HOȚII VIRTUALI

 

Un birou anonim dintr-un centru de afaceri
de pe malul râului Monongahela, din oraşul american Pittsburgh, și o intrare neinscripționată peste drum de un snack bar din apropierea Palatului Parlamentului din Londra: două locații în care nu te-ai aștepta să găsești vârfuri de lance În lupta împotriva infracționalității cibernetice, un flagel la fel de devastator ca şi criza financiară. Totuși, În aceste birouri modeste îi găsești pe oamenii de care se tem cei mai mari infractori de pe internet.

Până acum, 44% din micile firme britanice au căzut pradă infracționalității online cel puțin o dată. Numai în 2007 s-a înregistrat o creștere de 9% a fenomenului. „Vânzătorii cu amănuntul au pierdut În 2007 peste 270 de milioane de lire sterline (circa 380 milioane euro) din cauza fraudelor pe internet. Aceste cifre sunt numai cele raportate de bănci. E doar vârful icebergului“, afirmă Andrew Goodwill, specialist În prevenirea fraudelor la compania britanică The Third Man. Conform Organizației pentru Securitate şi Cooperare În Europa, infracționalitatea informatică la nivel global aduce anual pagube de 100 de miliarde de dolari, deoarece aceşti infractori nu se Împiedică de granițe şi se pot organiza fără să se Întâlnească personal. Din 2002 încoace, au apărut o mulțime de rețele de criminalitate virtuală, multe dintre ele anglo-ruse. Printre acestea, CarderPlanet (administrată de un spammer rus fugar cunoscut sub porecla de King Arthur), Theftservices.com, The International Association for the Administration of Criminal Activity Şi ShadowCrew. Unele au fost desființate de poliție, altele au dispărut și au reapărut sub altă formă. Între timp, tranzacțiile cu date financiare furate continuă să Înflorească. Un singur membru al grupării ShadowCrew a fost condamnat la Şase ani de Închisoare pentru o conspirație care l-ar fi Îmbogățit cu 10 milioane de lire sterline.

În 2006, agenții FBI
de la Alianța Națională de Antrenare și Investigare în Domeniul Infracțiunilor Cibernetice (NCFTA) din Pittsburgh au început să înroșească telefonul cu ofițerii de la Agenția pentru Combaterea Criminalității Organizate Grave (SOCA), cu sediul la Londra. Niște foŞti hackeri angajați de FBI tocmai aflaseră de existența unui nou forum online internațional: DarkMarket.

Pentru necunoscători, site-ul arăta ca un forum obiŞnuit, dar conținea și ferestre care se deschideau automat și le permiteau infractorilor să tranzacționeze date de pe carduri de credit, parole Şi nume de utilizator pentru online banking, permise de conducere false, rapoarte de credit și date personale. Clienții puteau cumpăra echipament pentru tipărirea de holograme pe carduri de credit false sau pentru colectarea codurilor PIN de la utilizatorii unui bancomat, metode care le permit infractorilor să cloneze orice fel de card bancar. Prețurile variau Între câteva lire şi multe mii de lire sterline, În funcție de datele livrate.

Totul funcționa cu o eficiență demnă de Amazon.com, deși nu era un site deschis tuturor: accesul era posibil numai pentru membri. Pentru acces în altă zonă decât pagina principală era nevoie de recomandarea a doi membri seniori.

Directorul adjunct al Diviziei de Infracțiuni Cibernetice a FBI, Shawn Henry, şi Sharon Lemon, directorul pentru crime informatice de la SOCA, şi-au dat seama că aveau de-a face cu cel mai grav fenomen infracțional cu care se confruntaseră vreodată. Trebuia combătut, numai că nu aveau acces la nimic dincolo de serverele care găzduiau site-ul și care se puteau afla oriunde În lume. Chiar și așa, când reușeau să dea de urma unui server, se dovedea a fi doar un proxy, adică un computer intermediar care retransmitea datele la serverul principal, aflat În altă parte – poate chiar într-o țară care nu coopera cu poliția americană și cea britanică.

