Сколько зарабатывают взломщики почты

Да, есть и такая карьера. Наверное ни для кого уже не секрет, что одним из наиболее частых видов кибер-преступлений в мире является взлом электронной почты. Методы давно освещены, но я немного напомню. Все процентовки привожу на основе собственной корреляции и опыта работы в инфбезе.

Цели атак я здесь описывать не буду, может как-нибудь потом, но назову виды и основные методы. По видам их только 2 - массовые атаки и целевые. С массовыми все несколько проще и меньше вероятности стать жертвой по причине не замысловатости методов, которые можно применить для массового "потерпевшего". Однако и атакующему достаточно результативности в 3-5%, чтобы можно было извлечь коммерческую выгоду. С целевыми атаками все гораздо сложнее, экстравагантнее и глубже.

Методы и цены.

Методы при проведении целевых атак. Если массовые атаки чаще всего производятся через фишинг (99.5% атак), то в целевых редко, но встречаются уже и действительно операции.

1. Самый главный и частый метод атак (до 95% атак) - фишинг. Иногда он приобретает настолько экстравагантные виды, что тяжело на него не купиться даже высокопрофессиональным и даже "ждущим" атаку лицам. Маскироваться письма могут от Госуслуг и Сбера до письма от Вашего лучшего друза или бизнес-партнёра, а может и от жены или ребенка. Последнее сразу же свидетельствует о целевом назначении атаки, так как Вас перед ней изучили. Ценник целевой фишинговый атаки на рынке начинается от 5000 руб за mail.ru и доходит до 300000 руб за gmail/protonmail с использованием расширенного арсенала целевой фишинговый атаки. Преимущество метода - при успешном проведении будет иметься определенный задел по времени для скачивания дампа.
2. Второй по-популярности метод в РФ (по моим оценкам не более 2%) - дубликат СИМ-карт или их перевыпуск. Жёсткая история, часто именно коррупционная, но присутствующая на рынке. Ценник от 30000 руб до 500000 руб. Самая большая проблема при выпуске СИМ-ки - это ограниченность по времени, тк истинный владелец сможет заблокировать СИМ-карту моментально при личном обращении к провайдеру. Потому часто злоумышленники пользуются данным методом, заведомо зная, что истинный владелец СИМ-карты убыл скажем на Мальдивы. Крайне эффективная история, тк позволяет получить тотальный контроль над коммуникационными средствами "жертвы", особенно в части элпочты и части облачных хранилищ. С банками там сложнее - тк большинство сходу получают инфу о смене IMSI у СИМ-карты, но это уже другая история и мы сейчас не про хищ денег.
3. На третье место я бы поставил сложные атаки с использованием троянов, стилеров и различных RAT-утилит (скрытый удаленный доступ) по узко-целевому назначению атаки. Метод редкий (я бы оценил не более 0.5% всех атак) не дешевый, а также достаточно сложный, но даёт злоумышленнику гораздо больше возможностей для получения информации, чем банальный доступ в почту. Самое интересное, если у жертвы на ПК установлены мессенджеры. Сложности - адекватная цена только для ОС Windows, но и она зашкаливает выше 150000 тр, для иных осей всё ещё сложнее, а исполнители настолько редки, насколько и найти киллера, да чтобы он не агентом ЧК оказался.
4. Четвертое место хочется отдать методу зеркалирования паролей. Не часто применяемый метод (по моим оценкам не чаще 0.5%), но он жив. Смысл заключается в том, что многие пользователи используют один или примерно один (отличный на 1-2 символа) пароль для всех своих сервисов. Добыв к одному - получаете вход к другому. Таким образом можно осуществить взлом менее защищенных сервисов или банально коррупционно купив пароли (продают хеши, но где хеш - там и пароль) от каких-либо сервисов и из него попробовать осуществить несанкционированный доступ к атакуемой системе. Метод не частый, не дорогой (зависит от локомотивной системы для взлома которую будут ломать первыми), но тем не менее редко успешный. Иногда (РФ, Украина) применяется коррупция, когда пароль выясняют сначала с помощью банального подкупа лиц, имеющих доступ к банковским системам, соцсетям и тд, либо ментов, кто может также получить по запросу хеш. Дехешировать пароли в общей своей массе не сложно - куча платных сервисов для этих целей в сети.
5. Ну и заключительное, пятое место я бы отдал методу дополнения или подмены MX (в зависимости от технических возможностей) в DNS. Работает только для корпоративных аккаунтов. Экстравагантно, но для многих вещей может быть очень эффективно. Метод заключается в возможности увода почты на другие серверы её получения с оригинальных. В былые времена, выполняя одну из задач, скажем так упражнялись мы с таким. Вещь интересная, когда компания высокозащищенных чиновников и обнальщиков даже не подозревала, что такое возможно. Без каких-либо прямых атак, вирусов, фишингов был получен доступ к настройкам их "сверхсекретного" домена и поменяны MX-пути, что дало возможность перенаправить email-трафик и не только на другие сервера. Соответственно дальше работает банальная система "восстановления пароля по почте" и пока она под твоим контролем - можно не отказывать себе ни в каких удовольствиях. Атака на DNS - это элита того пласта кибер-преступников, кто работает в направлении атак на не телефонные коммуникационные системы. Стоимость подобных операций может доходить до 50000$ и даже превышать эту цифру.

