Перевод интересной статьи о зарождении киберкриминала.
Первые киберпреступления в основном представляли собой мошенничество с телефонными линиями, подлог официальных документов и похищение банковских карт, более известно как кардинг. В 1980-е, электронная доска объявлений(BBS) уже использовалась для распространения информации в нелегальной деятельности: компьютер и модем это все что отделяло любопытного подростка от тертого мошенника. В это время, когда Commodore 64 продавался двумя миллионами систем в год, эту границу особенно легко было преодолеть.
Новички обучившись онлайн-криминалу в BBS, появились в сервисе мгновенных сообщений ( IRC ) в начале 1990-х. Именно здесь они совершили первые продажи краденых банковских карт и персональной информации. Многие мечтали о сильном сообществе и признании: поскольку комнаты обсуждений в IRC бесследно исчезали по окончанию каждого обмена, было сложно получить гарантии или построить репутацию. Открытие для общественности Всемирной Паутины в 1993 привели к появлению средства от этих проблем.
Несмотря на амбиции, преступникам IRC потребовалось несколько лет для понимания того, как WEB может служить их интересам. Бретт Джонсон (Brett Johnson) во многом способствовал этому осознанию. В 1996, будучи еще студентом, этот уроженец штата Кентукки начал продавать пиратское программное обеспечение и mod-chipping, устанавливая чипы, которые уничтожают защиту электронной аппаратуры. «Я зарабатывал 4000 долларов, занимаясь модами и программируя спутниковые карты DSS», — рассказывает он по электронной почте. «Я начал беспокоится о заработанных деньгах. Я думал, что правоохранительные органы могут обратить на меня внимание. Поэтому я начал искать поддельные документы, чтобы открывать банковские счета и отмыть деньги. »
Все заработало в 1998. После обмана на 200 долларов от мошенника, который обещал поддельные водительские права, Бретт Джонсон вышел на Counterfeit Library. Находящийся в Соединенном Королевстве сайт предоставлял в большей мере каталог поддельных вещей и не использовался для общения. В то время на сайте было почти безлюдно: » Я был третьим зарегистрировавшимся,» — вспоминает Бретт. «И все же я остался на сайте. Только потому, что этот сайт, похоже, был единственным, кто честно продавал софт и поддельные документы.» Остальные два участника сайта, Mr X и Beezlebub, соответственно предлагали карты социального страхования и американские водительские права.
Скрывшись за псевдонимом GOllumfun, Бретт Джонсон впервые использовал форум чтобы пожаловаться на мошенничество, от которого пострадал: «Ничего не происходило. Каждый день я ходил туда, что бы жаловаться.» Через три недели, Beezlebub связался с ним приватным сообщением и предложил поддельное водительское удостоверение штата Огайо по дружеской цене, всего 200 долларов. Он согласился, несмотря на страх быть вновь обманутым. «Я получил их через десять дней спустя, » — вспоминает Бретт. «Это была самая великолепная вещь, что я видел». Этот успех объединил двух преступников. Вместе, они разработали план превращения Counterfeit Library в eBay для киберкриминала.
Прежде всего, Beezlebub и Бретт Джонсон хотели разрешить торговлю на форуме. Таким образом, Counterfeit library, наконец, даст причину посетителям остаться. В это время, они просто перенаправляли потенциальных покупателей и продавцов на сторонние сайты. Для предотвращения мошенничества, GOllumfun первый оценивал всех желающих быть продавцами прежде чем давать доступ к торговле на форуме. Конечно, Mr X и Beezlebub первыми открыли магазины. Много товаров добавлялись с гарантией качество Бретта. После некоторых переговоров с владельцами Counterfeit Library, Бретт убедил позволить ему управлять форумом.
