- Автор темы
- #1
Истории о методах деанонимизации киберпреступников, скрывающих свой подлинный IP-адрес при помощи VPN, proxy и Tor.
Спецслужбы постоянно ищут новые эффективные методы деанонимизации пользователей, скрывающих свой IP-адрес. Само собой, установление личности преступника, вовсе не гарантирует его арест. Например, личность Slavik’а - разработчика трояна ZeuS, Американские спецслужбы уже давно установили, но вот посадить его они так до сих пор и не могут, так как находится он в России, где законы США не действуют.
Как ФБР ловят киберпреступников из России?
Как правило, после успешной деанонимизации киберпреступника из России или Украины, спецслужбы дожидаются его визита на отдых в одну из стран, с которой налажено сотрудничество, и дальше киберпреступник едет на суд в США.
Так было с российским хакером Романом Селезневым, который прилетел с семьей отдыхать на Мальдивы, а оттуда отправился не домой в Россию, а в США, где федеральный судья Ричард Джонс вынес ему приговор, согласно которому ближайшие 27 лет он проведет в тюрьме.
Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. В основном, мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет.
Однажды известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей.
И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы уже могли догадаться, счет был отправлен мошенниками.
Способы получения реального IP-адреса преступников
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это следующим образом: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность такого сайта FedEx была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси».
План спецслужб, заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в данном случае, выглядит очень примитивно.
Существует более эффективный способ побудить пользователей отказаться от средств анонимизации, и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов.
Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее.
Так вот, именно эту капчу, спецслужбы размещали на подконтрольном форуме, чтобы заставить пользователей отказаться от применения VPN, прокси и Тор, потому что тех, кто использовал их, при каждом входе на форум встречала капча, которую приходилось по несколько десятков раз – это может вывести из себя даже человека с образцово крепкими нервами.
Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса.
Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее.
Из этих историй сложно сделать какой-либо вывод, их просто нужно помнить, ведь может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.
Спецслужбы постоянно ищут новые эффективные методы деанонимизации пользователей, скрывающих свой IP-адрес. Само собой, установление личности преступника, вовсе не гарантирует его арест. Например, личность Slavik’а - разработчика трояна ZeuS, Американские спецслужбы уже давно установили, но вот посадить его они так до сих пор и не могут, так как находится он в России, где законы США не действуют.
Как ФБР ловят киберпреступников из России?
Как правило, после успешной деанонимизации киберпреступника из России или Украины, спецслужбы дожидаются его визита на отдых в одну из стран, с которой налажено сотрудничество, и дальше киберпреступник едет на суд в США.
Так было с российским хакером Романом Селезневым, который прилетел с семьей отдыхать на Мальдивы, а оттуда отправился не домой в Россию, а в США, где федеральный судья Ричард Джонс вынес ему приговор, согласно которому ближайшие 27 лет он проведет в тюрьме.
Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. В основном, мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет.
Однажды известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей.
И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы уже могли догадаться, счет был отправлен мошенниками.
Способы получения реального IP-адреса преступников
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это следующим образом: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность такого сайта FedEx была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси».
План спецслужб, заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в данном случае, выглядит очень примитивно.
Существует более эффективный способ побудить пользователей отказаться от средств анонимизации, и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов.
Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее.
Так вот, именно эту капчу, спецслужбы размещали на подконтрольном форуме, чтобы заставить пользователей отказаться от применения VPN, прокси и Тор, потому что тех, кто использовал их, при каждом входе на форум встречала капча, которую приходилось по несколько десятков раз – это может вывести из себя даже человека с образцово крепкими нервами.
Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса.
Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее.
Из этих историй сложно сделать какой-либо вывод, их просто нужно помнить, ведь может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.
- Telegram
- overtime6666