Неужели они все богачи и живут в особняках, как показывают в кино?

Нет, в большинстве своём нет. Во-первых по причине не такого уж большого количества клиентов, особенно с деньгами. Во-вторых по причине большой себестоимости. В-третьих как продолжение прошлого пункта велик шанс провала, при этом себестоимость тебе никто не вернет, а деньги ты вполне можешь и не получить.

В чем себестоимость.

Себестоимость состоит из целого ряда вещей и зависит от вида применяемого метода.

1. Себес фишинга: предварительный анализ жертвы (интересы, контакты), абузостойкие сервера с айпишниками и доменами вне черных списков (ценник в районе от 40$ до 300$/m), разработка фишинговой страницы (или самому мутить или покупать, есть специальные сервисы, кто пишет фишинговые страницы, для постоянной актуальности достаточно 100$/мес) и пути следования "жертвы" (не часто, но делают), сим-активаторы и подобные нужности (20$-50$).
2. О себесе покупки симок и иными коррупционными проявлениями здесь явно будет офф-топ.
3. Стилеры, раты, трояны и тд. Себес заключен в следующей: сам зловред (от 100$/мес, в среднем 700$/мес), его криптование (50-100$) и качественная склейка (0-100$), командный центр (сервак) для работы со зловредном - не менее 100$/мес, VPN и прочие накладняки (связь, левые ID для регистрации на криптобиржах и тд) - еще не менее 300$/мес.
4. Описывать себес "зеркалирования" тоже не стоит, так как методика редкая, а себес примерно равен методу 1 (фишинг) и 3 (зловреды).
5. DNS-атаки дорогие, потому что это работа самого дорогого и профильного персонала, но и техника с софтом и облаками нужны специфичные. Придется завести сервер с характеристиками не хуже, чем у атакуемого.
6. Совсем редкие методы: заражение трояном смартфона, подмена браузера жертвы и установка несанкционированных add-on к браузерам. Все из перечисленных методов крайне близки к 0day, а потому могут стоить и более 100000$. Есть и дополнительные плюсы в данном методе - долго не заметен успешный "захват", можно увидеть не только почту.

Сразу оговорюсь, когда мы говорим про арсенал методов, то условный хакер обычно не владеет сразу всеми методами. "Рыбаков" и зеркальщиков еще найти не сложно, а вот умеющих проводить сложные виды атак и мало, и становится меньше с каждым днем.

Теперь считаем прибыльность самой массовой группы народа в этой теме - "рыбаков". В среднем их методами (зависит от хитрости и скиллов в психологии) поддается атакам не более 20% от атакуемых ящиков, а при этом себес тратиться на каждый успешный и перманентно в принципе на существование инфраструктуры под взлом.

Средний хакер с именем и отзывами получает в месяц в среднем заказов на взлом 200 ящиков электронной почты. Средний чек (постоплата в этой теме) - 9000 руб, оплата через битки, а так как это грязь - то проводят обнал через миксеры (3-5% от суммы) и разрывы нала дебетовыми картами на левых людей (себес еще 30тр за карту). Также надо учитывать, что площадки, где размещены объявления хакера - тоже хотят монету, как и гаранты (если они задействуется, хотя чаще данный расход - на клиенте). Процент не платежей не высокий, но есть около 5% от выполненных заказов.

Таким образом 40 успешных взломов в месяц дадут хакеру выручку равную 360тр при неплатежах в 18тр. Себестоимость при этом будет в районе 35тр. Обналичка и тд съедят еще до 10%.

Субъективный взгляд на доходную часть хакеров, специализирующихся на взломах электронной почты позволяет вывести гипотезу, что дворец он на чистые 270тр едва ли купит или даже снимет в аренду. Так что не лёгок этот путь, да и доходы абсолютно спокойные.