top of page
Writer's pictureDebunk.org

APT WeRedirect | Didelio masto sukčiavimo ataka: atskleista sudėtinga internetinių sukčių taktika. III-ia dalis

Trečiojoje didžiausios iki šiol Lietuvoje vykdytos sukčiavimo ir dezinformacijos atakos tyrimo dalyje atskleidžiame sudėtingą sukčių naudotą „maskavimo“ techniką. Šis metodas dar labiau apsunkina sukčiavimo aptikimą, nes jo metu sukuriama daugybė skirtingų svetainių ar tinklalapių ir, atsižvelgiant į tam tikrus kriterijus, skirtingi naudotojai nukreipiami į skirtingą turinį.




Įvadas


Debunk.org tyrėjai atskleidė nerimą keliančią tendenciją Lietuvoje ir keliose kitose Europos šalyse. Nustatyta, kad internetiniai sukčiai kuria populiarių naujienų portalų kopijas, netikras jų „Facebook“ paskyras ir kviečia investuoti į netikras investavimo platformas, taip siekdami išvilioti sunkiai uždirbtus žmonių pinigus. 

 

Pagal gerąsias kibernetinio saugumo praktikas šią nenustatytų asmenų grupuotę pavadinome  „APT WeRedirect“ (APT - Advanced Persistent Threat). Ši grupuotė išnaudoja LRT, LNK, „Delfi“ „InfoTV“, Estijos nacionalinio transliuotojo ERR, Estijos laikraščio „Eesti Päevaleht“, Lenkijos visuomeninės televizijos naujienų laidos „Widomości“, vieno didžiausių Lenkijos interneto portalų „Onet.pl“ ir daugelį kitų prekių ženklų. Sukčiai taip pat naudojasi didžiausios Lietuvoje energetikos bendrovės „Ignitis“, bankų „Swedbank“, „Danske bank“, taip pat „Orlen Lietuva“ prekių ženklais, kuria netikras jų paskyrų  kopijas socialiniuose tinkluose ir jų vardu skelbia apgaulingus įrašus/reklamas. Panašiu tikslu jie taip pat naudoja, pavyzdžiui, strateginį dujų infrastruktūros projektą – Baltijos dujotiekį. 

 

Taip siekiama įtraukti „Facebook“ vartotojus į netikras investavimo schemas. 

 

Plačiau apie tai skaitykite tyrimo pirmojoje dalyje: 

 

Žmonių dėmesiui pritraukti greitą finansinę sėkmę siūlančiose reklamose dažnai pasitelkiami pažįstami veidai, pavyzdžiui, atlikėjai, žurnalistai, politikai, įžymybės ir nuomonės formuotojai. Sukčiai naudojasi net dirbtiniu intelektu paremta „giliųjų klastočių“ („deepfake“) technologija, o tokie suklastoti vaizdo įrašai pasirodo vis dažniau. Šiuose vaizdo įrašuose dažnai rodomi politikai. Pavyzdžiui, buvo pasirodžiusios reklamos, kuriose pasitelkiant „giliųjų klastočių“ ar video manipuliacijos technologijos reklamuojamos netikros investicijos su Lietuvos prezidentu Gitanu Nausėda, Lenkijos prezidentu Andrzejumi Duda, buvusiu Lenkijos prezidentu Aleksandru Kwaśniewskiu ir Ispanijos laidų vedėja Lorena Castell. 





Plačiau apie tai skaitykite tyrimo antrojoje dalyje: 

 

Toliau pateikiame šio tyrimo trečiąją dalį, kurioje pristatome maskavimo technologijas ir sudėtingus metodus, kuriuos nusikaltėliai taiko savo kriminalinei veiklai nuslėpti, kad juos aptikti būtų dar sunkiau. Kaip jau minėta, jie sumaniai apsimeta žinomais žiniasklaidos portalais ir prekių ženklais, pasinaudoja realiomis tragedijomis ir įžymybėmis, kad pritrauktų auditoriją ir įviliotų ją į netikras investavimo platformas.

 

Šioje tyrimo dalyje taip pat aptarsime socialinių tinklų „Facebook“ ir „Instagram“ savininkės, bendrovės „Meta“ kovos su sukčiavimu priemonių trūkumus. Mūsų atliktas tyrimas rodo, kad „Meta“ taikomi metodai yra nepakankami, todėl nusikaltėliai gali pasinaudoti jos platformomis ir pasipelnyti iš nesąžiningos veiklos. Rekomenduojame „Meta“ peržiūrėti savo turinio ir reklamų moderavimo strategiją, kad būtų veiksmingai užkirstas kelias šiai kriminalinei veiklai.


 Sukčių naudojama maskavimo technologija 


Atlikus grėsmę keliančių veikėjų  ​​​„APT WeRedirect“  tyrimą paaiškėjo, kad nusikaltėliai naudoja „maskavimo technologiją“. Naudodami šią technologiją sukčiai sukuria svetainę ar tinklalapį taip, kad skirtingiems vartotojams pagal tam tikrus kriterijus būtų pateikiamas skirtingas turinys ir dizainas. Naudojama technologija, kuri, analizuodama vartotojo naršyklės parametrus, nustato, ką turėtų matyti konkretus skaitytojas. 


