Кардинг форумы современных кардеров
Форумы киберпреступников продолжают процветать, несмотря на преследования со стороны правоохранительных органов и появление более эффективных и безопасных альтернатив. Digital Shadows глубоко погрузилась в киберпреступное подполье, чтобы исследовать устойчивость форумов, выявив несколько причин, по которым они остаются привлекательными на фоне привлекательных альтернатив.
Форумы навсегда - Часть 1: Киберпреступность никогда не умирает
Если бы кто-то мог предсказать будущее еще в конце 1990-х, когда появились первые веб-форумы киберпреступников, мало кто мог бы понять, что эта модель общения и собраний продержится и в новом тысячелетии.
Выживание форума киберпреступников перед лицом новых, более безопасных технологий и постоянного давления со стороны правоохранительных органов не стало сюрпризом для исследователей Digital Shadows. В нашем новом документе
«Форум современных киберпреступников» мы собрали вместе обширные исследования и глубокие «живые» взгляды на киберпреступное подполье. Множество причин, почему и как существуют форумы, описаны
.
Результаты нашего исследования включают некоторые важные выводы:
- Альтернативные технологии: по мере появления новых форумов и увеличения числа участников, пользователи часто выражают нежелание переходить на другие платформы для своих коммуникационных и торговых нужд. Они видят недостатки в альтернативных технологиях, несмотря на предполагаемую безопасность и эффективность, которые они предлагают. Многие злоумышленники обеспокоены безопасностью альтернативных технологий, но по-прежнему верят в анонимность и защиту, которые предлагают доверенные форумы.
- Родословная: многие форумы имеют долгую историю и уважаемую родословную, что очень нравится киберпреступникам. Достопочтенные форумы, как правило, привлекают опытных злоумышленников и действуют как хранилища информации о киберпреступниках.
- Достоверность: злоумышленникам может быть сложно определить, с кем они имеют дело, в приложении для обмена сообщениями или в автоматизированной торговой тележке (AVC). Но системы репутации на форумах и истории сообщений пользователей предоставляют злоумышленникам ценные сведения о надежности других киберпреступников.
- Системы арбитража и условного депонирования: системы арбитража и условного депонирования форумов обеспечивают справедливые сделки и последствия для неудачных транзакций. Трудно отрицать привлекательность этой функции, когда один киберпреступник хочет заключить сделку с другим.
- Рекламная платформа: они не только предлагают пространство для общения и торговли, форумы также предоставляют пользователям ценное рекламное пространство и возможность охватить широкую базу пользователей.
- Сообщество: преимущества поддерживающего и знающего сообщества ценятся участниками форума, которые дают и получают советы и учатся на ошибках друг друга.
ВВЕДЕНИЕ - ИСТОРИЯ КАДИНГ ФОРУМОВ
Форумы. Начиная с начала 1970-х годов, веб-форумы являются одними из самых ранних и основных коммуникационных технологий в Интернете, а концепция форума возникла еще дальше. Появление кардинг форума под названием CarderPlanet в первые годы тысячелетия закрепило устоявшуюся модель, которой подражают почти все будущие форумы киберпреступников. Как и раньше, киберпреступники используют форумы для советов и обсуждения новейших технологий и разработок. Продавцы обычно предлагают такие товары, как:
- доступ к внутренним системам
- учетные записи веб-сайтов
- базы данных
- полномочия
- инструменты
- вредоносное ПО
- данные кредитной карты
- учебники по киберпреступности
По сравнению с неуклюжей моделью потоковой рассылки, используемой на форумах, появилось несколько коммуникационных и торговых технологий, обеспечивающих повышенную эффективность, удобство и безопасность. Существуют службы обмена сообщениями и зашифрованные приложения, такие как Telegram, Wickr и Discord, а также децентрализованные технологии, такие как DNS, i2P и BitTorrent. Платформы автоматической торговли, такие как торговые площадки и AVC, также прижились в этой среде.
Хотите узнать о различиях между AVC, торговыми площадками и форумами?
Ознакомьтесь с нашим подробным блогом здесь:
Понимание различных платформ киберпреступников[/I]
Наряду с появлением этих технологий форумы оказались опасной - и устаревшей - ареной для злоумышленников. Их часто нарушают службы безопасности во многих юрисдикциях, и они часто исчезают незаметно. Многие считают, что форумы Hell и KickAss перестали функционировать по этой причине (в 2015 и 2019 годах соответственно), хотя это не было подтверждено властями. В других случаях успехи правоохранительных органов освещаются в мировых СМИ. В сентябре 2019 года белорусские власти захватили серверы небезызвестного хакерского форума Xakfor. Сообщество киберпреступников хорошо осведомлено о присутствии властей на их форумах и о том, что некоторые форумы существуют только так долго, потому что они ценны для полиции для сбора разведданных и доказательств.
По этим причинам многие профессионалы в области кибербезопасности ссылаются на то, что форумы обречены на избыточность. С учетом того, что киберпреступники проводят больше транзакций и обсуждают на альтернативных платформах, можно ожидать, что потребность в форумах уменьшится. Нельзя отрицать, что киберпреступники все чаще используют другие платформы; Digital Shadows даже написала об этом явлении: «
Как киберпреступники используют платформы обмена сообщениями» . Но рост альтернативных технологий не означает конец форумов, которые, кажется, процветают вопреки всему.
НЕОСПОРИМАЯ ПРИВЛЕКАТЕЛЬНОСТЬ: ДОКАЗАТЕЛЬСТВА ТОГО, ЧТО ФОРУМЫ ПО-ПРЕЖНЕМУ ПОПУЛЯРНЫ
Несколько факторов подтверждают идею о том, что форумы существуют надолго. Постоянно появляются новые сайты, число участников продолжает расти, а пользователи часто выражают нежелание отклоняться от традиционной модели форума. Появление новых форумов вызвано в основном необходимостью замены вышедших из строя.
Долой старое…
Англоязычная сцена киберпреступности в последние годы пережила примечательную нестабильность: уже существующие и новые форумы постоянно исчезают по разным причинам.
