Mažiausiai penkių milijonų žmonių internetinės tapatybės buvo pavogtos ir parduodamos „botų“ rinkose vidutiniškai po 6 eurus. Iš visų nukentėjusių – 12 tūkst. iš Lietuvos.
Tai didelis skaičius, atsižvelgiant į interneto vartotojų skaičių Lietuvoje ir palyginus su kitomis Baltijos šalimis. Pavyzdžiui, Latvijoje nukentėjo tik penki tūkstančiai žmonių, nors interneto vartotojų skaičius Latvijoje labai panašus į Lietuvos. Labiausiai Europoje nukentėjo italai – net 130 tūkst. žmonių. Šie duomenys gauti per kibernetinio saugumo bendrovės „NordVPN“ atliktą tyrimą.
Tyrėjai nagrinėjo tris pagrindines „botų“ rinkas. Terminas „botas“ čia vartojamas ne savarankiškoms programoms, o duomenis renkančioms kenkėjiškoms programoms apibūdinti. „Botų“ rinkos – tai internetinės prekyvietės, kuriose įsilaužėliai pardavinėja duomenis, pavogtus iš aukų įrenginių naudojant kenkėjišką programinę įrangą. Duomenys parduodami paketais, kuriuos sudaro prisijungimo duomenys, slapukai, skaitmeniniai pirštų atspaudai ir kita informacija – visa internetinė nukentėjusiojo tapatybė.
„Botų“ rinkos nuo kitų tamsiojo interneto rinkų skiriasi tuo, kad vienoje vietoje galima rasti didelį kiekį duomenų apie tą patį asmenį. Pardavus duomenis, pirkėjas užtikrinamas, kad nukentėjusio asmens informacija bus atnaujinama tol, kol jo įrenginys bus užkrėstas „botu“, – sako Marijus Briedis, „NordVPN“ technologijų vadovas. – Nusikaltėliams paprastas slaptažodis nebėra toks vertingas, kai jie gali nusipirkti prisijungimo duomenis, slapukus ir skaitmeninius pirštų atspaudus vienu paspaudimu vos už šešis eurus.“
Tyrėjai išanalizavo tris pagrindines „botų“ rinkas: „Genesis Market“, „Russian market“ ir „2Easy“. Tyrimo metu visos rinkos buvo aktyvios ir prieinamos paviršiniame tinkle. Duomenys apie „botų“ rinkas surinkti bendradarbiaujant su nepriklausomais trečiųjų šalių tyrėjais, kurie specializuojasi kibernetinio saugumo pažeidimų tyrimuose.
Populiariausios kenkėjiškų programų, vagiančių duomenis, rūšys yra „RedLine“, „Vidar“, „Racoon“, „Taurus" ir „AZORult“.
Kokią informaciją įsilaužėliai parduoda „botų“ rinkose?
● Įrenginio ekrano nuotraukas. Kenkėjiškos atakos metu virusas nufotografuoja vartotojo ekraną. Kartais virusas tai daro pasinaudodamas vartotojo internetine kamera.
● Prisijungimo ir kitus duomenis. Įsilaužęs į įrenginį, virusas gali pasisavinti naršyklėje išsaugotus vartotojo prisijungimo duomenis. Tyrimo metu nustatyta, kad analizuotose rinkose pavogta 26,6 mln. prisijungimo duomenų. Tarp jų buvo 720 tūkst. „Google“, 654 tūkst. „Microsoft“ ir 647 tūkst. „Facebook“ paskyrų prisijungimo duomenų.1
● Slapukai. Slapukai taip pat vagiami iš vartotojo naršyklės, nes juos turėdami nusikaltėliai gali apeiti dviejų veiksnių autentifikavimą. Tyrėjai nustatė, kad analizuotose rinkose buvo pavogta 667 mln. slapukų.
● Skaitmeniniai pirštų atspaudai. Asmens skaitmeninius pirštų atspaudus sudaro informacija apie įrenginį, jo ekrano skiriamąją gebą, numatytąją kalbą, naršyklės nuostatas ir kitą unikalią įrenginio naudotojo informaciją. Daugelis interneto platformų seka savo vartotojų skaitmeninius pirštų atspaudus, kad įsitikintų, jog tinkamai nustato jų autentiškumą. Tyrimo metu analizuotose rinkose rasta 81 tūkst. vogtų skaitmeninių pirštų atspaudų.
● Automatinis formų pildymas. Daugelis žmonių naudoja automatinio užpildymo funkciją, kai reikia pateikti savo vardą, el. pašto ir gyvenamąjį adresą bei mokėjimo kortelių duomenis. Visus šiuos duomenis gali pavogti kenkėjiška programinė įranga. Tyrimo metu analizuotoje rinkoje rasta 538 tūkst. automatinio užpildymo formų.
Tobulas nusikaltimas pasitelkiant „botus“
Turbūt labiausiai gąsdina tai, kad „botų“ rinkos suteikia įsilaužėliams galimybę lengvai pasinaudoti svetimais duomenimis. Net ir nepatyręs kibernetinis nusikaltėlis gali prisijungti prie svetimos „Facebook“ paskyros, jei turi slapukus ir skaitmeninius pirštų atspaudus, padedančius apeiti kelių veiksnių autentifikavimą.
