Резвимся в чужих корпоративных сетях, или Как украсть миллион.
Начнём с того, каким инструментарием будем пользоваться. Основой всего, краеугольным камнем работы в чужой сетке является хороший троян удалённого доступа под Windows 7/Windows 10. Он должен давать нам доступ к командной строке машины жертвы(в винде cmd.exe), скрытый от сидящего на ней пользователя, чтобы у того не открывалось при этом никаких окон и не выскакивало беспокоящих его алертов. В нём должен быть функционал загрузки и выгрузки файлов с машины жертвы, по образцу линуксовых wput и wget, иногда это делается дополнительными модулями с целью облегчения веса самого трояна. Самое главное – троян должен уметь надёжно как штык связываться со своим хозяином. Раньше, во времена модемов, дайал-апа 56К и внешних RIPN-овских IP у большинства юзеров на комп к ламеру засовывали какую-нибудь лютую “Смерть ламера”, которая работала как сервер, открывала порт какой-нибудь из высоких, 24608 или что-то в этом роде, и ждала попыток коннекции от своего повелителя.
В наши времена и ламер, и кулхацкер будут оба сидеть под NAT-серверами либо прокси-серверами во внутренней сетке с IP наподобие 192.168.1.24 либо 10.0.0.9, и такое не проканает. Поэтому разумными видятся два пути. Первый путь - с жёстко вбитым в троян сервером-трекером(целеуказателем) на бесплатном хостинге каком-нибудь, на который троян(работающий как клиент уже, а не как сервер) будет обращаться для считывания из простого текстового файлика IP и если надо портов, куда ему сегодня надо коннектиться, и соединяться по указанным актуальным координатам с кулхацкером и его терминалом работающим в режиме сервера, причём кулхацкер либо выкинул роутер и подсоединяется напрямую к модему с единственного компа, либо прописал в NATе правило для перенаправления к нему на комп входящих коннекций по нужному ему порту.
Второй путь – использование сервера-посредника на неком хостинге с директорией для обмена файлами с командами и прочими данными(“добычей”) между трояном и терминалом на машине, с которой кулхацкер ведёт управление трояном, при этом оба находятся под NAT-ами и кулхацкер может хоть каждые пять минут менять свою локацию и сеть.
При первой схеме сокет всё время прийдётся держать открытым и раз в несколько минут проверять связь типа “ты тут? - да, я тут!”, а при её потере трояну запрашивать сервер-трекер на предмет смены IP и порта управляющей машины для переконнекции. Ввиду этого связь лучше осуществлять по портам 80, 21, 443 и прочим, не способным вызвать подозрения у параноидального сисадмина и чтобы это походило на обычную деятельность юзера в интернете. Терминал кулхацкера при невыходе трояна на связь(ТП комп ещё не включила, губы не накрасила, кофе не попила) переходит в бесконечный цикл на ожидание, а при выходе трояна на связь на нём должно появиться текстовое сообшение типа “Connection OK!” На терминале можно при этом регулировать и переключать порт для прослушки с целью раздельного управления несколькими троянами. При второй же схеме сокет можно открывать ненадолго совсем, чтоб только положить инфу “от нашего стола к вашему столу” в директорию обмена, а работать по разным портам, возможно высоким, что даёт больше возможностей для раздельного управления несколькими разными троянами на разных машинах и в разных подсетках, хотя и несколько выскакивает из “реального времени”, что тоже бывает важно!
Да, связь желательно должна быть закриптована через SSL или что-то подобное на случай, если кто-то(админ?) решит просниффить ходящие у него пакеты!
Также очень важна невидимость трояна для антивирусов. Уже неоднократно говорилось, что палят антивирусы малварь в основном либо по сигнатурам из кода(неким бинарным массивам),
либо по бихейвористской модели, видя на эмуляторе совершаемые программой действия, навроде “скопировать себя в системную папку – прописаться в реестре – открыть сокет”; уйти от этого можно постоянным добавлением “мусорных” функций с тем чтобы “забить баки” антивирусу и перманентной перекомпиляцией исходников, ведь в зависимости от ресурсов компа жертвы антивирус эмулирует лишь 3-7 шагов вперёд, не более, но не до конца! Весить хороший троян должен порядка 40-60 К, не больше, писать его следует на желательно C/C++ или, частично, даже на ассемблере, тогда он получается наиболее лёгкий и быстро работающий.
