RU EN
Добро пожаловать на SKY-FRAUD.RU, после регистрации , вам будут доступны все разделы форума.
Вернуться   SKY-FRAUD.RU > Проект NETSKY > СМИ о нас > На SAS рассказали, как выслеживали фишера
 
Adv. info:
Важная информация
Основные домены форума: SKY-FRAUD.RU | S-FRAUD.RU

TOR: bcbm4y7yusdxthg3.onion

XMPP.NAME - Официальный Jabber сервер для участников SKY-FRAUD.RU
СМИ о нас Интересные новости, касающиеся кардинг- и других тематик.
Ежедневное обновление и переводы зарубежных новостей.

UAS section 1
Advert 2
Advert 3
Ответ
 
Опции темы Опции просмотра
Старый 08.04.2017, 18:35   #1
SkyNet
Administrator
 
Аватар для SkyNet
 
SkyNet вне форума
Регистрация: 01.01.2013
Адрес: netsky.bz
Сообщений: 9,856
Отправить сообщение для SkyNet с помощью ICQ
Post На SAS рассказали, как выслеживали фишера

Выступая на саммите SAS, Петер Крусе (Peter Kruse) и Ян Коструп (Jan Kaastrup) из датской ИБ-компании CSIS Security Group рассказали увлекательную историю о том, как современные следопыты добираются до первоисточника вредоносной активности. Исследователям пришлось пробраться через лабиринт прокси, скомпрометированных веб-серверов и плохо защищенных роутеров, прежде чем они сумели с уверенностью сказать: вот он, автор фиш-пака. Злоумышленник пока не знает, что его выследили: эксперты заподозрили, что он может являться инициатором более масштабной киберкампании.

Как и во многих других случаях фишинга в наши дни, атаки, обнаруженные CSIS, начинаются с мошеннического письма. Потенциальную жертву под убедительным предлогом вынуждают перейти по ссылке на поддельный сайт и заполнить там веб-форму. По свидетельству Крусе, ловушки, созданные в ходе заинтересовавшей исследователей киберкампании, имитировали ресурс реального банка или сайты Apple. По свидетельству Крусе, готовый набор для фишинга, с помощью которого проводились эти атаки, продается на черном рынке, он «незамысловат и удобен в использовании».

Для проведения атаки злоумышленник, согласно CSIS, задействует прокси, находящиеся в Нидерландах, и скомпрометированный веб-сервер. С помощью инструментов, хранящихся на сервере репозитория, он похищает учетные данные и реквизиты кредитных карт, далее использует другой прокси-сервер, в Дании, и обналичивает чужие денежные средства.

Сервер репозитория был обнаружен с помощью артефактов, выявленных в ходе криминалистического анализа. На этом сервере хранился файл CACAT, содержащий ссылки на «орудия труда»: более 1 тыс. взломанных серверов, список мишеней и шаблоны для спам-рассылок. В одной из папок на скомпрометированном сервере была найдена информация о поддельном сайте Apple, оформленная на итальянском языке, и о количестве просмотров.

Когда дело доходит до отъема денег, автор атаки проксирует трафик через ряд домашних ADSL-роутеров производства ZyXEL. По словам исследователей, эти широко используемые устройства поставляются с дефолтными именем пользователя и паролем, что облегчает их компрометацию. «[Производитель роутеров] заявил нам: ‘Приходится ждать, пока кто-нибудь пожалуется, тотальная замена слишком дорого обойдется’, – сетует Крусе. – Многим интернет-провайдерам вообще все равно, и это осложняет жизнь и мне, и вам».

Несмотря на все препятствия, исследователям удалось вычислить создателя фиш-пака. Подозреваемый известен как L33bo и открыл аккаунт на eBay под тем же ником. Установлено также, что это уроженец Румынии, проживающий в Великобритании, и у него есть автомобиль MG ZT.

Датчанин Крусе известен как очень педантичный исследователь, способный терпеливо идти шаг за шагом, собирая доказательства буквально по крохам. На прошлогоднем SAS эксперт представил ряд данных, включая профиль Facebook и род занятий, уличающих злоумышленника в авторстве Dyreza, он же Dyre.

В ходе нынешней презентации Крусе с сожалением отметил, что в некоторые страны роутеры ADSL поставляются с общим открытым SSH-ключом. Это позволяет отслеживать их аудиторию и провоцировать пользователей на необдуманные действия.

Просмотрев журнал посещений за час фишинговой рассылки, исследователи обнаружили экземпляры взломанных роутеров по всему миру. Многие из них прописаны в Швейцарии и Дании, на родине Крусе и Кострупа. «Мы благоденствуем, но очень наивны и кликаем без разбору», – шутит Крусе.

