Введение.
В данном отчете будут подробно описаны основные сходства и различия между тремя основными Darknet-ресурсами, где торгуются криминальные товары и услуги: форумами, магазинами и торговыми площадками. Этот анализ предназначен для тех, кто заинтересован в понимании социальной динамики киберпреступного подполья.
Киберпреступления часто бывают крупномасштабными. По их направлениям - таким как массовое сканирование Интернета на предмет уязвимых систем, разовые взломы миллионов платежных карт и международная торговля наркотиками - возникли три основных типа сообществ темной паутины: форумы, магазины и торговые площадки. Все они позволяют киберпреступникам проверять покупателей и продавцов в своих сообществах, хотя существуют и ключевые различия в структуре, связанные с типами предлагаемых продуктов или услуг и способом проведения транзакций.
Ключевые выводы.
- Форумы, магазины и торговые площадки по-прежнему играют важнейшую роль в теневой экономике и способствуют различным видам преступной деятельности.
- Форумы поддерживают возможность общения и сотрудничества между киберпреступниками, предоставляя широкий спектр специализированных возможностей, необходимых для создания надежных партнерских отношений при проведении сложных операций.
- Магазины решают логистическую проблему крупномасштабного мошенничества через автоматизацию продажи платежных карт, средств электронной коммерции и финансовых счетов, а также больших коллекций взломанных ПК и прокси-сетей.
- Торговые площадки, также называемые «Darknet—рынками», родились из потребностей менее технически подкованных пользователей - в основном для покупки и продажи наркотиков - и включают в себя элементы как форумов, так и магазинов.
- Популярные сервисы зашифрованных чатов, используемые злоумышленниками - такие как Telegram – пока полностью не заменяют форумы, магазины или торговые площадки, поскольку эти чат-сервисы не дают участникам возможности эффективно проверять друг друга, и не могут справиться с продажей больших объемов украденных данных.
Обзор проблематики.
Криминальные форумы родились из потребностей в сотрудничестве, а впоследствии из этих же сообществ были созданы магазины для обработки больших объемов товаров, что в было бы практически невозможно делать вручную. Торговые площадки возникли, когда нетехническим продавцам и покупателям наркотиков потребовалась платформа, имеющая встроенный криптовалютные эскроу-сервисы и возможности для покупателей оставлять положительные или отрицательные отзывы о своих покупках. Фактически, иногда наблюдается совпадение как в названии, так и в функциональности этих трех систем - но общие различия обычно остаются в силе.
Несмотря на широкомасштабное использование шифрованных групповых Telegram-чатов, они не заменят собой Darknet-ресурсы: в Telegram нет возможности организовать институт репутации для торговцев и тем самым обеспечить доверие к сделкам. Продавцам в Telegram практически невозможно управлять крупными покупателей. Наконец - при продаже наркотиков автоматизированное управление спецификой заказа, адресами доставки и платежами для каждого клиента также практически невозможно, в отличие от автоматизированного характера торговых площадок. Telegram на текущий момент подходит для небольших преступных групп, которые уже установили контакты на форуме или для продавцов, которые отвечают на вопросы о своих товарах или услугах потенциальному покупателю.
Анализ угроз.
Форумы.
Помимо покупки и продажи товаров и услуг, основными направлениями работы типичного форума в темной паутине являются обсуждение, сотрудничество, и проверка достоверности. Запуск партнерской программы шифровальщиков, распространение JavaScript-снифферов по онлайн-магазинам, обналичивание средств с кредитных карт, торговля дампами дебетовых карт - практически всё требует сбора команды специалистов для достижения успеха. Шифровальщики требуют привлечения кодеров для создания и поддержания вредоносного ПО, спамеров и хакеров для заражения крупных корпоративных сетей, хостингов для CnC-инфраструктуры и веб-сайтов вымогателей, «поддержки клиентов» для ведения переговоров о выкупе, а также сервисов по отмыванию средств и обналичиванию криптовалюты. Те, кто использует JavaScript-снифферы, должны сканировать уязвимые онлайн-магазины и использовать сервисы по доставке и пересылке товаров для покупки с помощью украденных платежных данных товаров, пользующихся наибольшим спросом. Монетизация дампов кредитных и дебетовых карт, украденных из POS-систем или через скиммеры банкоматов, требует, чтобы мулы кодировали украденные трек-данные на бланки карт и совершали покупки в магазинах или снимали деньги в банкоматах.