Это был немедленный успех. Соблазненные надёжностью форума Counterfeit Library, а так же постоянным характером по типу BBS, многие онлайн-преступников отказались от IRC и присоединились к GOllumfun и его коллегам. «Я тратил на форум 10 — 12 часов в день, — сказал Gollunfun, — я участвовал в каждой сделке.» Участники торговали поддельными банкнотами, документами, крадеными кредитными картами. Для оплаты использовали предоплаченные карты, сомнительные цифровые валюты вроде E-Gold, или сервисы денежных переводов такие как Western Union. Число участников пересекло отметку в 1000, в основном из Северной Америки и Европы. На Востоке наш успех породил зависть.
Весной 2001, 150 киберпреступников из Украины и России собрались в Одессе чтобы заложить основу своей платформы. Плоды обсуждения, Carder Planet, появился в сети в мае 2001 года. Русскоговорящий мошеннический сайт основывался на рейтинговой системе, подобной системе Counterfeit Library. Пользователи подчинялись иерархии вдохновленной итальянской мафией: только что зарегистрировавшийся был «sgarrista», «солдат» без всяких возможностей. Над ним был «onore giovane», модератор, находивший в подчинении «Сapo». Украинский хакер под псевдонимом Script выполнял роль Крестного отца.
Через несколько месяцев после открытия Carder Planet, Script регистрируется на Counterfeit Library и предлагает там свои услуги. Все пошло не так. «Script не понимал систему проверок, » — вспомнил GOllumfun. Script постоянно повторял, что у него есть продукт, и когда ему было предложено предоставить его на обзор, он ответил, что только покупатель может оценить его товар. Такое отношение вызвало большое подозрение на форуме. Многие участники считали, что Script и его соратники были из правоохранительных органов и их следует немедленно забанить.
Чтобы успокоить ситуацию, GOllumfun связался с Script. После небольших согласования, украинец согласились предоставить свой товар на обзор. Услуга, которую они предлагали на Counterfeit Library известна как COB, Изменение платежного адреса. Script предлагал изменение адреса и номера на краденой карте. Предоставите адрес и телефон, подождите 5 банковских дней, и закажите дорогостоящий товар. Перепродайте товар и повторите. Рискованный способ.
GOllumfun рассказывает: «Он сказал мне дать ему адрес и телефонный номер и подождать пять дней, затем я мог что-нибудь заказать. Я думал, что это было полное дерьмо. Я пытался, но ничего не работало. Я обратился обратно к нему, он ответил попробуй еще раз. Я сказал, что если сейчас не сработает, то он [sencored]. Подождав еще пять дней, я заказал на 4000 долларов в Магазине Компьютеров Томсона и еще на 5000 в Dell. Все по той же краденой карте. И я получил свой заказ.»
Когда положительный обзор на Script’a был опубликован на Counterfeit Library, все изменилось. Участники форума отказались он большей части сделок по продаже поддельных документов и своих небольших мошенничеств, чтобы поучаствовать в аферах в гораздо более прибыльной области: Банковские и Кредитные Карты. Внезапно, Запад и Восток объединились. GOllumfun рассказывает: «Русские могли получить информацию, но не могли вывести деньги, они нуждались в нас, а мы нуждались в них. Это были очень выгодные отношения.»
Есть несколько способов украсть банковскую информацию. Когда электронное устройство выкинут, оно скорее всего будет обратно включено и проверено преступником. Нечестный продавец может использовать свой картридер для клонирования карты клиента. Скиммер делает специальные устройства и вешает их на банкоматы. Взлом платежного процессора онлайн-магазина или государственного агентства может дать большое количество информации. Фишинг также является неплохой тактикой.
Полученные данные продавались. Дампы, информация с магнитной полосы на обороте дебетной и кредитной карты переписывалась на поддельную карту и использовалась в банкоматах или магазинах розничной торговли. Код CVV, и полученные данные, использовались на сайтах электронной коммерции. Преступник должен действовать быстро: чем старше информация, тем больше шансов обнаружения кражи и блокировки карты. Но если оплата прошла, значит мошенничество удалось. Все движения пользователей Counterfeit Libraty и Carder Planet было между 2001 и 2002 годом.