Со слов эксперта, полиция вела перехват на прокси-сервере L33bo несколько месяцев, однако эта слежка осуществлялась без ордера, и обвинения против злоумышленника выдвинуть не удалось. L33bo и поныне активен, и его фиш-пак вполне успешен, но слив новых подробностей может изменить эту ситуацию. «Он пока не под стражей, но определенно является частью чего-то большего», – заключил Крусе, намекая на возможность появления новых фактов в «деле L33bo».
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[[Для просмотра данной ссылки нужно зарегистрироваться] | [Для просмотра данной ссылки нужно зарегистрироваться]]
JABBER: adv.support2@xmpp.name
 
Ответить с цитированием

Advertising \ Реклама
2FORCE.SU - THE BIGGEST CVV SHOP ON THE UNDERGROUND MARKET

HQ DUMPS by Donald Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-SERVICE.RU \ UAS-SERVICE.SU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-SERVICE.RU \ UAS-SERVICE.SU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU



Старый 09.04.2017, 19:36   #2
Silentlead
Member
 
Аватар для Silentlead
 
Silentlead вне форума
Регистрация: 24.08.2016
Сообщений: 63
По умолчанию

Цитата:
Сообщение от SkyNet Посмотреть сообщение
Подозреваемый известен как L33bo и открыл аккаунт на eBay под тем же ником
как все просто))
 
Ответить с цитированием
Старый 09.04.2017, 19:42   #3
vvvbbbvvv
Senior Member
 
Аватар для vvvbbbvvv
 
vvvbbbvvv вне форума
Регистрация: 06.08.2015
Сообщений: 111
По умолчанию

Интересная статья.
 
Ответить с цитированием
Старый 09.04.2017, 22:46   #4
gauravrock
Junior Member
 
Аватар для gauravrock
 
gauravrock вне форума
Регистрация: 25.06.2016
Сообщений: 24
По умолчанию

Цитата:
Сообщение от Silentlead Посмотреть сообщение
как все просто))
Вряд ли это сыграло какую то роль.
 
Ответить с цитированием
Старый 09.04.2017, 23:11   #5
ivchatov93
Member
 
Аватар для ivchatov93
 
ivchatov93 вне форума
Регистрация: 13.08.2015
Сообщений: 76
По умолчанию

Цитата:
Сообщение от SkyNet Посмотреть сообщение
Со слов эксперта, полиция вела перехват на прокси-сервере L33bo несколько месяцев, однако эта слежка осуществлялась без ордера, и обвинения против злоумышленника выдвинуть не удалось.
ахахахах концовка убила
 
Ответить с цитированием
Старый 09.04.2017, 23:17   #6
jasil
Member
 
Аватар для jasil
 
jasil вне форума
Регистрация: 07.08.2015
Сообщений: 88
По умолчанию

Цитата:
Сообщение от ivchatov93 Посмотреть сообщение
ахахахах концовка убила
Ему будет интересно подобные новости про себя теперь читать))
 
Ответить с цитированием
Старый 09.04.2017, 23:34   #7
Chinx
Senior Member
 
Аватар для Chinx
 
Chinx вне форума
Регистрация: 24.08.2016
Сообщений: 111
По умолчанию

Только помогли пацану
 
Ответить с цитированием
Старый 11.04.2017, 19:10   #8
JJTompson
Member
 
Аватар для JJTompson
 
JJTompson вне форума
Регистрация: 17.08.2015
Сообщений: 38
По умолчанию

Наверное отдохнет он на годик))
 
Ответить с цитированием
Старый 11.04.2017, 19:34   #9
fedosey89
Member
 
Аватар для fedosey89
 
fedosey89 вне форума
Регистрация: 14.08.2015
Сообщений: 85
По умолчанию

Цитата:
Сообщение от SkyNet Посмотреть сообщение
Со слов эксперта, полиция вела перехват на прокси-сервере L33bo несколько месяцев, однако эта слежка осуществлялась без ордера, и обвинения против злоумышленника выдвинуть не удалос
Та ну бред какой то...
 
Ответить с цитированием
Старый 11.04.2017, 21:59   #10
KonstantinT
Junior Member
 
Аватар для KonstantinT
 
KonstantinT вне форума
Регистрация: 24.08.2016
Сообщений: 16
По умолчанию

Цитата:
Сообщение от fedosey89 Посмотреть сообщение
Та ну бред какой то...
У нас бы и без ордера закрывали бы, а вообще да очень странно.
 
Ответить с цитированием
Ответ
Метки
крусе, что, как, атаки, сервере, помощью, для, это, l33bo, sas, пока, под, ходе, csis, свидетельству, злоумышленника, злоумышленник, автор, известен, apple, дании, фиш-пака, эти, исследователей, фишинга
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В Германии арестована группировка фишеров SkyNet СМИ о нас 0 16.03.2017 12:27
Фишер попался на собственную удочку SkyNet СМИ о нас 0 07.10.2015 13:29
Что пишет и читает палка? Gambler Платёжные системы 18 06.10.2015 15:43
Фишеры «увели» из BitPay $1,8 млн SkyNet СМИ о нас 0 18.09.2015 17:06
Новости от фишеров SkyNet СМИ о нас 0 19.03.2014 16:17