Belső felépítés a nagy szervezeteknél
Ezek a csoportok gyakran sokmillió dolláros zsákmányt szereznek, akcióikat alapos, hónapokig tartó előkészítő munka előzi meg: az infrastruktúra kialakítása, a malware megalkotása és letesztelése, a célpont felderítése stb.
A csapatban szigorú munkamegosztás van: a programozók felelősek a malware megírásáért: ez gyakran legalább kettőt jelent, mivel eggyel meg kell fertőzni az adott rendszert, egy másikkal pedig meg kell szerezni az adatokat. Előfordul, hogy a feketepiacról beszerzett vírust módosítanak, de a nagy szervezetek „adnak magukra”, és a biztosabb siker érdekében maguk fejlesztik ki a malware-t – ilyenkor felértékelődik a programozók szerepe.
A vírusírók munkáját egészíti ki a tesztelőké, akik gyakorlatilag ugyanúgy dolgoznak, mint a legális világban, csak ők a specifikációk alapján a malware-ket tesztelik.
A webtervezők és webes programozók általában külsősök, akik távmunkában készítik el a hamis weboldalakat, az adathalász honlapokat, a fertőző weboldalakat stb.
A disztribútorok munkája az, hogy a kész kártékony programokat a lehető legtöbb eszközre eljuttassák: ők profilozzák a felhasználókat, trükköket találnak ki, hogy a vírust és a felhasználót összehozzák (pl. fertőzött e-mailek vagy weboldalak).
Előfordul, hogy a kiválasztott módszer nem elegendő minden célba vett számítógép megfertőzésére, ilyenkor alkalmaznak hackereket, vagyis olyan nagy tudású informatikusokat, akik jó pénzért hajlandóak az adott egyedi problémákat megoldani – ők az egész folyamat legképzettebb szakemberei.
A beindított sikeres támadás technikai hátterét, a zökkenőmentes működést, a kódok működésének ellenőrzését a rendszergazdák látják el – ők is hasonlóképp dolgoznak, mint a legális világban tevékenykedő kollégáik, csak a céljuk más.
Létezik még egy speciális feladatkör is a bandákban, az „ügyfélszolgálatosé”. A sikerhez bizonyos esetekben nem elegendő a technológiai háttér, valódi emberektől is szükség van információkra, esetleg interakciókra. Ezt oldják meg a social engineeringben járatos bűnözők, akik például a szóbeli megerősítést adják meg, magukat a célba vett intézmény alkalmazottjának kiadva.
A folyamat végén állnak azok, akik a technikai végrehajtás után valójában megszerzik a pénzt (money flow managers), az ő szerepük kiemelten fontos. A pénzhez hozzájutni többféle módon lehetséges, ez intézményenként változik, ezért ezek a bűnözők alaposan felkészülnek, a pénzintézmény működésének legapróbb részleteit is megismerik, hogy kidolgozzák azt a módszert, amellyel a legbiztosabban, a legkisebb kockázattal hozzá lehet jutni az ellopni kívánt összegekhez. Nagy hozzáértést és felkészültséget kívánó munka, így ők kiemelt szerepet játszanak a bűntényben, és általában részesedést kapnak, nem fix összeget.
Ha megvan a zsákmány, akkor lépnek színre a pénzmosók, akik egy saját maguk által létrehozott infrastruktúra segítségével megjáratják a lopott pénzt, eltüntetik, tisztára mossák, majd eljuttatják a lopás megszervezőihez, a vezetőkhöz, illetve a megadott helyre.
Külön feladatuk van az úgynevezett „stuffereknek”, akiknek szintén egyfajta pénzmosó szerepük van: az ellopott pénzen árukat vásárolnak az e-boltokban, majd ezeket eladják, és a pénzt eljuttatják a megadottaknak, százalék fejében.
A sor végén áll az „agy”, a főnök, aki az akciókat kitalálja és megszervezi.
A fenti szerepek természetesen a gyakorlatból elvont általánosítások, nincs kőbe vésve, hogy így kell működni, ezek a szervezetek rugalmasan alakítják saját struktúrájukat. A Kaspersky szakemberei a vizsgált csoportok tevékenysége alapján hasonlóképp elvonták egy átlagos támadás forgatókönyvét is:
- felderítés: a legfontosabb, hogy a lehető legtöbb releváns információt összegyűjtsék a célpontról
- fertőzés: a meghatározott módszerekkel be kell juttatni a kártékony kódokat a célba vett rendszerekbe (fertőzött e-mail, fertőzött weboldal stb.), majd a fertőzés elrejtése és stabilizálása
- a rendszer felderítése, az adatlopó program implementálása távolról
- a pénz megszerzése
A jelentés végén a Kaspersky szakemberei kitérnek arra, hogy miért olyan sikeresek az orosz nyelvű kiberbűnözők (is):
- nincs elég képzett szakember a bűnüldöző szerveknél
- az elégtelen törvényi környezet miatt a bűnözők könnyen elkerülhetik a felelősségre vonást vagy enyhe büntetéssel megússzák
- mivel ez a fajta bűnözés nemzetközi, fellépni ellene csak nemzetközi összefogással lehet, és ez jelenleg nem kielégítő