Fóruns São Para Sempre | Parte 3 - Do Runet Com O Amor
O surgimento de tecnologias alternativas não tem escrito o fim dos fóruns, que parecem estar prosperando contra todas as probabilidades. Na parte 1 e parte 2 desta série de blogs sobre o Fórum Cibernético Moderno, discutimos evidências em torno da popularidade contínua dos fóruns, bem como da resistência dos usuários do fórum em se afastar do modelo do fórum.
A terceira e última edição desta série de blogs investiga várias características de fóruns que os tornam ideais para apoiar comunidades de cibercriminosos.
POR QUE OS FÓRUNS AINDA ESTÃO GANHANDO O CONCURSO DE POPULARIDADE
Está claro que os fóruns não estão desistindo do fantasma, então o que está por trás da lealdade de seus membros? A resposta está em vários aspectos que podem se aplicar até mesmo a serviços legítimos ao cliente:
- Uma longa história e reputação venerável
- Prova de credibilidade
- Garantias de negócios justos
Além disso, os fóruns também oferecem uma plataforma de publicidade e uma comunidade solidária e experiente.
Longevidade gera respeito
A popularidade duradoura dos fóruns é, em certa medida, impulsionada por sua história, especialmente para atores de ameaças de língua russa. Muitos dos proeminentes fóruns de cibercriminosos em língua russa que operam hoje têm um longo pedigree. A equipe de pesquisa de fótons viu um post no XSS que mencionava o “panteão dos primeiros”, referindo-se aos “primeiros fóruns que abriram no Runet nos anos 2000”, que o post nomeou como Carder Planet, Web Hack, Zloy, Antichat, Exploit, Maza e DamageLab. O mesmo usuário disse que esses fóruns levantaram “toda uma geração de especialistas de primeira classe… uma geração inteira, uma vida inteira, uma época inteira”. A reputação desses fóruns cibercriminosos há muito estabelecidos — e o prestígio associado a ser membro do fórum — é atraente para muitos atores de ameaças. Vincular-se a um perfil em um fórum sagrado é uma maneira quase à prova de sua credibilidade e legitimidade.
Figura 1: Página inicial do XSS
No caso do DamageLab, a preeminência percebida do fórum levou a um dos desenvolvimentos mais surpreendentes no cenário de crimes cibernéticos em língua russa nos últimos anos. O DamageLab foi fundado em 2004 e tornou-se um dos fóruns mais proeminentes em língua russa. Em dezembro de 2017, um dos administradores do DamageLab, o bielorrusso Sergey Yarets, foi preso em uma operação conjunta das forças policiais bielorrussas, dos Estados Unidos e da Europa por seu envolvimento no fórum e na botnet de Andrômeda. Após a prisão de “Ar3s” (nome de usuário de Yarets no fórum), a equipe de administração do DamageLab decidiu fechar o fórum inteiramente para proteger a base de usuários de investigações adicionais pelas autoridades.
O que é incomum é que, após quase um ano (final de 2018), o ex-administrador da exploração de alto perfil comprou um backup do DamageLab, datando do final de 2015, e reabriu o site. O novo administrador prometeu que o fórum nunca mais funcionaria sob seu nome antigo porque seria “inseguro, antiético e ruim para o carma”. Eles renomearam o site como “XSS” e começaram a restaurar, reconstruir e atrair novos membros.
Figura 2: Mensagem anunciando reinicialização do DamageLab
Apesar dos perigos aparentes de operar em uma plataforma associada a um indivíduo conhecido pelas agências de aplicação da lei, o fórum floresceu. O número de membros cresceu e o fórum agora conta com atores de ameaças altamente qualificados preparados para discutir técnicas de ataque de ponta e negociar ofertas de alto valor. Esse sucesso ocorreu, em grande parte, graças ao patrimônio do fórum; muitos dos membros mais velhos ainda são participantes ativos que contribuem com conhecimento e experiência.
