Nigerijský hacker vydělal více než 100 000 dolarů, obchodoval s kreditními kartami a malwarovými útoky

Výzkumný tým Check Point Research odhalil identitu kyberzločince známého jako „Dton“, který byl aktivní více než sedm let a nelegální činností si vydělával minimálně 100 000 dolarů. Ale je velmi pravděpodobné, že to bylo ve skutečnosti násobně více.
Dton je svobodný, je mu 25 let a žije v Benin City v jižní Nigérii a podle životopisu se jedná o běžného občana. Má však i druhou identitu: Bill Henry, kyberzločinec, který nakupuje zboží “ukradenými” kreditními kartami a stojí za mnoha phishingovými a malwarovými útoky.

A jak se stal Dton (alias Bill) kyberzločincem, který od roku 2013 vydělal více než 14násobek nové minimální nigerijské mzdy a trojnásobek průměrného platu?

Bill/Dton utratil kolem 13 000 dolarů za údaje o 1000 kreditních kartách v online obchodu s kradenými daty. S každou odcizenou kartou, která stála přibližně 4 až 16 dolarů, se Bill obvykle pokusil provést transakci v hodnotě přibližně 200 000 nigerijských nair, což odpovídá cca 550 dolarům. Pokud byla transakce zablokována, zkusil jiného obchodníka nebo jinou kartu, dokud nebyl úspěšný. Z „investice“ do 1000 odcizených karet byl Bill schopen získat minimálně 100 000 dolarů.

Ovšem neustálý nákup nových dat o platebních kartách přestal Billa/Dtona bavit. Jednak to vyžadovalo platbu předem a za druhé se snažil dosáhnout ještě větších zisků. Proto začal hromadně kupovat e-mailové adresy potenciálních cílů, na které by mohl útočit.

Bill/Dton nakupoval také nástroje pro vytváření a distribuci malwaru. Jednalo se například o nástroje pro připojení hrozby ke zdánlivě neškodnému obsahu, nástroje pro šifrování, krádeže informací nebo komponenty pro sledování stisknutých kláves a exploity. S těmito nástroji si mohl vytvořit vlastní malware, vložit jej do neškodně vypadajícího dokumentu, vytvořit si e-mail a poté ho rozeslat na databázi cílů.

Získal tak množství přihlašovacích údajů, které mohl dále zpeněžit. Zajímavé také je, že Bill/Dton nebyl osamělým obchodníkem, ale reportoval jinému manažerovi, který se zase zodpovídal dalšímu manažerovi. Tito manažeři poskytli Billovi/Dtonovi počáteční kapitál, ale také očekávali návratnost investic. Je to kyberzločinecký ekvivalent známého „pyramidového prodeje“.

Bill/Dton byl ovšem znovu nespokojený kvůli neustálému tlaku od šéfa a také klesaly zisky z používaných malwarových sad. Bill se proto rozhodl začít pracovat na sebe a vyvinout vlastní malware, který nemá známou signaturu a může obejít většinu bezpečnostních řešení.

Protože Bill/Dton není programátor, najal si osobu s přezdívkou „RATs &exploits“, která pro něj malware vyvinula. Pořekadlo „mezi zloději neexistuje čest“ platí zřejmě i zde, tak Bill/Dton infikoval stroj osoby RATs &exploits, aby mohl špehovat jeho práci a ukrást některá tajemství. A aby toho nebylo málo, následně zapojil další postavu se specializovaným malwarovým programem, se kterou se domlouval na nelegálních fórech na cenách a  možnostech. Jakmile ovšem Bill/Dton nedostal, co chtěl, nahlásil druhou stranu Interpolu. Kyberzločin je zkrátka nemilosrdný a Bill/Dton dále pokračoval v nelegálních ziscích.

“Dtonova cesta mezi kyberzločince ukazuje, že i relativní amatér může vydělávat na podvodech a škodlivých online aktivitách. Kyberzločin je jako řada jiných trestných činností hra s čísly. Nezáleží na tom, že 499 lidí e-mail s malwarem neotevře, pokud 500. osoba ano. A když cílíte na stovky tisíc lidí, stačí nakazit malé procento, abyste se zločin vyplatil,” říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

A jak se tedy chránit, abyste se nestali obětí podobných hackerů? Dodržujte základní bezpečnostní postupy:
1) Ujistěte se, že objednáváte zboží z důvěryhodného zdroje. Rozhodně neklikejte na různé propagační odkazy v e-mailech a raději vyhledejte požadovaného prodejce třeba prostřednictvím Googlu a klikněte na odkaz přímo na stránce s výsledky vyhledávání.
2) Dejte si pozor na „speciální“ nabídky. 80% sleva na iPhone a podobně lákavé akce nebo třeba „exkluzivní lék na koronavirus za 150 dolarů“ obvykle nevěstí nic dobrého.
3) Věnujte pozornost vzhledu stránky, případným pravopisným chybám v e-mailech a dalším detailům, které vás mohu upozornit na možný podvod. Zároveň nedůvěřujte zprávám a e-mailům od neznámých odesílatelů.
4) Používejte komplexní bezpečnostní řešení, které vás ochrání před známými i neznámými kyberhrozbami.

Více informací najdete v analýze bezpečnostního týmu Check Point Research:
https://research.checkpoint.com/2020/the-inside-scoop-on-a-six-figure-nigerian-fraud-campaign/