Эксперты Kaspersky Digital Footprint Intelligence изучили публикации в даркнете о сделках с участием гарантов за период с января 2020-го по декабрь 2022 года. Речь идёт о сообщениях на международных форумах и площадках теневого интернета, а также в общедоступных Telegram-каналах, используемых злоумышленниками (в общей сложности 226 форумов и 489 каналов).
Гаранты — это незаинтересованные посредники, к услугам которых злоумышленники прибегают для уменьшения рисков мошенничества при заключении сделок. В этой роли может выступать специальный сервис, организованный и поддерживаемый теневой площадкой, или незаинтересованная в результатах сделки третья сторона (также участник теневого сообщества). В среде англоязычных злоумышленников для обозначения гаранта чаще используется термин «эскроу» (escrow) — эскроу-сервис или эскроу-агент. Оплата услуг гаранта обычно составляет от 3% до 15% от стоимости сделки.
Использование гарантов упоминается в более чем миллионе сообщений. Из них почти 313 тысяч было опубликовано в 2022 году. Около половины сообщений за 2022 год (150 тысяч) было размещено на площадке, специализирующейся на обналичивании денег и связанных с этой активностью услуг.
На протяжении большей части 2022 года происходил спад активности, в том числе связанной с гарантами, на теневых площадках в целом. Возможно, это произошло вследствие обострения геополитической обстановки: многие злоумышленники временно или совсем прекратили нелегальную деятельность и переехали. В конце 2022 года снова начался рост числа упоминаний гарантов, в первую очередь в теневых Telegram-каналах. Связанная с гарантами активность вернулась к показателям начала года.
Динамика количества сообщений на теневых ресурсах, упоминающих гаранты, 2020–2022 гг. Источник — сервис Kaspersky Digital Footprint Intelligence
Некоторые теневые форумы развивают свои автоматические гарант-системы для ускорения и упрощения относительно стандартных сделок в теневом сегменте. Для дорогих или нестандартных случаев при этом все равно привлекают живого посредника. Автоматические гаранты работают по той же схеме, что и «живой» гарант, но при этом существенно быстрее, если сделка стандартная, а стороны соблюдают все условия и договоренности.
«Поскольку теневое сообщество по мере роста усложняется, структурируется и развивает системы саморегуляции, мы выпустили специальный отчёт, чтобы помочь компаниям лучше понять, как оно функционирует, как злоумышленники взаимодействуют между собой, где и какую информацию могут опубликовать. Подобные исследования бизнеса в даркнете позволят компаниям отслеживать меняющийся ландшафт киберугроз», ― комментирует Вера Холопова, аналитик Kaspersky Threat Intelligence.
Для защиты от кибератак «Лаборатория Касперского» советует компаниям:
- регулярно обновлять все используемые программы на всех устройствах, чтобы злоумышленники не могли проникнуть в корпоративную инфраструктуру через уязвимости; как можно скорее устанавливать патчи для брешей;
- использовать сервисы Threat Intelligence для анализа потенциальных угроз и оперативного выявления инцидентов;
- предоставить внутренним специалистам по кибербезопасности доступ к отчётам Kaspersky Digital Footprint Intelligence, чтобы они могли посмотреть на ресурсы компании глазами внешних злоумышленников, быстро обнаруживать потенциальные векторы атак и узнавать об угрозах со стороны киберпреступников;
- если инцидент уже случился, можно обратиться к сервису Kaspersky Incident Response, чтобы минимизировать последствия, выявить все скомпрометированные узлы и системы и принять меры, необходимые для того, чтобы подобные атаки не повторились в будущем.
Подробнее о сделках в теневом интернете и гарант-сервисах читайте на https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2023/03/14124006/Biznes-v-darknete-sdelki-i-regulyatsia.pdf