מכירת סוסים טרויאנים כשירות

שוק ה-(FaaS (Fraud as a Service בעולם התחתון של הרשת מאפשר מכירת קבצי הפעלה של סוסים טרויאנים ללא התוכנה המלאה, או ב-"דילים" בחבילות שונות

מכירת סוסים טרויאנים באתר פייסבוק (צילום מסך)

מאז 2007, השנה שבה הופץ הסוס הטרויאני זאוס - הראשון שכוון נגד בנקאות מסחרית, השתכללה פרקטיקת פשעי הסייבר, הכוללת הפעלה של סוסים טרויאנים ובוטנטים (Botnets). לאחר ציון דרך משמעותי זה, עולם ההונאות הפיננסיות התפתח בהתמדה, וסוסים טרויאנים בנקאיים חדשים הופצו ונעלמו כלעומת שצצו.

לאורך כל הדרך, האלמנט הקבוע היחיד היה שוק ה-FaaS (הונאה כשירותFraud as a Service - ) בעולם התחתון של הרשת,  המאפשר מכירת קבצי הפעלה של סוסים טרויאנים ללא התוכנה המלאה, או "דילים", בחבילות שונות. אופציות חלופיות אלו מיועדת לפושעים הפחות רציניים ואלו שאינם יכולים להרשות לעצמם לרכוש ערכה שלמה, או לא יודעים מהיכן להתחיל.

דילים אופייניים מעולם ה-FaaS מציעים למכירה סוסים טרויאנים (דוגמת זאוס, SpyEye, Ice IX ואפילו (Citadel תמורת כמה מאות דולרים. מחיר זה הינו נמוך משמעותית ממחירם הרגיל המגיע לאלפי דולרים. מאחר וספקי ה-FaaS לא יכולים לספק את התוכנה המלאה, עושים אלו מאמצים להציע עסקה אטרקטיבית יותר לפושע המתחיל, עם הצעות הכוללות הנחה על אחסנת אתרים בלתי פגיעה, שירותי התקנה בחינם, הדרכה מעשית וסיוע בבניית קמפיין להדבקות בזדונה. כל אלה כלולים בחבילות משתלמות, שתכליתן למשוך לקוחות מפוקפקים ונוכלים חדשים לעולם הפשע המקוון. אין ספק כי מדובר בכלכלה שחורה משגשגת.

בנוסף, תחילתה של 2013 הביאה עמה מהפך בעולם הזדונות המסחריות, כאשר מחתרת הנוכלים המקוונת איבדה את מרבית הגישה שהייתה לה לתוכנות טרויאניות, לאחר שכל המפתחים המרכזיים בשוק זה החליטו לחדול ממכירת הנוזקות שלהם. בעקבות זאת, נראה כי שוק ה-FaaS הגביר את פועלו כפקטור המשמן את גלגלי הפעילות בעולם הפשע המקוון.

מזה שנים מספר ועד לא מזמן, נותרו עסקאות FaaS ורוכליהן חסויים היטב במובלעות מחתרתיות בשווקים המקוונים. אותן עסקאות פורסמו רק בקרב קהילה מצומצמת של נוכלים או נודעו רק למי שידע היכן צריך לחפש. כיום, באופן מפתיע, הרשתות החברתיות הולכות ומתבררות לא רק כמקום אידיאלי  להפצת נוזקות ולביצוע פישינג (ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט), אלא גם כמרחב בו ניתן לשווק בוטנטים ישירות לקהל היעד הרחב באופן משמעותי.

לאחרונה, התגלתה הצעת FaaS חדשה המשווקת קוד זדוני ישירות דרך הפייסבוק. הפריט שמוצע למכירה: ממשק ניהול מותאם אישית של טרויאני ובוטנט זאוס, גירסא 1. מלבד מה שמפתח תוכנות זדוניות מציע בדרך כלל - ממשק שליטה וערכת סוס טרויאני תקינה ופועלת, הפעם הוא יצר עמוד פייסבוק למען הלקוחות הפוטנציאליים שלו וכל שאר המעוניינים. הספק משתמש בעמוד כדי להציג את המוצר ולספק עדכונים תכופים כמו גם מידע ותוכן רלוונטי לפושעי סייבר.

מסתבר כי כאשר ערכות לא יקרות מוצעות למכירה על ידי מפתחים זמינים, אפילו סוס טרויאני ישן כגון הזאוס V1 יכול לקבל תשומת לב מפושעים חובבים, ולגרום לנוכלים זעירים להתנסות באיסוף פרטי בנק, ולשלוח ידם בתסריטי הונאות פיננסיות מקוונות. החידוש שביצירת קשר עם ספקי בוטנטים בפייסבוק, חוסך את הצורך במגעים מחתרתיים ומציג את האפשרויות בפני כל מי שנתקל בקישור לעמוד הרלוונטי בגוגל – במקום "גבוה" בהרבה מעמקי המחתרת האינטרנטית.

שיווק של פשע מקוון באופן כה פתוח ונגיש מהווה עניין נדיר למדי, מאחר ופושעי סייבר חוששים בדרך כלל לאבד את חירותם. כיוון שכך, הם נוטים שלא לחשוף את תוכניותיהם באינטרנט, ונמנעים מיצירת קשרים עם מי שעלול להסתבר בדיעבד כנציג החוק או חוקרי אבטחת מידע.

אם כך, מדוע ללכת על פרסומת כה פתוחה בפייסבוק? פושעים שלוקחים סיכון מסוג זה - לשם מכירת הנוזקות שלהם לקהל גדול יותר, עושים זאת משום שהחוקים למניעת פשעים דיגיטליים במדינתם סלחניים יותר או אינם קיימים.

אף על פי כן, מאמצי חקירה ושיתופי פעולה בינלאומיים שהצליחו והובילו למעצרם של מפעילי בוטנטים, נוכלים וכנופיות מקוונות, גרמו למפתחי נוזקות רבים לרדת למחתרת. חוקי סייבר חדשים, אישומים פליליים וגזרי דין קורמים עור וגידים בכל רחבי העולם. ככל שהעוסקים בתחום ה-FaaS יקדימו להבין כי ניתן לחקור, לגלות ולהוכיח פשעי סייבר, וכי ניתן לגזור עליהם גם מאסר בפועל - כך הם יהססו יותר בטרם יחליטו להשתכשך בביצת הפשע המקוון.

הכותבת היא מומחית להונאות סייבר ב-RSA חטיבת אבטחת המידע של EMC