
Несовершеннолетние также создают материалы как для финансовой выгоды, так и для повышения своего онлайн-статуса на определенных платформах, собирая лайки и другие индикаторы одобрения. Некоторые правонарушители переходят из сети в оффлайн. В некоторых случаях злоумышленники убедили жертв встречаться в реальной жизни, превратив онлайн-насилие в физическое, которое также может продолжаться в течение долгого времени посредством принуждения или вымогательства.
Случаи жестокого обращения с детьми на расстоянии (LDCA) продолжают увеличиваться.
Ограничения на поездки и контакты, вызванные пандемией COVID-19, вероятно, повлияли на угрозу LDCA, что сделало их жизнеспособной альтернативой для тех, кто обычно является транснациональными преступниками на сексуальной почве в отношении детей. LDCA может быть дополнительным источником производства CSAM. Некоторые правонарушители записывают или захватывают жертв, совершающих в их интересах сексуальные действия в прямом эфире без ведома жертв. Правоохранительные органы наблюдали за обменом новыми «закрытыми» материалами на форумах Dark Web.
Одноранговые (P2P) сети обмена файлами остаются важными каналами для распространения CSAM
CSAM обычно хранится в сети или локально на защищенных паролем дисках. Преступники часто используют сквозные зашифрованные каналы связи, платформы социальных сетей и доски изображений для распространения незаконного контента. Частные группы, посвященные обмену CSAM, продолжают расти в приложениях для обмена сообщениями. Одноранговые (P2P) сети обмена файлами остаются важным каналом для обмена CSAM от пользователя к пользователю или в небольших группах. Некоторые страны сообщили о значительном общем увеличении использования распределительных сетей P2P. Эта тенденция согласуется с пиком, зарегистрированным на ранних стадиях пандемии COVID-1919, и позже подтвержденным при сравнении данных за 2019 и 2020 годы. Однако в отчете IOCTA 2020 сообщалось о снижении активности P2P.
Dark Web остается важной платформой для обмена CSAM
Несмотря на успешные действия правоохранительных органов по закрытию платформ, ориентированных на сексуальное насилие над детьми, группы, способствующие обмену CSAM в Dark Web, продолжают расти и представляют собой постоянную угрозу. Преступники часто обмениваются незаконным контентом в этих группах через прямые ссылки на хосты изображений в Clearnet и Dark Web, где хранится CSAM. В некоторых случаях они также используют сайты киберблокировщиков, где пользователи платят поставщикам контента за каждую регистрацию и последующую загрузку своего контента.
Европейская комиссия работает над предложением о создании центра ЕС по предотвращению и противодействию сексуальному насилию над детьми. Его цель — обеспечить эффективный и скоординированный подход к сексуальному насилию над детьми в ЕС. Он будет охватывать профилактику, поддержку LE и поставщиков услуг, и поддержка пострадавших. Центральная роль Европола, как это предусмотрено Комиссией ЕС, в предлагаемом центре ЕС по предотвращению сексуального насилия над детьми и борьбе с ним, будет гарантировать, что он продолжит предоставлять высококачественные услуги государствам-членам ЕС и партнёрам, заключившим рабочие соглашения. Ориентированный на жертв подход Европола в области сексуального насилия над детьми в Интернете, о чём свидетельствует деятельность Целевой группы по идентификации жертв и таких инициатив, как «Отследить объект — спасение ребенка», наряду с превентивными инициативами, такими как #SayNo, позволяет организации хорошо выполнять такую роль.
