Erzsébet
4 °C
13 °C
Index - In English In English Eng

Évek óta meglopják a darknetes feketepiacok vásárlóit

2019.10.18. 15:48

A darknet az internetnek az az eldugott szeglete, amelyet csak direkt erre való programokkal lehet elérni, a Tor hálózatot például a Tor böngészővel. A közhiedelemmel ellentétben mindenféle legális tevékenység is folyik itt, de a Tor leginkább mégis csak a feketepiacairól híres. Azt viszont talán kevesen gondolták volna, hogy e piacok vásárlóinak nemcsak a hatóságoktól kell tartaniuk, hanem a kifejezetten az ő megkopasztásukra utazó kiberbűnözőktől is.

Akasztják a hóhért

A darknetes feketepiacok orosz felhasználóit célzó csalást az ESET leplezte le. Két kutatójuk, Anton Cherepanov és Robert Lipovsky kiberbiztonsági cég pozsonyi konferenciáján számolt be arról, hogy fejtették vissza az átverést, hogyan működik, és mennyit kaszáltak vele a hekkerek.

A módszer lényege, hogy a hekkerek egy módosított Tor böngészővel ráveszik a darknetes vásárlókat, hogy tudtukon kívül nekik utalják át a vásárlásra szánt pénzüket. A kutatók a neten botlottak bele a kamu böngészőt ajánlgató oldalba, majd letöltötték és kipróbálták, aztán elkezdték felfejteni az átverést. Mint kiderült, a hekkerek már évek óta észrevétlenül lopták a felhasználók pénzét.

A fertőzött Tor böngészőt egy kamuoldalon kínálják letöltésre, azt állítva, hogy a böngésző hivatalos orosz kiadásáról van szó. Ennek az oldalnak a címe torproect.org, ami egyetlen betűvel különbözik csak a legitim Tor hivatalos oldalától, a torproject.org-tól. Ha valaki elírja és itt lyukad ki, egy üzenet fogadja arról, hogy idejétmúlt a böngészője verziója, töltse le a frissebb verziót. Ha a letöltésre kattint, eljut egy második kamuoldalra, a tor-browser.org-ra, ahonnan letöltheti a pénzére utazó böngészőt.

A hekkerek azonban nemcsak arra játszanak, hátha sokan írják el az oldal címét, két más módon is terjesztik a csaló oldalaikat. Egyrészt orosz fórumokba posztolják. Másrészt beügyeskedték magukat az orosz nyelvű keresési találatok közé. Ehhez létrehoztak négy különböző oldalt a Pastebin nevű szolgáltatáson, ahol bármilyen egyszerű szöveges tartalmat közzé lehet tenni. Ezeket telepakolták kulcsszavakkal, a keresőmotor pedig szépen indexelte őket, és a találatok között előkelő helyen ajánlgatja őket. Olyan kulcsszavakra kereső felhasználókra lőnek, mint a drogok, a kriptovaluták, a a cenzúra megkerülése, Edward Snowden, Julian Assange, illetve orosz ellenzéki politikusok. Ezzel a módszerrel nagyjából félmillió kattintást sikerült az oldalaikra terelni.

Lopva átirányított utalások

A fertőzött böngészőnek csak windowsos verziója van. Magán a böngészőn nem módosítottak, annak a funkcionalitása megegyezik az eredetivel (annak is a 2018. januári verziójával), ezért is maradhatott hosszú időn át észrevétlen. Csak a frissítéseket tiltották le, illetve a böngészőverzió azonosítására szolgáló kódot. És még valamit, ami a módszer lényegét adja: a Tor böngészőbe alapértelmezetten beépített HTTPS Everywhere nevű kiterjesztést, amely normális esetben minden meglátogatott oldalt arra kényszerít, hogy a titkosított verziója töltődjön be. A módosított verziója viszont elküldi az épp meglátogatott oldal url-jét a hekkerek szerverének, hogy aztán az elküldje a böngészőnek a JavaScript modult, amely magát a pénz megszerzéséhez szükséges változtatást elvégzi az oldalakon.

A hekkerek a három legnagyobb orosz darknetes feketepiacot célozták. Ezeken az oldalakon módosították a felhasználók digitális pénztárcáját: bitcoinos tárcákra, illetve a QIWI nevű népszerű orosz digitális pénztárcára utaztak. Amikor a fertőzött böngészőben a felhasználó belép valamelyik érintett feketepiacon a fiókjába, hogy feltöltse a pénztárcáját a vásárláshoz, a böngésző automatikusan kicseréli a pénztárca valódi címét a hekkerekére.

Az ESET kutatói három, a hekkerekhez köthető bitcointárcát találtak, mindhármon kis mértékű tranzakciókat azonosítottak, azokból viszont nagyon sokat. A csalók összesen legalább 4,8 bitcoint szereztek meg, ami dollárban nagyjából 40 ezer, forintban pedig 12 millió. De valójában minden bizonnyal még ennél is több pénzt loptak el, mert ebben a QIWI tárcákból lenyúlt pénz még nincs benne.

Bár a fenti módszer csak a darknetes feketepiacok felhasználóira, azon belül is oroszokra utazott, az eset több tanulsággal szolgál szolgál az átlagos felhasználóknak is. Egyrészt érdemes odafigyelni, hogy egy programot biztosan hivatalos, megbízható forrásból töltünk-e le. Másrészt pénzügyi tranzakcióknál különösen óvatosnak kell lenni, sőt aki biztosra akar menni, használhat kifejezetten ilyen érzékeny műveletekhez tervezett böngészőt is. És úgy általában se árt odafigyelni a biztonságos netezésre.

Munkatársunk az ESET meghívására és költségén vett részt a rendezvényen. A cikk enélkül nem készülhetett volna el, ugyanakkor teljes egészében szerkesztőségi tartalom, készítésére a cég semmilyen befolyással nem volt.