APT WeRedirect maskavimo schema
APT WeRedirect maskavimo schema

Tyrėjai nustatė, kad ​​​„APT WeRedirect“ valdomos svetainės yra sukonfigūruotos taip, kad dinamiškai generuotų turinį, priklausomai nuo pateiktų parametrų: 


  • Daugkartiniai peradresavimai. Sukčiai sukūrė sistemą, pagal kurią vartotojai nukreipiami į skirtingus puslapius. Pavyzdžiui, ​​​„APT WeRedirect“ valdoma infrastruktūra naudoja domenų ir nuorodų sistemą, kuri nukreipia paieškos sistemų robotus į iš pirmo žvilgsnio patikimą puslapį (kad paieškos sistema jį atvaizduotų kuo aukščiau ir neaptiktų sukčiavimo), tačiau paprastą vartotoją nukreipia į kenksmingą arba apgaulingą svetainę. Į kur bus nukreiptas vartotojas ir koks turinys jam bus pateiktas, nusprendžia ​​​„APT WeRedirect“ valdoma techninė infrastruktūra. 

  • Vartotojo identifikavimas. ​​​„APT WeRedirect“ sistema nustato vartotojo IP adresą, jo naršyklę ir operacinę sistemą, įrenginio tipą (pvz., išmanusis telefonas, planšetinis kompiuteris) ir kitas naršyklės siunčiamas žymas. Taip pat atsižvelgiama į slapukuose saugomą informaciją, atspindinčią vartotojo sąveiką su svetaine, sesijos parametrus (aktyvumą, praleistą laiką) ir kitas sąlygas, pavyzdžiui, VPN naudojimą ir tokių vartotojų blokavimą. Ši informacija naudojama siekiant nustatyti, ar lankytojas yra paprastas vartotojas (žmogus), ar platformų moderatorius ar tyrėjas. 

 

Kai Debunk.org tyrėjai pakartotinai lankėsi ​​​„APT WeRedirect“ valdomose svetainėse, po ilgesnio laiko jie patekdavo beveik vien tik į prastos kokybės „fasadines“ naujienų svetainių kopijas, o straipsniai su netikrų investavimo platformų reklama jiems nebuvo rodomi.  

 

Pagrindinis tokio skirtingo turinio atvaizdavimo skirtingiems vartotojams  tikslas – likti nepastebėtiems valdžios institucijų, turinio moderatorių ar nusimanančių interneto vartotojų, kurie gali pranešti apie sukčiavimą. Paieškos sistemoms ir konkretiems vartotojams rodydami tikrą turinį, sukčiai gali išsaugoti savo buvimą internete ilgiau ir toliau atakuoti nieko neįtariančius asmenis. 


Maskavimo technologijos naudojimas – p​​​​eradresavimai 


Analizuodami apgaulingų investicijų skelbimus, Debunk.org analitikai pastebėjo daugybę atvejų, kai ​​​„APT WeRedirect“ naudojo peradresavimo metodą. Priklausomai nuo aplinkybių, vartotojams buvo rodomas skirtingas turinys. Jie gali matyti tikro portalo, el. parduotuvės ar organizacijos puslapio kopiją, kurioje vartotojas gali naršyti įvairiuose puslapiuose, tačiau ji yra sukurta sukčiams priklausančiame domene. Todėl tokio tinklalapio adresas nesutaps su tikrojo tinklalapio adresu. Arba jie gali būti nukreipiami į naujienų portalo imitaciją. Galiausiai vartotojai gali tiesiog pamatyti klaidos pranešimą arba baltą ekraną. 


Tyrėjų ir turinio moderatorių peradresavimas į nekenksmingą svetainę, siekiant užmaskuoti tikruosius ketinimus 


Toliau pateikiamas nukreipimo į nekenksmingą svetainę, pvz., organizacijos, įmonės ar el. parduotuvės klonuotą puslapį, pavyzdys. Sukčiai pirko reklamą „Meta“ platformose naudodamiesi netikromis paskyromis, kurių tikslas buvo apsimesti žiniasklaidos kanalais, pavyzdžiui „INFO Diena“. Reklamoje buvo pateikta nuoroda į manipuliatyvų skandalingą straipsnį, kuriame reklamuojamos netikros investavimo platformos. Norėdami išvengti lengvo aptikimo, ​​​„APT WeRedirect“ savo infrastruktūroje taikė geografine vietove ir IP pagrįstą peradresavimą. Todėl vartotojas iš Lietuvos, paspaudęs nuorodą, patenka į netikrą „Delfi“ svetainę ir apgaulingą straipsnį, o užsienio lankytojai nukreipiami į kitą svetainę. Svarbu pažymėti, kad abiem atvejais nuoroda išlieka ta pati.


Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į kūrybinės agentūros svetainės klono puslapį (1)
Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į kūrybinės agentūros svetainės klono puslapį (1)

Analitikai šią funkciją pastebėjo naudodami VPN. Programinėje įrangoje pakeitę IP adresą ir šalį, galėjome stebėti sukčių veikimo principus. Toliau pateikiamas šio fakto vaizdo įrašas. 