При первичном запуске троян должен запускаться как процесс, прописывать себя в системный реестр Виндоуз на предмет последующих запусков при ребуте машины и копировать своё тело(запускаемый файл) в системную папку либо, если винда не даст, хотя бы на худой конец в “Program Files” или хоть в “Мои Документы”; можно даже создать какую-нибудь хитрую папку в каталоге C:\ и запускаться из неё. Обзывается пусть он подобно родным процессам самого компа жертвы(речь идёт о виндоусе, ибо в большинстве коммерческих структур линукс – экзотика даже для серверов), как-нибудь lsass или rsmss, даже сам админ порой не разберёт, сколько у него их там в процессах висит, 5 или 6, ну а мы-то знаем, что последний висящий в конце списка lsass – наш, что бывает важно для контроля с нашей стороны, чтобы не позапускать лишние процессы на компе и не перепутать с “чужими”, “левыми” троянами – встречалось мне и такое!(Приходилось вычищать, кстати). Если мы решили таки оставить троян невидимым в процессах, его надо запускать не как процесс, а как сервис, и соответственно прописываться в реестре.
Вот куда обычно пишутся трояны:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
(Это если запускаться как процесс)
(Это как сервис)
В LOCAL_MACHINE винда может и не дать прописать троян, если у ТП урезаны права, но в CURRENT_USER даст точно. Если процесс запускается дважды из двух реестров сразу, прибиваем младший из них из командной строки утилитой pskill, о которой мы ещё упомянем потом. Есть ещё опция положить троян в папку автозагрузки и запускать из неё, это не очень хорошо с точки зрения привилегий процесса(самые хилые), но иногда бывает, что есть сетевой доступ к хард-диску соседней машины, но нет доступа к процессам на нём, тогда это бывает полезно. Вот где будет эта папка находиться на компе условной ТП Марьи Ванны
C:\Users\MaryaVanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Из дополнительного программного обеспечения нам понадобятся кей-логгер с раздельной индикацией ввода в разные окна, тоже запускающийся из реестра(прийдётся прописать потом туда ручками с помощью системной утилиты reg add), утилиты управления процессами наподобие pslist, pskill, psexec; архиватор rar, работающий из командной строки, сканерок типа sl.exe тоже под командную строку; возможно, нам понадобятся другие утилиты под командную строку, для снятия образов с флэш-дисков, скриншотов с экрана и тому подобное.
Теперь мы вооружены целым инструментарием, как медвежатники с набором фомок и отмычек
Думаем, как залезть теперь к нужной нам ТП под юбку на комп!
В идеале, если некий симпатичный молодой человек зайдёт попить к ней/другой ТП из её трудового коллектива чаю/кофэ(вот именно так, через Э оборотное!) и под любым предлогом подключит к USB-порту флешку с трояном и запустит малварь щелчком мыши, остальное малварь сделает сама – скопируется в целевую папку, пропишется в реестр, откроет сокет и выйдет на связь. Если выскочат какие уведомления от UAC, что типа вы пытаетесь запустить программу, не подписанную как безопасную, – принудительно нажмёт везде на OK и проскочит их. Существует также вариант с засылкой по Е-мэйлу, лучше не в виде аттача(его может срезать почтовый сервер даже упакованным в архив), а в виде ссылки на URL, где малварь в данный момент лежит, а потом нам прийдётся, скорее всего, в порядке социальной инженерии звонить ТП и убалтывать её под каким-либо предлогом открыть и отстрелять это дело, невзирая на уведомления от UAC. Разумеется, для всего этого вперёд следует провести разведку конторы и знать чёткую цель, зачем мы туда лезем, чего хотим и что можно, как говорится, взять с этого гуся.