Mesmo Ar3s, que agora foi libertado da prisão (seis meses sob custódia significava que sua multa foi renunciada), tem um papel legado no XSS e recentemente foi nomeado como um moderador de Exploit. E o novo administrador da XSS usou a reputação que adquiriu como administrador da Exploit para construir confiança em seu novo empreendimento. (Este indivíduo também montou os coattails de seu sucesso Exploit para promover outros projetos, incluindo um mercado e um servidor Jabber.) O prestígio e a longevidade do DamageLab superaram as potenciais implicações negativas da restauração de um fórum extinto; As experiências de Ar3s com a lei são frequentemente convocadas por outros membros do fórum e suas opiniões são altamente valorizadas.
Promover um fórum contando com a reputação anterior de um site já aconteceu na comunidade cibernética em língua inglesa. O fórum de hackers Hell, que foi derrubado em uma operação policial em julho de 2015, reapareceu no início de 2016 como Hell Reloaded. Um dos moderadores originais do Inferno, que criou o site da sequência, tentou comercializar o novo fórum e atrair novos membros, contando com o nome ilustre do extinto fórum. Mas muitos novos usuários permaneceram cautelosos, desconfiados de que o site era um “honeypot” dos serviços de segurança. O inferno recarregado não está mais ativo.
Figura 3: Homepage of Exploit, que tem operado continuamente desde 2005
Um fórum como o Exploit, que tem operado continuamente desde 2005, atrai usuários que estão cientes da reputação que construiu ao longo de muitos anos e do prestígio que ganharão como membro, mas também estão cientes de seu sucesso demonstrado em ameaças sobreviventes que derrubaram outros fóruns. Os usuários do fórum que optarem pela Exploit sentem-se seguros de que o tempo e a energia colocados na construção de uma marca e base de clientes no fórum não serão desperdiçados.
A extraordinária longevidade desses fóruns também significa que os sites possuem repositórios inestimáveis de conteúdo relacionado a crimes cibernéticos que abrangem muitos anos. A Exploit, por exemplo, possui mais de um milhão de posts contendo discussões, conselhos, orientações e recomendações. Sites como o Hackforums, que opera desde 2009, estão tentando capitalizar sua vida útil e significado de informações, promovendo-se como recursos educacionais, em vez de simplesmente hackear fóruns (uma abordagem que também pode ajudar a desviar a atenção indesejada das autoridades).
Questões de confiança
Em termos de capacidade básica, há muito pouco que um ator de ameaças pode fazer em uma plataforma de mensagens que eles também não podem alcançar em um fórum. Vários fóruns adicionaram funcionalidades de bate-papo, permitindo que os usuários se comuniquem em grupos — como em grupos públicos ou canais privados de uma plataforma de mensagens, ou em conversas um-a-um. Muitos fóruns também promovem a privacidade desse recurso, decidindo que os administradores do fórum não têm a capacidade de ler mensagens privadas dos usuários.
Mas há uma grande diferença entre a comunicação através de um serviço de mensagens e através de um fórum: a quantidade de informações associadas do usuário. Muitos serviços de mensagens retiram o máximo de dados possível sobre seus usuários. Muitas vezes, a única informação disponível é um nome de usuário, uma alça e talvez um avatar. Alguns serviços também permitem uma biografia curta. Essa falta de informação é apontada como uma vantagem: Certamente, em um mundo em que permanecer anônimo é primordial, fornecer poucos detalhes ao seu interlocutor é ótimo?
Paradoxalmente, no entanto, em um mundo de sombras e anonimato, mais informações podem ser a chave para o sucesso. É muito difícil julgar se é seguro confiar em um nome de usuário e avatar em um serviço de mensagens, especialmente quando você não pode ver como esse usuário interagiu com outros atores de ameaças. Embora os cibercriminosos, sem dúvida, não queiram revelar nenhuma de suas informações pessoais e reais, para transações bem-sucedidas, eles precisam apresentar detalhes de suas identidades online. Os fóruns permitem que eles construam personas virtuais inteiras.
