Ежегодные потери от киберпреступлений составляют десятки миллиардов долларов. Сегодня хакерам-новичкам весьма просто отхватить кусок от этого лакомого пирога. Для этого достаточно купить немного биткоинов, поставить бесплатное ПО и полностью забыть об этических нормах. Свежие исследования ценообразования на рынке даркнета показывают, что мощные вредоносные программы, готовые фишинговые страницы, взломщики паролей для популярных брендов и невероятный набор других инструментов для кибератак можно приобрести всего за несколько долларов. Зловредные программы и инструменты легко купить анонимно, но знают ли новоявленные хакеры, как ими пользоваться и не попадаться? Увы, знают. В прошлом такие знания требовали многолетнего опыта и признания со стороны киберсообщества. Теперь они доступны в виде серии пошаговых руководств за незначительную плату. Анализ Недавно команда исследователей изучила тысячи объявлений на пяти крупнейших черных рынках даркнета (Dream, Point, Wall Street Market, Berlusconi Market и Empire) и составила индекс цен Dark Web Market Price Index. Полученные результаты показывают, что в последние годы теневая экономика стала значительно доступнее, а существовавшие раньше барьеры для входа исчезли. Зашифрованные сайты, доступ к которым можно получить с помощью браузера Tor, позволяют анонимно продавать инструменты для взлома и другие товары — например, наркотики, украденную информацию и оружие. Результаты Вредоносное ПО Одними из самых опасных продуктов оказались трояны удаленного доступа (RAT). Их можно было купить в среднем за $9,74. Эта разновидность вредоносных программ позволяет хакерам дистанционно управлять компьютерами жертв. Они могут регистрировать все нажатия клавиш, открывать защищенные файлы, воровать данные пользователей и даже наблюдать за ними с помощью веб-камер. Например, в даркнете доступен известный троян Blackshades, заразивший более полумиллиона устройств (его создатель отбывает наказание в тюрьме). Он также позволяет объединять компьютеры в сети ботов. Кроме того, авторы обнаружили RAT для ОС Android. Некоторые из вредоносных программ были написаны на Python и Visual Basic. Фишинг Фишинг остается одной из самых распространенных атак в киберпространстве, поэтому неудивительно, что предприимчивые хакеры продают готовые страницы-подделки популярных брендов и сайтов. Предложения варьируются от Apple и Netflix до Walmart, Dunkin' Donuts, Minecraft и League of Legends. Средняя стоимость фишинговых страниц составляет $2 — за исключением Apple. Поддельный сайт известного производителя смартфонов обойдется покупателю в $5. Такое распределение цен показывает, насколько высоко ценится информация пользователей Apple в сообществе киберпреступников. Руководство по фишингу обойдется новичку всего в $2,49. Взлом паролей Теперь новичкам даже не приходится настраивать программы для взлома паролей, чтобы атаковать целевой сайт. Готовые файлы конфигурации к бесчисленному списку сайтов можно купить всего за $2. Все, что нужно хакеру для атаки — программа вроде SNIPR или Sentry MBA и несколько таких файлов. К примеру, в даркнете авторы обнаружили огромный список учетных записей от сайта Spotify, добытый с помощью этих инструментов. Сверхдешевый взлом Среди других копеечных инструментов для взлома оказались кейлогеры (клавиатурные шпионы, $2,07), ПО для взлома Wi-Fi ($3), Bluetooth ($3,48) и вредоносные программы для воровства биткоинов из кошельков ($6,07). Авторы исследования отмечают тревожную тенденцию по переходу на модель полного обслуживания в теневой экономике. Конкуренция велика, и некоторые из инструментов доступны в обычной Сети. Их разработчики обещают клиентам полную поддержку, пожизненную гарантию и бесплатные руководства. В некоторых случаях предлагаются скидки на следующие покупки. Комплексные решения Новоявленные мошенники, готовые потратить чуть больше, могут заняться подделкой официальных документов, купив их шаблоны в среднем за $14. Photoshop-файлы идут вместе с подробными руководствами по изготовлению максимально убедительных фальшивок. Покупателю остается ввести личные данные. Доступны шаблоны всевозможных официальных документов, начиная от паспортов/водительских прав и заканчивая счетами за коммунальные услуги и квитанциями. Вместе с личными данными обычных людей, купленными в даркнете, этого достаточно, чтобы оформить заявку на кредит/кредитную карту. По сути черные рынки даркнета предлагают комплексное решение для любого, кто стремится узнать, как совершить кражу личных данных и использовать их для последующих афер в сети, попутно обеспечивая злоумышленников всеми необходимыми для этого инструментами. Например, можно получить доступ к анонимным почтовым ящикам, чтобы совершать покупки в онлайн-магазинах для последующей перепродажи или возврата. Услуга обойдется хакеру в $150, однако это небольшая плата за безопасность и анонимность. Кроме того в даркнете имеется широкий выбор руководств, подробно рассказывающих о скрытом использовании почтовой системы (их средняя стоимость составляет $3,35). Что с этим делать? Что все это означает? Прежде всего, невозможно вернуть выпущенного джина в бутылку. На смену одному закрывшемуся черному рынку приходят два новых. Только в США в 2017 году хакеры в общей сложности похитили 16,8 млрд долларов. Соблазн урвать кусок от этой суммы слишком велик, и со временем он будет только расти. Как потребители, мы должны начать серьезно относиться к защите своих персональных данных. В этом помогут надежные пароли, двухфакторная аутентификация, минимальное использование платежной информации в Сети, сервисы по защите конфиденциальности и т. п. Мы должны помнить о приоритете безопасности и переходить на другие решения, если надежность существующих сомнительна. Разработчики должны ставить безопасность выше удобства и заставлять пользователей соблюдать высокие стандарты защиты, нравится ли им это или нет. Безопасность должна стать неоспоримым преимуществом и коммерческим аргументом. Если эта идеалистическая цель кажется недостаточно убедительной, вспомните о GDPR. Это генеральный регламент о защите персональных данных, разработанный ЕС. За невыполнение закона и недостаточную интеграцию защиты данных «по дизайну и умолчанию» в сервисы и продукты компаниям грозит штраф в 10 млн евро или 2% от общего оборота. Кибербезопасность и цифровая конфиденциальность должны с самого начала быть приоритетом при разработке новых продуктов и услуг. Если мы сумеем закрепить эти ценности в массовой культуре, то все дешевые инструменты в даркнета станут бесполезными в руках подавляющего большинства хакеров.