Karma wraca. Haker, który dużo zarabiał na handlu hasłami, sam został zhakowany. Popełnił szkolny błąd

W ciągu kilku miesięcy handlarz danymi może zarobić na czysto nawet milion złotych
W ciągu kilku miesięcy handlarz danymi może zarobić na czysto nawet milion złotych Foto: andreypopov / 123RF
Okrągły milion zł w nieco ponad pół roku, bez wychodzenia z domu – tyle może zarobić handlowiec, zajmujący się sprzedażą skradzionych loginów i haseł. Takie dane wyciekły do internetu po tym, jak haker włamał się na konto handlarza tożsamościami.

Sprawę opisuje serwis KrebsOnSecurity, blog zajmujący się bezpieczeństwem w sieci i tematyką darknetu, czyli ciemnej strony internetu. Na co dzień jest ona ukryta przed oczami większości internautów, a członkowie różnych społeczności często parają się działalnością przestępczą. Tak, jak wspomniany handlarz tożsamości.

Nielegalny handel danymi w sieci

Ktoś włamał się na jego konto w Carder’s Paradise – serwisie zajmującym się pośrednictwem m.in. w handlu tożsamościami i danymi kart kredytowych. Handlarz jest jednym z wielu, którzy mają konta w tym miejscu. Okazuje się, że jest to bardzo dochodowy biznes. Statystyki sprzedaży tego handlarza wskazują na to, że w ciągu kilku miesięcy tego roku na jego konto wpłynęło ponad 288 tysięcy dolarów, a więc ponad milion złotych. Drugie tyle zarobili twórcy Carder’s Paradise tytułem prowizji. Dokonał 35 tys. transakcji tylko od maja. Warto tu zaznaczyć, że zarabiał dopiero, gdy ktoś zdecydował się na zakup.


Piękną ironią jest fakt, że Krebs on Security nie poznałby kulisów tego procederu, gdyby nie fakt, że ten konkretny handlarz używał tego samego adresu e-mail i hasła do logowania w różnych miejscach sieci.

Wyszło też na jaw, że handlarz ma profesjonalnie skonstruowany cennik, z którym można zapoznać się tutaj. Dane do logowania w zależności od domeny kosztują średnio 10 – 15 dolarów. Tyle płaci się za dane do logowania w takich serwisach, jak airbnb.com czy uber.com. Dane użytkownika amerykańskiego telekomu AT&T wraz dostępem do skrzynki e-mail ofiary kosztują 30 dolarów. Droższe są dostępy do kasy pożyczkowo-oszczędnosciowej dla wojskowych i weteranów – ok. 60 dolarów.

Za kolejną opłatą można wykupić pełen raport dotyczący zdolności kredytowej ofiary, ta usługa kosztuje maksymalnie 150 dolarów. Dane pochodzą z włamań do systemów biur informacji kredytowej.

Autorzy bloga przypominają, że najlepszym sposobem na zapobieganie wykradaniu danych jest ustanawianie zupełnie innego hasła do każdej sieciowej usługi. Tymczasem wiele osób loguje się do wielu różnych witryn, używając tego samego zestawu danych. Hasła trzeba też co jakiś czas zmieniać, ale przede wszystkim pamiętać o dwuskładnikowej weryfikacji, wszędzie, gdzie jest to możliwe. Mechanizm ten polega na tym, że oprócz swojego hasła wpisujemy wygenerowany losowo kod (np. z SMS-a czy aplikacji).


Swoją drogą, w tym miesiącu informowaliśmy o potężnym wycieku adresów e-mail i haseł do nich. Baza zawierała ponad 1,4 mld rekordów, z czego ok. 10 mln z polskich domen. Niezmiennie najpopularniejszymi hasłami są te wynikające z lenistwa: 123456, qwerty itp.
Trwa ładowanie komentarzy...