Um membro do fórum que considerar interagir pela primeira vez com outro usuário provavelmente poderá ver um histórico da atividade anterior do fórum desse usuário. Eles podem julgar sua credibilidade em conformidade, considerando vários fatores:
- Quando o usuário entrou no fórum?
- Quantos posts eles fizeram?
- Eles iniciam seus próprios tópicos ou apenas respondem aos tópicos de outros membros?
- O que eles compraram? O que eles venderam?
- Quão envolvidos eles estão na “vida do fórum”– eles contribuem para os tópicos da comunidade? Destacar bugs? Sugerir maneiras de o fórum melhorar?
- Como outros membros do fórum revisaram os serviços desse usuário? Eles relataram algum problema?
Ilogicamente, a confiança é ainda mais importante no submundo dos cibercriminosos do que na vida cotidiana. Quando não há informações disponíveis sobre a identidade real de um indivíduo, os atores de ameaças só podem confiar na confiança ao tomar decisões. Eles devem enviar centenas de dólares para um vendedor na esperança de receber o que eles pediram? Revisar a atividade passada de um usuário em um fórum pode ajudar a determinar se ele é um membro confiável do fórum, um ator de ameaça inexperiente ou , ainda pior, um golpista, pesquisador ou funcionário da aplicação da lei.
Os fóruns promovem inúmeras ferramentas e sistemas que podem ajudar seus membros a fazer tais avaliações. Muitos fóruns de cracking em inglês têm classificações “leecher” ou “lurker” para destacar usuários que não contribuem para a vida no fórum, resultando em uma proibição durante os culls frequentes dos membros. E a maioria dos fóruns opera um sistema para que os membros concedam pontos de reputação positivos ou negativos a um usuário. Isso pode refletir os resultados de uma transação ou uma opinião sobre a contribuição do usuário para um segmento. Pontos negativos podem levar à proibição de alguns fóruns, por isso é do interesse dos membros tentar garantir que sua pontuação seja o mais alta possível, e eles valorizam essa oportunidade; A Exploit removeu seu sistema de reputação após uma reformulação do site, levando muitos usuários a clamar por sua restauração.
Figura 4: Anúncio crackedTO de proibição de leecher
Há uma série de outras maneiras de aumentar a confiança dos membros. Alguns fóruns que se concentram fortemente na venda de bens e serviços fecharão um segmento temporariamente após seu início, para que os moderadores possam verificar as reivindicações do fornecedor. Muitos fóruns operam um sistema de status para usuários com uma longa posse e alta contagem de postagens para subir nas fileiras do site; usuários com uma classificação mais alta são automaticamente concedidos maior respeito. Em alguns fóruns, os usuários só podem atingir uma determinada classificação sendo atestados por outros membros do fórum — um sinal certo de legitimidade. Ainda outros fóruns permitem que os usuários paguem para aumentar seu status, porque fazer tal pagamento seria indesejável ou impossível para alguns funcionários da aplicação da lei, e para indivíduos que procuram apenas enganar outros usuários.
A Equipe de Pesquisa de Fótons descobriu que regras e convenções rígidas do fórum também ajudam a construir uma imagem de um indivíduo. Um usuário que contribui para a vida do fórum e responde às perguntas de outros usuários é mais provável que seja genuíno. Respostas e postagens substantivas também indicam o conhecimento e a experiência do usuário. Usuários que só pedem ou deixam respostas inconsequentes, provavelmente são amadores inexperientes. Muitos fóruns governam que os posts devem conter conteúdo significativo e permitem que pontos de reputação negativos sejam concedidos para os chamados posts vazios.