Но вот – свершилось! Залезли! Нет, не мандавошки в мохнатку к ТП, а мы со своей малварью к ней на машину! Загружаем с помощью аналога wput ей наши утилиты в наиболее безопасное от её глаз место, лучше в системную папку, но могут быть варианты. Теперь надо осмотреться по сторонам, посмотреть, что у ТП лежит в Программных файлах и Моих Документах, что прописано в реестре, что идёт в процессах. Среди первых отдаваемых нами команд будут превалировать dir и cd
Пропишем ТП кстати кей-логгер, замаскировав под якобы системный процесс.
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v RSFSD /t REG_SZ /d RSFSD.EXE
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RSFSD RSFSD.EXE
Прописалось, стало быть! Атлычно, Гэоргый! - Нармално, Канстантын, слющи, э!
Но вот мы выпотрошили весь комп молоденькой секретутки Верочки или там Машеньки, как отец Фёдор Востриков стулья инженера Брунса на пляже, прочли логи её кей-логгера, даже куки и историю броузера, и выяснили довольно быстро, что имеем дело с посредственной и не шибко грамотной склонной к промискуитету муклой, целыми днями висящей в соцсетях между попытками имитации своей работы и к тому же крутящей романы с несколькими мущинками одновременно, и что ничего особо денежного на её компе и нетути! Но ведь существуют же сии “Рога и Копыта” на какие-то шиши, верно? Не в безвоздушном же пространстве они находятся! Так что путь наш лежит на Берлин в бордель в бухгалтерию, верно!
“А потом помчался в кассу, покупать бутылку квасу!” Для этого исследуем сеть данной конторы.
Вначале отдадим команду net view , в результате чего увидим компы, находящиеся в сети, а именно их сетевые названия, что-то вроде:
И так дальше. Можно также использовать команду arp -a
Затем воспользуемся сканерком. Гаффкаем из командной строки на компе ТП:
sl -nr 192.168.1.1-255 и видим активные компы во внутренней сетке.
Можно так: sl -bht 1-1024 192.168.1.78 — увидим ещё и открытые порты.
Далее, мы прикидываем хуй к носу, что по ходу в бухгалтерии 5 компов с названиями типа ACCOUNTANT 1-5 либо, что хуже, типа
\\IVANOVA
\\PETROVA
\\SIDORELLI
\\CHEREZZABORNOGAZADIRAILO
et cetera, et cetera… Но внезапно в документах секретутки находим штатное расписание, из которого следует, что бухгалтерами в конторе являются Сидорелли, Петрова и Худайнуллина, а главным бухгалтером — та самая Череззаборногазадирайло Клавдия Агафоновна!
Попробуем таки пошшупать её толстую климактерическую задницу, или в переводе на админский язык, поищем сетевые шАры.
Подключаемся к компу сей заслуженной ТП, т.е. подключаем сетевой диск :
net use * \\CHEREZZABORNOGAZADIRAILO\C$
То же самое пробуем с другими бухгалтерами, или кто нам там нужен.
Если шару удалось подключить, диск ресолвится как X: или что-то ещё из конца алфавита.
Исследуем его с помощью команд dir и cd; если хотим его всегда иметь как шару, используем при net use атрибут persistent; отключаем шару так в случае ненужности: net use X: /delete
(Не забывать пробелы!) Копировать:
copy что-полный путь куда-полный путь.
Если имеем возможность подключить её диск как сетевую шару, то кладём загодя припасённый другой троян к ней в папку автозапуска:
copy lsass.exe X:\Users\KlavochkaAgafonovna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe
И малварь назавтра как миленькая запустится из автозапуска и пропишется хоть в какой-то из реестров, откуда и будет запускаться потом штатно, а лишние свои процессы мы прибьём потом через утилиту pskill аналогичную линуксовой kill.