Žemiau pateikiami kelių panašių peradresavimo atvejų įrodymai. Šiais atvejais sukčiai naudojosi svetainių kopijomis. Pavyzdžiui, internetinėmis parduotuvėmis, įskaitant el. parduotuvę, kurioje prekiaujama žvejybos reikmenimis, ir kitą el. parduotuvę, kurioje prekiaujama fotoaparatais ir elektronika. 


Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į elektronikos prekių el. parduotuvės kopiją (3)
Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į elektronikos prekių el. parduotuvės kopiją (3)

Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į elektronikos prekių el. parduotuvės kopiją (4)
Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į elektronikos prekių el. parduotuvės kopiją (4)

Tyrėjai taip pat išanalizavo užklausų grandinę, kuri atsiranda užkraunant puslapį ir kuri matoma daugumoje naršyklių integruoto kūrėjo įrankio tinklo dalyje. Jie pastebėjo, kad kai kuriais atvejais sukčiai pateikia nuorodas į tikrąjį domeną. Šio metodo naudojimą galima pastebėti interneto svetainių, apsimetančių Klaipėdos irklavimo centru, pavyzdžiuose, kur tyrėjai buvo nukreipiami į netikrą „Delfi“ arba Klaipėdos irklavimo centro puslapio kopijas. 


Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į Klaipėdos irklavimo centrą (2)
Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į Klaipėdos irklavimo centrą (2)

Užklausų grandinė, kuri atsiranda įkeliant puslapį, yra matoma daugumoje naršyklių integruoto kūrėjo įrankio tinklo dalyje. Toliau pateikiame ekrano nuotrauką iš kūrėjo įrankio tinklo dalies, kai įkeliama svetainė afnatree[.]com arba svetainė su sukčių straipsniu lenkų kalba – greenlightsjo[.]com arba klaipėdosirklavimas[.]lt


afnatree[.]com kūrėjo įrankio tinklo dalis
afnatree[.]com kūrėjo įrankio tinklo dalis

greenlightsjo[.]com kūrėjo įrankio tinklo dalis
greenlightsjo[.]com kūrėjo įrankio tinklo dalis

  1. Vartotojas pasiekia pirminį puslapį (šiuo atveju afnatree[.]com), o naršyklė įkelia atitinkamus šaltinius. 

  2. Fone svetainė inicijuoja užklausas į kitą domeną (klaipedosirklavimas.lt), kad gautų papildomų šaltinių. 

  3. Šios technikos tikslas – paslėpti tikrąją užklausų kilmę ir tikslą. Nukreipdami srautą per tikras svetaines (pvz., klaipedosirklavimas.lt), ​​​„APT WeRedirect“ siekia, kad jų neaptiktų saugumo priemonės, galinčios pažymėti arba blokuoti žinomus kenkėjiškus domenus.  

  4. Šešėliniai domenai kuriami dinamiškai arba naudojant pažeistas teisėtas paslaugas teikiančias paskyras. Naudodami šį būdą sukčiai gali greitai keisti domenus, todėl saugumo komandoms sunkiau susekti ir blokuoti kenkėjišką veiklą. 




Peradresavimas į prastos kokybės naujienų svetainių kopijas 


Nesutapus geografinei vietovei, sukčiai pasirinktus vartotojus nukreipdavo į antros grupės portalus, kurie buvo itin prastos kokybės „fasadines“ naujienų svetainės. Šių portalų buvo sukurta daug ir pagal tuos pačius šablonus. Jie buvo panašūs į „gandų svetaines“, tačiau jose buvo tik keli trumpi ir labai bendro pobūdžio straipsniai. Šiose svetainėse buvo naudojamos foto bankų nuotraukos. Nors šių portalų antraštės ir nuotraukos dažniausiai būdavo panašios į reklamą, pats straipsnis būdavo labai trumpas ir prastos kokybės. Be to, nebuvo jokių sąsajų su sukčiavimu. 


Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į prastos kokybės fasadines svetaines (5)
Pavyzdys, kai sukčiai, nesutapus geografinei vietovei, nukreipia vartotojus į prastos kokybės fasadines svetaines (5)



Peradresavimas. Puslapis tampa nepasiekiamas 


Jei tyrėjai atidaro netikrą straipsnį lietuvių kalba, tačiau naudojant ne lietuvišką IP adresą, tokiu atveju jiems rodomas klaidos pranešimas arba tuščias ekranas. 



  Pavyzdys, kaip sukčiai, nesutapus geografinei vietovei, išjungia svetainę (7)
Pavyzdys, kaip sukčiai, nesutapus geografinei vietovei, išjungia svetainę (7)

Įvairūs turinio variantai  


Atlikdami tyrimą susidūrėme su įvairaus turinio apgaulingais straipsniais ir buvome nukreipti į įvairias prastos kokybės naujienų svetaines. Pasinaudodami vienos iš jų nuorodomis, tyrėjai nustatė, kad, priklausomai nuo nuorodos adreso, jie matė visiškai skirtingas puslapių versijas, dizainus, turinį (žr. toliau). [1]. 


Pavyzdžiai, kaip keičiant URL kelią tame pačiame domene rodomas skirtingas turinys 



Svarbu tai, kad svetainės buvo susietos ne tik su Lietuva, bet ir su kitomis šalimis. Atlikdami analizę susidūrėme su nekokybiškais „fasadiniais“ puslapiais įvairiomis kalbomis, įskaitant lietuvių, švedų, latvių ir anglų. 

