HARD CORE SECURITY LAB

Jakiś czas temu crackerzy włamali się do niemieckiego forum internetowego (podobnego do słynnego DarkMarket) zrzeszającego osoby trudniące się pozyskiwaniem i handlem numerami kart kredytowych. Baza danych serwisu carders.cc (zawierająca loginy, hasła, adresy IP, skradzione numery kart, itd.) została przez włamywaczy wykradziona i opublikowana za pomocą serwisu RapidShare oraz sieci P2P, dzięki czemu upublicznione zostały bardzo interesujące informacje na temat kilku tysięcy cyberprzestępców. Czego więc na ich temat możemy się dowiedzieć na podstawie tychże informacji?

Oczywiście skradziona baza danych zawiera dane (numery kont i kart, numery PIN, hasła) osób okradzionych przez przestępców udzielających się w ramach carders.cc. Dane te jednak i tak znajdowały się już w rękach osób niepowołanych. Z mojego punktu widzenia najciekawsze są jednak informacje (adresy IP, hasła, e-maile, posty, prywatne wiadomości) tyczące się samych użytkowników przestępczego forum.

W opublikowanej bazie znalazły się 3726 adresy e-mail należące do użytkowników carders.cc. Daje nam to unikalną możliwość do przyjrzenia się kilku ciekawym zależnościom. Oto wykres dla 20 najpopularniejszych domen, pośród wszystkich adresów e-mail znajdujących się w upublicznionej bazie:
Pośród 3726 unikalnych adresów e-mailowych, można było wyróżnić 349 unikalnych dostawców poczty elektronicznej. Carders.cc to forum niemieckie, wobec tego nie dziwi popularność serwisów takich jak web.de, gmx.de, hotmail.de. Niemniej jednak warto zauważyć, że są to popularne niemieckie serwisy, nie oferujące swym użytkownikom anonimowości lub jakiejkolwiek ochrony przed (szczególnie niemieckimi) organami ścigania. W przypadku więc, gdy przestępcy nie ukrywali swych prawdziwych adresów IP (a w wielu przypadkach tak właśnie było), to ich odnalezienie będzie niezwykle proste...

Oczywiście niektórzy przestępcy korzystali z serwisów poczty e-mail gwarantujących zachowanie anonimowości takich jak:

• mail.3dl.am (12. miejsce w zestawieniu domen)
• owlpic.com (13. miejsce w zestawieniu domen)

Spójrzmy również na wykres przedstawiający najpopularniejsze domeny najwyższego poziomu:
Warto zauważyć, że zdarzają się egzotyczne krajowe domeny najwyższego poziomu, takie jak: .AM (Armenia), .AI (Anguilla) oraz .MU (Mauritius). Jest to jednak związane z anonimowymi serwisami pocztowymi. Warto również podkreślić, że zdarzają się adresy e-mail związane z korporacyjnymi serwerami pocztowymi. Być może jednak były to konta przejęte przez przestępców i wykorzystywane do nielegalnych działań.

Podsumowując, dużym zaskoczeniem jest fakt, że cyberprzestępcy zgromadzeni wokół przestępczego forum internetowego w ogromnej większości nie starali się nawet zacierać za sobą śladów. Większość z nich korzystała z popularnych serwisów poczty e-mail oraz nie korzystała z rozwiązań takich jak serwery pośredniczące.

Warto również podkreślić, że samo włamanie do forum było możliwe dzięki wyjątkowo niedbale skonfigurowanym zabezpieczeniom. Dokładne informacje na temat samego włamania oraz szczegółowy zapis jego przebiegu można odnaleźć tutaj.

Wygląda więc na to, że coraz częściej mamy do czynienia z cyberprzestępcami-amatorami, którzy nie potrafią zadbać nawet o własne bezpieczeństwo, którym niestety udaje się jednak dokonywać skutecznych cyberprzestępstw...

[źródło]