Материалы о сексуальном насилии в детстве Форумы хорошо структурированы, а пользователи организованы иерархически в зависимости от их ролей. Пользователи берут на себя роли в зависимости от их вклада в сообщество и могут быть администраторами, модераторами или пользователями. В некоторых случаях пользователи берут на себя роль модераторов на нескольких платформах, облегчая распространение CSAM среди более широкой аудитории. Использование этих специализированных платформ не ограничивается распространением материалов, но открывает форум для обмена мнениями для единомышленников, где правонарушители могут поделиться опытом, методами совершения злоупотреблений и успешными контрмерами для уклонения от обнаружения или предотвращения его обнаружения. Эти сети хорошо структурированы, управляемы и достаточно сплочены. Новые пользователи должны завоевать доверие сообщества, чтобы быть принятыми в группу, например, путем участия в недавно созданном или опубликованном CSAM. Отсутствие в сети одного из участников может вызывать беспокойство в сообществе. Фактически правила присоединения обычно предусматривают активное участие в сообществе, а бездействие может привести к потере членства. В некоторых случаях, сообщества не ограничиваются онлайн-измерением, высокопоставленные члены группы также встречаются в реальной жизни.
CSAM с целью получения прибыли продолжает представлять растущую угрозу
За исключением LDCA, преступления, связанные с сексуальным насилием над детьми, обычно не совершаются с целью получения финансовой выгоды. Однако монетизация CSAM представляет собой растущую угрозу. Годовой доход сайтов CSAM, по оценкам, увеличился более чем в три раза в период с 2017 по 2020 год. Криптовалюты являются предпочтительной валютой для этих типов транзакций. В некоторых случаях правонарушители платят несовершеннолетним напрямую за обмен собственноручно созданным контентом. Правоохранительные органы заметили изменения в использовании онлайн-платформ, которые должны использоваться взрослыми только для обмена откровенным контентом для взрослых в этом смысле. Некоторые из этих платформ не в состоянии предотвратить доступ несовершеннолетних, которые регистрируются с поддельной идентификацией и продают или появляются в откровенных видео.
BOYSTOWN TAKEDOWN
Платформа Dark Web, известная как Boystown, была заблокирована международной целевой группой, созданной Федеральной уголовной полицией Германии (Bundeskriminalamt), в которую входили Европол и правоохранительные органы из Австралии, Канады, Нидерландов, Швеции и США. Этот сайт был посвящен сексуальному насилию над детьми, и на момент его закрытия у него было 400 000 зарегистрированных пользователей. В то же время были арестованы несколько других чатов в Dark Web, используемых несовершеннолетними преступниками, совершившими сексуальные преступления. Этот случай показывает, что Европол видит в преступлениях, связанных с сексуальным насилием над детьми: онлайн-сообщества несовершеннолетних правонарушителей в Dark Web демонстрируют значительную устойчивость в ответ на действия правоохранительных органов, направленные на них. Их реакция включает возрождение старых сообществ, создание новых сообществ и принятие решительных мер по их организации и управлению.
Мошенничество в сети
Преступники продолжают получать значительную прибыль, а известные виды онлайн-мошенничества остаются эффективными. Хотя преступникам не пришлось заново изобретать свои методы работы, они продолжают их совершенствовать, делая их более целенаправленными и технически продвинутыми.
COVID-19 продолжает оказывать значительное влияние на ситуацию с мошенничеством в Европе на второй год пандемии.
Фишинг и социальная инженерия остаются основными векторами мошенничества с платежами, которые увеличиваются как в объеме, так и в изощренности.
Инвестиционное мошенничество процветает, поскольку граждане несут огромные убытки, но компрометация деловой электронной почты (BEC) и мошенничество со стороны генерального директора также остаются ключевыми угрозами.
Мошенничество без предъявления карты находится под контролем, поскольку ограничения COVID-19 уменьшают виды мошенничества, связанные с поездками.
Мошенничество с инвестициями стало серьезной проблемой, поскольку фишинг и социальная инженерия еще больше увеличились, принося значительные преступные доходы. Поскольку пандемия COVID-19 ограничивает поездки, переход к онлайн-покупкам увеличил возможности для мошенничества.