 

Įdomu tai, kad nustatėme, jog tam tikrose domenų grupėse šie nuorodų adresai gali būti naudojami pakaitomis. Pavyzdžiui, jei nuorodos adresas, atsakingas už turinio švedišką versiją (pvz., /lander/se1-vlad), yra susijęs su domenu, kuris iš pradžių buvo rastas lietuvių kalba, ir su lietuviškais „straipsniais“ (pvz., delf-n1[.]shop), užkrauna švediška versija (delf-n1[.]shop/lander/se1-vlad/). „APT ReDirect“ šiuos puslapius sukuria naudodami šabloną, tik pakeičia vietinį turinio kontekstą. Kaip minėta, fasadiniai puslapiai yra labai prastos kokybės „fasadinės“ naujienų svetainės, juos sudaro keli trumpi tekstai ir kelios nuotraukos. Vertimas yra akivaizdžiai mašininis (žr. toliau pateiktus pavyzdžius). 

 


Examples of different paths of the same domain leading to country-specific content in different languages
Skirtingų to paties domeno kelių, vedančių į konkrečios šalies turinį skirtingomis kalbomis, pavyzdžiai

Skirtingų to paties domeno kelių, vedančių į konkrečios šalies turinį skirtingomis kalbomis, pavyzdžiai
Skirtingų to paties domeno kelių, vedančių į konkrečios šalies turinį skirtingomis kalbomis, pavyzdžiai

Be to, nuorodos kelių nomenklatūra rodo, kad duomenų bazės struktūra yra labai išplėtota. Pavyzdžiui, nuorodos adresas „lander/se1-vlad/“ yra susijęs su švediška versija. Čia „se“ yra šalies kodo santrumpa, o „1-vlad“ reiškia turinio versiją. Panašiai ir lietuviškoje versijoje, kurios kelias – „lander/lt9-vlad/“, „lt“ yra šalies kodo santrumpa, o „9-vlad“ reiškia turinio versiją. Šiek tiek skiriasi angliškos versijos, koduojamos per „lander/dk1“, arba versijos latvių kalba „lander/kri--j--nis-kari------lv--white2“ nuoroda. Skirtingos nuorodos gali nukreipti į skirtingus aplankus, kuriuose saugomi konkrečioms šalims ar kalboms pritaikyti turinio vienetai. Serveris turi prieigą prie daugybės skirtingų variantų ir pasirenka vieną iš jų priklausomai nuo parametrų. 

 



Tyrėjai taip pat nustatė, kad nusikaltėliai naudoja sukčiavimo schemos reklamai naudojamų puslapių šablonus. Nors istorijos keičiasi, taip pat keičiasi ir tariamų investavimo platformų, žmonių ir žiniasklaidos priemonių pavadinimai, tikslas išlieka tas pats - patraukti dėmesį ir rasti auką. Sukčiai, be kita ko, naudoja analogišką teksto struktūrą, tuos pačius paveikslėlius ir tik keičia jų aprašymus priklausomai nuo konteksto. Tai puikiai matyti pateiktame pavyzdyje - „žurnalistas“ skirtingose šalyse vadinamas skirtingai (nors Lenkijos ir Čekijos atveju jis turi net tą patį vardą ir pavardę), o paveikslėliai skiriasi tik turiniu, matomu vyro kompiuteryje. Naudodami atvirkštinę vaizdų paiešką, tyrėjai rado apie 100 straipsnių, kuriuose naudojamas identiškas „žurnalisto“ atvaizdas: https://nimb.ws/Cm5Lqf.


Pavyzdys, kaip sukčiai naudoja straipsnių šablonus skirtingose šalyse (čia Lietuva ir Lenkija)
Pavyzdys, kaip sukčiai naudoja straipsnių šablonus skirtingose šalyse (čia Lietuva ir Lenkija)

Pavyzdys, kai tas pats "žurnalistas" skirtingais vardais naudojamas įvairiuose sukčių straipsniuose
Pavyzdys, kai tas pats "žurnalistas" skirtingais vardais naudojamas įvairiuose sukčių straipsniuose

Netikruose straipsniuose taip pat naudojami ir tariamų banko išrašų šablonai. Toliau pateikiamas pavyzdys, kaip, priklausomai nuo šalies, buvo keičiami kai kurie duomenys: kartais pridedamas tikro banko logotipas, o kiti duomenys, pavyzdžiui, sąskaitos numeris, sąskaita, šalies klasifikacijos kodas, kartais paliekami tokie patys.


Pavyzdys, kaip APT WeRedirect naudoja straipsnių šablonus skirtingose šalyse
Pavyzdys, kaip APT WeRedirect naudoja straipsnių šablonus skirtingose šalyse

Šis faktas dar kartą įrodo įvairių atvejų sąsajas. Pastebėta, kad „APT ReDirect“, naudodamiesi tuo pačiu serveriu ar talpinimo infrastruktūra, veikia ne vienoje, o daugybėje šalių. Jų tikslas yra pasiekti kuo didesnę auditoriją ir sąmoningai suklaidinti tyrėjus ir platformas, užverčiant juos tūkstančiais domenų ir svetainių. 