Publicidade “grátis”
Uma boa reputação e um feedback positivo dos usuários também podem ser inestimáveis para um ator de ameaças de comercializar bens ou serviços. Seja promovendo ofertas em outros fóruns ou atualizando os segmentos de publicidade existentes, vinculando-se a um perfil de fórum de alta pontuação ou avaliações apreciativas de outros usuários do fórum é uma das únicas maneiras que os atores de ameaças podem tentar convencer outros membros a entrar em uma transação. Às vezes eles até tentam usar críticas positivas para distrair a atenção dos problemas que estão enfrentando. O fundador da recém-criada loja de conchas MagBo, “mrbo”, usou um tópico contendo comentários positivos no fórum de cibercriminosos antichat em língua russa para promover seu site no XSS, apesar de admitir no mesmo post que eles haviam sido banidos da Exploit.
Figura 5: o perfil de usuário banido da mrbo
A utilidade dos fóruns como plataformas de publicidade representa outra vantagem sobre tecnologias alternativas. Pouquíssimos atores de ameaças podem operar com sucesso apenas em plataformas alternativas, descobrindo que a adesão ao fórum amplia a base de usuários para a qual eles podem anunciar seus bens e serviços. Em uma discussão em novembro de 2019 sobre o fórum de cracking em inglês CrackedTO, muitos usuários admitiram que tinham menos de 50 “amigos” na plataforma de mensagens Discord, indicando que o nível de exposição em um aplicativo de mensagens é muitas vezes muito menor do que em um fórum.
É comum um ator ameaçador usar o mesmo nome de usuário em fóruns discretos, estabelecendo uma persona de marketing, e estender essa “marca” para canais alternativos. O prolífico fraudador de viagens “Sergik00”, que oferece passagens aéreas fraudulentas e reservas de hotéis em fóruns há quase quatro anos, orienta os compradores interessados em seus canais do Telegram a fazer pedidos. Até os vimos trabalhar sua alça do Telegram em gráficos de publicidade personalizados incluídos em seus tópicos. Crucialmente, no entanto, a Sergik00 manteve uma pegada em uma ampla variedade de fóruns de cibercriminosos e incluiu feedback positivo dos clientes em seus tópicos dedicados, construindo sua marca em vários sites.
Figura 6: Ofertas de viagem da Serggik00
Da mesma forma, as operadoras do esquema de cartão Project13 usam o Telegram de várias maneiras — com contas separadas da Europa e dos Estados Unidos para lidar com ordens de usuários e um bot do Telegram para consultas de usuários de campo. Mas mesmo com essa extensa infraestrutura do Telegram, eles ainda mantêm tópicos ativos de publicidade em inúmeros fóruns em língua russa. Até mesmo o notório cartão AVC Joker’s Stash atualiza vários threads de fórum dedicados cada vez que eles enviam um grande conjunto de novos detalhes do cartão para o seu site.
A facilidade da arbitragem
Outra deficiência que os cibercriminosos veem ao usar plataformas alternativas é o alto risco de serem vítimas de fraude, e não ter recurso se o fizerem. Se um ator de ameaças que opera exclusivamente no Discord ou Wickr se recusa a vender a outro usuário um conjunto de dados após o acordo ser feito, não há muito que o comprador — ou qualquer outra pessoa — possa fazer sobre isso. A parte ferida nem sequer tem um lugar para expor sua raiva. Mas os fóruns de cibercriminosos em língua russa têm sistemas de justiça incorporados projetados para resolver disputas, garantir que as partes cumpram os termos de um acordo e punam os malfeitores.
Em geral, a maioria dos fóruns tem uma seção de arbitragem bem utilizada, na qual os usuários podem criar threads quando se sentem enganados por outro membro do fórum. Tais disputas geralmente giram em torno de uma das partes que não conseguem pagar o preço acordado em uma transação, deixando de entregar mercadorias por um prazo acordado, ou fornecendo mercadorias que estão aquém de sua descrição.
Figura 7: Explorar a seção de arbitragem
O requerente que iniciar um segmento de arbitragem deve fornecer todos os detalhes de contato que o réu usou (por exemplo, IDs Jabber), quaisquer outros nomes de usuário pelos quais são conhecidos, e os registros de conversas um-a-um detalhando as negociações completas entre as duas partes. Os fóruns geralmente têm modelos para alegações de arbitragem que os participantes devem usar. O árbitro do fórum pode então ler através dos registros de conversa e chamar o réu para fornecer sua versão dos eventos ou evidências de sua inocência. Outros membros do fórum também complementarão a discussão; às vezes esses usuários também foram injustiçados pelo réu, mas às vezes eles estão contribuindo por um senso de espírito comunitário.