Интернет-магазины во времена COVID-19 приводят к мошенничеству с доставкой
Продолжая прошлогоднюю тенденцию, пандемия COVID-19 оказала значительное влияние на ситуацию с мошенничеством в Европе. Таким образом, европейские правоохранительные органы сообщают об общем росте онлайн-мошенничества, поскольку преступники использовали возросшую онлайн-активность. В некоторых из этих преступлений используются приманки, связанные с COVID-19, такие как фишинг или продажа поддельной медицинской продукции, в то время как другие стремятся использовать побочные эффекты пандемии. К ним относятся ослабление установленных процедур безопасности из-за того, что сотрудники работают из дома, и повсеместный переход к покупкам в Интернете. Распространение запретов на всю Европу принесло с собой ряд новых возможностей электронной коммерции, которые часто оказывались мишенью для преступников. В частности, мошенничество с доставкой стало новым криминальным направлением на второй год пандемии. Преступники предлагают товары и получают оплату без доставки, обманывают интернет-магазины со слабыми мерами безопасности или используют службы доставки в качестве фишинговых приманок. Выдавая себя за службы доставки, преступники связываются с потенциальными жертвами со ссылками на фишинговые веб-сайты, якобы предлагающие информацию о доставке посылки, с целью получения учетных данных пользователя и данных платежной карты.
Преступники смешивают такие методы работы, как рост фишинга и социальной инженерии
За последний год мы стали свидетелями дальнейшего значительного роста фишинга и социальной инженерии. Значительно возросло количество попыток фишинга, связанных с COVID-19, в первую очередь с помощью телефона (вишинг) и текстовых сообщений (смишинг). В то время как испытанные и проверенные подходы социальной инженерии по-прежнему очень хорошо работают для преступников, фишинговые кампании продолжают развиваться. Скомпрометированная информация в результате утечки данных становится все более доступной и доступной. Преступники совершили всё чаще использовали эту возможность, чтобы повысить свои шансы на успех путем создания целевых кампаний. Традиционно успешные преступления, такие как компрометация деловой электронной почты, мошенничество со стороны генерального директора, вымогательство и различные виды мошенничества, — все это связано с доступностью личных данных потенциальных жертв. Поскольку эти данные могут иметь ключевое значение для повышения успешности преступной деятельности, это привело к бесконечному циклу мошенничества, на котором процветает черный рынок скомпрометированной информации.
Вишинг и смишинг особенно выиграли от использования украденных данных. В сочетании со спуфингом, когда с жертвами связываются, используя законно выглядящие идентификаторы вызывающего абонента или текстовые псевдонимы, преступники придавали этим типам мошенничества значительный авторитет. Наряду с другими разработками, мошенники чаще сочетают традиционные попытки социальной инженерии с техническими компонентами, особенно для жертв пожилого возраста. Например, все более частое использование троянов удалённого доступа (RAT) в вишинге использует недостаток технических знаний со стороны цели, что потенциально может привести к полному доступу к учётной записи и значительному финансовому ущербу.
Один из новых методов поиска — это мошенничество с безопасным аккаунтом. В этом виде мошенничества преступники беседуют со своими жертвами, притворяясь сотрудниками финансовых учреждений или полиции, с поддельными идентификаторами вызывающих абонентов, информируя их о том, что им необходимо защитить свои деньги от преступников. Для этого им приказывают переводить свои средства на «безопасный счет», который, на самом деле, находится под контролем преступников и впоследствии используется в сети денежных мулов для отмывания незаконных доходов.
Банковские фишинговые электронные письма
Фишинг — это мошеннические электронные письма, которые обманом заставляют получателей делиться своей личной, финансовой информацией или информацией о безопасности. Эти письма могут выглядеть идентично типам корреспонденции, которую отправляют реальные банки. Они копируют логотипы, макеты и тон реальных писем, и просят вас скачать прикреплённый документ или перейти по ссылке. При этом используют язык, передающий ощущение срочности.
