Jak FBI szuka cyberprzestępców? Stosuje phishing i wysyła szkodliwe pliki

Cyberatak w odpowiednich rękach może być wykorzystany do działania w obronie prawa. Funkcjonariusze FBI w ubiegłym roku przygotowali przynajmniej 2 ataki, złożone z zainfekowanych dokumentów Worda i fałszywej strony firmy kurierskiej FesEx, by zdemaskować cyberprzestępców. Można powiedzieć, że pokonali przeciwników ich własną bronią.

FBI podszywa się pod FedEx by ująć przestępców, Flaga FBI, depositphotos
FBI podszywa się pod FedEx by ująć przestępców, Flaga FBI, depositphotos

28.11.2018 | aktual.: 28.11.2018 12:41

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Działania zostały opisane w dokumentach z 2017 roku, odtajnionych w październiku 2018. Dwa nakazy przeszukania dotyczą poszukiwania scamerów – oszustów, którzy przekonywali firmy do przekazania im dużych sum pieniędzy, podszywając się pod inne, godne zaufania podmioty. Dokumenty opisują zastosowanie phishingu, czyli ataku socjotechnicznego, mającego zapewnić ofiarę, że może we wskazanym miejscu podać swoje dane, a także wysyłania złośliwych plików. Celem było odkrycie adresów IP przestępców, a w konsekwencji miejsca pobytu.

Przypadek 1: Fałszywa strona nie pomogła

Pierwsza sprawa dotyczy firmy Gorbel z Fishers (stan Nowy Jork), produkującej dźwigi. Cyberprzestępcy podszyli się pod CEO firmy, Briana Reha i przygotowali długi, potencjalnie mylący i wyglądający na oficjalny e-mail do działu księgowości. W nim znalazł się formularz zapłaty dla fikcyjnej firmy, przedstawionej jako nowy partner Gorbela. Dział finansowy wysłał czek na 82 tysiące dolarów oszustom.

Transakcja na szczęście została szybko zauważona. W czerwcu 2017 roku, gdy firma otrzymała kolejne e-maile tego typu, FBI było już na posterunku.

Czek miała dostarczyć firma FedEx, więc FBI przygotowało fałszywą stronę firmy kurierskiej i skierowała tam atakujących w nadziei, że uda się zarejestrować adres IP i odkryć ich fizyczne położenie. Strona miała nawet fałszywe powiadomienie o tym, że połączenia za pośrednictwem proxy są niedozwolone, by utrudnić kryminalistom ukrywanie się.

fragment nakazu, opisujący działanie fałszywej strony
fragment nakazu, opisujący działanie fałszywej strony

Ta próba jednak nie powiodła się od razu. Ostrożni cyberprzestępcy sprawdzili stronę z sześciu różnych IP, w tym z kilku proxy. FBI musiało wykorzystać techniki dochodzeniowe w sieci (NIT, network investigative technique, zbiorcza nazwa dla różnych cyberataków). Kolejny atak nie był jednak szczególnie finezyjny. Dla cyberprzestępców przygotowany został w Wordzie dokument z obrazkiem, który potajemnie nawiązał połączenie z serwerami FBI. Obrazek przedstawiał zrzut ekranu ze strony FedExu, pokazujący stan przesyłki. Cyberprzestępcy byli przekonani, że znajduje się w niej czek od producenta dźwigów, więc z pewnością byli zainteresowani terminem dostarczenia.

Do tej pory nie jest jasne, czy cała akcja odbyła się za zgodą firmy FedEx, ani czy w ogóle ktoś się o taką zgodę starał. FBI i reprezentanci firmy kurierskiej nie skomentowali akcji.

Przypadek 2: Formularz w Wordzie

Drugi scenariusz dotyczy firmy z zachodniej części Nowego Jorku, która otrzymała e-maila podszywającego się pod Invermar – dostawcę owoców morza z Chile i jednego z partnerów atakowanej firmy. Autorzy e-maila podszyli się pod znanego już pracownika Invermaru i prosili o przesłanie pieniędzy na nowe konto. Ofiary nie zauważyły, że domena firmy Invermar nie jest prawdziwa (kończy się na .us, a nie .cl) i w październiku i listopadzie przekazała oszustom aż 1,2 miliona dolarów. Udało się odzyskać tylko 300 tysięcy, nie jest do końca jasne jakim sposobem.

