Я хотел бы начать эту статью с нескольких вопросов:

  1. Что общего у дырявого ведра и старого роутера?
  2. Может ли ваша бабушка помогать киберпреступникам?
  3. Почему в вашей квартире 5 устройств, но подключено 6?

Вы сможете ответить на эти вопросы после прочтения этой статьи.

Давайте для начала разберемся, что на самом деле представляют собой эти прокси-сервисы.

Прокси-сервисы служат различным целям, в основном для сбора данных, манипуляций с SEO и обхода различных типов блокировок. Но у них есть и темная сторона. Их можно использовать для незаконной деятельности и как способ обойти обнаружение реального IP-адреса злоумышленника.
Каждый год власти в разных странах принимают меры против таких сервисов (таких как SocksEscort), но после закрытия одного появляются десятки новых. Но почему?
Потому что это высокодоходная схема, в которой люди участвуют как добровольно, так и неосознанно.

Как устроены прокси-сервисы?

How proxy service actually works inside
Как на самом деле работает прокси-сервис

Это упрощенная визуализация того, как работает типичный прокси-сервис. Но даже здесь ясно, что они используют всевозможные методы для получения все большего количества свежих IP-адресов.

Вариант 1: Уязвимые маршрутизаторы и устройства IoT.

Option 1: Vulnerable routers and IoT devices.
Вариант 1: уязвимые маршрутизаторы и устройства IoT.

Общедоступный IP-адрес позволяет злоумышленникам тестировать:

  1. Уязвимости в устаревшем программном обеспечении, такие как RCE, обход авторизации и т. д. Недавний пример на момент написания статьи — экстренный патч от TP-Link
  2. Угрозы, связанные с паролями по умолчанию (жестко запрограммированными), как показано в примере с D-Link
  3. Атаки методом перебора паролей (SSH/Telnet/веб-авторизация)
  4. Использование отладочных интерфейсов
  5. Угон CDN и доставка вредоносной прошивки
  6. Использование уязвимостей старого ядра Linux

Ваш холодильник, стиральная машина или даже датчик CO2 могут стать частью этого ботнета. Все, что имеет подключение к Интернету и доступно извне, либо напрямую, либо через DDNS.

Вариант 2. Вирусы на мобильных устройствах или ПК.

Наиболее распространены вирусы на мобильных телефонах или ПК, которые позволяют злоумышленникам использовать мобильный или интернет-трафик жертвы. Здесь нет необходимости в иллюстрациях.

Вариант 3. Бесплатные VPN.

How "free VPN" works
Как работает «бесплатный VPN»

Это, пожалуй, самая недооцененная категория, и именно она делает эти сервисы юридически жизнеспособными.

Но как это возможно? Когда вы принимаете условия предоставления услуг, там может быть что угодно, даже продажа вашей души /s. Здесь, по крайней мере, вы не продаете свою душу, но продаете свой трафик. Умные юридические лазейки означают, что ваша оплата за использование трафика VPN-сервера превращается в разрешение на использование вашего трафика.

Но вы можете сказать: разве не легко отследить и закрыть такой бизнес? Нет. Они заблокируют «злонамеренного» пользователя и продолжат работу. И этот подход является самым эффективным из всех, потому что пользователь дал свое согласие. Никто не читает несколько страниц политики конфиденциальности и условий использования программы или сервиса. Возможность оплаты с помощью Bitcoin на прокси-сервисе не всегда предоставляется для удобства.

Вариант 4. «Настоящая бизнес-модель».

Опишите изображение

В этом сценарии у злоумышленников уже есть финансирование, которое они используют не только для покупки серверов для своего сервиса, но и для приобретения устройств — одноплатных компьютеров.
Устройство стоимостью 9–20 долларов, подключающееся к сети, окупается менее чем за месяц работы. Целью может стать любая открытая сеть или сеть с известным паролем — например, в ресторане или магазине.

Злоумышленники оставляют устройства с питанием от USB рядом с активными интернет-сетями. Часто они выбирают места, где заранее известно о наличии нескольких сетей и где можно переключаться между ними. Варианты зависят от изобретательности злоумышленника

Вариант 5. Другие методы

Эти методы похожи на схемы, основанные на роуминге, но становятся все более редкими из-за риска быстрого блокирования — благодаря оперативной реакции провайдеров и работе исследователей в области безопасности.

Как не стать жертвой или соучастником этой преступной сети?

  1. Не используйте устаревшие роутеры. Часто, чтобы сэкономить, люди покупают роутеры, которые больше не поддерживаются производителем и могут быть уязвимы. Если роутер предоставлен вашим интернет-провайдером, уточните у него дату окончания срока службы (EoL) роутера.
  2. Не используйте неизвестные роутеры от непроверенных продавцов. Они могут быть уже заражены вирусом или могут быть использованы для этих целей позже.
  3. Не доверяйте фразе «бесплатный VPN». Все имеет свою цену, за исключением крупных компаний, чьи финансы не зависят от VPN.
  4. Не устанавливайте сомнительные приложения из рекламы или схем «Установи и заработай».
  5. Проверьте количество хостов в вашей сети. Часто угроза находится прямо по соседству.


Но со временем эти сервисы уйдут в тень, так как анализ сетевых подключений уже позволяет выявлять закономерности в использовании прокси.
Именно поэтому преступники сейчас пытаются выжать из этого как можно больше, заманивая доверчивых пользователей в приложения, обещающие «ваш телефон зарабатывает деньги в режиме ожидания», «получайте деньги за использование данных», «оставайтесь на связи с близкими бесплатно, обходите блокировки» и другие сомнительные рекламные предложения.

Будьте бдительны.