 

Taip pat reikėtų pabrėžti, kad yra tikimybė, jog „APT ReDirect“ veikia kaip didelė grupė, turinti vietinių atstovų įvairiose šalyse. Tai rodo ne tik konteksto reikalaujančios žinios (politinės, socialinės, susijusios su įvairiomis vietos tragedijomis ir t. t.), bet ir vietos auditorijai pritaikytas turinys. Tyrėjai nustatė, kad svetainėje esantiems elementams apibūdinti vartojama žargoninė lietuvių kalba. 

 

Atlikus išsamią vieno „Delfi“ klono šablono analizę, kad galimai prie „APT ReDirect“ grupuotės yra prisidėję ir asmenys kalbantys lietuviškai. Analizė atlikta su turinio vienetais kuriuose naudojamas „Ignitis“ prekės ženklas. Tokia išvada padaryta nuodugniai išnagrinėjus svetainės HTML pirminį programinį kodą. Kodas atskleidė, kad kelių žinomų asmenų, tarp jų „Delfi“ žurnalistės Erikos Venckutės, „Ignitis grupės“ vadovo Dariaus Maikštėno ir advokato Gintaro Černiausko, nuotraukos buvo pavadintos įžeidžiančiais žargoniniais žodžiais. Tarp šių terminų buvo „gaidys“, „žertva“ (įžeidžiantis rusiškas žargoninis terminas, reiškiantis „kalė“) ir „lopas“. Dar įdomiau, kad lietuviška nomenklatūra buvo aptikta ir sukčių svetainės lenkų kalba, prisidengiančios Lenkijos interneto portalu „Onet.pl“, nuotraukų aprašyme. Viena iš nuotraukų buvo pavadinta „žudikas“ (žr. toliau).  [2]



Lietuviškos nomenklatūros vartojimo lietuviškoje sukčių interneto svetainėje HTML kode pavyzdys
Lietuviškos nomenklatūros vartojimo lietuviškoje sukčių interneto svetainėje HTML kode pavyzdys


Example of the use of Polish nomenclature for elements displayed on a scam website in Polish
Lenkiškos nomenklatūros naudojimo pavyzdys sukčių interneto svetainėje lenkų kalba rodomiems elementams

Lietuviškos nomenklatūros vartojimo lenkiškoje sukčių interneto svetainėje HTML kode pavyzdys
Example of Lithuanian nomenclature used in HTML code on a Polish scam website

Skirtingi domenai, su ta pačia nuorodos pabaiga užkrauna tą patį turinį 


Atlikus gilesnę svetainių kodo analizę nustatyta, kad nuorodos, atsakingos už apgaulingo straipsnio rodymą, žymi įvairių domenų grupių (įskaitant žemos kokybės ir suklastotas) ir apgaulingų straipsnių sąsajas. 

 

Pirmiausia analitikai naudojo žiniatinklio naršyklės kūrėjų įrankius, pavyzdžiui, parinktį „Inspect“ ir skirtuką „Network“, kad išanalizuotų srautą ir sąveiką tarp naršyklės ir serverio. Šiais įrankiais galima stebėti tinklo užklausas, analizuoti serverio atsakymus ir tirti įvairias nuorodas, parametrus ir duomenis, siunčiamus tarp naršyklės ir serverio. Analitikai minėtas nuorodas aptiko prastos kokybės svetainėse, pavyzdžiui: nelopan[.]store/ lander/mariyounas_lt_white2 


Duomenų srauto analizės ir naršyklės bei serverio sąveikos naudojant kūrėjo įrankius pavyzdys
Duomenų srauto analizės ir naršyklės bei serverio sąveikos naudojant kūrėjo įrankius pavyzdys

  • Tada tyrėjai rado aktyvų sukčių straipsnį ir patikrino jo URL kelią, pvz., w.sepcezear[.]com/lander/mariyounas--lt--fortune_1692612516/ 



Pavyzdys, kaip naudojant kūrėjo įrankius randamas URL kelias, kuriame yra vienas iš sukčių
Pavyzdys, kaip naudojant kūrėjo įrankius randamas URL kelias, kuriame yra vienas iš sukčių

  • Galiausiai sujungėme žemos kokybės domeną su URL keliu, paimtu iš sukčių straipsnio (nelopan[.]store/lander/mariyounas--lt--fortune_1692612516/). Stebina tai, kad nuoroda buvo aktyvi ir nukreipė į sukčių straipsnį nekokybiškoje svetainėje, nors iš pradžių ji ten nebuvo matoma. Atlikus šį veiksmą buvo rodomas sukčių straipsnis „nepageidaujamame“ domene.  


Vieno iš įtartinų domenų ir URL kelio sąsajos su sukčių straipsniu pavyzdys
Vieno iš įtartinų domenų ir URL kelio sąsajos su sukčių straipsniu pavyzdys

Ši procedūra pasiteisino ir kituose nekokybiškuose, netikruose puslapiuose. Pridėjus minėtą nuorodų adresą, kuriame yra sukčių straipsnis, šis straipsnis jau buvo užkraunamas. Taip atskleidėme sudėtingą ir pažangią sukčių naudojamą infrastruktūrą. 

