Funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości wzięli udział w międzynarodowej akcji kierowanej przez FBI. Operacja miała na celu przejęcie i zamknięcie przestępczego rynku internetowego Genesis Market. Strona ta wykorzystywana była do handlu skradzionymi danymi uwierzytelniającymi do kont oraz innymi poufnymi danymi.
CBZC podaje, iż w wyniku operacji “Cookie Monster” na całym świecie zatrzymano 119 osób. Serwis Genesis Market w momencie likwidacji zawierał ponad 2 miliony skradzionych tożsamości.
Działania cyberpolicji
W bezprecedensowej akcji zamknięcia Genesis Market wzięło udział 49 funkcjonariuszy CBZC z komórek terenowych w Krakowie, Rzeszowie, Katowicach, Wrocławiu, Łodzi, Warszawie, Lublinie, Białymstoku oraz Szczecinie. Czynności prowadzone były wobec osób uczestniczących w nielegalnym handlu danymi dającymi możliwość zdobycia nieuprawnionego dostępu do informacji. W wyniku operacji przeprowadzono 14 przeszukań i zatrzymano 5 osób. Podejrzani usłyszeli zarzuty karne o czyny z art. 269b § 1 k.k. tj. pozyskiwania haseł komputerowych, kodów dostępu lub innych danych, umożliwiających dostęp do informacji przechowywanych w systemach informatycznych.
Działania polskich cyberpolicjantów skoordynowane były ściśle z czynnościami prowadzonymi w Stanach Zjednoczonych przez funkcjonariuszy FBI , oraz policję – w Kanadzie, Australii, Wielkiej Brytanii, Holandii, Włoszech, Francji, Danii, Szwajcarii, Szwecji, Hiszpanii, Rumunii, Niemczech i Norwegii.
Czym był Genesis Market?
Genesis Market wystartował w fazie alfa pod koniec 2017 roku, a do 2020 roku stał się najpopularniejszym sklepem internetowym z danymi uwierzytelniającymi, odciskami palców urządzeń i plikami cookie.
Specjaliści z firmy Trellix, którzy wspomagali organy ścigania w operacji, wyjaśnili pokrótce, w jaki sposób działali cyberprzestępcy. Są oni zdania, że operatorzy platformy używali niestandardowego kodu JavaScript, zrzucanego na maszyny ofiar. Miał on na celu gromadzenie danych logowania i odcisków palców urządzeń (np. plików cookie, adresów IP, stref czasowych, informacji o urządzeniu). Wszystkie te informacje razem składały się na tożsamość cyfrową. Złośliwy JavaScript dostawał się na zaatakowane hosty przez różne złośliwe oprogramowanie kradnące informacje, w tym RedLine, DanaBot, Raccoon i AZORult, które zapewniały początkowy dostęp.
Operatorzy Genesis Market czerpali zyski ze sprzedaży tzw. “botów”, które rezydując na zainfekowanym hoście, dostarczały nabywcy zbierane dane w czasie rzeczywistym.
Europol podaje, iż “przestępcy kupujący te specjalne „boty” otrzymywali nie tylko skradzione dane, ale także sposoby ich wykorzystania. Kupujący otrzymywali niestandardową przeglądarkę, która naśladowała przeglądarkę ich ofiary. Umożliwiało to przestępcom dostęp do konta ofiary bez uruchamiania jakichkolwiek środków bezpieczeństwa z poziomu platformy, na której znajdowało się konto.”
Pełna baza danych Genesis Market zawierała 1,5 miliona botów dostarczających ponad 2 miliony tożsamości. W momencie usunięcia dostępnych było na sprzedaż ponad 460 000 botów. W sumie platforma oferowała około 80 milionów poświadczeń i cyfrowych odcisków palców.
Czy moje dane były na Genesis Market?
Aby sprawdzić, czy Twoje dane znajdowały się na cyberprzestępczym rynku, należy skorzystać z portalu przygotowanego przez holenderską Policję. W tym celu wystarczy odwiedzić stronę https://www.politie.nl/en/information/checkyourhack.html i wpisać swój adres e-mail.
CBZC informuje, iż należy również zastosować poniższe zasady:
- Uruchom program antywirusowy. W większości przypadków Twój program antywirusowy wyłapie złośliwe oprogramowanie i je usunie. Dopiero wtedy powinieneś zmienić wszystkie swoje hasła – nie wcześniej, jeśli nie chcesz, aby cyberprzestępcy dostali je w swoje ręce.
- Powiadom odpowiednich interesariuszy. Twój bank, firma ubezpieczeniowa i każda inna ważna strona trzecia powinny zostać poinformowane o kradzieży Twojej tożsamości.
Źródło: https://cbzc.policja.gov.pl/bzc/aktualnosci/144,Policjanci-CBZC-w-miedzynarodowej-operacji-zamkniecia-przestepczego-serwisu-inte.html
https://www.bleepingcomputer.com/news/security/fbi-seizes-stolen-credentials-market-genesis-in-operation-cookie-monster/
Grafika: freepik
Redaktorka Net Complex Blog