Рисунок 1: Жизненный цикл распространенных форумов (* обозначает юридический захват форума или закрытие администратором)
Правоохранительное вмешательство
Убийства со стороны полиции или служб безопасности стали причиной упадка большинства ныне не функционирующих форумов. Среди них был известный форум Dark0de, переведенный в автономный режим операцией под руководством ФБР в 2015 году. Dark0de работал с 2007 года и приобрел известность среди англоязычных киберпреступников благодаря обсуждениям на сайте и продаже хакерских инструментов, эксплойтов, взломанных данных и рассылка спама. Еще одной жертвой стал давний
форум Infraud. На пике своего развития Infraud вела операцию на полмиллиарда долларов по продаже услуг по взлому и мошенничеству, пока в 2018 году форум не захватила международная правоохранительная коалиция.
Рисунок 2: Домашняя страница Infraud после удаления
Неправомерное поведение владельца / члена
Другие форумы исчезли из-за халатности их владельцев. Например, Digital Shadows видела сайты, покинутые их администраторами ― 0day была известной киберпреступной платформой, запущенной в начале 2014 года. Тем не менее, к концу 2017 года администраторы форума, очевидно, отказались от нее. Наше расследование показало, что запросы на регистрацию остались без ответа, а сервисы Jabber на сайте не работали. Ходили слухи, что форум больше не работает: администраторы ушли, не выключив свет. На момент написания URL-адрес Tor форума больше не доступен, а открытый URL-адрес исчез несколько лет назад.
Рисунок 3: домашняя страница 0day
Иногда некорректное поведение участников форума также может сыграть свою роль. Тот факт, что русскоязычные форумы намного успешнее своих англоязычных, во многом объясняется невероятной дисциплиной русскоязычных платформ. Строгие правила определяют, какой язык можно использовать (ненормативная лексика отсутствует, используется грамматически правильный русский язык), в какие разделы будут приниматься новые обсуждения и как следует обращаться с модераторами форума (оспаривание мнения модераторов определенно исключено). Такие правила гарантируют порядок и предотвращают фрагментацию форумов, потому что участники вряд ли восстанут.
Плохое исполнение
Еще есть форумы, которые проваливаются из-за плохой реализации со стороны их создателей. Torigon был запущен тремя злоумышленниками в сентябре 2019 года с явной целью объединить англоязычных и русскоязычных хакеров для обмена вредоносными программами и эксплойтами на единой платформе. Но форум не смог обеспечить перевод на русский язык для людей, не говорящих по-английски, и не позаботился о продвижении сайта в киберпреступном сообществе. Результат? Отсутствие взаимодействия и неспособность достичь целевого рынка.
Рисунок 4: Брендинг Torigon
Несмотря на значительную непредсказуемость, общая гибель англоязычных форумов не является неизбежной. На самом деле, эту сцену лучше всего сравнить с игрой в «Ударь крота»: как только один форум исчезает, на его место появляется другой. В киберпреступном подполье аппетит к новым форумам не ослабевает.
Исключительная стойкость модели форума в англоязычном киберпреступном сообществе показывает, что злоумышленники по-прежнему видят большую ценность в использовании этих платформ. Создание нового форума требует значительных усилий и ресурсов, которые даже не гарантируют успеха; даже в этом случае мы видим, как каждый год запускается несколько новых сайтов. Иногда форумы, которые были прерваны полицией, даже пытаются вернуться на место происшествия, полагаясь на свой известный бренд, чтобы придать им авторитет ― ходили слухи о повторном появлении Ада (как Hell Reloaded) и Dark0de.
Аппетит к новым форумам заметен даже у русскоязычных киберпреступников. Хотя их сцена характеризуется удивительной стабильностью и долговечностью форумов, иногда сайты действительно умирают… но не всегда навсегда. В 2018 году ранее не существующий форум DamageLab был перезапущен как XSS. В основном благодаря родословной опытной команды, стоящей за форумом, XSS вырос и стал бросать вызов даже самым известным русскоязычным платформам. А в марте 2019 года на форумах киберпреступников распространился новый слух: форум программистов Cult of the Russian Underground (CORU), бездействующий с 2016 года, будет возрожден. К апрелю 2019 года CORU открыла регистрацию.
СИЛА В ЦИФРАХ: ПОСТОЯННО РАСТУЩИЙ УЧАСТНИК ФОРУМА И КОЛИЧЕСТВО СООБЩЕНИЙ.
Число участников форума и количество обсуждений / сообщений показывают, что популярность форумов постоянно растет, несмотря на появление альтернативных технологий, таких как Telegram.
Рисунок 5, 6 и 7: Свидетельства роста числа членов и количества должностей
Торум
Торум был всего лишь маленьким, довольно незначительным игроком, вращавшимся во внешних кольцах киберпреступной сцены в 2017 году и продолжившимся в том же духе в 2018 году. больше не надо. 2019 год был удачным для Торума: за восемь месяцев с февраля по октябрь 2019 года его пользовательская база увеличилась на 639%, поскольку англоязычные киберпреступники нашли новое место для перегруппировки.
Рисунок 8: Логотип Torum
Exploit
Exploit - один из самых громких русскоязычных форумов киберпреступников. Он работает непрерывно с 2005 года, и многие злоумышленники и комментаторы считают его платформой для некоторых из самых опытных киберпреступников. Несмотря на - или, возможно, из-за - своей долговечности и репутации, в последние месяцы число участников Exploit значительно увеличилось. В марте 2018 года на сайте было зарегистрировано 40 390 пользователей. К ноябрю 2019 года их количество составило 47 347, что на 17,2 процента больше по сравнению с уже существующим форумом. Фактором, способствовавшим этому, могло быть решение ввести автоматическую регистрацию на английском языке, чтобы облегчить присоединение нерусскоговорящих пользователей. Количество публикаций Exploit выросло с 846 020 в марте 2018 года до 1012 575 в ноябре 2019 года.
Рисунок 9: Логотип Exploit
XSS
XSS ранее назывался DamageLab: один из первых русскоязычных форумов киберпреступников. DamageLab закрылся после ареста его администратора в 2017 году (мы обсудим это подробнее в следующем блоге этой серии). Тем не менее, бывший администратор Exploit приобрел частичную резервную копию XSS в конце 2018 года и с тех пор превратил форум в процветающее и активное сообщество, что отражается в его растущем числе участников. В период с февраля 2019 года (10 344 члена) по ноябрь 2019 года (19 040 человек) их число увеличилось на 84 процента. И давайте не будем игнорировать количество сообщений, которое выросло со 130 040 до 162 470.
