18.02.2010

FaaS – Кривое зеркало корпоративной культуры или мошенничество как услуга

От Команды Чистого Веба:

В наших постоянных усилиях знакомить вас с наиболее интересными (с нашей точки зрения) событиями в виртуальном мире, а скорее с аспектами нашего с вами безопасного в нем пребывания, мы обнаружили весьма любопытную (опять-таки - на наш взгляд) статью Майка Мейкли о том, что мошенничество в сети уже не промысел одиночек, а целая индустрия, пользующаяся современными методами ведения бизнеса. Мы предлагаем эту статью вашему вниманию в нашем сокращенном переводе. Желающие прочесть ее в оригинале найдут ссылку на первоисточник в конце перевода.

Обсуждая с нашими клиентами те или иные вопросы информационной безопасности, мы заметили, что руководство и сотрудники все еще думают, что интернет-мошенничество - дело рук неорганизованных одиночек, досаждающих отдельно взятым компаниям.

Другое бытующее мнение - что эти компании или отдельные пользователи - случайные жертвы, попавшие в сети, наугад раскинутые мошенниками. И хотя в некоторых случаях это действительно так, методы, которыми они пользуются - совсем иные: мошенничество в сети - хорошо организованный и пугающе масштабный бизнес.

Мошенничество Как Услуга (Fraud as a service - FaaS для любителей сокращений) стало предметом озабоченности для профессионалов в области информационной безопасности еще в 2008 году. RSA и другие отметили это "явление", порожденное теневым бизнесом, приблизительно в ноябре 08-го года. Его сокращенной название происходит от термина ПО как Услуга - Software as a Service (SaaS). Злая ирония в том, что Безопасность как Услуга - Security as a Service - отличается от FaaS только одной буквой.
Перед тем как углубиться в различные виды FaaS, давайте окончательно расстанемся с образом асоциального типа - хакера-одиночки (в плохом значении этого слова), взламывающего (обычно почему-то по ночам и из самых неудобных мест) коды доступа к компьютерам и разнообразным базам данных. Эти времена прошли.
Основной игрок сейчас - организованная преступность, на счету которой 70% всех случаев мошенничества в интернете и миллиарды похищенных долларов.
Сегодня оргпреступность получает от мошенничества в сети больше денег, чем от наркотиков. Для многих - далеких от индустрии информационной безопасности это будет шокирующей новостью.

Еще более удивительны бизнес-модели, которые оргпреступность применяет для повышения эффективности "производства". Не связанная никакими этическими нормами, имеющая возможность нанимать самых талантливых специалистов, да, к тому же, применяющая все современные бизнес-технологии - от построения моделей расчета возврата инвестиций до мозговых атак, она может составить конкуренцию самой продвинутой корпорации.

Теперь, определившись с тем, что из себя представляет сетевая оргпреступность, рассмотрим ее виды. В основе философии этого "производства" - классическая модель организации поставок - Supply Chain Management (SCM).
Согласно этой модели, для успешного функционирования предприятию необходимо построить цепочку, состоящую из партнеров/аутсорсинга, разработчиков, производства и обслуживания продуктов, дистрибуции, управления и службы поддержки клиентов.
Эта модель и применяется оргпреступностью для предоставления услуг, которые оплачиваются ее клиентами либо подписке, либо по фиксированным тарифам. Купив услугу (уже, заметьте, без кавычек), клиент может ежемесячно просматривать отчеты о ее эффективности через свой "личный кабинет". Услуги могут предоставляться в виде "все включено": это наборы троянов со средствами управления тысячами компьютеров, в которые они внедрены, так называемыми "ботнетами" - с их помощью клиент организует "кампании" по мошенничеству. Или "по факту": клиент (организованная преступная группа, будем ее называть привычно - ОПГ) платит Fraud Service Providerу - провайдеру мошеннических услуг (опять, увы, без кавычек) за реальный результат - количество специализированных троянов, успешно подсаженных на указанные заказчиком компьютеры.
На месте и другие атрибуты современного бизнеса - договорные отделы и Службы поддержки клиентов.

Примером "фокусной" услуги служит т.н. Phone Channel Fraud (Vishing) - суть ее в том, что FSP по заказу ОПГ перехватывает телефонные идентификационные коды клиента банка, и обеспечивает проведение мошеннических операций со счетами в системах телебанкинга.

Из последних новшеств стоит упомянуть услугу по "прогону" денег, украденных со взломанных банковских счетов (в оригинале она называется Money-Muling или Mule-Herding - перегон мулов). Суть ее в том, что FSP обеспечивают ОПГ отмывку средств, прогоняя их последовательно со взломанного счета, через несколько счетов обычных граждан до заказчика. Обычные граждане при этом получают свой процент. Надо сказать, что они (граждане) как правило не отдают себе отчет в сути происходящего - их рекрутируют вполне солидные на первый взгляд компании, предлагая работу "Регионального управляющего" или "Агента по банковским переводам" - учитывая кризис и безработицу, не удивительно, что многие рады и этому.

Можно было бы еще многое рассказать о FaaS и состоянии безопасности в целом, но рамки короткой статьи этого не позволяют. Нашей целью всего лишь было развенчать миф о преступниках-одиночках и обозначить серьезность проблемы с безопасностью в интернете.

Полный текст в оригинале можно прочитать на сайте ciozone.

Copyright © 2008 To Present · Information-Security-Resources.com
Mike Meikle is a Senior Consultant and Senior Program/Project Manager for several organizations across government, health, telecommunications, corporate and education sectors