Рис.1.Рекламный баннер различных популярных магазинов кардинга, таких как Joker's Stash, BriansClub и Trump's Dumps на теневом форуме.
Форумы помогают своим участникам найти необходимую поддержку, но их структура также позволяет пользователям решать, кому можно доверять, а кто менее надежен. Чтобы система доверия работала, администраторы и модераторы форумов проверяют товары и сервисы, предлагаемые участниками, обеспечивают рейтинговую систему, позволяющую покупателям оставлять отзывы, и имеют раздел арбитража, где жалобы рассматриваются и разрешаются персоналом форума. Никнейм участника форума - это, по сути, его торговая марка. Плохие отзывы от неудовлетворенных покупателей или жалобы, размещенные в арбитражном разделе, могут испортить репутацию и разрушить бизнес. Это часто приводит к тому, что пользователь может быть забанен и назван «риппером» (участник форума, который обманул кого-то), молва о чём распространяется и по другим форумам темной паутины. Если тот же человек (забаненный или получивший клеймо «риппера») хочет возобновить бизнес - он должен начать все сначала под новым ником и с новым брендом, и надеяться, что никто не узнает о его прошлом.
Рис.2.Инструкции по использованию функции «черный список» для разрешения споров между покупателями и продавцами.
Сами форумы, как и их участники, живут или умирают вместе со своей репутацией. Более авторитетные «закрытые» сообщества используют меры предосторожности от вступления ненадежных людей и тех, кто не заинтересован в участии в какой-либо форме киберпреступности. Как минимум, у них есть платный вход, который может составлять от $50 до $1 000. Форумы высокого уровня требуют от потенциальных членов как оплаты, так и собеседования с администратором, в ходе которого требуются разъяснения о том, какие услуги потенциальный участник предлагает, или предоставление информации о своей деятельности на других ресурсах. Взимание регистрационного взноса также является одним из основных способов получения дохода администраторами форумов.
Рис.3.Форма заявки на доступ к форуму Exploit.
Реклама - еще один способ, с помощью которого администраторы форумов получают доход. Реклама на форуме часто представляет собой анимированные или статические баннеры. На имеющих Jabber-серверы форумах рекламные объявления могут также массово рассылаться всем пользователям. Продавцы, которые покупают рекламу, считаются более надежными и менее склонными к мошенничеству, поскольку они вложили средства в свое присутствие на форуме. Более популярные магазины (Joker's Stash и Genesis Store, например) размещают рекламу на многих крупных форумах. Такой вид маркетинга необходим особенно для продавцов дампов и CVV, где рынок перенасыщен.
Рис.4.Jabber-реклама магазина кардинга.
Эскроу-сервисы являются неотъемлемой частью любого форума, обеспечивая дополнительный уровень безопасности транзакций и позволяя участникам вести дела с непроверенными покупателями или продавцами. Эскроу-сервисы могут быть частным предложением от доверенных участников за определенный процент, или как официальная услуга форума. На многих форумах они даже бесплатны. Они функционируют аналогично законным гарантам сделок, когда третья сторона (доверенный член или модератор форума) получает платеж от покупателя и передает его продавцу только после того, как покупатель подтвердит получение товара.
Рис.5.Бесплатный эскроу-сервис, рекламируемый на известном российском форуме по кардингу.
Магазины.