Рисунок 10: Логотип XSS
Количество посещений также свидетельствует о том, что популярность форумов остается стабильной. Количество посещений двух популярных англоязычных форумов киберпреступников, Nulled и Raidforums, практически не уменьшилось с апреля 2019 года, согласно данным сайта показателей посещений SimilarWeb.com. По данным того же сайта, количество посещений Exploit за тот же период увеличилось более чем на 20 000 человек.
Рисунок 11: Сравнение показателей посещений Nulled (синий) и Raidforums (желтый) за последние шесть месяцев
Рисунок 12: Число посещений эксплойтов за последние шесть месяцев
Теперь, когда у нас есть несколько примеров известных форумов, каковы их альтернативы? Что делает форум хорошим? Во второй части этой серии блогов будет обсуждаться сопротивление пользователей форума переходу от модели форума.
Форумы навсегда - Часть 2: Встряхивают, но не волнуют
Форумы киберпреступников продолжают процветать, несмотря на преследования со стороны правоохранительных органов и появление более эффективных и безопасных альтернатив. Digital Shadows глубоко погрузилась в киберпреступное подполье, чтобы исследовать устойчивость форумов, выявив несколько причин, по которым они остаются привлекательными на фоне привлекательных альтернатив.
В части 1 этой серии блогов мы исследовали свидетельства постоянной популярности форумов. Во второй части рассматривается сопротивление пользователей форумов-киберпреступников отходу от модели форума.
Чтобы получить доступ к полному аналитическому отчету команды, посетите наш ресурсный центр ниже.
НЕ РИСКОВАТЬ, СОПРОТИВЛЯТЬСЯ АЛЬТЕРНАТИВНЫМ ФОРУМАМ
Способы повышения безопасности, эффективности и прибыли - частые темы обсуждения на форумах киберпреступников. Таким образом, существует множество примеров того, как пользователи форумов выражают сомнения по поводу отказа от модели форума или даже, иногда, по поводу принятия мер для улучшения функциональности и безопасности форумов. Их консерватизм проистекает из доверия к старой модели и особой озабоченности по поводу новых, упомянутых ниже.
Приложения для обмена сообщениями
В октябре 2019 года в ходе обсуждения на Torum один участник предложил создать группу Telegram или Wickr для пользователей Torum. Некоторые пользователи поддержали эту идею, но другой написал: «Это самая глупая идея на свете… Я думаю, что это тоже противоречит правилам этого форума [sic]?» В отдельной ветке Torum, посвященной достоинствам Telegram, один пользователь заявил: «Мне нравится Telegram, но я бы никогда не отправил с ним действительно [sic] конфиденциальные материалы». Их мнение распространилось и на другие платформы: «один из моих реальных дилеров был арестован, написав через WhatsApp!» Даже для форумчан, которые обратились к новым приложениям для обмена сообщениями, старые привычки трудно исчезнуть. Мы видели, как пользователи форумов создают каналы Discord только для того, чтобы воспроизвести макет или структуру форума с помощью этой новой технологии.
Домены Tor
В июне 2018 года Exploit представил Tor-версию сайта. Но более года спустя (октябрь 2019 г.) версия форума Tor все еще не работала должным образом, и пользователи жаловались на длительное время загрузки, полную недоступность сайта и неполную функциональность. Несмотря на это, количество жалоб было на удивление низким, учитывая, как долго сайт Tor работал на этом неоптимальном уровне. Комментарии участников показали, что многие пользователи не перешли на темную веб-версию сайта ― они фактически предпочли более старый, менее безопасный и понятный веб-URL.
Рисунок 1: Объявление домена Exploit Tor
Блокчейн DNS
Технология Blockchain DNS, децентрализованная система для доменов верхнего уровня, дает значительные преимущества в области безопасности, например, пуленепробиваемые платформы и скрытие вредоносной активности. Службам безопасности также намного сложнее ориентироваться на сайты DNS с блокчейном, потому что они не регулируются центральным органом, как обычные сайты DNS. Мы написали подробный блог, если вы хотите узнать больше:
Как киберпреступники используют Blockchain DNS: от рынка до .Bazar .
Даже несмотря на эти преимущества, почти ни одна авторитетная киберпреступная платформа не приняла это новое развитие; AVCs Joker's Stash и Mr Swipe - одни из немногих известных киберпреступных сайтов, которые имеют.
Точно так же большинство форумов уклоняются от использования технологии блокчейн, например, для хранения серверных баз данных и кода для поддержки интерфейсных пользовательских интерфейсов. Русскоязычный ProMarket и англоязычный L33T представили несколько URL-адресов DNS на блокчейне, но эти версии форумов не работали чаще, чем работали; четкие веб-адреса рассматривались как гораздо более стабильная альтернатива. Добавьте к этому восприятие пользователей обеспокоенность общедоступными записями о взаимодействиях с блокчейном, и вы поймете, почему злоумышленники не хотят покидать форумы.
Еще одним фактором вялого восприятия злоумышленниками технологии блокчейн является нетипичный метод доступа к таким сайтам. Как правило, доступ к сайтам DNS с блокчейном осуществляется через Chrome с расширением браузера, которое обеспечивает доступ к сайтам с определенными суффиксами URL. Но идентификация, загрузка и запуск соответствующего расширения DNS блокчейна требует значительных навыков и знаний. Это очевидно, просто просмотрев длинные инструкции по доступу, предоставленные Joker's Stash ―, и прочитав многочисленные жалобы на форуме по поводу отсутствия доступа (см. Рисунки 2 и 3).
Рисунок 2: Эксплуатация пользователя, выражающего трудности с доступом к Joker's Stash через плагин браузера
Рисунок 3: Пользователь Torum спрашивает, как получить доступ к сайту Joker's Stash
Проблемы с эксплуатационной безопасностью также заставили многих злоумышленников опасаться использования сайтов DNS с блокчейном. Невозможно использовать расширение с безопасным браузером (например, Tor), что означает, что обычная «двойная блокировка» (безопасный браузер плюс VPN) будет потеряна. Использование чего-либо, кроме последней версии расширения, также может раскрыть сведения о системе пользователя. У более опытных злоумышленников не возникнет проблем с адаптацией своей обычной системы безопасности, но киберпреступники начального уровня могут сопротивляться таким условиям. Неуверенные в преимуществах этой технологии, многие придерживаются своего надежного и доступного форума киберпреступников.