В свете пандемии COVID-19 преступники использовали вишинг для получения доступа к банковским счетам жертв в странах, в которых медицинские услуги привязаны к идентификаторам мобильных банков. В этих случаях преступники связываются с гражданами по телефону и просят их представиться, чтобы договориться о вакцинации или других медицинских услугах. Преступники использовали это обстоятельство, чтобы убедить жертв предоставить документы, удостоверяющие личность, для входа в банковские счета и бессознательного перевода денег преступникам.
Инвестиционное мошенничество
Инвестиционное мошенничество стало наиболее распространенным видом мошенничества за последний год.
Криптовалюты стали самыми популярными благодаря различным активам, поскольку скачок цен в начале 2021 года привлек ряд новых инвесторов. Поддельные инвестиционные веб-сайты особенно подходят в этом контексте, поскольку преступники могут использовать недостаток знаний, а в некоторых юрисдикциях — нормативные препятствия, касающиеся доступа к биржам криптовалют. В то же время, преступники продолжают совершенствовать и совершенствовать этот вид мошенничества. Подлинно выглядящие рекламные кампании, незаконное использование знаменитостей и даже личные рекомендации через схемы онлайн-знакомств — все это помогает привлечь ничего не подозревающих жертв на эти поддельные платформы.
Кроме того, преступники становятся более профессиональными, управляя местными центрами обработки вызовов для работы с разными языками, создавая более легитимно выглядящие веб-сайты, используя программное обеспечение удаленного доступа для захвата учётных записей жертв и управляя сложными сетями денежных мулов. Такое смешение различных методов работы — ключевая тенденция инвестиционного мошенничества.
Все чаще преступники дважды бьют своих жертв: после кражи инвестиций преступники связываются с потерпевшими, выдавая себя за адвокатов или сотрудников правоохранительных органов, предлагая помощь в возврате их средств. С помощью подробных знаний о краже они часто могут обмануть своих жертв несколько раз.
Мошенничество без предъявления карты
Мошенничество с отсутствием карты (CNP), по-видимому, в значительной степени находится под контролем. В странах, где действительно увеличилось количество случаев CNP, преступники часто использовали обстоятельства пандемии COVID-19. Службы доставки еды, игровые платформы и другие платформы электронной коммерции были объектами мошенничества или использовались для кражи данных карт.
Переход от физических покупок к электронной коммерции привел к усилению внимания преступников к электронному скиммингу. По мере того, как через интернет-магазины совершается все больше и больше транзакций, наблюдается рост использования онлайн-скимминга с целью кражи данных карт. Хотя методы работы не изменились, преступники добавили в свои арсеналы ряд новых электронных скиммеров, в частности анализаторов JS. Когда во многих государствах-членах ЕС были введены жесткие блокировки, количество логических атак на банкоматы (банкоматы) значительно сократилось. Такое развитие событий в основном связано с ограничениями COVID-19, не позволяющими преступникам путешествовать. По мере того как логические атаки на банкоматы исчезли, преступники с техническими способностями перешли на другие поверхности цифровых атак, такие как мобильные устройства. Однако снижение количества атак на банкоматы не было постоянной тенденцией. Как только запреты на поездки и ограничения на поездки были ослаблены, многие государства-члены ЕС начали сообщать о значительном росте преступности этого типа. Банкоматы продолжают оставаться привлекательной мишенью для преступников. Многие старые модели банкоматов уязвимы для атак, поскольку в них не установлены последние обновления программного обеспечения.
Dark Web
Пользователи Dark Web всё чаще используют Wickr и Telegram в качестве каналов связи или для обхода рыночных сборов.
Пользователи Dark Web всё чаще используют анонимные криптовалюты, такие как Monero, и службы обмена.
Пользователи полагаются на все более сложную операционную безопасность, быстро мигрируя на другие (безпользовательские) рынки или рынки, требующие ручного PGP после удаления.