Singura posibilitate era să identifice Şefii rețelelor şi pe clienții lor. Dar, cu atâtea măsuri de precauție, cine se putea strecura neobservat pe forumul lor?

Între timp, tot în 2006,
Spamhaus Project, o companie britanică ce „lucra cu autoritățile pentru a identifica spammerii din întreaga lume“, a lansat un avertisment cu privire la apariția unei noi figuri pe scena fraudei electronice: Pavel Kaminski. Spamhaus susținea că acesta „conducea o echipă de fraudă şi spam fără structură bine definită care opera din Europa de Est“, posibil afiliată organizației BadCow, una din cele mai mari bande de spam din lume. BadCow fusese desființată de polițiŞti În 2005, iar conducerea, În frunte cu Leo Kuvayev, cunoscut online sub porecla de Pharmamaster, a fost amendată cu 37 de milioane de dolari de instanța supremă a statului Massachusetts.

Activitățile lui Kaminski includeau, conform Spamhaus, „fraude cu computere proxy, phishing, pump & dump, scripturi în limbaj de programare Java care exploatau aplicațiile de navigare pe internet ale utilizatorilor (JavaScript exploits), forumuri de fraude cu carduri Şi rețele de boți“ (vezi caseta de la sfârșit pentru explicarea unor termeni). Kaminski se folosea online de pseudonimul Master Splyntr.

Acest istoric infracțional impresionant l-a determinat, la Începutul anului 2006, pe unul din administratorii site-ului DarkMarket, un spammer cu ștate vechi, cunoscut sub numele de Lord Cyric, să-l invite pe Kaminski să se Înregistreze pe acest forum. În perioada aceea, Cyric şi acoliții lui Întâmpinau ceva probleme de securitate. Sistemul de înregistrare a membrilor nu mai funcționa bine, iar bandele rivale Îşi infiltrau oameni (ripperi) pe site şi obțineau date fără să plătească pentru ele. Se pregătea un război al hackerilor.

Splyntr şi-a oferit serviciile de securitate celor de la DarkMarket. Își petrecea 18 ore pe zi la computer, luând urma ripperilor, pentru a le bloca accesul pe forum. DarkMarket avea 2.500 de membri Înregistrați, ceea ce sugera o cifră de afaceri de sute de milioane. Splyntr a resecurizat site-ul, iar utilizatorii s-au simțit din nou În siguranță Şi au reÎnceput tranzacțiile. Membrilor li se ofereau Şi servicii bancare, şi de protecție: cumpărătorul nu trimitea direct banii vânzătorului, ci administratorilor forumului, care trebuiau să-Şi dea acceptul pentru continuarea tranzacției, încasând un comision pentru aceasta.

Pe măsură ce succesul forumului creștea, Splyntr căpăta tot mai multă încredere și urca în ierarhia acestuia.

Către finele anului 2006, Şi-a făcut apariția Max Ray Butler, de 35 de ani, cunoscut online ca Iceman, Aphex sau Digits. Copil-minune din Silicon Valley transformat În hacker, el conducea forumul concurent CardersMarket, un loc de tranzacție online pentru numere de carduri de credit furate Şi de expertiză În criminalitatea informatică. A reuŞit să păcălească FBI-ul oferindu-și serviciile ca informator, în timp ce el, în realitate, îndrepta antene de intercepție de mare putere spre sistemele de comunicare wireless ale instituțiilor financiare. Acum reuŞise să pătrundă ilicit pe serverul DarkMarket Şi să vadă datele de Înregistrare a membrilor, anunțându-i că Master Splyntr se loga la site-ul lor de la sediul autorității de luptă contra infracțiunilor cibernetice NCFTA din Pittsburgh.