Но блять не всё коту масленица! Бывает, что вменяемый сисадмин ни хрена не оставляет сетевых шар на юзерских компах или сводит их к минимуму. Ибо нех. Но и это не беда, ход есть и тут! Практически в любой конторе есть бухгалтерский сервер с расшаренными папками для файлообмена и в особенности с сетевыми установками бухгалтерских программ — 1С, Консультант, Гарант, Парус и так далее. И ими пользуются все бухгалтера каждый день регулярно. Также там всегда валяется куча файлов .doc, .xls и тому подобных. При них нередко бывают файлики .ini и .bat для запуска их посредством. Идея состоит в том, чтобы подменить исполняемые файлы сетевых программ либо другие какие-либо файлы на файлы малвари, или же включить, вписать их запуск в bat и ini файлы заодно с собственно файлами сетевых программ коллективного пользования. Для маскировки к файлу малвари при компиляции присобачивается вытащенная из донорской программы иконка Консультанта(в конфедератке, ха-ха!), Гаранта, таблицы Эксель и тому подобное. Переименовываем при помощи команды ren(rename) свой файл при этом в Гаранта, а Гарант во что-то другое! Главное, не забыть потом вернуть все назад, как было, а то они там взвоют, и замести следы после того, как хотя бы два-три человека запустят у себя троян. Мне так при удачном стечении обстоятельств за 3-4 дня удавалось затроянить до 10 компов в конторе, включая всех бухгалтеров; при этом, будете смеяться, так получилось, что всё это работало у меня по одному и тому же порту и на одном терминале, что, каюсь, не очень корректно, и различал я этих близнят по несколько раз отданной команде dir видя при этом их разные «морды»(заполнение старших директорий) с именем юзера, как собака различает своих щенят
Если даже и вызовут админа, он не сразу въедет в чём дело, а если даже и въедет, не поймёт что это за программа и поленится проверить все компы в конторе, а дизассемблировать поленится за свою-то зарплату. В винде сделать ренейм файла можно даже если он запущен и идёт в процессах, вот удалить не получится, а переименовать даст!
Быстро сказка сказывается, да долго дело делается. Но вот, в результате всей этой етьбы, просмотрев логи кейлоггера и дерево директорий компов(команда tree -f) наконец мы обнаружили, что «толстый»(в виде приложения) банк-клиент коммерческого Попандос-банка находится на машине главбуха Череззаборногазадирайло, а «тонкий» (работающий через броузер «Эксплорер» и никак не через Модзиллу) клиент Оверпрайс-банка работает на машине молоденькой Леночки Сидорелли; при этом по дороге мы чуть не спятили, читая климактерическую филистерскую нудьбу главбуха Вконтактике и длинноязыкие сплетни завистливой и поверхностной финтифлюшки Леночки вперемежку с её любовной перепиской… А как теперь сами деньги-то стащить? Вот тут и начинаются мудовые рыдания и танцы с бубном по прикручиванию этого убожества(отечественных банк-клиентов), а если повезёт, то и оффшоров, к своему компу.
Итак, мы в святой святых коммерческой структуры, в её бухгалтерии! Теперь что же мы делаем. Архивируем толстый банк-клиент, обязательно просмотрите утилитой pslist и убедитесь, что он у неё в этот момент не запущен в процессах, ибо могут быть нюансы! Либо архивируем всю папку с банк-клиентом, либо заходим в директорию и архивируем все подряд файлы(вообще-то лучше папку, ибо там могут быть скрытые файлы) с нарезкой на куски по 1Мб, например, если у нас узковат канал.
rar a -v1000 archive.rar ClientBank
cd ClientBank
rar a -v1000 archive.rar *.*
И сгружаем себе на комп кусками по 1Мб, потом экстрагируем из сплитованного архива, когда получим все части. Толстый банк-клиент с полной базой данных может весить десятки Мб, один исполняемый файл может весить 4-6Мб. Пытаемся запустить экзешник… и хуй соси! Правильно, мы же его честно не инсталлировали, у нас нет ни ключей реестра, ни многих dll-ок, необходимых для его работы. Хотя мне попадались старые клиенты по MS-DOS в основном, которые работали сразу прямо так, но это не как правило. И да, у большинства российских провайдеров этого софта, таких как BSS, Инист, Бифит в последние лет 10-12 есть тенденция по переходу с «толстых» банк-клиентов на «тонкие», но это уж как повезёт.