Tym razem FBI od razu wysłało e-mail ze spreparowanym załącznikiem. Był to formularz, którego wypełnienie było rzekomo konieczne do otrzymywania dalszych wpłat. By go wypełnić, cyberprzestępcy musieli wyjść z trybu chronionego Worda, a więc zezwolić na nawiązanie połączenia z internetem. W ten sposób teoretycznie możliwe było uzyskanie adresu IP drugiego celu.

Jak się zapewne domyślacie, FBI nie informuje o skuteczności swoich działań, a w dokumentach nie ma wzmianki o sukcesie zastosowanych technik. W przypadku firmy Gorbel Departament Sprawiedliwości kilkukrotnie zwracał się o wydłużenie mocy nakazu, prawdopodobnie więc były pewne problemy. Oba nakazy zostały jednak oznaczone jako wykonane, możemy więc przypuszczać, że udało się ująć oszustów.

FBI poszerza stosowanie cyberataków

Do niedawna wykorzystywanie cyberataków do ujmowania przestępców było zarezerwowane dla dystrybucji dziecięcej pornografii i ataków zagrażających bezpieczeństwu publicznemu. Jednak zacieranie za sobą cyfrowych śladów nie jest zarezerwowane tylko dla nich. Coraz częściej nowinki techniczne są wykorzystywane w przestępczości zorganizowanej i siatkach przeprowadzających cyberataki i szykujących kampanie phishingowe. Swoją tożsamość i położenie ukrywają też dziennikarze, artyści i zwykli obywatele, obawiający się nadzoru ze strony prywatnych firm. Nic dziwnego, że służby poszerzają zakres działań w cyberprzestrzeni, by nadążyć za przestępcami. Według dokumentów, do których dotarł Motherboard, FBI od niedawna wykorzystuje te techniki także w sprawach związanych z finansami.

Sposób działania FBI jest dowodem, że cyberataki przestają być egzotyczną bronią w walce z przestępcami. Z czasem zapewne FBI wypracuje sobie standardowe procedury stosowania technicznego podejścia do demaskowania przestępców. Wciąż nie jest jasne, czy w opisanych powyżej przypadkach FBI potrzebny był nakaz, by biuro miało możliwość wysyłania dokumentów wymagających wyjścia z trybu chronionego Worda i na wszelki wypadek zostało to ujęte w dokumentach.

Warto byłoby też zadbać o to, by ataki nie były przeprowadzane na szeroką skalę, która będzie miała wpływ na życie niewinnych obywateli. Podczas akcji przeciwko darknetowemu dostawcy Freedom Hosting, poszkodowani byli także zwykli użytkownicy dobrze zabezpieczonej usługi pocztowej. Takie sytuacje nie powinny się już powtarzać. W jednym z dokumentów znajdziemy wzmiankę o tym, że NIT powinny być stosowane jedynie przeciwko podejrzanym, a osoby postronne nie będą narażone na naruszenia prywatności. Z drugiej strony wprowadzona w 2016 roku przez Departament Sprawiedliwości zasada 41 pozwala amerykańskim sędziom podpisywać nakazy przeszukania komputerów także poza ich dystryktami. To szczególnie przydatne, jeśli nie wiadomo, gdzie przebywa cyberprzestępca.

Cyberataki są skuteczne, ale jeszcze jakiś czas nie będą traktowane na równi z innymi metodami śledczymi, jak podsłuchy czy infiltracja środowisk przestępczych. Rzecznik FBI powiedział redakcji Motherboard, że przeciwko stosowaniu NIT przemawia ich czasochłonność i wysokie koszty, więc w większości dochodzeń nie będą używane. Biuro nie cofnie się, gdy w grę będzie wchodziło ujęcie groźnych cyberprzestępców.

Programy

Zobacz więcej
Komentarze (25)