A hekkerek régen Lamborghinikkel dicsekedtek – ma már sokkal inkább üzleti szemlélettel bánnak a bűncselekményből származó bevételeikkel: startupokat, éttermeket vagy programozóiskolákat indítanak pénzmosás céljából. Ez az egyik legfontosabb megállapítása a Sophos X-Ops kiberbiztonsági szakértők friss tanulmányának.

A hekkertámadástól a holdingtársaságig

Zsarolóvírus-támadásokkal, adatlopással vagy adathalászattal a hekkercsoportok milliókat termelnek – többnyire kriptovaluta formájában. Az, hogy mi történik ezután a pénzzel, eddig kevés figyelmet kapott. A Sophos utánajárt, hogyan használják fel ezeket a nyereségeket ezek a csoportok, és egy olyan globális hálózatra bukkant, amely látszólag legális cégekből áll – de közelebbről megvizsgálva úgy tűnik, hogy digitális bűnözésből finanszírozzák őket.

Startupok, az árnyékgazdaság és a pénzmosás között

Számos esetben az elkövetők ismert csatornákat, például a Telegramot vagy a WhatsApp Businesst használják üzleti kapcsolatok kiépítésére és befektetések lebonyolítására. A szakértők arra hívják fel a figyelmet, hogy a cégeket gyakran professzionális márkajelenléttel, befektetőbarát üzleti modellel és valós gazdasági tevékenységgel alapítják – legalábbis papíron.

A kiberbűnözők különösen gyakran fektetnek be az alábbiakba:

• Kiberbiztonsági startupokba és IT-szolgáltatókba – gyakran azért, hogy célzottan tudáshoz vagy infrastruktúrához jussanak további támadásokhoz.
• Ingatlanprojektekbe, részvényekbe vagy nemesfémekbe, például aranyba és gyémántba – lehetőleg stabil joghatóságokban, mint Svájc, az USA vagy az Egyesült Arab Emírségek.
• Civil szervezetekbe, oktatási intézményekbe vagy vendéglátóipari vállalkozásokba, hogy radaron kívül működhessenek – például programozóiskolák vagy látszólag nonprofit oktatási projektek létrehozásával.
• Alkohol- és dohányáru-kereskedelembe, éttermekbe és bárokba – hagyományos iparágakba, amelyekben készpénzforgalom van és kevés az ellenőrzés.

A vállalkozói szellem sötét oldala

A legális befektetések mellett a Sophos X-Ops számos példát azonosított a szürkezónában, valamint egyértelműen bűncselekményen alapuló üzleti modellekre is. Ezek közé tartoznak:

• Chatbotok és hirdetési csalások, amelyek a reklámbevételek manipulálására szolgálnak.
• Pornográf platformok és webkamerás stúdiók – köztük az OnlyFans –, gyakran leplezett finanszírozási forrásokkal.
• Online kaszinók és szerencsejáték-szolgáltatások, gyakran offshore-bejegyzéssel.
• Illegális állampolgárságot vagy hamis okmányokat kínáló szolgáltatók, elsősorban ázsiai és közel-keleti platformokon.
• Gyógyszerkereskedők és hamisított gyógyszerek, amelyek webáruházai alig megkülönböztethetők a legális forgalmazóktól.
• Piramisjátékok, adóelkerülés és bennfentes kereskedelem, amelyek célja az ellopott tőke további növelése vagy újrabefektetése.

Az elemzett esetek szinte a világ minden tájáról származnak – dokumentált tevékenységet találtak többek között az Egyesült Királyságban, Svájcban, az Egyesült Államokban, az Egyesült Arab Emírségekben, Kínában, Dél-Koreában és Gibraltáron. A bűnszervezetek nemzetközi szinten működnek, de egyre gyakrabban jelennek meg helyi szinten is – például éttermek üzemeltetőiként vagy befektetőként. 

– A digitális és a valós világban elkövetett bűncselekmények közötti határok egyre jobban elmosódnak – és éppen ez teszi a fenyegetést ennyire veszélyessé. Ennek a problémának a kezelése csak a magán- és állami szektor fokozott együttműködésével, valamint a kiberbiztonsági cégek és a helyi rendvédelmi szervek szorosabb kooperációjával lehetséges – mondta továbbá John Shier, a Sophos Field CISO-ja. Hozzátette: a fenyegetéselemzőknek meg kell osztaniuk megállapításaikat a helyi hatóságokkal, akik ezáltal visszakövethetik a bűncselekményekkel támogatott tevékenységeket. Hiszen aki ma látszólag legális vállalkozást indít, az holnap újra lecsaphat az interneten. A Sophos X-Ops megállapításai több hónapos elemzésen alapulnak, amely dark net fórumok, pénztárcamozgások és nyílt vállalati adatok vizsgálatával készült.