 

Example of linking one of the suspicious domains and the URL path to a scam article
Example of linking one of the suspicious domains and the URL path to a scam article

Tačiau pirmiau aprašytas mechanizmas veikė ne visuose domenuose, todėl iškėlėme hipotezę, kad kibernetiniai nusikaltėliai, veikdami kartu arba atskirai, sukuria tiesiogiai susijusių domenų, kuriuos aptarnauja tas pats serveris, grupes. Juose saugomi skirtingo turinio variantai, kurie lankytojams rodomi pagal tam tikrus pirmiau minėtus kriterijus. 



Kas yra sukčių schemoje naudotų domenų valdytojai?


„APT ReDirect“ ne tik dangsto savo kriminalinė veiklą, bet ir bando nuslėpti savo tapatybę. Vienas iš įprastų nusikaltėlių naudojamų metodų – paslėpti visus su nusikalstamai veiklai naudojamų domenų susijusius duomenis. Analitikai įtartiniems domenams tirti naudojo WHO.IS įrankį, kuris parodo kada ir kur buvo užregistruotas domenas. Kaip ir tikėtasi, didžioji dauguma duomenų buvo nurodyti kaip „nevieši“. Tačiau kai kurių metaduomenų, pavyzdžiui, registracijos datos, pašalinti nepavyko. Tai padėjo nustatyti, kad tam tikrus domenus greičiausiai koordinavo tie patys asmenys, nes jie buvo sukurti per labai panašų laiką (kartais kelių sekundžių skirtumu). Daugelyje įtartinų domenų buvo naudojami gerai žinomų Lietuvos žiniasklaidos paslaugų teikėjų, ypač „Delfi“, pavadinimai, kituose domenuose buvo naudojami įmonių pavadinimai, pavyzdžiui, tarptautinės energetikos bendrovės „Ignitis“. Toliau pateiktoje diagramoje rodomas pamėnesiui užregistruotų domenų skaičius. Didžiausias pikas pasiektas 2023 m. rugsėjį, kai analizuotoje imtyje buvo atrasti 38 nauji kenkėjiški domenai. 



Diagrama, rodanti per mėnesį užregistruotų apgaulingų domenų skaičių
Diagrama, rodanti per mėnesį užregistruotų apgaulingų domenų skaičių

Sukčiai naudojasi įvairiomis debesijos infrastruktūromis, pirmiausia „Cloudflare“, „Digital Ocean“ ir prieglobos bendrovėmis, kad užregistruotų apgaulingus domenus. Šie domenai registruojami įmonėse, kurios leidžia neviešinti tikrojo svetainės savininko, pavyzdžiui, „Namecheap INC“, „Tucows“ arba „URL Solutions“, kurios yra tokiose šalyse kaip Panama arba Sent Kitsas ir Nevis. Sukčiai naudoja „Cloudflare“, kad paslėptų tikruosius serverių IP adresus.

 

Kitas dažnai duomenų bazėje pasitaikantis adresas buvo Islandijos sostinė Reikjavikas. Tačiau keli sukčių domenai atskleidė dar vieną vietą – Kauno regioną. Svarbu pažymėti, kad šie adresai suteikia tik minimalią informaciją, daugiausia rodančią, kad sukčiai domenams užregistruoti naudojo tarpininką ir taip nuslėpė savo tikrąją tapatybę.  


Vieno iš sukčių domenų analizės pavyzdys naudojant WHO.IS
Vieno iš sukčių domenų analizės pavyzdys naudojant WHO.IS


Taip pat ištyrėme IP adresus, susijusius su šių domenų registracija. Tačiau svarbu atkreipti dėmesį, kad bendras IP adresas nebūtinai patvirtina veiksmų koordinavimą, nes tame pačiame IP adrese gali būti talpinami keli domenai. Be to, kai kurie domenai buvo patalpinti serveriuose, paprastai naudojamuose klientų privatumui apsaugoti. Vienas puikus pavyzdys yra „Njalla“, paslauga, siūlanti anoniminę domenų registraciją. „Njalla“ įkūrė Peter Sunde, populiarios piratinio turinio dalijimosi svetainės „Pirate Bay“ įkūrėjas ir buvęs jos atstovas spaudai. „Njalla“ valdo Sent Kitse ir Nevyje įsikūrusi bendrovė „1337 LLC“. Jie teikia domenų talpinimo paslaugas serveriuose, kurių adresai yra šie: (1) you.njalla.no, (2) can.njalla.in, (3) get.njalla.fo. Įdomu tai, kad sujungus šių serverių adresų pirmąją ir paskutiniąją dalis, perskaitoma frazė „Jūs negalite gauti jokios informacijos“ (angl. You can get no info) (pirmiausia perskaičius kiekvieno iš trijų serverių pavadinimo pirmąją dalį iš eilės, o paskui paskutiniąsias dalis – žr. toliau). 


Serverių pavadinimų, kuriuose talpinami kai kurie sukčių domenai, pavyzdžiai
Serverių pavadinimų, kuriuose talpinami kai kurie sukčių domenai, pavyzdžiai


Tačiau įvertinus domenų, turinčių panašumų (pvz., Lietuvos žiniasklaidos kanalų pavadinimus primenantys domenų vardai; tai, kad jie buvo naudojami tiems patiems „APT ReDirect“ straipsniams platinti, ir t. t.) registracijos laiko žymes, buvo nustatytas modelis, pagal kurį buvo galima atsekti domenus, naudotus tai pačiai sukčiavimo operacijai.