Рисунок 4: DNS-инструкции блокчейна Joker's Stash
AVC
Использование AVC для эффективной торговли данными кредитных карт было нормой в течение ряда лет, хотя недавние обсуждения на форуме показывают, что киберпреступники видят обратную сторону. В октябрьской ветке 2019 года на русскоязычном кардинг форуме один пользователь посоветовал: «Лучше использовать частного продавца ... все остальное - мусор, даже [sic] joker», имея в виду AVC Joker's Stash.
Недавнее нарушение работы AVC BriansClub и последовавший за этим всплеск внимания со стороны средств массовой информации (и, возможно, правоохранительных органов), возможно, заставили некоторые филиалы AVC (то есть поставщики украденных данных кредитной карты) усомниться в связанных с этим рисках. в продаже своих данных сторонней компании AVC. Хотя AVC предлагают альтернативу кардинг форумам, они не заменили этот метод продажи. Для продавцов кредитных карт реклама на форумах киберпреступников может означать большую прибыль и больший контроль над тем, кто может просматривать или покупать данные.
Рисунок 5: Детали кредитной карты после продажи в Torum
Итак, учитывая широкий спектр альтернатив, почему пользователи все еще так полагаются на модель форума?
Третья и последняя часть этой серии блогов исследует некоторые характеристики форумов, которые делают их идеальными для поддержки сообществ киберпреступников.
Форумы навсегда - Часть 3: Из рунета с любовью
Развитие альтернативных технологий не означало конца форумов, которые, кажется, процветают, несмотря ни на что. В части 1 и части 2 этой серии блогов, посвященных
форуму «Современный киберпреступник» , мы обсудили свидетельства продолжающейся популярности форумов, а также сопротивление пользователей форумов отходу от модели форума.
В третьей и последней части этой серии блогов исследуются некоторые характеристики форумов, которые делают их идеальными для поддержки сообществ киберпреступников.
ПОЧЕМУ ФОРУМЫ ДО СИХ ПОР ПОБЕЖДАЮТ В КОНКУРСЕ ПОПУЛЯРНОСТИ
Понятно, что форумы не отказываются от призрака, так что же стоит за лояльностью их участников? Ответ заключается в нескольких аспектах, которые могут относиться даже к законным услугам клиентов:
- Долгая история и почтенная репутация
- Доказательство достоверности
- Гарантии честных сделок
Помимо этого, форумы также предлагают рекламную платформу и поддерживающее, знающее сообщество.
Долголетие рождает уважение
Неизменная популярность форумов в некоторой степени обусловлена их историей, особенно среди русскоязычных злоумышленников. Многие из действующих сегодня известных русскоязычных форумов киберпреступников имеют долгую историю. Команда
исследования фотоновзаметил на XSS пост, в котором упоминался «пантеон первых», относящийся к «первым форумам, открывшимся в Рунете в 2000-х», который в посте назвал Carder Planet, Web Hack, Zloy, Antichat, Exploit, Maza, и DamageLab. Тот же пользователь сказал, что эти форумы воспитали «целое поколение первоклассных специалистов… целое поколение, целую жизнь, целую эпоху». Репутация этих давних форумов киберпреступников - и престиж, связанный с членством в форуме - привлекает многих злоумышленников. Ссылка на профиль на священном форуме - почти безотказный способ доказать свою надежность и легитимность.
Рисунок 1: Домашняя страница XSS
В случае DamageLab предполагаемое превосходство форума привело к одному из самых неожиданных событий в русскоязычной киберпреступности за последние годы. DamageLab был основан в 2004 году и стал одним из самых известных русскоязычных форумов. В декабре 2017 года один из администраторов DamageLab, белорус Сергей Ярец, был арестован в ходе совместной операции правоохранительных органов Беларуси, США и Европы за участие в форуме и ботнете Andromeda. После ареста «Ar3s» (имя пользователя Yarets на форуме) оставшаяся команда администрации DamageLab решила полностью закрыть форум, чтобы защитить пользовательскую базу от дальнейшего расследования со стороны властей.
Что необычно, так это то, что почти через год (конец 2018 года) бывший администратор известной Exploit купил резервную копию DamageLab, датируемую концом 2015 года, и снова открыл сайт. Новый администратор пообещал, что форум никогда больше не будет работать под своим старым названием, потому что это будет «небезопасно, неэтично и вредно для кармы». Они переименовали сайт в «XSS» и приступили к его восстановлению, перестройке и привлечению новых участников.
Рисунок 2: Сообщение о перезагрузке DamageLab
Несмотря на очевидную опасность работы на платформе, связанной с лицом, известным правоохранительным органам, форум процветает. Число участников выросло, и теперь на форуме присутствуют высококвалифицированные злоумышленники, готовые обсуждать передовые методы атак и торговать дорогостоящими предложениями. Этот успех произошел в немалой степени благодаря наследию форума; многие из старших членов по-прежнему являются активными участниками, которые делятся своими знаниями и опытом.
Даже Ar3s, который теперь освобожден из тюрьмы (шесть месяцев содержания под стражей означало, что с него сняли штраф), играет традиционную роль в XSS и недавно был назначен модератором Exploit. И новый администратор XSS использовал репутацию, которую они приобрели как администратор Exploit, чтобы завоевать доверие в своем новом предприятии. (Этот человек также воспользовался успехом Exploit для продвижения других проектов, включая рынок и сервер Jabber.) Престиж и долговечность DamageLab перевесили потенциальные негативные последствия восстановления несуществующего форума; Другие участники форума часто обращаются к опыту Ar3s с законом, и его мнения высоко ценятся.
Продвижение форума с опорой на предыдущую репутацию сайта имело место даже в англоязычном киберсообществе. Хакерский форум Hell, который был отключен правоохранительными органами в июле 2015 года, снова появился в начале 2016 года как Hell Reloaded. Один из первоначальных модераторов Ада, создавший сайт сиквела, пытался продвигать новый форум и привлекать новых участников, полагаясь на знаменитое название несуществующего форума. Но многие новые пользователи оставались настороженными, подозревая, что сайт является «ловушкой» служб безопасности. Адская перезагрузка больше не действует.
Рисунок 3: Домашняя страница Exploit, который работает непрерывно с 2005 года.
