Мошенники зарабатывают на инвестиционных схемах $6,6 миллиарда в год. Только на компрометации корпоративной электронной почты бизнес теряет $2,8 миллиарда. Романтические аферы обходятся жертвам ещё в $672 миллиона. Это данные ФБР за 2024 год, и они описывают не отдельные инциденты, а стабильно работающую глобальную индустрию. Люди, которые за ней стоят, живут в Бангладеш, Того и Китае, пользуются серверами в десятках стран и почти никогда не пересекаются с жертвами лично.
Проблема в том, что традиционные правоохранительные инструменты плохо работают против преступников, у которых нет ни офиса, ни гражданства в стране жертвы, ни даже постоянного адреса сервера. Именно здесь и появляются частные компании по анализу угроз, такие как TrendAI™. Их работа начинается там, где заканчиваются возможности обычной полиции.
Роберт Макардл, директор по исследованию киберпреступлений в TrendAI™, описывает подход коротко: его аналитики берут сырые данные — домены, IP-адреса, записи WHOIS, списки интернет-провайдеров — и превращают их в конкретные наводки. Задача в том, чтобы за набором цифр увидеть живого человека или конкретную сеть, которой можно предъявить обвинение. Дальше в дело вступает «добрая старая полицейская работа».
Операция Synergia III — один из самых масштабных результатов такого сотрудничества. ИНТЕРПОЛ координировал её совместно с TrendAI™ и рядом других частных партнёров. В неё были вовлечены силовые структуры 72 стран и территорий. По итогам операции было уничтожено более 45 000 вредоносных IP-адресов и серверов, арестовано 94 человека, ещё 110 находятся под следствием. Помимо этого, изъято 212 электронных устройств и серверов.
Схема того, как отслеживаются преступные сети, примерно одинакова в каждом случае. Аналитики ищут серверы, которые обслуживают фишинговые страницы, распространяют вредоносное программное обеспечение или работают как командные центры для управления заражёнными машинами. Затем через технические данные о регистрации доменов и сведения о провайдерах они пытаются установить личности, за которыми числится инфраструктура. Это кропотливая работа, и она требует точного понимания того, как устроены преступные сети изнутри.
Параллельно с Synergia III шли другие операции. Europol на прошлой неделе провёл операцию против Tycoon2FA — это платформа, которая продавала фишинг как услугу: любой желающий мог арендовать готовый инструментарий для кражи учётных данных. В Африке операция Sentinel завершилась арестом 574 подозреваемых, причастных к сетям цифрового вымогательства. Операция Secure против инфостилеров — вредоносного ПО, похищающего пароли и данные с заражённых компьютеров — привела к ликвидации 20 000 вредоносных IP-адресов и доменов и задержанию 32 человек.
Географию преступлений аналитики TrendAI™ описывают как настоящую карту специализации. В Китае работают фишинговые сайты, замаскированные под казино. В Того действуют группировки, специализирующиеся на сексторшне и романтических аферах. В Бангладеш — мошенники, эксплуатирующие темы кредитов и трудоустройства. У каждой группы своя аудитория жертв, свои скрипты и своя инфраструктура.
Сотрудничество между частными компаниями вроде TrendAI™ и международными агентствами — ИНТЕРПОЛ, Европол, ФБР — работает по принципу разделения компетенций. Частный сектор умеет быстро анализировать технические данные и строить связи между элементами инфраструктуры. Государственные агентства умеют получать ордера, пересекать границы и проводить аресты. По отдельности каждая из сторон решает лишь часть задачи.
Масштаб операций говорит о том, что киберпреступность давно перестала быть уделом одиночек-хакеров. Это распределённый бизнес с инфраструктурой, ролями и даже сервисными моделями — достаточно вспомнить Tycoon2FA, где фишинг продавался как готовый продукт. Уничтожение 45 000 адресов в одной только Synergia III даёт представление о реальных масштабах этой экосистемы.
Изображение носит иллюстративный характер
Проблема в том, что традиционные правоохранительные инструменты плохо работают против преступников, у которых нет ни офиса, ни гражданства в стране жертвы, ни даже постоянного адреса сервера. Именно здесь и появляются частные компании по анализу угроз, такие как TrendAI™. Их работа начинается там, где заканчиваются возможности обычной полиции.
Роберт Макардл, директор по исследованию киберпреступлений в TrendAI™, описывает подход коротко: его аналитики берут сырые данные — домены, IP-адреса, записи WHOIS, списки интернет-провайдеров — и превращают их в конкретные наводки. Задача в том, чтобы за набором цифр увидеть живого человека или конкретную сеть, которой можно предъявить обвинение. Дальше в дело вступает «добрая старая полицейская работа».
Операция Synergia III — один из самых масштабных результатов такого сотрудничества. ИНТЕРПОЛ координировал её совместно с TrendAI™ и рядом других частных партнёров. В неё были вовлечены силовые структуры 72 стран и территорий. По итогам операции было уничтожено более 45 000 вредоносных IP-адресов и серверов, арестовано 94 человека, ещё 110 находятся под следствием. Помимо этого, изъято 212 электронных устройств и серверов.
Схема того, как отслеживаются преступные сети, примерно одинакова в каждом случае. Аналитики ищут серверы, которые обслуживают фишинговые страницы, распространяют вредоносное программное обеспечение или работают как командные центры для управления заражёнными машинами. Затем через технические данные о регистрации доменов и сведения о провайдерах они пытаются установить личности, за которыми числится инфраструктура. Это кропотливая работа, и она требует точного понимания того, как устроены преступные сети изнутри.
Параллельно с Synergia III шли другие операции. Europol на прошлой неделе провёл операцию против Tycoon2FA — это платформа, которая продавала фишинг как услугу: любой желающий мог арендовать готовый инструментарий для кражи учётных данных. В Африке операция Sentinel завершилась арестом 574 подозреваемых, причастных к сетям цифрового вымогательства. Операция Secure против инфостилеров — вредоносного ПО, похищающего пароли и данные с заражённых компьютеров — привела к ликвидации 20 000 вредоносных IP-адресов и доменов и задержанию 32 человек.
Географию преступлений аналитики TrendAI™ описывают как настоящую карту специализации. В Китае работают фишинговые сайты, замаскированные под казино. В Того действуют группировки, специализирующиеся на сексторшне и романтических аферах. В Бангладеш — мошенники, эксплуатирующие темы кредитов и трудоустройства. У каждой группы своя аудитория жертв, свои скрипты и своя инфраструктура.
Сотрудничество между частными компаниями вроде TrendAI™ и международными агентствами — ИНТЕРПОЛ, Европол, ФБР — работает по принципу разделения компетенций. Частный сектор умеет быстро анализировать технические данные и строить связи между элементами инфраструктуры. Государственные агентства умеют получать ордера, пересекать границы и проводить аресты. По отдельности каждая из сторон решает лишь часть задачи.
Масштаб операций говорит о том, что киберпреступность давно перестала быть уделом одиночек-хакеров. Это распределённый бизнес с инфраструктурой, ролями и даже сервисными моделями — достаточно вспомнить Tycoon2FA, где фишинг продавался как готовый продукт. Уничтожение 45 000 адресов в одной только Synergia III даёт представление о реальных масштабах этой экосистемы.
