Дослідники датської компанії CSIS Security Group розкрили подробиці про те, як їм вдалося відстежити творця інструментів для фішингових атак. В ході конференції Security Analyst Summit Петер Крузе (Peter Kruse) і Ян Кааструп (Jan Kaastrup) розповіли про виявлення слідів злочинця через ряд проксі, зламаних web-серверів і слабо захищених маршрутизаторів. Злочинець поки не спійманий, однак це лише питання часу.

Як і більшість здійснюваних в наші дні фішингових атак, дана кампанія також починалася з розсилки фішингових листів. Жертва отримувала по електронній пошті посилання, що ведуть нібито на легітимні сайти банку і компанії Apple. Як пояснив Крузе, який використовується для атак набір інструментів без зусиль можна придбати на чорному ринку в інтернеті.

В ході атаки зловмисник перенаправляв трафік через скомпрометований web-сервер в Нідерландах. Хакер отримував інструменти зі сховищ на сервері, викрадав облікові дані і дані банківських карт, використовував інший проксі в Данії і переводив у готівку викрадені кошти.

Дослідники отримали доступ до сховища і виявили там файл CACAT з посиланням на інструменти кіберзлочинця: понад 1 тис. зламаних серверів, список атакованих цілей і шаблони спам-листів. Коли справа доходила до переведення в готівку коштів, зловмисник перенаправляв трафік через ряд домашніх ADSL- маршрутизаторів виробництва тайванської компанії ZyXEL. У маршрутизаторах використовуються заводські облікові дані, тому їх легко зламати.

Експертам вдалося відстежити зловмисника. Ним виявився під псевдонімом L33bo, що володіє однойменною обліковим записом на сайті eBay. Як з'ясували дослідники, підозрюваний є громадянином Румунії, мешкає у Великій Британії і водить машину MG ZT. За словами Крузе, поліція вже протягом декількох місяців перехоплює трафік підконтрольних злочинцеві серверів. Проте, через те, що розслідування велося без належного дозволу, пред'явити звинувачення поки не можна.