Такой форум, как Exploit, который работает непрерывно с 2005 года, привлекает пользователей, которые осведомлены о репутации, которую он заработал за многие годы, и о престиже, который они получат как член, но также осведомлены о его очевидном успехе в борьбе с угрозами, которые снесли другие форумы. Пользователи форума, выбравшие Exploit, уверены, что время и энергия, вложенные в создание бренда и клиентской базы на форуме, не будут потрачены зря.
Чрезвычайная долговечность этих форумов также означает, что на сайтах хранятся бесценные хранилища контента, связанного с киберпреступностью, за многие годы. Например, Exploit может похвастаться более чем миллионом сообщений, содержащих обсуждения, советы, руководства и рекомендации. Такие сайты, как Hackforums, работающие с 2009 года, пытаются извлечь выгоду из своей продолжительности жизни и значимости информации, рекламируя себя как образовательные ресурсы, а не просто взламывая форумы (подход, который также может помочь отвлечь нежелательное внимание властей).
Проблемы с доверием
Что касается базовых возможностей, злоумышленник может сделать очень мало на платформе обмена сообщениями, чего он не может сделать и на форуме. На нескольких форумах добавлены функции чата, позволяющие пользователям общаться в группах ― как в общедоступных группах платформы обмена сообщениями или в частных каналах, так и в беседах один на один. Многие форумы также пропагандируют конфиденциальность этой функции, утверждая, что администраторы форумов не имеют возможности читать личные сообщения пользователей.
Но есть большая разница между общением через службу обмена сообщениями и через форум: количество связанной с ними пользовательской информации. Многие службы обмена сообщениями удаляют как можно больше данных о своих пользователях. Часто единственная доступная информация - это имя пользователя, дескриптор и, возможно, аватар. Некоторые сервисы также позволяют краткую биографию. Это отсутствие информации преподносится как преимущество: конечно, в мире, в котором сохранение анонимности имеет первостепенное значение, оптимально сообщать собеседнику несколько деталей?
Как это ни парадоксально, но в мире теней и анонимности больше информации может быть ключом к успеху. Очень сложно судить, безопасно ли доверять имени пользователя и аватару в службе обмена сообщениями, особенно если вы не можете увидеть, как этот пользователь взаимодействовал с другими злоумышленниками. Хотя киберпреступники, несомненно, не хотят раскрывать какую-либо свою реальную личную информацию, для успешных транзакций им необходимо предоставить подробную информацию о своей личности в Интернете. Форумы позволяют им создавать целые виртуальные личности.
Участник форума, рассматривающий возможность взаимодействия с другим пользователем в первый раз, скорее всего, сможет увидеть историю предыдущей активности этого пользователя на форуме. Они могут соответственно оценить свою надежность, учитывая несколько факторов:
- Когда пользователь присоединился к форуму?
- Сколько постов они сделали?
- Создают ли они свои собственные обсуждения или просто отвечают на обсуждения других участников?
- Что они купили? Что они продали?
- Насколько они вовлечены в «жизнь форума» ― вносят ли они свой вклад в обсуждения сообщества? Выделить ошибки? Предложите способы улучшить форум?
- Как другие участники форума отзывались об услугах этого пользователя? Сообщали ли они о каких-либо проблемах?
Как это ни парадоксально, доверие в киберпреступном подполье даже важнее, чем в повседневной жизни. Когда нет информации о реальной личности человека, злоумышленники могут полагаться только на доверие при принятии решений. Должны ли они отправлять продавцу сотни долларов в надежде получить то, что они заказали? Обзор прошлой активности пользователя на форуме может помочь определить, является ли он надежным участником форума, неопытным злоумышленником или, что еще хуже, мошенником, исследователем или сотрудником правоохранительных органов.
Форумы продвигают бесчисленные инструменты и системы, которые могут помочь своим участникам в проведении таких оценок. Многие англоязычные форумы по взлому имеют рейтинги «leecher» или «lurker» для выделения пользователей, которые не вносят вклад в жизнь форума, что приводит к бану во время частых отбраковок участников. И на большинстве форумов действует система, позволяющая участникам присваивать пользователям положительные или отрицательные репутационные баллы. Это может отражать результаты транзакции или мнение о вкладе пользователя в поток. Отрицательные моменты могут привести к бану на некоторых форумах, поэтому в интересах участников попытаться обеспечить как можно более высокий балл, и они ценят эту возможность; После редизайна сайта Exploit удалил свою систему репутации, что побудило многих пользователей потребовать его восстановления.
Рисунок 4: Объявление CrackedTO о запрете пиявки
Есть множество других способов повысить доверие участников. Некоторые форумы, которые в значительной степени сосредоточены на продаже товаров и услуг, временно закрывают цепочку после ее начала, чтобы модераторы могли проверить утверждения продавца. Многие форумы используют систему статусов для пользователей с длительным сроком пребывания и большим количеством сообщений для продвижения по служебной лестнице на сайте; пользователи с более высоким рейтингом автоматически пользуются большим уважением. На некоторых форумах пользователи могут получить определенный ранг, только если за них поручились другие участники форума - верный признак легитимности. Тем не менее, другие форумы позволяют пользователям платить за повышение своего статуса, потому что осуществление такого платежа было бы нежелательным или невозможным для некоторых сотрудников правоохранительных органов и для лиц, стремящихся просто обмануть других пользователей.
Исследовательская группа Photon обнаружила, что строгие правила и условности форумов также помогают составить представление о личности. Пользователь, который вносит свой вклад в жизнь форума и отвечает на вопросы других пользователей, с большей вероятностью будет искренним. Содержательные ответы и сообщения также указывают на знания и опыт пользователя. Пользователи, которые только спрашивают или оставляют несущественные ответы, скорее всего, будут неопытными любителями. Многие форумы считают, что сообщения должны содержать значимый контент, и разрешают начисление очков отрицательной репутации за так называемые пустые сообщения.
«Бесплатная» реклама
Хорошая репутация и положительные отзывы пользователей также могут быть неоценимы для злоумышленника, продающего товары или услуги. Будь то продвижение предложений на других форумах или обновление существующих рекламных цепочек, ссылка на высоко оцененный профиль форума или положительные отзывы других пользователей форума - это один из единственных способов, с помощью которых злоумышленники могут попытаться убедить других участников заключить сделку. Иногда они даже пытаются использовать положительные отзывы, чтобы отвлечь внимание от проблем, с которыми они сталкиваются. Основатель недавно созданного магазина оболочек MagBo, «mrbo», использовал ветку, содержащую положительные отзывы на русскоязычном форуме киберпреступников Antichat, для продвижения своего сайта на XSS, несмотря на то, что в том же посте он признал, что им запретили использовать Exploit.