Далеко не каждый стал заниматься кардингом. Сет “Kidd” Сандерс (Seth «Kidd» Sanders) был одним из таких: в 2002 этот изготовитель фальшивых документов связался с GOllumfun, чтобы сообщить о намерении открыть сайт по продаже поддельных американских водительских правах. Так появился ShadowCrew. «Это был хороший сайт, » — сказал GOllumfun. «Проблема была только одна, что там никого не было. Все были заняты фраудом банковских карт. Всего около 20 зарегистрировавшихся».
Пока ShadowCrew пытался раскрутится, Counterfeit Library подвергся интенсивной спам атаке, организованной центрами дистанционного обучения. Продажа поддельных дипломов серьезно мешала их деятельности. Ученики центров дистанционного обучения наводнили форум, так их руководство надеялось вернуть контроль над рынком. «Сайт был сделан без защиты от спама, — говорит GOllumfun, — это было неудобно, очень неудобно. У них был свой форум, и они по очереди приходили к нам.»
Когда Kidd заметил неприятности у Counterfeit Library, он связался с GOllumfun и предложил перенести сообщество на ShadowCrew. Ответ был положительный, с некоторыми условиям: «Я хотел быть главным. Я хотел иметь право создавать подфорумы по собственному выбору. Создать систему обзоров, которой должны руководствоваться все и т.д». Kidd согласился на перенос за 300$ в месяц на расходы хостинга. Через два дня, форум Counterfeit Library был отключен.
Благодаря GOllumfun, и его команде администраторов и участников Counterfeit Library, ShadowGrew был вскоре преобразован в эталонную платформу. Пользователям Интернета он понравился, как из-за архива учебных пособий, так и за наличие тематических подфорумов, в которых сотни предложений от поставщиков. Новый ассортимент нелегальных товаров и услуг: поддельные документы(80$ за свидетельство о рождении, 2000$ за паспорт), краденные платежные карты(около 30$ за дамп), DDoS атаки( 200$ за цель), персонализированные вирусы, наркотики всех видов… Запрещена была только детская порнография.
В отличии от Counterfeit Library, которая больше допускала транзакции чем поощряла, ShadowGrew был изначально коммерческим сайтом. Публика была очень довольна: в апреле 2003, всего через восемь месяцев после открытия, форум насчитывал 4000 участников со всего мира. В своем расследовании, журналист Кевин Поулсен (Kevin Poulsen) рассказывает, что ShadowGrew был первым интернациональным теневым магазином в истории: «Вор в Денвере мог купить номера кредитных карт у московского хакер, отправить их в Шанхай, где они превращалась в поддельные карты, а затем получить водительские права от украинского фальсификатора перед походом в торговый центр.»
Конечно, все закончилось плохо. В ноябре 2002, два администратора ShadowCrew были арестованы в Вашингтоне при получении товаров на сумму в 30000$ заказанных с использованием краденых карт. Первый, Девид ‘El Mariachi’ Томас (David ‘El Mariachi’ Thomas), очень испугался когда ему начали зачитывать права. «Вызовите ко мне агентов ФБР, » — сказал он в полиции, » — и я дам вам сделку с русскими и миллионами долларов». Он провел три месяца в тюрьме, прежде чем его передали федералам. Второй, Ким Марвин «Macgyver» Тейлор( Kim Marvin «Macgyver» Taylor), сбежал после освобождения под залог благодаря Kidd’у.
Предательство El Mariachi обеспокоило создателя ShadowCrew, Сета Сандерса. И сомнений в предательстве не было никаких: другой участник ShadowCrew опубликовал письменную просьбу Девида Томаса о помощи федералам. «Он [Сет] сказал мне что уезжает, — Gollunfun вспоминает, — и я получил все полномочия.» Ситуация была нехорошая, сайту необходимы были новые люди для продолжения функционирования. Macgyver, вернулся на форум, несмотря на свой статус беглеца, и представил нового хакера Альберта «CumbaJohnny» Гонсалеса (Albert «CumbaJohnny» Gonzallez) своему новому боссу. «Он сказал мне, что Гонсалес хорош. Что мог справится с сервером и программными проблемами, — вспоминает GOllumfun, — Cumba действительно был хорош, поэтому я сказал да». Это решение впоследствии приведет к смерти ShadowCrew.