Серая инфраструктура все больше способствует процветанию пользователей Dark Web.
Последние годы показали множество успешных международных совместных попыток уничтожения рынков Dark Web. Это привело к очень нестабильной среде. Тем не менее, некоторые продавцы и рынки продолжают процветать. Продавцы и другие пользователи рынков Dark Web, в том числе в сфере сексуальной эксплуатации детей, просто мигрируют на новую платформу после успешного закрытия Dark Web правоохранительными органами.
Присутствие групп программ-вымогателей на выделенных скрытых сервисах в Dark Web, предлагающих свои вредоносные программы «как услугу», увеличилось.
Оружие все чаще продается в зашифрованных приложениях чата, таких как Telegram и Wickr, но на торговых площадках Dark Web продается немного меньше.
Европол оказал помощь в аресте гражданина Италии, подозреваемого в найме киллера в Dark Web. Кроме того, несколько правоохранительных органов ЕС упомянули о том, что наёмные убийцы были заказаны, а оружие, приобретенное в Dark Web, было конфисковано. О нескольких подобных случаях сообщалось в СМИ.
Например, в Нидерландах человека приговорили к 8 годам тюремного заключения за несколько попыток заказать убийство по контракту с помощью платформ в Dark Web и зашифрованных приложений чата. Кроме того, оружие продавалось на торговой площадке Dark Web, закрытой в мае 2021 года французскими властями. В сентябре 2020 года в Испании был демонтирован нелегальный цех по печати трехмерного оружия, что свидетельствует о новом методе работы. Подозреваемый скачал из даркнета шаблоны для печати оружия. Во время одного из обысков дома в рамках совместной операции Налогового управления Испании и Национальной полиции сотрудники правоохранительных органов обнаружили различные 3D-принтеры, на одном из которых производилась печать небольшого огнестрельного оружия. Более того, Продавцы не перестали использовать возможность злоупотреблять неопределенностью, окружающей пандемию, предлагая на продажу поддельные вакцины и маски, тем самым обманывая покупателей.
Фрагментация и вытеснение пользователей Dark Web
Правоохранительные органы ЕС выявили угрозу фрагментации Dark Web, которая проявляется в различных способах работы. Правоохранительные органы ЕС сообщили о дальнейшем увеличении числа магазинов с одним продавцом и небольших рынков на Tor и указали, что фрагментация также заметна в криминальных сетях, поскольку они, как правило, используют различные учетные записи на различных торговых площадках. Кроме того, например, увеличилось использование зашифрованных коммуникационных платформ за пределами торговых площадок Dark Web для продажи незаконных товаров и услуг. В частности, правоохранительные органы несколько раз упоминали Wickr и Telegram. Например, одна страна указала, что 70% поставщиков, которые, по-видимому, работают из страны респондента, указали в своем профиле рынка Dark Web имя пользователя Wickr, а 20% указали контактную информацию Telegram. Все более широкое использование основных платформ с надёжным шифрованием, которые в основном используются в законных целях, создает проблему для правоохранительных органов. Это также показывает, что исследователям Dark Web необходимо расширить свое внимание на другие платформы. В некоторых странах закрытие торговых площадок Dark Web с локальным или национальным акцентом могло привести к частичному вытеснению мобильных приложений. Правоохранительные органы определили бот-платформу Telegram / службу Televend, а также новый метод поставки или управления незаконными товарами на местном уровне, в том числе для известных поставщиков Dark Web. Televend автоматизирует часть процесса продажи и покупки, но также включает меньше механизмов безопасности, что повышает вероятность мошенничества пользователей.
Немецкие правоохранительные органы уже провели успешную операцию, отключив девять групп Telegram, в которых продавались нелегальные товары и услуги, что свидетельствует о том, что это новое явление также не исключает вмешательства правоохранительных органов.
