image

Os fóruns de cibercriminosos continuam a prosperar apesar das derrubadas da aplicação da lei e do surgimento de alternativas mais eficientes e seguras. Digital Shadows mergulhou fundo no subsolo do cibercriminoso para investigar a persistência dos fóruns, descobrindo várias razões pelas quais eles permanecem atraentes em meio a alternativas atraentes.

Na parte 1 desta série de blogs, nós cavamos as evidências em torno da popularidade contínua dos fóruns. A parte 2 analisa a resistência dos usuários do fórum cibernético a se afastarem do modelo do fórum.

Para acessar o relatório completo e aprofundado da pesquisa da equipe, visite nosso centro de recursos abaixo.

JOGANDO COM SEGURANÇA, RESISTINDO ÀS ALTERNATIVAS DO FÓRUM

Maneiras de aumentar a segurança, eficiência e lucro são tópicos comuns de discussão em fóruns de cibercriminosos. Como tal, exemplos abundam de usuários do fórum expressando dúvidas sobre se afastar do modelo do fórum ou mesmo, às vezes, sobre a introdução de medidas para melhorar a funcionalidade e a segurança dos fóruns. Seu conservadorismo decorre da confiança no modelo antigo, e preocupações específicas sobre os mais novos mencionados abaixo.

Aplicativos de mensagens

Em uma discussão de outubro de 2019 sobre o Torum, um membro propôs a criação de um telegrama ou grupo Wickr para usuários do Torum. Alguns usuários apoiaram a ideia, mas outro escreveu “Esta é a ideia mais estúpida de todas… Eu acho que é contra essas regras [sic] também?” Em um tópico separado do Torum discutindo os méritos do Telegram, um usuário afirmou: “eu gosto do Telegram, mas eu nunca enviaria coisas sensíveis com isso”. Seu sentimento também se estendeu a outras plataformas: “um dos meus traficantes da vida real foi pego escrevendo com o WhatsApp!” Mesmo para usuários de fóruns que recorreram a novos aplicativos de mensagens, velhos hábitos são difíceis de morrer. Vimos usuários do fórum criarem canais Discord, apenas para replicar o layout ou estrutura do fórum com esta nova tecnologia.

Domínios tor

Em junho de 2018, a Exploit introduziu uma versão Tor do site. Mas mais de um ano depois (outubro de 2019), a versão tor do fórum ainda não estava funcionando como esperado, e os usuários estavam reclamando de longos tempos de carregamento, inacessibilidade completa do site e funcionalidade incompleta. Mesmo assim, o número de reclamações foi surpreendentemente baixo, considerando quanto tempo o site do Tor estava operando neste nível subótimo. Comentários de membros revelaram que muitos usuários não tinham mudado para a versão da dark web do site — eles realmente preferiram a URL da Web mais antiga, menos segura e clara.

image

Figura 1: Explorar o anúncio do domínio do Tor

Blockchain DNS

A tecnologia DNS blockchain, um sistema descentralizado para domínios de alto nível, traz vantagens significativas de segurança — pense em plataformas hospedadas em balas e atividades maliciosas obscurecidas. Também é muito mais difícil para os serviços de segurança atingirem sites DNS blockchain porque eles não são regulados por uma autoridade central da maneira como os sites de DNS convencionais são. Escrevemos um blog aprofundado se você estiver interessado em aprender mais: Como os cibercriminosos estão usando o Blockchain DNS: Do Mercado ao . O Bazar.

Mesmo diante desses benefícios, quase nenhuma plataforma cibernética respeitável abraçou esse novo desenvolvimento; os AVCs Joker’s Stash e Mr Swipe estão entre os únicos sites cibercriminosos bem conhecidos que têm.

Da mesma forma, a maioria dos fóruns se esquivou de usar a tecnologia blockchain para, por exemplo, armazenar bancos de dados e códigos back-end para suportar interfaces de usuário front-end. O ProMarket em língua russa e o L33T em língua inglesa introduziram várias URLs DNS blockchain, mas essas versões dos fóruns caíram mais frequentemente do que eram funcionais; os URLs web claros foram vistos como uma alternativa muito mais estável. Adicione a essa percepção as preocupações dos usuários sobre os registros públicos das interações em blockchain, e você pode ver por que os atores de ameaças estão relutantes em abandonar fóruns.

Outro fator na absorção morna da tecnologia blockchain pelos atores de ameaças é o método atípico necessário para acessar tais sites. Normalmente, os sites DNS blockchain são acessados via Chrome, com uma extensão de navegador que permite o acesso a sites com certos sufixos de URL. Mas identificar, baixar e executar a extensão DNS blockchain apropriada requer habilidade e conhecimento significativos. Isso é evidente apenas por digitalizar as longas instruções de acesso fornecidas pelo Joker’s Stash — e lendo as muitas reclamações do fórum sobre não ter acesso (ver Figuras 2 e 3).

image

Figura 2: Explorar usuário expressando dificuldade para acessar o Joker’s Stash via plugin do navegador

image

Figura 3: Usuário do Torum perguntando como acessar o site do Joker’s Stash

Os desafios de segurança operacional também deixaram muitos atores de ameaças apreensivos quando se trata de usar sites DNS blockchain. Não é possível usar a extensão com um navegador seguro (como o Tor), o que significa que o habitual “bloqueio duplo” (navegador seguro mais VPN) será perdido. O uso de qualquer coisa, menos a versão mais recente da extensão, também pode expor os detalhes do sistema do usuário. Atores de ameaças mais bem-sucedidos não teriam problemas em adaptar sua postura habitual de segurança, mas os cibercriminosos de nível básico podem recusar tais condições. Incertos sobre os benefícios que essa tecnologia apresenta, muitos mantêm seu fórum cibernético confiável e acessível.

image

Figura 4: Instruções DNS blockchain do Joker’s Stash

AVCs

Usar OS AVCs para negociar eficientemente detalhes do cartão de crédito tem sido a norma há vários anos, embora discussões recentes do fórum sugiram que os cibercriminosos veem uma desvantagem. Em um tópico de outubro de 2019 no fórum de cartões em língua russa Omerta, um usuário aconselhou: “melhor usar um fornecedor privado… todo o resto é lixo mesmo [sic] coringa”, referindo-se ao Coringa’s Stash AVC.

A recente violação do AVC BriansClub, e o aumento da atenção da mídia (e, possivelmente, órgãos de aplicação da lei), podem ter levado algumas afiliadas da AVC (ou seja, os fornecedores dos dados roubados do cartão de crédito) a questionar os riscos envolvidos na venda de seus dados para um AVC de terceiros. Embora os AVCs ofereçam uma alternativa aos fóruns de cartão, eles não substituíram esse método de venda. Para os fornecedores de cartões de crédito, a publicidade em fóruns de cibercriminosos pode significar um maior lucro e maior controle sobre quem pode ver ou comprar os dados.

image

Figura 5: Post torum vendendo detalhes do cartão de crédito

Então, dada a vasta gama de alternativas lá fora, por que os usuários ainda dependem tanto do modelo do fórum?

A terceira e última edição desta série de blogs investigará várias características de fóruns que os tornam ideais para apoiar comunidades de cibercriminosos.


Artigo Original