Eventualmente, o árbitro do fórum chega a uma decisão, geralmente dando ao réu a chance de pagar qualquer dinheiro devido, se eles forem julgados culpados. Se o réu não fizer esse pagamento, ou se seus crimes forem considerados muito flagrantes, o árbitro do fórum irá bani-los do site. Em seguida, o nome do réu será colocado em uma lista negra como um aviso para que outros membros do fórum não interajam com seu nome de usuário. Casos de arbitragem resolvidos em que o réu não foi banido também são mantidos como registro “público”. Isso significa que os usuários do fórum que considerarem transacionar com um fornecedor desconhecido podem ver quaisquer casos de arbitragem envolvendo esse fornecedor.
Em alguns fóruns, o sistema de justiça está ainda mais envolvido. Verificado, um fórum cibernético de alto perfil em língua russa especializado em cartões, executa um sistema de compensação pelo qual partes injustiçadas podem recuperar algumas de suas perdas. O usuário que os fraudou pode ter depositado fundos com o Verified, e suas vítimas podem solicitar para receber esses fundos. Na maioria dos casos, réus culpados têm mais de uma vítima; uma vez que todos os usuários fizeram reclamações contra eles, um membro da equipe do fórum entra em ação para distribuição de fundos proporcionalmente, de acordo com as reivindicações dos usuários. Na maioria dos casos, as partes injustiçadas devem muito mais do que os fundos depositados pelo fraudador no fórum, mas pelo menos recebem alguma forma de compensação.
Figura 8: Seção de compensação verificada
Em um exemplo extraordinário de justiça de fórum, observado no Antichat em língua russa, um usuário solicitou um trabalho de codificação pago em um projeto que organiza “criptoativos”. Apesar de passar nos testes de entrevista e ser prometido trabalho e pagamento pelo organizador do projeto, o usuário nunca recebeu nenhum dinheiro. Ao reclamar dessa injustiça no fórum, o usuário explicou que precisava do dinheiro para pagar a medicação contra o câncer do pai. Outros membros do fórum também alegaram ter sido enganados pelo organizador do projeto, e compartilharam sua própria correspondência. Em última análise, os administradores do Antichat baniram o organizador do projeto e organizaram um “chicote” entre os membros do fórum, para arrecadar fundos para o tratamento médico. Como resultado, o fórum transferiu USD 700 para o réu. Esse tipo de ajuda de uma comunidade de apoio não existe em plataformas que não sejam fóruns.
Figura 9: Anúncio de quantia enviada ao usuário para tratamento médico, com subsequente mensagem de agradecimento
Senso de comunidade
O caso anterior é apenas um exemplo do senso de espírito comunitário que prevalece nos fóruns de cibercriminosos e contribui para sua persistência contínua. A comunidade do fórum até celebra juntos: os membros desejam um feliz aniversário um ao outro ou enviam saudações de Ano Novo, e Explorar até celebrou o Halloween.
Figura 10: Explore o banner de Halloween
Em contrapartida, serviços de mensagens, marketplaces e AVCs são quase exclusivamente plataformas para compra e venda de bens e serviços, e isso não satisfaz todos os usuários. A Equipe de Pesquisa de Fótons observou usuários no CrackedTO lamentando a natureza transacional do Discord, por exemplo. Os fóruns oferecem um lugar para realizar transações, mas vêm com o bônus adicional dos conhecimentos e habilidades de toda uma base de usuários, indiscutivelmente melhorando a negociação. Em um fórum, um ator de ameaças pode abrir discussões com fornecedores específicos, pedir detalhes de outras mercadorias que o fornecedor oferece ou perguntar sobre as geografias/sistemas que podem ser direcionados; em um mercado, esse ator de ameaça só pode enviar consultas limitadas sobre uma listagem específica. Vários mercados conhecidos, incluindo Rapture, Empire, Olympus e HYDRA, até realizaram fóruns ao lado de sua principal oferta de marketplace, para facilitar mais discussões e colher os benefícios de uma comunidade de fóruns.