Но голь на выдумки хитра! Как правило, на сайте уважающего себя банка всегда есть дистрибутив софтины, его мы сгрузим и установим по честнарю, а потом сделаем своп, переименуем директорию установленную из инсталляшки, в ClientBank_Old, а потом скопируем скачанную нами с компа бухгалтера по соседству с ней, в такую же директорию, в которой оно стояло на компе у ТП, обычно в Program Files, реже в C:\ (это нужно для корректной работы ключей реестра). Тут ещё могут потребоваться некие пароли и логины для ввода при открытии банк-клиента, но к этому моменту мы уже знаем их, поскольку отловили кей-логгером. Как правило, этого достаточно бывает для того, чтобы открыть банк-клиент и помотреть их базу данных с платежами и остатками по счетам и вообще понять, стоит ли игра свеч. Памятуем, что в случае «тонкого», броузерного банк-клиента, мы скачаем с банковского сайта только банковский плагин к броузеру и платёжек с остатками и выписками на этом этапе видеть не будем.
Теперь самое интимное действие — получение свежих газет и круассанов выписок со счетов поциентов. Лучше не морочиться с ТОРом и публичными VPN, поскольку к серверу банка с них вряд ли возможно вообще приконнектиться(будет сбрасывать попытки соединения с подобных узлов), а спиратировать интернет у алкашей соседей кафе и тому подобных богоугодных заведений. Я, кстати, ещё не так давно видел толстые клиенты с возможностью забора выписок по дайал-апу через телефонный модем, но обычно они дают право выбрать и опцию забора выписок через интернет по TCP/IP. Иногда бывают привязки банк-клиента по IP, но это редкость, так как у самого клиента интернет-провайдер может внезапно поменять диапазон IP, и тогда у клиента будут затычки со связью с банком. Обычно(как правило) того, что я описал выше, хватит, чтобы забрать свежие выписки из банка. Убеждаемся, что сама ТП сейчас не в сессии с банком, избегаем этой коллизии, следя за её процессами и сгружая для этого каждые несколько минут лог кей-логгера с её машины, смотрим также её сетевую статистику командой netstat -a или netstat -an. Нажимаем «Забрать Выписки», «Коннект» или что-то в этом роде… И некие файлики с выписками ложатся к нам на компьютер! А в случае с тонким, броузерным клиентом заходим и смотрим её выписки, как просматривают на интернет-сайте любой аккаунт, с известными нам из логов кей-логгера паролем и логином, каковых для этого, как правило, хватит.
Теперь какие могут быть в процессе забора свежих выписок сложности. Я встречал разные залепухи, в основном от разработчиков «толстых» клиентов. Был случай с сессионными ключами — лечился забиранием с компа жертвы файлов из определённых директорий, изменившихся в последнюю сессию бухгалтера, но потом приходилось свои сессионные ключи имплантировать ей, иначе она не смогла бы забрать назавтра выписки и позвала бы админа(на практике, переинициализируют клиент, там бывает такая процедура). Бывали при инициализации клиента(первой сессии) привязки к сериальному номеру хард-диска, имени компьютера и тому подобным вещам с целью страховки от несанкционированного копирования на другой комп — решилось дизассемблированием исполняемого файла банк-клиента с небольшой модификацией - вбитием туда намертво серийника хард-диска ТП и заменой имени своего компа на имя компа ТП, иначе банк компарировал эти данные с теми, что у него хранились на сервере, и не давал забрать выписки. Если подойти к процессу творчески, выписки после некой етьбы либо даже без неё мы заберём с вероятностью минимум 95%, может и 100%.
