Zbudował sobie przestępcze imperium, szczególnej wiedzy nie potrzebował

Sfabrykowane strony, szkodliwe aplikacje, fałszywi konsultanci – to wszystko oczywiste wektory ataku na cudze pieniądze. Zazwyczaj jednak obserwujemy je tylko z zewnątrz, a tymczasem badacz bezpieczeństwa Pol Thill, jak twierdzi, zdołał jedną z grup zajmujących się oszustwami bankowymi zinfiltrować. Jego raport to fascynująca historia o tym, że cyberprzestępca nie zawsze musi być komputerowym geniuszem, jak widzi go popkultura. Czasem to pospolity cwaniak, który trafia na podatny grunt.

Takim cwaniakiem miał okazać się mężczyzna o pseudonimie Neo_Net, mieszkający na co dzień w Meksyku. Bez szczególnej wiedzy technicznej, za to dzięki ogólnie pojmowanej operatywności, według wyliczeń Thilla napastnik w okresie od czerwca 2021 do kwietnia 2023 roku zarobił co najmniej 350 tys. euro (ok. 1,5 mln zł). W tym czasie przyczynił się do wyczyszczenia niezliczonej liczby kont na całym świecie, należących do klientów banków takich jak m.in. Santader, Credit Agricole oraz ING. Wiadomo, że działał także na terenie Europy.

Szkodliwy SMS jako usługa. Albo kradzież kodu 2FA

Neo_Net rzadko atakował na własną rękę. Znacznie częściej dostarczał ponoć jedynie narzędzia, brudną robotę zostawiając innym – czytamy. Kiedy wszedł w posiadanie skryptu gromadzącego dane, jako usługę zaczął oferować tworzenie fałszywych serwisów transakcyjnych. Na tej samej zasadzie oferował wysyłki SMS-owe oraz aplikacje na Androida, które na mocy uzyskanych uprawnień mogły wiadomości odczytywać, wyciągając z nich kody 2FA.

Przestępca w pewnym momencie, dokładniej w okolicach maja 2022 roku, założył ponadto kanał w komunikatorze Telegram. Jak ustalono, właśnie tam komunikował się ze swymi klientami, podczas gdy rozliczenia przyjmował wyłącznie w kryptowalutach. W kulminacyjnym momencie mógł obsługiwać nawet 1700 mniejszych naciągaczy, biorąc tym samym niebezpośredni udział w niemal milionie incydentów finansowych, choć sam oczywiście zdobył tylko część całkowitej kwoty z dokonanych wyłudzeń i kradzieży.

Co jednak najbardziej symptomatyczne, Neo_Net w opinii badacza nie działał niczym typowy przestępca, dążący do ukrycia swej aktywności. W zamian zachowywał się jakby stał na czele korporacji. Pojedyncze instancje sprzedawanych, szkodliwych narzędzi zawsze miały wspólną nazwę handlową, PRIV8, a klienci mogli liczyć na dostęp do rozbudowanego panelu i wsparcie na wzór biura obsługi. Mało tego, bo napastnik uruchomił w Telegramie bot, by przyspieszyć realizację kampanii. Ale to nie koniec.

Trochę szok? Wszystko działo się w świetle dziennym

Nie mniej szokujące wydaje się to, że tak opasłe imperium powstało dosłownie na widoku. Przestępca nie ukrywał się w dark webie. Jego witryny dostępne były dla każdego, kto pokusił się o rejestrację, ale paradoksalnie to właśnie mogło być ważnym czynnikiem decydującym o sukcesie. Jak mawiają, najciemniej jest pod latarnią, a rozmaite służby z zasady drążą głęboko, pomijając bliższą perspektywę. Neo_Net skrzętnie z tego korzystał.

Sukces ich kampanii można przypisać wysoce ukierunkowanemu charakterowi ich operacji, często koncentrując się na jednym banku i kopiując ich komunikację do podszywających się pod przedstawicieli bankowych

– czytamy w raporcie końcowym.

Dziś wiemy, że dzięki interwencji specjalistów ds. cyberbezpieczeństwa Neo_Net musiał swą działalność zakończyć w kwietniu 2023 roku. Ale nie wiemy, jak potoczyły się dalsze losy samego przestępcy. Pol Thill jako główny zaangażowany informuje jedynie dość ogólnikowo, że odpowiednie służby zostały powiadomione. Logika nakazywałaby sądzić, że napastnik albo już jest w rękach policji, albo obława trwa. Pamiętajmy jednak, że w Meksyku nie zawsze wygląda to podręcznikowo.

Źródło zdjęć: silvabom / Shutterstock

Źródło tekstu: SentinelOne, oprac. własne