Um bom exemplo da mentalidade comunitária dos fóruns cibernéticos está nas discussões sobre a maioria dos principais fóruns em língua russa sobre a atividade policial. Em seções dedicadas, seus usuários discutem o destino de colegas que caíram em desgraça com a polícia ou serviços de inteligência, compartilhando o máximo de detalhes sobre sua história que puderem encontrar, para que a comunidade possa aprender com os erros desse usuário. Os usuários frequentemente postam artigos sobre as prisões de cibercriminosos, examinando forensemente os detalhes do caso para descobrir como eles foram pegos.
Por exemplo, surgiu uma discussão sobre a Exploração sobre o caso do hacker Roman Seleznev, que foi condenado a 37 anos de prisão por fraude de cartão de crédito em 2016. Um usuário disse que Seleznev estava ciente do interesse das agências de inteligência ocidentais nele, mas optou por viajar para o exterior para férias de qualquer maneira. Ele foi pego “enquanto passava pelo controle de passaportes em um aeroporto em um país sem um acordo de extradição com os Estados Unidos”, disse o usuário do fórum. O usuário também disse que os funcionários descobriram a identidade real de Seleznev porque ele usou o mesmo endereço de e-mail que sua esposa usou para as mídias sociais como um endereço de e-mail que recebeu registros de malware. Quando os usuários do Exploit passaram a discutir o perigo de cibercriminosos de língua russa viajando para o exterior, um membro do fórum comentou sombriamente: “Os resorts russos são melhores que as prisões americanas”.
Ainda mais marcante é a propensão dos membros do fórum que tiveram problemas com a lei para retornar ao fórum, depois compartilhar os detalhes de sua experiência com a comunidade. O usuário do XSS “maza-in” — o suposto criador do trojan bancário “Anubis” — foi preso no início de 2019, mas isso não marcou o fim de suas atividades no fórum. A prisão de Maza-in havia seguido uma investigação por uma força de segurança russa não especificada, e em agosto de 2019 os usuários do XSS postaram links para sites de notícias locais em Stavropol, Rússia, dizendo que maza-in deveria comparecer perante o tribunal militar de Stavropol com um cúmplice não identificado. Em outubro de 2019 maza-in reapareceu no XSS com um novo nome de usuário (anexando “1” ao fim de seu apelido anterior) para fornecer detalhes sobre as circunstâncias de sua prisão.
Figura 11: post de Maza-in1 contando a história de sua prisão
maza-in1 se perguntou se sua “autoconfiança excessiva” os havia “destruído”, acrescentando que eles tinham sido “arruinados” por “uma atitude descuidada em relação à segurança”. Eles explicaram que haviam registrado uma conta de e-mail usando um endereço IP “branco” (ou seja, legítimo e não protegido pela tecnologia VPN) e, em seguida, usaram esse endereço de e-mail para se inscrever no Exploit. maza-in1 supostamente não tinha intenção de se envolver em crimes cibernéticos quando eles se registraram no Exploit, então eles não consideraram as implicações de segurança do uso do endereço de e-mail. maza-in1 afirmou que seu ex-parceiro, “cccalypse”, não havia sido preso porque eles eram tão “paranoicos” sobre monitorar seu anonimato.
Em última análise, maza-in1 foi condenado a 18 meses de prisão em liberdade condicional, confisco de documentos e multa de RUB 120.000 (USD 1.872). Eles alegaram que foram “salvos” de uma sentença mais dura por não terem como alvo países da Comunidade dos Estados Independentes e que não houvesse uma “parte ferida” identificável. Embora alguns usuários do XSS suspeitassem do retorno de Maza-in1, a comunidade era geralmente acolhedora, valorizando a visão sobre o sistema de justiça criminal e os pequenos erros que poderiam levar à captura. Os cibercriminosos não conseguem encontrar essa visão contínua em qualquer lugar online, exceto um fórum.
