Как ФБР удается ловить анонимных преступников
Данная статья представлена исключительно в ознакомительных целях и не несет призыва к действию. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий.
Как ФБР ловят киберпреступников из России?
Как правило, после успешной деанонимизации киберпреступника из России или Украины, спецслужбы дожидаются его визита на отдых в одну из стран, с которой налажено сотрудничество, и дальше киберпреступник едет на суд в США.
Так было с российским хакером Романом Селезневым, который прилетел с семьей отдыхать на Мальдивы, а оттуда отправился не домой в Россию, а в США, где федеральный судья Ричард Джонс вынес ему приговор, согласно которому ближайшие 27 лет он проведет в тюрьме.
Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. В основном, мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет.
Однажды известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей.
И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы уже могли догадаться, счет был отправлен мошенниками.
Способы получения реального IP-адреса преступников
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это следующим образом: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность такого сайта FedEx была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси».
План спецслужб, заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в данном случае, выглядит очень примитивно.
Существует более эффективный способ побудить пользователей отказаться от средств анонимизации, и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов.
Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее.
Так вот, именно эту капчу, спецслужбы размещали на подконтрольном форуме, чтобы заставить пользователей отказаться от применения VPN, прокси и Тор, потому что тех, кто использовал их, при каждом входе на форум встречала капча, которую приходилось по несколько десятков раз – это может вывести из себя даже человека с образцово крепкими нервами.
Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса.
Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее.
Из этих историй сложно сделать какой-либо вывод, их просто нужно помнить, ведь может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.