Злоумышленникам часто удается похитить миллионы записей данных кредитных и дебетовых карт за раз. Ботоводы, заразившие жертв вредоносным ПО, имеют в своем распоряжении тысячи журналов (например, учетные данные и cookies браузера) для продажи. Те, кто массово сканирует интернет на предмет наличия уязвимых конечных точек SSH или RDP, получают удаленный доступ к сотням или тысячам компьютеров одновременно. В темной паутине «магазин» решает логистическую проблему обработки и продажи таких больших объемов краденных данных, обеспечивая крупную базу покупателей. Они полностью автоматизированы, предлагая среду «наведи и щелкни», как и любой другой законный онлайн-магазин. Если бы не магазины, преступные торговцы должны были бы взаимодействовать с каждым покупателем индивидуально на форумах или в чате, что отнимало бы непомерно много времени.
Рис.6.Список проданных кредитных отчетов.
Как и в любом легальном магазине, тут имеется возможность быстрого выбора товаров, отправки платежей и рассмотрения жалоб клиентов - обязательное условие успешной работы. Для многих из теневых магазинов единственным продавцом является владелец/оператор магазина и его преданная команда. Однако бывают и исключения, когда магазин не только предлагает несколько видов товаров (например, дампы, счета PayPal, и RDP-соединения), но и слухит площадкой для нескольких продавцов, продающих различные товары. Любой крупный Darknet-магазин будет иметь рекламу и свои темы на нескольких форумах. Их успех в значительной степени зависит от популярности конкретного форума и репутации «представителя» магазина, а также его способности отвечать на вопросы и жалобы от пользователей форума.
Рис.7.Магазин с множественными продавцами банковских аккаунтов, сканов документов и перс.данных.
Благодаря крупным глобальным запасам товаров магазины предоставляют покупателям возможность выбора желаемых целей для мошенничества или кибератак. Это обязательное условие, поскольку группы злоумышленников почти всегда сфокусированы на определенных регионах и не будут использовать данные жертв за их пределами. Магазины обычно специализируются на определенных типах товаров и могут быть классифицированы как магазины кардинга, магазины аккаунтов, магазины логов, магазины ботов или торгующие набором различных товаров. В каждом из них покупатели могут выбирать товары по разным городам и странам с помощью выпадающих меню. Некоторые магазины кардинга позволяют покупателям автоматически приобретать свежие товары в момент их появления. Ниже приведено описание различных типов магазинов и того, что они обычно продают:
- Магазины кардинга продают дампы и CVV, и часто включают в себя сервис проверки работоспособности данной карты. Некоторые магазины кардинга также включают в себя поисковые базы данных номеров социального страхования, дат рождения, физических адресов и телефонных номеров.
- Магазины аккаунтов продают комбинации имен пользователей и паролей для различных легальных веб-сайтов, в основном популярных онлайн-магазинов и финансовых сервисов - таких как Amazon, PayPal и Wells Fargo.
- Магазины логов продают данные, украденные из браузера жертвы - учетные данные, Cookie сессий и IP-адреса, которые идеально подходят для и обхода средств по борьбе с мошенничеством.
- Магазины RDP, SSH и прокси продают удаленный доступ к машинам жертв и прокси-сети, предоставляя злоумышленникам легитимные IP-адреса для совершения мошеннических действий и обхода средств защиты от мошенничества.
Рис.8.Скриншот торговца доступами по RDP с фильтром по ОС, стране, городу и провайдеру.
Торговые площадки.
Торговые площадки, часто называемые Darknet-рынками, возникли в основном из потребности обеспечения торговли наркотиками – чем крайне отличаются от теневых форумов и магазинов, которые в основном «работают» по взлому и мошенничеству. Почти полностью размещенные в Tor (.onion-сайты), они обеспечивают анонимность и безопасность для менее технически подкованных вовлеченных в торговлю наркотиками пользователей. Silk Road (2011), Dream Market (2013), и AlphaBay (2014) - одни из самых известных в мире Darknet-рынков, на которых продавались наркотики на миллионы долларов. По мере роста популярности этих торговых площадок продавцы темной паутины стали предлагать там и прочие товары и услуги, не связанные с наркотиками, включая взломанные учетные записи, краденные данные, руководства по хакингу, учебники по мошенничеству, варианты вредоносных программ и сервисы по вербовке мулов.