Šie duomenys rodo, kad nusikaltėliai ėmėsi plataus masto priemonių savo veiklai nuslėpti ir sukūrė rimtų kliūčių, trukdančių atskleisti jų tapatybę. Sudėtinga registravimo taktika, IP adresų slėpimas ir naudojimasis tokiomis apsaugos paslaugomis kaip „Cloudflare“, rodo sudėtingą jų veiklos pobūdį, todėl sunku nustatyti šių veikėjų tapatybes ir patraukti atsakomybėn. 


Galimai pirmasis Skaitmeninio Paslaugų Akto (SPA) pažeidimas  


Kibernetinių nusikaltėlių veiklos ribojimas nėra lengvas uždavinys, tačiau „Meta“ turi galimybių skirti adekvačius resursus šioms rizikoms valdyti. Tiesa, įmonė to nedaro. „Debunk.org“ kreipėsi į Ryšių reguliavimo tarnybą (RRT) dėl šios sukčiavimo schemos. RRT nustatė, kad „Ignitis“ apsimetančios „Facebook“ paskyros kelia riziką ir pakartotinai kreipėsi į „Meta“ dėl jų pašalinimo. Dalis jų buvo ištrintos, tačiau viena „Ignitis“ vardu pasivadinusi netikra paskyra liko veikti, nes, pasak „Meta“, nepažeidžia taisyklių. Reikėtų pažymėti, kad „Meta“ taip pat pelnosi iš sukčių skelbimų. Tai reiškia, kad „Meta“ ne tik gauna naudos iš to, kad neblokuoja sukčių. Nors bendrovė teigia pašalinusi netikrus puslapius, apgaulingus skelbimus ir nuorodas, daugelis jų vis dar veikia, o socialinius tinklus kasdien užplūsta nauji. Didžiausia problema – bendradarbiavimo su „Meta“ trūkumas. [3]


Ryšių reguliavimo tarnyba (RRT) bei Seimo kultūros komitetas pareiškė rengiantys kreipimąsi į Europos Komisiją dėl įvertinimo ar tai yra Skaitmeninių Paslaugų Akto (SPA) pažeidimas. „Meta“ turėtų parengti kovos su nusikalstamumu politiką ir prisiimti atsakomybę už sukčių neblokavimą. Reikėtų pabrėžti, kad nusikaltėliai pasiekia didelę auditoriją ir kasdien apvagia naujas aukas. [4]


 Išvados  


Nepaisant didėjančio švietimo ir informuotumo šia tema, vis dar yra daug vartotojų, kurie pasiduoda pagundai lengvai užsidirbti pinigų ir praturtėti be jokių pastangų. Žmonės linkę puoselėti viltį, kad neįtikėtina istorija, kurią jie perskaitė internete, yra tiesa. Tai patvirtina vartotojos, kuri uždavė tokį klausimą: 


„Sveiki, norėčiau paklausti, ar esate girdėję apie investavimo platformą „Oil Profit“? Dabar netikrame „Delfi“ puslapyje pasirodė informacija, kad Mykolas, berniukas, kuris dingo ir kurio policija ieškojo upėje, neva buvo nužudytas dėl pinigų, kuriuos uždirbo iš „Oil Profit“. Užsiregistravau platformoje ir iš karto man paskambino konsultantas, kuris buvo labai kalbus, labai malonus ir mielas, klausinėjo manęs apie viską. Jis matė, kad nesu labai kalbi, todėl pradėjo klausinėti apie pomėgius, būsimus pirkinius. Taip pat kur gyvenu, kur dirbu, ką veikiu. Kokios mano pajamos, koks mano bankas. Ar turiu vyrą. Kai pokalbis pasiekė vietą, kurioje aš turėjau nusiųsti duomenis dėl pirmojo įnašo, aš išjungiau telefoną, tada jis parašė keletą žinučių per „Viber“, ir aš jį užblokavau. Kažkodėl netikiu tokiu lengvu uždarbiu. Ar esate apie tai girdėję? Galbūt esate susidūrę su panašia situacija?“ 



Vartotojos klausimo apie vieną iš apgaulingų investavimo platformų pavyzdys
Vartotojos klausimo apie vieną iš apgaulingų investavimo platformų pavyzdys


Pranešimą komentavę vartotojai prisipažino, kad jie taip pat užsiregistravo šioje platformoje ir dabar nuolat sulaukia skambučių iš nežinomų telefono numerių. Viena moteris net užblokavo keliolika numerių, kurie ją persekiojo. Kitas komentatorius paminėjo, kad skambinęs asmuo turėjo indišką akcentą, o tai, kartu su žmonių iš Indijos nuotraukomis tarp paskyrų, kuriose dalijamasi kenkėjiškomis nuorodomis, gali būti užuomina, kad problema susijusi su šia šalimi. 

 

​​​Per tris mėnesius į netikras platformas investuota Estijos piliečių pinigų suma rodo, kiek žmonių tampa sukčių aukomis ir kokį poveikį daro „Meta“ leidžiamos melagingos reklamos. „Eesti Ekspress“ žurnalistų atlikto tyrimo duomenimis, vien dėl „Facebook“ reklamos prarastų pinigų suma siekė beveik šimtą tūkstančių eurų.