Более широкое использование Monero и сервисов некооперативного обмена Биткойн до сих пор оставался предпочтительной криптовалютой для пользователей Dark Web. Однако преступное использование конфиденциальной монеты Monero на торговых площадках Dark Web еще больше увеличилось. Как сообщалось в прошлом году, Monero становится самой популярной монетой конфиденциальности в Dark Web.
Использование обменников относится к более широкой тенденции принятия более сложных методов отмывания денег. На заре создания торговых площадок Dark Web поставщики часто просто переводили криптовалюту напрямую с торговой площадки на биржу. Тем не мение, за последние несколько лет популярность приобрели многие различные методы обфускации, такие как микшеры, CoinJoin, своппинг, крипто-дебетовые карты, биткойн-банкоматы, местная торговля и многое другое.
Рекомендации
1. Секретные возможности становятся все более важными в расследовании киберпреступлений. Для борьбы с вышеупомянутыми надвигающимися угрозами сотрудники правоохранительных органов должны иметь возможность иметь своевременный доступ к данным и проводить законную тайную работу для обеспечения безопасности общества (в России — оперативно-розыскная деятельность – В.О., Ю.Ж.).
Законодательные ограничения затрудняют доступ следователей к закрытым группам с строгим контролем доступа. Поскольку меры безопасности киберпреступников усиливаются в различных областях, необходимо признать важность тайных действий.
2. Расследования выиграют от более длительного хранения данных, а также от более быстрого и качественного обмена данными с поставщиками услуг. Правовые препятствия для хранения и обмена данными сохраняются. Интернет-провайдеры часто не хранят данные достаточно долго, что может привести к потере потенциальных доказательств. Более чёткие правила регистрации IP-адресов и доменов могут повысить качество этих данных. Директива об электронных доказательствах может этому способствовать.
3. Расширение международного сотрудничества в расследовании также может сократить время ожидания в некоторых случаях, поскольку международные партнёры могут быстрее получить информацию. Кроме того, расширение международного сотрудничества, например, в анализе цепочки блоков, может привести к разрешению конфликтов и минимизировать случаи, когда несколько органов власти преследуют одни и те же потенциальные клиенты.
4. Правоохранительным органам необходимо дополнительное обучение и инструменты, чтобы иметь сотрудников, способных раскрывать и пресекать преступную деятельность в цифровой сфере. Для адекватного противодействия киберпреступности необходимы более технически квалифицированные офицеры и обучение из-за возросшей технической сложности. Разработка передовых технологий (в идеале в сотрудничестве с правоохранительными органами) и усиление внимания к тайной деятельности будут способствовать достижению цели борьбы с киберпреступностью и улучшения идентификации жертв.
Инструменты анализа данных, такие как отслеживание и дешифрование криптовалюты, приобретают все большее значение при расследовании многих типов киберпреступлений.
5. Оптимизация обмена информацией и повышение осведомлённости. Интенсивное государственно-частное партнёрство может способствовать снижению успеха киберпреступников. Например, обмен опытом и информацией с финансовыми учреждениями может помочь в получении данных о киберпреступниках и может помочь быстро заблокировать их преступные доходы.
Осведомлённость потенциальных жертв киберпреступлений следует повышать в любом возрасте, особенно в области сексуальной эксплуатации детей, когда дети, родители и опекуны должны узнавать о потенциально опасном поведении в сети.
Необходимы меры по повышению осведомлённости о мошенничестве с использованием интернет-маркетинга, онлайн-инвестиций и мошенничества в электронной коммерции, чтобы помочь снизить уровень мошенничества и предотвратить виктимизацию.
Компании, особенно те, которые работают за пределами Европейского Союза, должны улучшить свои методы «Знай своего клиента» (KYC) и раскрытие информации.
Наконец, жизненно важно продолжать повышать коллективную грамотность и осведомлённость в области информационных технологий (ИТ), поскольку киберпреступность прочно укоренилась в нашем обществе.