Но вот мы следим за хождениями денег у поциентов, и нам хочется денежек тоже. Хотим жрать фотомоделей и ебать чёрную икру, как говорил один дикарь. Для того, чтобы это сделать, нужна ЭЦП гендиректора(или гендиректора и главбуха, если их двое в карточках с образцами подписи и печати в банке); юридическая сила электронных цифровых подписей равна силе их подписей на бумажной платёжке и является полным основанием для банка для перевода денег. По сути, с точки зрения криптографии это личный паблик кей ТП, которым она шифрует свои сообщения в банк. Хорошо, если ключи уже хранятся в самом банк-клиенте или хоть на хард-диске, это нам повезло. Хуже, но терпимо, если на USB-диске; в старину, бывало, на флоппи-диске 3,5 инча; как правило, страдающая леностью ума ТП надолго оставляет эти средства в слоте, и мы успеем их скопировать с помощью команды copy. Даже если ТП шибко бдительная и сразу по подписывании вынимает и прячет носитель ЭЦП, можно написать некий кей-экстрактор, который мгновенно скопирует ключи или снимет образ диска по событию открытия окна диалога ЭЦП, а пароли к ЭЦП, буде потребуется, отловит кей-логгер.
Вот если ключи ЭЦП неизвлекаемые и находятся в банковском USB-токене, всё уже хуже. Есть ещё варианты с таблицами шифрования и диджипассами, вырабатывающими одноразовые пароли, но они чаще всего применяются в буржуйских банках при обслуживании оффшоров.
Но ход всё таки есть. Я не сторонник троянов с графикой и удалённым рабочим столом, ибо они люто жрут ширину канала, передавая массу информации, и открывают-закрывают окна, но тут именно тот случай, когда они понадобятся. Нередко ТП оставляет такие вещи надетыми на USB-порт на весь рабочий день, ведь она думает, что пароль от устройства известен лишь ей одной. Опрашиваем порт USB на наличие устройства с помощью команды driverquery /v Работать такой троян должен по принципу TeamViewer, только прийдётся дождаться, когда ТП уйдёт на обед, т.к. на её экране могут открываться окна; запускаем его из командной строки и переходим в его терминал, и тогда можем манипулировать рабочим столом.
В случае с диджипассом и прочей криптографией всё сложнее. Одноразовый пароль, вырабатываемый диджипассом, является некой односторонней математической функцией от времени и номера прохода, зашифрованной на уникальном ключе криптографическим алгоритмом 3DES или AES/Rijndael. При обратной расшифровке банком данные должны попасть в определённый рэйндж, иначе трансакция будет отвергнута, да тебя как правило и в эккаунт банковский не впустит. Бывает ещё схема challenge-response, когда выкинутый банком челлендж, обычно 8 десятичных цифр, диджипасс переводит в респонс, 8 16-ричных цифр(байтов), и надо ввести его в ответ. Разумеется, тут уже задача криптоанализа и брутфорса, имея логи из множества пар челлендж-респонс либо одноразовых паролей с временами их выработки, можно попытаться найти ключ, на котором это шифровалась, но задача весьма нетривиальна и не факт, что удастся и что игра стоит свеч.
В случае с совсем уже неприступным банк-клиентом или его отсутствием(бывает, что некий богатый бездельник управляет оффшором по-старинке факсами и телефонными звонками, а его знают лично и узнают по голосу в банке!) не следует унывать, ибо выход всё же есть! Это так называемая схема Азулея. Я уже говорил о ней ранее, и она граничит с социальной инженерией. Как это работает. В бухгалтерию конторы внедряются фиктивные договора счета на оплату(подменой на компе ТП, модификацией, по Е-Мэйлу, по факсу) как бы настоящие, но вот с небольшим нюансом: вместо Рог и Копыт деньги за то же самое и в той же сумме уходят в Рожки и Копытци, а вместо ООО Олень в ООО Куколд, и так далее. Когда платежей много и они рутинные, ТП сама по запарке может отправить что-то куда-то на автомате, не особо задумываясь, а потом будет локоточки кусать. Таких ошибок бухгалтера делают уйму и без всяких кулхацкеров, а тут мы ей поможем, чуть подтолкнём, где-то что-то подсунем…
Чтобы всё это проделать, спиздить из-под наседки яйца, требуются месяцы незаметной слежки, чтобы изучить досконально уклад и расклады в конторе, их образ жизни, психологию, надо научиться мыслить как они, начать ассоциировать себя с ними, подобно частному детективу патеру Брауну из рассказов Г.К.Честертона, который ассоциировал себя с разыскиваемыми им преступниками и говорил в ответ на вопрос, как Вы это событие угадали, что он совершил все эти преступления… сам(понятно, не физически, а мысленно). Следует хирургически точно выбрать момент трансакции, например под выходные или праздники, или под переезд конторы в новый офис. Игра стоит свеч, на кону могут стоять лютые суммы.
