Хакеры обитают не только в Tor и теневом интернете: биржи труда для кибервзломщиков, позиционирующие себя как полностью легальные ресурсы, появляются и в самом обычном сегменте сети.
Один из примеров таких ресурсов — зарегистрированный в Новой Зеландии сайт Hacker's List, на первый взгляд больше напоминающий портал, посвященный здоровому образу жизни, благотворительности или чему-нибудь настолько же невинному. Верхняя часть его главной страницы украшена мозаикой из фотографий улыбающихся людей, дизайн выполнен в светло-зеленых тонах.
Механизм работы сайта — такой же, как у любой фрилансерской биржи. Из общей массы ресурсов для поиска подработки его выделяют только обещание строгой анонимности и, конечно, задачи, которые предлагают «фрилансерам». Типичные заказчики — жена, желающая узнать пароль к фейсбуку мужа, бизнесмен, которому нужно получить базу данных клиентов конкурента, или студент, который хочет «исправить» свою оценку в университетской базе данных.
Менее чем за три месяца работы портала через него было исполнено более 500 заказов.
Работа проводится анонимно, сайт отвечает за передачу денег от заказчика исполнителю, оставляя себе небольшую часть за посредничество. Получив деньги от заказчика, портал не переводит их на счет хакера, пока не получит подтверждение того, что работа выполнена. Типичное задание на сайте стоит от $100 до $5 тыс.
Как отмечают эксперты по кибербезопасности, взломы почты и социальных медиа происходят регулярно, и осуществить их может любой хакер средней руки — особенно учитывая, что большинство пользователей не используют достаточно надежные пароли и пренебрегают двухфакторной аутентификацией.
Повседневный характер заданий на сайте демонстрирует, насколько распространены идеи о взломах небольших масштабов и насколько распространенным может стать «бытовое» хакерство, если ему никто не будет препятствовать.
По словам президента частной сыскной компании Cyber Diligance Ялкина Демиркая, на подобные ресурсы обратят внимание правоохранительные органы, если будут считать это приоритетом. Hacker's List, в частности, может остаться «на плаву», так как многие из его пользователей находятся за пределами США, рассказал он New York Times.
Создатели Hacker's List подчеркивают, что их нельзя привлечь к уголовной ответственности, так как они не визируют и не оправдывают незаконную деятельность. В 10-страничном пользовательском соглашении, которое должен подписать каждый пользователь сайта, запрещается использовать «этот сервис для нелегальных целей».
При этом, несмотря на заявленную легальность, портал уже удален из поисковой выдачи Google.
По словам антивирусного эксперта «Лаборатории Касперского» Сергея Ложкина, такие биржи, как Hacker's List, не очень популярны и довольно редко встречаются в интернете. При этом значительная часть из них приходится на мошеннические сайты.
Тем не менее есть и отдельные ресурсы, на которых можно оценить хакерские биржи труда и оставить на них отзывы, честный это сервис или мошеннический.
«В сети существует огромное количество открытых форумов, посвященных сетевой безопасности и вирусам. И любой человек может нанять там хакера. Подобные сайты снимают бремя поиска с заказчика, самостоятельно разыскивая нужных хакеров на открытых и закрытых форумах», — добавил Ложкин.
Несмотря на утверждения о полной легальности порталов, их криминализация очень высока — если пытаться оценить ее в процентном выражении, незаконны примерно 95% заданий на них.
По мнению генерального директора компании Zecurion Алексея Раевского, уровень хакеров, предлагающих свои услуги на подобных биржах и форумах, не очень высок, однако для выполнения простых заказов типа взлома почты или аккаунта в соцсети его вполне достаточно. «Как правило, они используют уже готовые инструменты, которые также можно приобрести в интернете», — говорит Раевский.
«В целом объем рынка подобных услуг пока еще не очень велик. Подобные взломы стоят недорого, а большого количества заказчиков на хакерских форумах просто нет», — говорит эксперт
Однако если не бороться с сайтами, подобными Hacker's List, которые сокращают дистанцию между клиентом и заказчиком и максимально упрощают их коммуникации, то количество кибервзломов частных лиц и не очень хорошо защищенных организаций может значительно вырасти, предупреждает Алексей Раевский.