¿Cuáles son las trayectorias profesionales en el campo de seguridad informática (ilegal)?

No puedo comentar sobre la escena real del trabajo, pero sí conozco un poco las estadísticas de ciberdelito.

En términos de ganancia financiera, las estadísticas son bastante interesantes. En términos de ganancias, los tres primeros son los siguientes:

1. Fraude publicitario de pago por clic : no fue una fuente de ganancias hasta hace poco, pero los blackhats parecen haberse centrado más en este método desde que se saturó el mercado de spam. Se estima que las botnets más grandes, con números en millones, generan hasta $ 100k por día .
2. Correo electrónico no deseado : sigue siendo muy rentable, pero es un mercado altamente saturado. Las redes de bots de spam tienen que ser enormes para obtener una ganancia que valga la pena, lo que las convierte en el objetivo principal de los blancos. Los sistemas antispam más inteligentes también hacen que sea muy difícil dirigirse a los usuarios de todos los días (por ejemplo, hotmail, gmail, etc.). Se estima que la botnet BredoLab generó alrededor de $ 139k por mes para el propietario.
3. Cardado / skimming : el antiguo estándar. Si bien el esfuerzo requerido para capturar las credenciales es razonablemente fácil, requiere más mano de obra y es más arriesgado usar las tarjetas. Sin embargo, el pago generado por una tarjeta utilizable puede ser grande: cientos o miles de dólares por éxito.

Sin embargo, ¡no creas que todo es sol, arco iris y prostitutas de clase alta! La mayoría de los grandes operadores de botnets y los piratas de la tarjeta son atrapados, y muchos de ellos van a prisión:

• El escritor de BredoLab recibió 4 años de prisión.
• 3 personas fueron arrestadas y están esperando una sentencia con respecto a la botnet Mariposa.
• Como parte de la represión del FBI contra el troyano Zeus, alrededor de 100 personas fueron arrestadas y varias recibieron sentencias de cárcel.
• La botnet Srizbi hizo que el gobierno cerrara toda una empresa de alojamiento, y se realizaron más arrestos.
• El escritor de la botnet Akbot fue arrestado, pero más tarde fue liberado debido a problemas con el caso. ¡Afortunado escape!
• Cientos de personas son arrestadas cada año por fraude con tarjetas de crédito.

Mis 2centos aquí: Aunque no técnicamente illegal estas empresas han logrado desarrollar malware y exploits, sin cualquiera que los esté molestando, porque los venden a gobiernos, agencias policiales, servicios secretos, organizaciones y, en el caso de algunas de las compañías, a cualquier otra persona interesada.

Tales compañías incluyen:

• VUpen
• Paladion

Se puede encontrar más información: aquí .

Una opción que no se menciona aquí es el espionaje. El patriotismo o el financiamiento corporativo podrían ser parte de la razón por la que podría terminar en espionaje.

Corporate

Como trabajador contratado de espionaje podría cobrar una muy alta tarifa por hacer cualquiera de una serie de diferentes operaciones de sombrero negro.

Robo, información corporativa (planes de diseño, chantaje, datos corruptos, robo de fondos). En el documental llamado Corporación entrevistaron a un consultor de espionaje corporativo.

Gubernamental

Trabajando en el sector gubernamental como oficial de guerra cibernética. Trabajarías en equipos para hacer cosas como representar Inrichmant de uranio iraní instalación inoperable .

O eliminando a los disidentes del gobierno como el hackeo de gmail de 2009. Robo de diseños y planes avanzados para equipos militares de próxima generación (F35 JSF). El truco de Aurora

Al igual que la respuesta de NlightNFotis, hay varias compañías que escriben software malicioso legal para los gobiernos, que son proveedores en la ISS World Training . Los documenté aquí: enlace

Me imagino que la mayor parte del dinero se destinaría a redes de crimen organizado, que operan botnets para distribuir malware. Desde allí pueden atacar a clientes de bancos individuales para robar dinero o configurar cuentas de mulas. También podrían alquilar sus botnets a otras personas para distribuir computación.

Probablemente todavía haya una gran cantidad de software espía, tal vez inyecte sus ID de afiliados en todos los enlaces de Amazon en una gran cantidad de zombies, tal vez les sirva ventanas emergentes o software antivirus falso.

Tal vez desarmes los sitios web corporativos a través de la extorsión.

Tal vez solo realice muchas tareas automatizadas que generan ingresos en una red grande, haga clic en fraude, envenenamiento de motores de búsqueda.

Leí un libro bastante bueno hace unos años con varios artículos académicos sobre delitos cibernéticos, si puedo encontrarlo o un conjunto de actualizaciones, volveré aquí y lo publicaré.

Además de lo que Eric ha dicho, hay otro campo de generación de dinero: la codificación de malware personalizado. Un ejemplo es de este tipo, Tataye, autor del famoso Beast Trojan. Ahora está vendiendo su trabajo por dinero en enlace . Otro ejemplo es este tipo: enlace

Sky es solo el límite si sabes codificar.

Parcialmente anecdótico - parece que salvo algunas excepciones, los únicos grandes ganadores en este negocio son las pandillas del crimen organizado, que están en posición de utilizar escritores expertos, hackers, ingenieros sociales, etc. para crear creadores de dinero.

Si bien algunos de estos codificadores de explotación reciben un pago razonablemente bien (por ejemplo, el mercado de explotación de Blackhat paga 5 a 10 veces lo que el mercado de White Hat le dará) es poco probable que puedan retirarse de sus ganancias. De hecho, si tienen mucho éxito, pueden encontrar amenazas del crimen organizado que pueden obligarlos a permanecer en el negocio.

Alternativamente, a muchos escritores de exploits se les paga muy poco.

Aunque no se trata de piratear, creo que lo siguiente tiene mucho en común en principio con vivir la vida "subterránea" y explica por qué la gran mayoría de las personas en esa escena no pueden ganarse la vida, mucho menos una fortuna. :

enlace