Теперь ещё один нюанс. Отправить платёжки в банк ещё полдела, вот уйдут ли денежки в реале? Нет ли блокировок счетов? Нет ли непрозрачных для нас договорённостей с банком, потребности в подтверждающих звонках голосом и т.п.? С большой степенью вероятности, если платёж рутинный на вид и не выбивается из общей канвы, и похож на обычную деятельность фирмы, деньги уйдут и не будут остановлены банком. Можно для верности повредить слегка банк-клиент ТП если “толстый”, чтоб не мог выйти на связь, или как-то ей гадить, прибивать через pskill процесс winlogon, чтобы её комп вис, или пускать его раз за разом в ребут с помощью команды shutdown, таким образом потянуть время, отправив денежки после её сессии ближе к закрытию опердня, лучше после обеда, так попадём в банковский опердень до его закрытия с последним рейсом, и деньги почти наверняка уйдут! А заметит их исчезновение контора уже назавтра часам к 10-11 утра, когда заберут выписки(это тоже можно затормозить, можно даже вообще испоганить либо снести им банк-клиент, чтобы заставить переустанавливать, а то и пёхом топать в банк либо звонить, и выиграть ещё пару часов
За это время нам надо будет успеть согнать денежки с принимающей конторы, а через голову регресс будет уже крайне затруднён. Куда согнать и как обналичить – вопрос отдельный, не менее интересный. Скажу только, что лучше не доверять обнальным конторам даже за 50:50, а контролировать весь процесс от начала и до конца.
Мне приходилось слышать про дезорганизацию работы контор ложными пожарными и взрывотехническими тревогами, но я не сторонник такого, ибо деньги любят тишину. Не хотелось бы, чтобы потом полмира охотились за нарушителем спокойствия, это повысит опасность регресса. Также совершенно не сторонник мер по физической нейтрализации бухгалтера, пусть и на время: это уже будет совершенно другой шум и другие поиски(ОРМ) со стороны мусоров.
После самой трансакции хочется зажмуриться исчезнуть и замести следы, но… есть смысл оставить трояны на месте и хладнокровно продолжать следить за действиями терпил, иногда бывает забавно и даже пользительно. Скажу только, что в уже обнесённых конторах трояны, бывало, оставались ещё годами, и никто в суть случившегося так и не въехал, обычно валили всё на банк, даже судились с ним, кое-кто объяснял произошедшее сверхъестественными причинами(!), были даже удачные более или менее попытки постричь одного барана дважды.
Очень важно при этом не поехать умственно, читая всю эту дребедень и ловя “маленькие слова длиной в несколько байтов в мириадах единиц и нулей”(помните, откуда это?) Ведь “если слишком долго глядеть в бездну, то бездна начинает глядеть в тебя”.
Про варианты с шантажом. Чтобы разводимый лох заплатил рэкетиру, тот должен обладать чем-то критичным, некой “кащеевой иглой” для поциента, несущей для него экзистенциальную угрозу, иначе незадачливый рэкетир рискует потратить зря время и нервы, а они, как известно, не восстанавливаются
Ко всяческим троян-локерам и троян-энкодерам отношусь кисло, просто не мой стиль, да и не платят как правило люди за это, у всех есть хоть какие-то бэкапы. Хотя вон недавно Colonial Pipeline одни ухари нахлобучили так на Восточном побережье, вроде им даже заплатили что-то, но как-то больше походит на чистую диверсию под прикрытием. ИМХО странновато выглядит, за выгоду в 5 лимонов грина, что для компании сущие гроши, нанесли ей и всей американской экономике ущерб несравнимо больший.
Источник...
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!