Arejando dúvidas sobre tecnologias alternativas
Uma preocupação fundamental para os cibercriminosos ao escolher onde e como operar é a segurança, e como é fácil manter o anonimato absoluto. Confiar em novas tecnologias e serviços de mensagens para a segurança — não importa o quão ostensivamente seguros eles sejam — significa inerentemente confiar nos operadores dessas plataformas para não comprometer o anonimato de seus usuários, seja deliberadamente ou inadvertidamente.
Considere o Telegram, que tem sofrido pressão constante das autoridades russas para compartilhar as chaves de criptografia do aplicativo com os serviços de segurança. Um tribunal de Moscou até baniu o Telegram em abril de 2018, embora usuários baseados na Rússia continuem a usar o aplicativo via VPNs. O criador do Telegram, Pavel Durov, deixou a Rússia em 2014 após repetidos confrontos sobre seu outro projeto, a rede social VKontakte. Embora Durov regularmente afirme que ele nunca cederá às exigências do governo russo, é possível imaginar circunstâncias que possam obrigá-lo a concordar.
Figura 12: Usuários de exploração discutem WhatsApp
Não só os cibercriminosos estão sujeitos ao comportamento das operadoras de aplicativos de mensagens, mas os serviços podem ter vulnerabilidades que podem colocar a segurança do usuário em risco. Spywares comerciais, como a Pegasus, tem explorado uma vulnerabilidade no WhatsApp para infectar dispositivos de usuários e interceptar comunicações. A infecção foi desencadeada após uma chamada do WhatsApp para o telefone do alvo, que supostamente não exigiu que o usuário atendesse a chamada. A Pegasus também pode remover qualquer traço da infecção dos registros de comunicação do dispositivo. Os usuários do Exploit têm discutido repetidamente a segurança do WhatsApp; em um exemplo de maio de 2019, uma longa discussão foi motivada pelos próprios comentários de Pavel Durov de que o WhatsApp “nunca estaria seguro”.
Refletindo sobre a confiabilidade dos aplicativos de mensagens, um usuário do Torum disse (verbatim): “Eu conheço pessoas que foram presas causam wickr, snapchat e whatsapp. O Telegram também foi rachado pelos federais há um ou dois anos (lembro-me de uma grande tomada de armas terroristas graças ao Telegram).” Outro usuário do fórum alertou no Verified: “não use whats[app]/viber, o FBI já baixou conversas de lá. telegrama por sua conta e risco.
Em geral, conversas sobre segurança operacional e anonimato são comuns em fóruns de cibercriminosos: No mesmo tópico no Torum mencionado acima, outro usuário escreveu: “O único aplicativo de bate-papo 100% seguro é o SkyEcc, mas é cerca de US$ 800/mês.” Em um tópico diferente sobre um tópico semelhante, um membro alegou: “Com alto nível de recursos, qualquer serviço de mensagens centralizado pode potencialmente ser comprometido. Não estou dizendo que é fácil, mas ainda é uma possibilidade que deve ser considerada.”
Figura 13: Discussões de torum sobre segurança de aplicativos
Se julgarmos por essas conversas frequentes, muitos usuários do fórum parecem ver uma desvantagem inata em aplicativos de mensagens. Isso porque a segurança das equipes que executam os serviços de aplicativos não depende dos aplicativos permanecerem seguros; em um fórum, o administrador está, na maioria das jurisdições, cometendo um ato criminoso executando sua plataforma. Eles têm um interesse investido em manter o fórum o mais seguro possível e manter seu próprio anonimato e o de seus membros. Compreensivelmente, as equipes por trás dos fóruns levam essa responsabilidade a sério.