Торговые площадки не являются настолько социальными сообществами, как форумы, и не имеют возможности обрабатывать огромный товарный оборот, как это делают магазины. Несмотря на это, торговые площадки включают в себя ограниченные возможности и форумов и магазинов и могут рассматриваться как их гибрид. Как и форумы, большинство известных торговых площадок требуют от продавцов проверки товаров перед размещением. Покупатели могут оставлять положительные или отрицательные отзывы о продавцах с помощью системы рейтингов и кратких обзоров, а споры решаются официальными модераторами. Покупатели и продавцы могут общаться напрямую через личные сообщения, что позволяет легко интегрировать PGP-ключи для шифрования сообщений.
Рис.9.торговцы кокаином на теневой торговой площадке. Обратите внимание на позитивные (зеленые) и негативные (красные) отзывы покупателей.
Подобно магазинам, торговые площадки имеют интерфейс «наведи и щелкни», где покупка полностью автоматизирована. Методы оплаты также схожи с магазинами, некоторые торговые площадки позволяют пользователям вносить криптовалюту непосредственно на свой счет для совершения покупок. Практически все торговые площадки требуют, чтобы покупатели и продавцы использовали их автоматизированный эскроу-сервис, который представляет собой криптовалютный кошелек, контролируемый сотрудниками торговой площадки. Эта система выдает деньги продавцу только после того, как покупатель удовлетворен. Однако такое централизованное управление криптовалютой является одной из основных причин того, что на Darknet-рынках так распространены аферы с выводом средств, когда операторы закрывают площадку без предупреждения и скрываются со всей криптовалютой, хранящейся и на счетах пользователей, и в эскроу-сервисе.
Рис.10.Адрес Bitcoin-депозита пользователя на теневой торговой площадке.
Заключение.
За последние 20 лет форумы, магазины и торговые площадки росли и совершенствовались, решались проблемы, связанные с проверкой лиц и обработкой различных видов нелегальных товаров, начиная от наркотиков и заканчивая программами-шифровальщиками. Три типа Darknet-сообществ и в будущем останутся основой теневой экономики, поскольку потребность в контактах с покупателями, продавцами и партнерами по всему миру и необходимость обеспечения доверия при проведении сделок всегда будут самыми важными элементами для любого успешного киберпреступника.
Мониторинг форумов, магазинов и торговых площадок имеет важное значение для выявления как прямых, так и косвенных угроз организации. Большая партия кредитных и дебетовых карт в магазине кардинга является вероятным индикатором крупного взлома онлайн-магазина или POS-системы популярного банка. Кроме того, во многих случаях участники форума публично сообщают название организации-жертвы, к сети которой они продают доступ. Защитники организации не могут позволить себе игнорировать информацию об угрозах такого характера и калибра.
О компании Recorder Future.
Recorded Future является крупнейшим в мире поставщиком разведданных для корпоративной безопасности. Благодаря сочетанию постоянного и повсеместного автоматизированного сбора данных и человеческого анализа Recorded Future предоставляет своевременную, точную и действенную информацию, полезную для принятия мер противодействия киберугрозам. В мире постоянно растущего хаоса и неопределенности Recorded Future дает организациям возможность получать информацию, необходимую для более быстрого выявления и обнаружения угроз, предпринимать упреждающие действия для пресечения действий киберпреступников и защищать свой персонал, системы и активы, чтобы бизнес можно было вести уверенно. Компании Recorded Future доверяют более 1 000 предприятий и правительственных организаций по всему миру.
Узнайте больше на сайте Recorded Future и следите за работой компании в Twitter!
Источник: https://www.recordedfuture.com