Cei de la DarkMarket l-au crezut însă doar un rival gelos şi nu au dat importanță informației. Dar cu această ocazie Iceman a permis FBI-ului să îi afle locația aproximativă, așa că, În 2007, Butler a fost arestat la San Francisco şi trimis în judecată la Pittsburgh, riscând o pedeapsă de 40 de ani de Închisoare.

Dar cine era de fapt Master Splyntr? Nimeni de pe forumul DarkMarket nu părea interesat. În 2007, Master Splyntr devenise administratorul cel mai respectat. La un moment dat, el a sugerat, pentru întărirea securității online, ca forumul să fie mutat pe un nou server. Cazul arestării lui Butler i-a determinat pe membrii DarkMarket să accepte cu dragă inimă propunerea. Noul server se afla Într-un birou anonim dintr-un centru de afaceri de pe malul râului Monongahela, din Pittsburgh.

Aici, tastând calm la computerele din birourile lor cu separeu, un grup de agenți FBI făceau profilul a zeci de infractori care utilizau site-ul. Informațiile erau apoi Împărtășite colegilor britanici de la SOCA şi celor de la poliția turcă şi germană, deoarece mulți utilizatori ai forumului proveneau din țările respective. DarkMarket devenise cea mai mare cacealma operată de FBI.

De îndată ce un utilizator intra pe forum, FBI putea investiga direct adresa lui de e-mail. Nu mai erau nevoiți să caute prin conturi de e-mail dezactivate. Încurajați de un fals sentiment de securitate, infractorii, care folosiseră mult timp cartele telefonice preplătite și computere din internet-cafe-uri, pentru a-și proteja identitatea, s-au lenevit şi au Început să dezvăluie date reale.

Infracțiunile online nu implică
intimidare fizică. Victimele Îşi dau seama că au fost jefuite când este prea târziu. Când au început arestările în rândul celor care frecventau DarkMarket, unul din cei mai importanți membri ai site-ului, un turc cunoscut online sub porecla de Cha0, s-a decis să le trimită un avertisment posibililor informatori.

În august 2007, postul de ştiri turc Haber 7 TV a primit o fotografie cu un bărbat foarte înfricoșat, care şedea pe scaun numai În chiloți și ținând la piept o pancartă pe care scria: „Sunt un şobolan. Sunt un porc. Sunt reporter. Mi-a tras-o Cha0“.

Porecla victimei era Kier. Fusese racolat de poliția turcă din rândul hackerilor în ancheta împotriva lui Cha0. Cha0 vindea aparate de scanat carduri (skimmers) și de furat PIN-uri (PIN pads) de la automatele bancare.

Reclama lui pe forumul DarkMarket reprezenta un bărbat ce se scălda În-tr-o grămadă de bani și spunea: „Tu eŞti cel din grămada de bani? Da, dacă ți-ai luat skimmer și PIN pad de la Cha0“.

De la fabrica sa cu sediul în Istanbul, el furniza cantități importante de echipamente pentru rețelele criminale din Marea Britanie, SUA, Canada, Suedia, Spania, Brazilia, Ungaria, Africa de Sud Şi Serbia. Datorită lui, În numai două săptămâni, În februarie 2007, o bandă de bulgari din Miami Beach a reuŞit să extragă de pe carduri peste 160.000 de dolari. Gruparea condusă de Cha0 deținea informații sustrase de pe 15.000 de carduri de credit.

Kier se apropiase prea mult de Cha0 pentru gustul acestuia. De aceea, el a fost răpit, amenințat cu arma, bătut şi abandonat În stradă. Avertismentul era clar: data viitoare cineva putea muri.

Atunci, FBI a decis să acționeze. La 12 septembrie 2007, Cha0, al cărui nume este Cagatay Evyapan, a fost ridicat de la vila sa din Tuzla, o suburbie de pe țărmul asiatic al Istanbulului, faimoasă pentru vederea spre strâmtoare şi pentru restaurantele de pe țărm.