Remiantis jų surinktais duomenimis, birželio viduryje prasidėjusios sukčiavimo bangos metu Estijos gyventojai susidūrė su mažiausiai 583 skirtingais netikrais skelbimais, kurie iki šiol buvo peržiūrėti beveik 2,5 mln. kartų. Žurnalistai aprašo atskirus nukentėjusiuosius, kurie buvo apgauti sukčių ir investavo tūkstančius eurų. Pavyzdžiui, pamatę reklamą su Elon Musk ir „Tesla“, šeši nukentėjusieji dėl sukčiavimo prarado atitinkamai 46 tūkst., 16 tūkst., 11 tūkst., 5,5 tūkst., 3 tūkst. ir 2 tūkst. eurų. Reklama su Estijos politike Kersti Kaljulaid paskatino bent vieną asmenį investuoti ir dėl to prarasti 9 069 eurus. Nemažai žmonių prarado didesnes ar mažesnes pinigų sumas dėl kitų reklamų ir įvairiuose socialiniuose tinkluose paskleistos informacijos apie netikras investavimo platformas.  


​​​Atlikdami tyrimą susidūrėme su įvairių sukčių aukomis, kaip parodyta toliau pateiktame pavyzdyje. 



Žinutės, kurią paliko netikro FB informacinio puslapio auka, pavyzdys
Žinutės, kurią paliko netikro FB informacinio puslapio auka, pavyzdys

  

Dabartinės „Meta“ priemonės yra nepakankamos ir neužkerta sukčiams galimybių išvilioti pinigus iš „Meta“ platformų naudotojų.


 Pranešimo, įspėjančio apie sukčiavimą, pavyzdys, kurį parašė FB puslapio, reklamuojančio netikras investavimo platformas, vartotojai
Pranešimo, įspėjančio apie sukčiavimą, pavyzdys, kurį parašė FB puslapio, reklamuojančio netikras investavimo platformas, vartotojai


Pranešimo, įspėjančio apie sukčiavimą, pavyzdys, kurį parašė FB vartotojai
Pranešimo, įspėjančio apie sukčiavimą, pavyzdys, kurį parašė FB vartotojai

Vienas iš minėtų pranešimų komentatorių pateikė vertingą patarimą: apie kiekvieną tokį atvejį reikėtų pranešti ir socialiniuose tinkluose, ir netikrame domene. Kitas komentatorius pridūrė: „Neįsitraukite emociškai. Užduokite sau paprastą klausimą: jei būtų toks astronominis uždarbis, kas tada skambintų žmonėms ir jį siūlytų? Jie investuotų savo 10 eurų ir taptų milijonieriais. Kas norėtų taip dirbti? Tai nėra kriptovaliuta ar nafta. Jūs tiesiog siunčiate pinigus sukčiams.“ 

 

Kovai su internetiniais sukčiais būtinas nuolatinis informuotumas, kuris yra pagrindinis „Debunk.org“ atliekamų tyrimų ir ataskaitų tikslas. 


Būkite saugūs ir informuoti 


Daugėjant internetinių sukčių, jūsų budrumas – galinga priemonė, padedanti apsisaugoti nuo sukčiavimo. 

  • Būkite budrūs ir aktyvūs – nedelsdami praneškite apie bet kokią įtartiną veiklą. Jūsų indėlis yra labai svarbus apsaugant ne tik save, bet ir platesnę interneto bendruomenę.  

  • Švieskitės, kad būtumėte vienu žingsniu priekyje. Pasidalinkite šia informacija su draugais ir šeimos nariais, kad visi apsisaugotumėte nuo sukčių. 

Nepamirškite, kad skaitmeniniame amžiuje žinios yra geriausias ginklas. 



Išnašos



[2] Pateiktame pavyzdyje aprašymas neturi prasmės, nes Lenkijoje žinomas įžymybes pristatantis paveikslėlis apibūdintas kaip "pociąg należący do pkp intercity", t. y. "PKP Intercity priklausantis traukinys".


[3] Žr. BBC tyrimą dėl Miltono bylos: The Billion Dollar Scam - BBC World Service, BBC World Service, <https://www.youtube.com/watch?v=w6JXZ3GzSCQ&ab_channel=BBCWorldService>


[4]  Į neveiklumo problemą kovojant su apgaulingomis reklamomis dėmesį atkreipė ir Estijos tyrėjai, žr: O. Kund, M. Vunš, Virtuaalne psühhoterror: Eesti kuulsuste nimesid kasutanud petised lollitavad ära nii ohvrid kui ka politsei, 7.11.2023, Eesti Ekspress, <https://ekspress.delfi.ee/artikkel/120245667/virtuaalne-psuhhoterror-eesti-kuulsuste-nimesid-kasutanud-petised-lollitavad-ara-nii-ohvrid-kui-ka-politsei>


[5] Žr. J. Skėrytė, Lithuania to turn to EC as Meta ignores calls to deal with scammers on social media, 6.12.2023, LRT, <https://www.lrt.lt/en/news-in-english/19/2143013/lithuania-to-turn-to-ec-as-meta-ignores-calls-to-deal-with-scammers-on-social-media>