Рисунок 5: профиль забаненного пользователя mrbo
Полезность форумов как рекламных площадок - еще одно преимущество перед альтернативными технологиями. Очень немногие злоумышленники могут успешно работать только на альтернативных платформах, обнаружив, что членство в форуме расширяет базу пользователей, которым они могут рекламировать свои товары и услуги. В ходе обсуждения на англоязычном форуме CrackedTO в ноябре 2019 года многие пользователи признали, что у них менее 50 «друзей» на платформе обмена сообщениями Discord, что указывает на то, что уровень воздействия на приложение для обмена сообщениями часто намного ниже, чем на форуме.
Злоумышленник обычно использует одно и то же имя пользователя на отдельных форумах, создавая маркетинговую личность и распространяя этот «бренд» на альтернативные каналы. Известный мошенник в сфере путешествий «Sergik00», который предлагал поддельные авиабилеты и бронирование отелей на форумах в течение почти четырех лет, направляет заинтересованных покупателей в свои каналы Telegram, чтобы они делали заказы. Мы даже видели, как они использовали свой дескриптор Telegram в настраиваемой рекламной графике, включенной в их потоки. Однако важно отметить, что Sergik00 сохранил свое присутствие на самых разных форумах киберпреступников и включил положительные отзывы клиентов в свои специальные темы, создавая свой бренд на нескольких сайтах.
Рисунок 6: предложения Serggik00 для путешествий
Точно так же операторы кардной схемы Project13 используют Telegram различными способами - с отдельными учетными записями в Европе и США для обработки заказов пользователей и ботом Telegram для обработки запросов пользователей. Но даже с этой обширной инфраструктурой Telegram они по-прежнему поддерживают активные рекламные треды на многочисленных русскоязычных форумах. Даже пресловутый кард AVC Joker's Stash обновляет несколько специализированных веток форума каждый раз, когда они загружают на свой сайт большой набор новых деталей карты.
Легкость арбитража
Еще один недостаток, который киберпреступники видят в использовании альтернативных платформ, - это высокий риск стать жертвой мошенничества, и в этом случае у них не будет выхода. Если злоумышленник, действующий исключительно на Discord или Wickr, отказывается продавать другому пользователю набор данных после заключения сделки, покупатель или кто-либо еще мало что может с этим поделать. У пострадавшей стороны даже нет места, чтобы выразить свой гнев. Но русскоязычные форумы киберпреступников имеют встроенные системы правосудия, предназначенные для разрешения споров, обеспечения соблюдения сторонами условий соглашения и наказания нарушителей.
В общем, на большинстве форумов есть хорошо используемый раздел арбитража, в котором пользователи могут создавать темы, когда они чувствуют себя обманутыми другим участником форума. Такие споры обычно вращаются вокруг одной стороны, которая не может уплатить согласованную цену в сделке, не может доставить товары в согласованный срок или предоставить товары, не соответствующие их описанию.
Рисунок 7: Раздел арбитража эксплойтов
Истец, инициирующий арбитражную цепочку, должен предоставить все контактные данные, которые использовал ответчик (например, Jabber ID), любые другие имена пользователей, по которым они известны, и журналы личных бесед с подробным описанием полных переговоров между двумя сторонами. На форумах обычно есть шаблоны для арбитражных исков, которые должны использовать участники. Затем арбитр форума может прочитать журналы разговоров и попросить ответчика предоставить свою версию событий или доказательства своей невиновности. Другие участники форума также будут дополнять обсуждение; иногда эти пользователи также были обижены ответчиком, но иногда они вносят свой вклад из чувства общности.
В конце концов арбитр форума принимает решение, обычно давая ответчику возможность вернуть причитающиеся ему деньги, если он признан виновным. Если ответчик не сможет произвести платеж или его преступления будут сочтены слишком серьезными, арбитр форума запретит им доступ к сайту. Затем имя ответчика будет помещено в черный список в качестве предупреждения другим участникам форума не взаимодействовать с их именем пользователя. Разрешенные арбитражные дела, в которых ответчик не был запрещен, также хранятся в «публичном» протоколе. Это означает, что пользователи форума, рассматривающие возможность заключения сделки с незнакомым поставщиком, могут видеть любые арбитражные дела с участием этого поставщика.
На некоторых форумах система правосудия задействована еще больше. Verified, известный русскоязычный форум киберпреступников, специализирующийся на кардинге, использует систему компенсации, с помощью которой обиженные стороны могут возместить часть своих потерь. Пользователь, который их обманул, мог внести средства на счет Verified, и их жертвы могут подать заявку на получение этих средств. В большинстве случаев у виновных подсудимых более одной жертвы; после того, как все пользователи предъявили претензии к ним, член команды форума вмешивается, чтобы пропорционально распределить средства в соответствии с утверждениями пользователей. В большинстве случаев пострадавшим сторонам причитается намного больше, чем деньги, внесенные мошенником на форум, но, по крайней мере, они получают некоторую компенсацию.
Рисунок 8: Раздел проверенной компенсации
В одном необычном примере форумного правосудия, наблюдаемом на русскоязычном Античате, пользователь подал заявку на оплачиваемую работу по кодированию в проекте, организующем «криптоатаки». Несмотря на прохождение тестов на собеседовании и обещание работы и оплаты от организатора проекта, пользователь так и не получил никаких средств. Жаловавшись на этой несправедливости на форуме, пользователь объяснил, что им нужны деньги, чтобы заплатить за лекарства своего отца от рака. Другие участники форума также утверждали, что были обмануты организатором проекта, и поделились собственной перепиской. В конце концов, администраторы Античата забанили организатора проекта и устроили «разборку» среди участников форума, чтобы собрать средства на лечение. В результате форум перечислил ответчику 700 долларов США.
Рисунок 9: Объявление суммы, отправленной пользователю для лечения, с последующим сообщением благодарности
Чувство общности
Предыдущий случай - лишь один из примеров духа общности, который преобладает на форумах киберпреступников и способствует их сохранению. Сообщество форума даже празднует вместе: участники поздравляют друг друга с днем рождения или отправляют новогоднее поздравление, а Exploit даже отпраздновал Хэллоуин.
