Как считают ряд исследователей, ИБ-специалистам стоит сменить свои приоритеты и цели — вместо того чтобы защищать пользователей и их системы, им стоит попытаться нарушить экосистему, в которой обитают киберпреступники.

По крайней мере, так считают Курт Томас (Kurt Thomas) и Эли Бурштейн (Elie Bursztein) из команды Google по борьбе с мошенничеством и абьюзами. Эти двое также призвали на помощь Дэвида Вана (David Wang) из Google и группу исследователей из отделений Калифорнийского университета в Сан-Диего, Беркли и Санта-Барбаре, а также университета Мичигана и университета Джорджа Мейсона, дабы совместными усилиями изучить, как устроена экосистема киберпреступников и каким образом ее можно наиболее эффективно дестабилизировать.

Плодом их усилий стал труд под названием «Framing Dependencies Introduced by Underground Commoditization» (.PDF), информация о котором в минувший четверг появилась в блоге службы сетевой безопасности Google.

В частности, исследователей заинтересовали взаимосвязь между преступными предпринимателями и те ниши, которые они занимают в экосистеме. Эксперты изучили спам- и блокер-кампании, случаи хищения данных кредитных карт и другие формы киберпреступлений и систематизировали свою классификацию, выстроив связи между игроками в разных сферах сетевого андеграунда. Особенно заинтересовал исследователей процесс коммодитизации в этой экосистеме.

Преступники используют результаты взлома, эксплойт-паки, информацию личного характера и проводят спам-рассылки с фейковых учетных записей. Жертвы заглатывают приманку, попадают в сети теневых партнерских программ, и в итоге спамер получает свою долю от участия в программе.

Изучив, как именно каждая из сторон зарабатывает деньги, исследователи обнаружили, что взаимосвязи между ними «весьма хрупки» и «только и ждут, чтобы их разрушили».

«Коммодитизация является ключевым фактором формирования бизнес-структур и деловых отношений, на которые опирается современная киберпреступность», — пишут эксперты.

Хотя закрыть черный рынок легко лишь на словах, в докладе описано несколько способов, при помощи которых можно нарушить планы злоумышленников, а возможно, и полностью разрушить их «пищевую цепь».

Исследователи отметили, что защита пользователей и их систем при помощи файерволов, двухфакторной аутентификации и т.п. напоминает им «непрекращающуюся перестрелку». Подобная стратегия приемлема, но неспособна обескуражить мошенников и прочих киберпреступников.

«Реактивный цикл разработки не позволяет защитникам ударить по критической инфраструктуре и финансовым центрам, на которые опираются киберпреступники, а ведь подобные акции вполне могли бы изменить характер борьбы со злоупотреблениями ради финансовой выгоды», — полагают эксперты.

Вместо этого ИБ-специалисты сосредоточивают усилия на альтернативных мерах, таких как нейтрализация ботнетов, которая временно нарушает планы злоумышленников, но на деле дает лишь временную передышку.

В качестве подтверждения своих доводов исследователи напомнили случай, когда Google заблокировала ряд операторов сотовой связи и VOIP-провайдеров, к которым злоумышленники обращались, чтобы верифицировать фейковые аккаунты. Хотя подобный шаг не позволил полностью избавиться от мошенничества, он помог увеличить стоимость краденых учетных записей на 30–40%.

«Увеличение стоимости фальшивых аккаунтов, телефонных номеров или скомпрометированных веб-сайтов сильно сказывается на прибыльности операции, — пишут в своей блог-записи Томас и Бурштейн. — В итоге операция, требующая использования нецелесообразно дорогих ресурсов, будет прекращена».

«Купить можно все, однако насколько злоумышленники заинтересованы в том, чтобы приобретать подобные услуги, еще предстоит изучить», — отмечают далее исследователи.

Эксперты считают, что попытки нарушить финансовые потоки, питающие преступную экосистему, и судебное преследование злоумышленников тоже являются по-своему действенными методами.

Они также отмечают, что преступники могут заменить хостинг-инфраструктуру или домены, а вот их отношения с банками крайне тяжело поддерживать — это хрупкие связи, которые трудно восстановить в случае коллапса. Аресты злоумышленников, стоящих за ботнетами и кардерскими форумами, в целом эффективны, полагают исследователи, приводя в пример арест хакера, известного как Paunch, и группировки, стоявшей за троянцем Zeus.

Хотя их идеи не новы, эксперты отмечают, что подобный подход следует детальнее изучить, сконцентрировавшись на «вмешательстве на основе данных» и сборе информации о том, как киберпреступники реагируют на подобные вмешательства.

«Мы считаем, что исследователи и индустрия в целом могут воспользоваться нашими наработками, чтобы оценить новые методы противодействия киберпреступлениям и отслеживать будущие тенденции в этой экосистеме», — заключают эксперты.

Категории: Аналитика, Главное, Кибероборона