Atât agenții FBI, cât şi polițiștii din mai multe țări erau pe urmele bărbatului de vreo zece ani, dar până atunci nu reuşiseră să strângă destule probe. În tot acest timp, turcul reuŞise să fure aproximativ 3,5 milioane de lire sterline din bănci aflate În mai multe țări. „Dacă nu mă prindeau, aveam de gând să fur patru miliarde de dolari din băncile americane“, se spune că ar fi scris Cha0 în declarația sa de la poliție.

Peste patru zile, pe 16 septembrie, Master Splyntr a publicat un anunț pe forumul pe care Îl administra: „Bună ziua, dragi Şi respectați membri ai forumului. E timpul să vă dau o veste proastă: forumul trebuie Închis. DeŞi am reuŞit să-i eliminăm pe ripperi, este evident că c******ii din serviciile speciale Şi de securitate sunt Încă infiltrați printre noi. Continuă să strângă dovezi Împotriva noastră. Am reuŞit să facem din DM cel mai important forum de limbă engleză din domeniu. AŞa-i viața... Când ajungi sus... toți vor să te detroneze“. Treaba lui Master Splyntr se Încheiase.

La Începutul lui octombrie,
agenții FBI au Început raidurile Împotriva unor membri DarkMarket din SUA, În timp ce detectivii de la SOCA și polițiștii au arestat 11 persoane În Marea Britanie. În Germania Şi Turcia poliția „a pescuit“ alți membri ai DarkMarket. S-au făcut în total 59 de arestări în toată lumea Şi au fost prevenite pagube de peste 60 de milioane de euro. Au fost recuperate peste 100.000 de carduri de credit compromise Şi au fost confiscate șase programe malware care urmau să fie distribuite prin internet pentru a penetra sistemele de securitate ale unor bănci. Procesele vor dura multe luni.

Un singur mister a rămas. Cine era Master Splyntr? Trecuse Kaminski de partea FBI? Se folosise cineva de numele lui? Dacă era aŞa, atunci de ce adevăratul Splyntr nu a semnalat frauda?

Revista de tehnologia informației Wired a speculat că Pavel Kaminski nu ar fi existat niciodată: fusese „o invenție pentru a-i crea lui Splyntr o reputație printre infractorii de pe forum“. Inflitrat În rândurile hackerilor, el a fost citat Într-un comunicat de presă al FBI: protejând DarkMarket, și-a asigurat încrederea membrilor forumului. „I-am făcut să se simtă În siguranță. Există onoare Şi printre hoți, dacă putem spune aŞa“. TotuŞi, FBI a refuzat să dezvăluie identitatea lui Splyntr.

Apoi, pe 15 octombrie 2007, postul german de radio Südwestrundfunk a susținut că era În posesia unui memo trimis de FBI poliției germane, prin care se confirma că „FBI reuŞise să penetreze forumul de carding DarkMarket“. Postul mai spunea că deținea un e-mail datat din martie 2007, trimis din Pittsburgh de o celulă de șapte agenți FBI din interiorul NCFTA către poliția germană. Mesajul provenea de la adresa agentului special Keith Mularski, iar textul era: „Master Splyntr sunt eu“.

Keith Mularski se alăturase FBI În 1998 Şi, timp de șapte ani, fusese implicat În anchete de securitate națională, printre care și atacurile asupra Pentagonului din 11 septembrie 2001. În 2005, s-a alăturat unității de prevenire a fraudelor cibernetice de la FBI.

La 5 ianuarie 2009, la Conferința Internațională privind securitatea cibernetică din New York, una din prelegerile programate a fost: Un studiu de caz FBI: Operațiunea DarkMarket. Prezentarea ei suna interesant: „Keith Mularski povestește cum s-a infiltrat pe DarkMarket Şi a reuŞit să-l Închidă“.

Atunci Splyntr și-a dat jos masca. La prelegere, el a explicat că, În cadrul acestei operațiuni, a fost nevoit să învețe să gândească la fel ca un escroc pentru a le inspira infractorilor încredere.

Vote it up
Votează
Ți-a plăcut acest articol?Voteaza