Как это ни удивительно, но многие киберзлоумышленники действуют в открытую и продвигают свои услуги не на подпольных форумах даркнета, а на страницах самой популярной соцсети - Facebook. Об этом в своем блоге пишут эксперты подразделения Cisco Talos, занимающегося вопросами информационной безопасности (ИБ).
За последние несколько месяцев ИБ-специалисты обнаружили на просторах Facebook 74 группы, предлагающие в лучшем случае сомнительные, а в худшем - откровенно противозаконные сервисы, включая продажу и покупку краденых данных банковских карт и другой конфиденциальной информации, фишинг, инструменты и услуги для рассылки спама. В общей сложности, в этих сообществах эксперты насчитали порядка 385 тысяч участников.
Найти такого рода группы в Facebook совсем несложно: для этого пользователю соцсети достаточно задать поиск по ключевым словам, таким как "спам", "CVV" или "кардинг" (термин обозначает незаконный оборот данных кредитных карт, банковских счетов и другой конфиденциальной информации). Стоит вступить хотя бы в одну из таких групп, и алгоритм Facebook, учитывающий интересы пользователя, услужливо предложит похожие сообщества, еще больше облегчая их поиск.
О специфике интересов групп красноречиво говорят их названия, среди которых встречаются "Профессионалы спама", "Профессиональные хакеры и спамеры", "Куплю CVV, отплата в биткоинах", "Взлом Facebook (фишинг)". Несмотря на явно криминальную направленность, которая читается в этих наименованиях, некоторые из групп существовали около восьми лет к моменту, когда их обнаружили эксперты Talos.
В одном из сообществ специалисты встретили объявления о продаже номеров кредитных карт с кодом CVV. Иногда в комплекте шли фото документов, удостоверяющих личность жертвы. Среди других предложений попадались и обширные списки электронных адресов для спам-рассылок, и подставные аккаунты от имени различных организаций, в том числе правительственных, и даже изготовление поддельных удостоверений личности или внесение изменений в существующие.
Злоумышленники просят оплату криптовалютой, либо привлекают посредников, которые получают свой процент за операцию с помощью платёжной системы PayPal.
Столкнувшись с киберпреступным рынком в Facebook, специалисты Talos сначала попытались добиться удаления групп с помощью предусмотренного в соцсети механизма жалоб на неподобающий контент. В нескольких случаях это сработало, но в остальных модераторы удалили только отдельные сообщения, а сами группы не тронули. Лишь после того, как представители Talos напрямую связались с командой безопасности Facebook, большинство сообществ, предлагавших вредоносные сервисы, были ликвидированы. Правда, борьба с ними больше напоминала Сизифов труд: на месте удаленных появились новые, а несколько сообществ остались активными и на момент публикации в начале апреля 2019-го.
В Talos заявили, что продолжают сотрудничать с Facebook в целях дальнейшего выявления и ликвидации как можно большего числа вредоносных групп.
Специалисты отметили, что для Facebook описанная проблема не нова. В апреле 2018 года журналист и ИБ-специалист Брайан Кребс (Brian Krebs) уведомил соцсеть о существовании почти 120 сообществ, в которых хакеры продвигают свои услуги, включая кардинг, цифровое мошенничество и организацию DDoS-атак. Однако через год после того, как киберпреступные группы, насчитывавшие более 300 тысяч участников, были заблокированы, эксперты Talos обнаружили новые аналогичные сообщества, причем названия некоторых из них удивительно напоминали, если не в точности повторяли те, о которых сообщал Кребс.
В Facebook в ответ на публикацию заявили, что выявленные Talos группы были удалены за нарушения политики противодействия спаму и финансовым мошенничествам. В компании уточнили, что сначала ИБ-эксперты сообщили о 41 сообществе, в которых ведется незаконная деятельность, а в марте и в апреле в список были добавлены еще 25 и 8 групп. В соцсети признали, что компании следует быть более бдительной, и заверили, что Facebook вкладывает значительные средства в борьбу с киберпреступной активностью на своих страницах.
Общаясь с журналистами Ars Technica, представитель Facebook сообщил, что 30 тысяч человек по всему миру обеспечивают кибербезопасность соцсети, что втрое больше показателей 2017 года. Модераторы следят за соблюдением правил соцсети комплексно, с помощью жалобы пользователей, технологий и просмотра контента.