Рисунок 10: Использование баннера Хэллоуина
В отличие от этого, службы обмена сообщениями, торговые площадки и AVC почти исключительно платформы для покупки и продажи товаров и услуг, и это не удовлетворяет всех пользователей. Команда исследования Photon наблюдала, как пользователи CrackedTO, например, сетовали на транзакционный характер Discord. Форумы предлагают место для проведения транзакций, но дают дополнительный бонус в виде знаний и навыков всей пользовательской базы, что, возможно, улучшает торговлю. На форуме злоумышленник может начать обсуждения с конкретными поставщиками, узнать подробности о других товарах, предлагаемых этим поставщиком, или узнать о географических регионах / системах, которые могут быть нацелены; на рынке этот злоумышленник может отправлять только ограниченные запросы по определенному листингу. Несколько известных торговых площадок, в том числе Rapture, Empire, Olympus и HYDRA, даже провели форумы вместе со своими основными торговыми площадками,
Хорошим примером общности киберпреступных форумов являются дискуссии о правоохранительной деятельности на большинстве крупных русскоязычных форумов. В специальных разделах их пользователи обсуждают судьбу своих товарищей, попавших в ссору с полицией или спецслужбами, делясь как можно большим количеством подробностей о своей истории, чтобы сообщество могло извлечь уроки из ошибок этого пользователя. Пользователи часто публикуют новостные статьи об арестах киберпреступников, криминалистически исследуя детали дела, чтобы выяснить, как их поймали.
Например, на сайте Exploit возникла дискуссия о деле хакера Романа Селезнева, приговоренного к 37 годам лишения свободы за мошенничество с кредитными картами в 2016 году. Один пользователь сказал, что Селезнев знал об интересе к нему западных спецслужб, но предпочел путешествовать все равно за границу в отпуск. Он был пойман «при прохождении паспортного контроля в аэропорту страны, не имеющей соглашения об экстрадиции с США», - сообщил пользователь форума. Пользователь также сказал, что официальные лица обнаружили настоящую личность Селезнева, потому что он использовал тот же адрес электронной почты, который его жена использовала для социальных сетей, в качестве резервного адреса электронной почты, на который были отправлены журналы вредоносных программ. Когда пользователи Exploit перешли к обсуждению опасности выезда русскоязычных киберпреступников за границу, один из участников форума мрачно заметил: «Русские курорты лучше американских тюрем».
Еще более поразительна склонность участников форума, которые столкнулись с законом, вернуться на форум, а затем поделиться подробностями своего опыта с сообществом. Пользователь XSS maza-in - предполагаемый создатель банковского трояна Anubis - был арестован в начале 2019 года, но это не означало окончания их активности на форуме. Арест Маза-ина последовал за расследованием, проведенным неизвестными российскими спецслужбами, и в августе 2019 года пользователи XSS разместили ссылки на местные новостные сайты в Ставрополе, Россия, заявив, что Маза-ин должен был предстать перед военным судом Ставрополя вместе с неназванным сообщником. В октябре 2019 года maza-in снова появился на XSS с новым именем пользователя (добавив «1» в конце своего предыдущего имени), чтобы предоставить подробную информацию об обстоятельствах их ареста.
Рисунок 11: сообщение maza-in1, рассказывающее историю их ареста
Маза-ин1 поинтересовался, не «разрушила» ли их «чрезмерная самоуверенность», добавив, что они «погублены» «небрежным отношением к безопасности». Они объяснили, что зарегистрировали учетную запись электронной почты, используя «белый» IP-адрес (то есть законный и не защищенный технологией VPN), а затем использовали этот адрес электронной почты для регистрации в Exploit. maza-in1 якобы не собирались заниматься киберпреступностью, когда регистрировались в Exploit, поэтому они не учли последствия использования адреса электронной почты для безопасности. maza-in1 заявил, что их бывший партнер, cccalypse, не был арестован, потому что они были настолько «параноиками» в отношении соблюдения своей анонимности.
В конечном итоге Маза-ин1 был приговорен к 18 месяцам лишения свободы условно, с конфискацией документов и штрафом в размере 120 000 рублей (1872 доллара США). Они утверждали, что их «спасли» от более сурового приговора за то, что они не преследовали страны Содружества Независимых Государств и не было опознанной «потерпевшей стороны». Хотя некоторые пользователи XSS с подозрением относились к возвращению maza-in1, сообщество в целом приветствовало, ценило понимание системы уголовного правосудия и небольшие ошибки, которые могли привести к поимке. Киберпреступники не могут найти такую постоянную информацию в Интернете, кроме форума.
Сомнения в альтернативных технологиях
Ключевой проблемой для киберпреступников при выборе, где и как действовать, является безопасность и то, насколько легко сохранить абсолютную анонимность. Опора на новые технологии и службы обмена сообщениями для обеспечения безопасности - независимо от того, насколько якобы они безопасны - по сути означает доверие операторам этих платформ, чтобы они не поставили под угрозу анонимность своих пользователей, намеренно или непреднамеренно.
Возьмем, к примеру, Telegram, который подвергался постоянному давлению со стороны российских властей с целью передать ключи шифрования приложения службам безопасности. Московский суд даже запретил Telegram в апреле 2018 года, хотя российские пользователи продолжают использовать приложение через VPN. Создатель Telegram Павел Дуров покинул Россию в 2014 году после неоднократных столкновений из-за другого его проекта - социальной сети «ВКонтакте». Хотя Дуров регулярно заявляет, что никогда не уступит требованиям российского правительства, можно представить себе возникновение обстоятельств, которые могут заставить его согласиться.
Рисунок 12: Пользователи Exploit обсуждают WhatsApp
Не только киберпреступники подвержены поведению операторов приложений для обмена сообщениями, но и в сервисах могут быть уязвимости, которые могут поставить под угрозу безопасность пользователей. Коммерческое шпионское ПО, такое как Pegasus, использовало уязвимость в WhatsApp для заражения пользовательских устройств и перехвата сообщений. Заражение было инициировано после звонка WhatsApp на телефон жертвы, который якобы не требовал от пользователя ответа на звонок. Pegasus также может удалить любые следы заражения из журналов связи устройства. Пользователи Exploit неоднократно обсуждали безопасность WhatsApp; В одном из примеров ветки за май 2019 года долгое обсуждение вызвано собственными комментариями Павла Дурова о том, что WhatsApp «никогда не будет безопасным».
