Genesis – nielegalny sklep online oferujący na sprzedaż dziesiątki tysięcy sobowtórów cyfrowych

Kaspersky Lab opublikował wyniki badania dotyczącego Genesis – sklepu online oferującego na sprzedaż ponad 60 000 skradzionych, prawdziwych tożsamości cyfrowych, które znacznie ułatwiają przeprowadzenie udanego oszustwa związanego z kartami kredytowymi.

 

Za każdym razem, gdy podajemy nasze dane finansowe lub osobowe podczas transakcji online, zaawansowane rozwiązania analityczne oparte na uczeniu maszynowym, które służą do zapobiegania oszustwom, sprawdzają nas z tzw. maską cyfrową. Maski te są unikatowe dla każdego użytkownika i łączą cechy charakterystyczne urządzeń i przeglądarek zwykle wykorzystywanych podczas dokonywania płatności/transakcji bankowych online (np. informacje dotyczące ekranu i systemu operacyjnego, różnego rodzaju dane przeglądarki, np. nagłówki, strefy czasowe, zainstalowane wtyczki, rozmiar okna itd.) z zaawansowaną analityką i uczeniem maszynowym (ciasteczka indywidualnego użytkownika, zachowanie online oraz sposób korzystania z komputera itd.). W ten sposób zespoły odpowiedzialne za ochronę przed oszustwami w organizacjach finansowych mogą ustalić, czy to rzeczywiście my sami podajemy nasze poświadczenia, czy też może oszust próbuje kupić przedmioty przy użyciu skradzionej karty. W zależności od wyników analizy system bezpieczeństwa może zezwolić na transakcję, odrzucić ją lub przekazać do dalszego badania.

Jednak cyfrowa maska może zostać skopiowana lub stworzona od podstaw, a wyniki badania Kaspersky Lab pokazują, że cyberprzestępcy aktywnie wykorzystują takie cyfrowe sobowtóry w celu obejścia zaawansowanych środków ochrony przed oszustwami. W lutym 2019 roku podczas badania prowadzonego przez Kaspersky Lab wykryto Genesis Darknet – sklep online sprzedający skradzione maski cyfrowe oraz konta użytkowników po cenach wahających się od 5 do 200 dolarów za sztukę. Klienci sklepu kupują skradzione wcześniej maski cyfrowe wraz z loginami i hasłami do sklepów internetowych i serwisów płatności, a następnie uruchamiają je za pośrednictwem przeglądarki oraz połączenia proxy w celu naśladowania aktywności rzeczywistego użytkownika. Posiadając poświadczenia konta legalnego użytkownika, przestępca może uzyskać dostęp do jego kont online lub zrealizować nowe, niewzbudzające podejrzeń transakcje w jego imieniu.

Na całym świecie obserwujemy wyraźną tendencję wzrostową w odniesieniu do oszustw związanych ze skradzionymi kartami kredytowymi (tzw. carding). Chociaż branża dużo inwestuje w środki ochrony przed oszustwami, trudno schwytać cyfrowe sobowtóry. Alternatywnym sposobem na uniemożliwienie rozprzestrzeniania się tej szkodliwej aktywności jest zamknięcie infrastruktury oszustów. Dlatego też nawołujemy organy ścigania na całym świecie, aby zwróciły szczególną uwagę na tę kwestię i przyłączył się do walki – powiedział Siergiej Lożkin, badacz ds. cyberbezpieczeństwa, Kaspersky Lab. 

Cyberprzestępcy dysponują także narzędziami pozwalającymi wygenerować od podstaw własne unikatowe maski cyfrowe, które nie wzbudzają podejrzeń rozwiązań służących do ochrony przed oszustwami. Badacze z Kaspersky Lab zbadali jedno z takich narzędzi – specjalną przeglądarkę Tenebris z osadzonym generatorem konfiguracji do tworzenia unikatowych śladów cyfrowych. Po wygenerowaniu takiej maski oszust może uruchomić ją za pośrednictwem przeglądarki oraz połączenia proxy i wykonać dowolne operacje online.

W celu zwiększenia bezpieczeństwa Kaspersky Lab zaleca firmom stosowanie następujących środków: 

• Włącz uwierzytelnienie dwuskładnikowe na każdym etapie procesów uwierzytelniania użytkownika.
• Rozważ wprowadzenie nowych metod dodatkowej weryfikacji, takich jak biometria.
• Stosuj zaawansowane mechanizmy analizujące zachowania użytkowników.
• Zintegruj źródła danych o cyberzagrożeniach ze swoim systemem SIEM oraz innymi środkami kontroli bezpieczeństwa w celu uzyskania dostępu do najistotniejszych i najaktualniejszych danych o zagrożeniach i przygotowania się na potencjalne przyszłe ataki.

Artykuł podsumowujący zagrożenie dotyczące cyfrowych sobowtórów jest dostępny na stronie https://r.kaspersky.pl/MhsiT.