В июле 2003 CumbaJohnny был арестован в Манхеттене, когда попытался снять деньги с краденых карт. Расследование было передано в отдел по борьбе с электронными преступлениями Секретной Службе США, правительственном агентстве, отвечающем за борьбу с финансовыми преступлениями. Когда обнаружили миллионы краденых номеров на компьютере 22 летнего преступника, они поняли, что поймали большую рыбу. Им не составило труда убедить Альберта встать на сторону закона: либо он становился информатором либо провел бы 20 лет в тюрьме. Операция Firewall началась.
GOllumfun утверждает, что был предупрежден о начале расследования неким Enhance. Благодаря своей должности в телефонной компании T-Mobile, этот хакер смог получить доступ к сообщениям сотрудников Секретной Службы. В конце 2003, Бретт объявил о своем уходе. Не предупреждая товарищей, он еще поддерживал свое присутствие на ShadowCrew под псевдонимом Madhatter. CumbaJohnny, который использовал свои модераторские полномочиями на форуме, заменил его де-факто.
В начале 2004, CumbaJohnny убедил команду и участников ShadowCrew использовать VPN для связи. Этим бы повышалась защита от анализа обмена полицией. По факту, VPN сервис был создан Секретной Службой и каждое сообщение было перехвачено и записано в базу. В мае он использовался для передачи более 150 000 номеров кредитных карт. В сентябре, произошел обмен 18 миллионов похищенных e-mail адресов. Операция Firewall приближалась к своему завершению.
Удар был нанесен 26 октября 2004 года в 9:00 по восточному времени. Три часа спустя, было арестовано 28 человек в шести разных странах. 19-ти были предъявлены обвинения, 15-ть признали себя виновными. В обвинительном заключении говорится: «Участники ShadowCrew продали по меньшей мере 1,5 миллионов краденых кредитных карт, в результате чего убытки составили более 4 000 000 долларов». Только один приговор был суровым: в 2006 году Kenneth «On The Fringe» Flurry был приговорен к трем годам заключения за написание пособия по работе с магнитной полосой.
После окончания работы Секретной Службы, ShadowCrew был отключен в конце 2004 года.
Альберту «CumbaJohnny» Гонсалесу не предъявили обвинение за его участие в ShadowCrew. В марте 2010 года он получил 20 лет тюрьмы за взлом нескольких компаний в период с 2005 по 2007.
Бретт «GOllumfun» Джонсон смог избежать операции Firewall. В 2004 году он влюбился в проститутку Элизабет, которую отчаянно пытался вылечить от наркозависимости. «Я опустошил все свои счета, чтобы отправить ее в реабилитационный центр и купить ей все, что она захочет. Сделал все, чтобы удержать ее от наркотиков.» Такие расходы вынудили его вернуться. В феврале 2005 он был арестован в Северной Каролине после проверки поддельных чеков. Когда агенты Секретной Службы узнали, что знаменитый GOllumfun был арестован, они быстро превратили его в информатора.
«Я работал на Секретную Службу 10 месяцев, — говорит Бретт Джонсон, — Я помогал офицерам, ловить своих бывших партнеров. Единственное кого я не помогал ловить это были русские.» Затем его новые работодатели обнаружили, что он по-прежнему занимается кардингом и уклоняется от уплаты налогов. Возможно, даже с помощью их оборудования. В мае 2007 года Бретт был приговорен к шести годам и трем месяцам заключения. После побега из тюрьмы срок был увеличен до семи с половиной лет.
Сегодня Бретт Джонсон консультант и лектор, специализирующийся на кибербезопасности. «Со мной связывались бывшие участники Counterfeit Library и ShadowCrew, многие из них пытались найти работу. А некоторые вернулись в незаконный бизнес. Трудно избавиться от совершенных преступлений.»