Размышляя о надежности приложений для обмена сообщениями, пользователь Torum сказал (дословно): «Я знаю людей, которые были арестованы по причине wickr, Snapchat и WhatsApp. Telegram тоже был взломан федералами год или два назад (я помню крупную конфискацию террористического оружия благодаря Telegram)». Другой пользователь форума предупредил на Verified: «Не используйте whats [app] / viber, ФБР уже скачало разговоры оттуда. телеграмму на свой страх и риск».
В общем, разговоры об оперативной безопасности и анонимности распространены на форумах киберпреступников: в той же ветке на Torum, как упоминалось выше, другой пользователь написал: «Единственное приложение для чата, которое на 100% безопасно, - это SkyEcc, но его стоимость составляет около 800 долларов в месяц». В другой беседе на аналогичную тему участник заявил: «При высоком уровне ресурсов любая централизованная служба обмена сообщениями потенциально может быть скомпрометирована. Я не говорю, что это легко, но все же следует рассмотреть такую возможность».
Рисунок 13: Обсуждение безопасности приложений в Torum
Если судить по этим частым разговорам, многие пользователи форумов, похоже, видят в приложениях для обмена сообщениями врожденный недостаток. Это связано с тем, что безопасность команд, запускающих сервисы приложений, не зависит от их безопасности; на форуме администратор в большинстве юрисдикций совершает преступное действие, запустив свою платформу. Они кровно заинтересованы в поддержании максимальной безопасности форума и сохранении своей анонимности и анонимности своих участников. Понятно, что команды, стоящие за форумами, серьезно относятся к этой ответственности.
На ныне несуществующем англоязычном форуме KickAss безопасность настолько важна, что пользователи форума оказались в невыгодном положении. В конце 2018 года администратор удалил все отметки времени и даты с постов, вероятно, чтобы помешать усилиям полиции по сбору разведданных для своих расследований. Но побочным эффектом является то, что это также сделало форум гораздо более неудобным для его участников. Форум CrackedTO также использовал эту тактику, как и англоязычный форум Carding Forum, который также зашел так далеко, что удалил всю информацию об IP-адресах пользователей из журналов форума (чтобы помешать расследованиям в случае захвата базы данных журналов).
Последним недостатком использования законных служб обмена сообщениями является риск того, что стоящие за ними компании не потерпят преступной деятельности. В одном из обсуждений на CrackedTO пользователи отметили, что их регулярно запрещали в Discord за нарушение правил этой платформы в отношении разрешенных действий.
БУДУЩЕЕ ФОРУМОВ КИБЕРПРЕСТУПНИКОВ: ЕСТЬ ЛИ КОНЕЦ ТЕНДЕНЦИИ?
Несмотря на возраст - и кажущуюся устаревшие - модели и технологии форумов, администраторы форумов киберпреступников демонстрируют все признаки стремления к тому, чтобы эти платформы оставались популярными в ближайшие годы. Они признают, что основные заботы своих пользователей, как описано выше: безопасность, доверие и анонимность.
Три основных обновления сайта, все зарегистрированные в октябре 2019 года, демонстрируют перспективную позицию форумов. Во-первых, XSS представил двухфакторную аутентификацию (2FA). Администратор форума заявил, что этот шаг был направлен на повышение безопасности учетных записей пользователей и минимизацию риска таких компрометаций, как «атаки с использованием грубой силы, [несанкционированное] извлечение пароля и перехват другими службами».
Рисунок 14: Объявление XSS 2FA
Затем англоязычный форум Dread представил функцию «Канарейка», направленную на обновление участников форума статуса администратора Dread и их контроля над форумом. Эти еженедельные обновления, проводимые с помощью персонализированного сообщения с криптографической подписью от администратора, вероятно, были введены после исчезновения этого человека с форума в сентябре 2019 года, что привело сообщество в замешательство. Функция Canary демонстрирует явное намерение поддержать доверие к форуму, исключить возможность захвата власти правоохранительными органами и избежать захвата кем-то, выдающим себя за законного администратора.
Рисунок 15: Сообщение с объявлением Canary
Наконец, Verified представила бесплатную версию регистрации, которая позволяет пользователям ограниченный доступ к системе условного депонирования форума - сервиса гаранта. Многие форумы используют услуги условного депонирования, в которых сторонний гарант гарантирует, что и покупатель, и продавец получат то, что они ожидают от транзакции. Использование этой функции дает продавцам дополнительную уверенность в том, что они имеют дело с надежным покупателем, а не с мошенником, исследователем или представителем службы безопасности, которые не захотят выделять средства таким образом. Проверено, предлагая пользователям свою систему условного депонирования бесплатно ― вместо того, чтобы требовать полного Проверенного членства ―, расширяет охват форума даже за пределы сайта.
Рисунок 16. Объявление о проверенной бесплатной регистрации
Мы также видели случаи, когда пользователи форума брали на себя ответственность за усиление своей безопасности, а не полагались на директивы администраторов форума. В последние месяцы англоязычные и русскоязычные пользователи форумов начали пользоваться услугами условного депонирования, когда транзакции даже не были инициированы. Заинтересованные покупатели обычно связываются с поставщиками, чтобы запросить более подробную информацию об их рекламе, например снимки экрана внутреннего доступа к системе, подтверждающие, что предложение является законным. Но в последнее время многие поставщики начали настаивать на том, чтобы покупатели помещали деньги в службу условного депонирования на форуме, прежде чем отправлять какие-либо дополнительные сведения.
Стремление к внедрению новых функций и усовершенствований сайтов для адаптации к меняющейся среде безопасности предполагает, что злоумышленники, ведущие форумы киберпреступников, осознают необходимость приносить пользу своим пользователям. Даже давно существующие форумы видят необходимость в инновациях; Недавно Exploit полностью изменил дизайн своего сайта. Сами участники форума принимают активное участие в предложении улучшений или изменении способа использования форумов. При таком постоянном стремлении к совершенствованию и множестве функций и преимуществ, которые просто невозможно получить с помощью других типов технологий, маловероятно, что популярность форумов киберпреступников снизится в ближайшие годы. Вместо этого будут процветать симбиотические отношения между альтернативными технологиями и форумами, в которых первые не могут процветать без вторых.
Спасибо за то, что прочитали нашу серию из трех частей на
форуме «Современные киберпреступники».