O extinto fórum em inglês KickAss priorizou a segurança a tal ponto que os usuários do fórum foram desfavorecidos. No final de 2018, o administrador removeu todos os horários e datas dos posts, provavelmente para frustrar os esforços das forças policiais para reunir informações para suas investigações. Mas o efeito colateral é que também tornou o fórum muito mais inconveniente para seus membros usarem. O fórum CrackedTO também utilizou essa tática, assim como o Fórum de Cartões em língua inglesa — que também chegou ao ponto de expurgar todas as informações de endereço IP do usuário dos registros do fórum (para impedir investigações se o banco de dados de registro fosse apreendido).
Uma desvantagem final para o uso de serviços de mensagens legítimos é o risco de que as empresas por trás deles não toleram atividades criminosas. Em uma discussão sobre crackedTO, os usuários observaram que eles tinham sido sujeitos a proibições regulares do Discord por violar as regras dessa plataforma sobre atividades permitidas.
O FUTURO DOS FÓRUNS DE CIBERCRIMINOSOS: EXISTE UM FIM PARA A TENDÊNCIA?
Apesar da idade — e ostensiva desatualizada — do modelo e tecnologia do fórum, os administradores do fórum de cibercriminosos mostram todos os sinais de esforço para garantir que essas plataformas permaneçam populares nos anos seguintes. Eles estão reconhecendo as principais preocupações de seus usuários, como descrito acima: segurança, confiança e anonimato.
Três grandes atualizações de sites, todas registradas em outubro de 2019, demonstram a postura futura dos fóruns. Em primeiro lugar, o XSS introduziu a autenticação de dois fatores (2FA). O administrador do fórum disse que a mudança visava aumentar a segurança das contas dos usuários e minimizar o risco de compromissos como “ataques de quebra de força bruta, recuperação de senhas [não autorizadas] e interceptações por outros serviços”.
Figura 14: Anúncio do XSS 2FA
Em seguida, o fórum em inglês Dread introduziu um recurso “Canário”, destinado a atualizar os membros do fórum do status do administrador de Dread e seu controle do fórum. Essas atualizações semanais, conduzidas através de uma mensagem personalizada e criptograficamente assinada pelo administrador, provavelmente foram introduzidas após o desaparecimento desse indivíduo em setembro de 2019 do fórum, o que jogou a comunidade em desordem. O recurso Canary demonstra uma clara intenção de sustentar a credibilidade do fórum, eliminar o potencial de uma aquisição de aplicação da lei e evitar uma aquisição por alguém disfarçado de administrador legítimo.
Figura 15: Mensagem de anúncio canário
Por fim, a Verified introduziu uma versão gratuita do registro que permite aos usuários acesso limitado ao sistema de custódia do fórum. Muitos fóruns executam serviços de custódia, nos quais um fiador terceirizado garante que tanto o comprador quanto o vendedor recebam o que esperam de uma transação. Fazer uso dessa função proporciona uma garantia adicional aos vendedores de que eles estão lidando com um comprador confiável em vez de um golpista, pesquisador ou representante do serviço de segurança, todos os quais estariam relutantes em empenhar fundos desta maneira. Verificado oferecendo seu sistema de custódia aos usuários gratuitamente — em vez de exigir uma adesão verificada completa — estende o alcance do fórum até mesmo além dos limites do site.
Figura 16: Edital de inscrição gratuita verificado
Também vimos casos de usuários do fórum assumindo a realização de reforçar sua segurança, em vez de confiar em diretrizes dos administradores do fórum. Nos últimos meses, tanto os usuários de fóruns em inglês quanto russo começaram a aproveitar os serviços de custódia quando as transações mal foram iniciadas. Compradores interessados geralmente entram em contato com fornecedores para solicitar mais detalhes sobre seu anúncio, como capturas de tela de acesso interno ao sistema que provam que a oferta é legítima. Mas recentemente muitos fornecedores começaram a insistir que os compradores coloquem dinheiro em um serviço de depósito de fórum antes de enviarem quaisquer detalhes adicionais.
O impulso para pioneiros novos recursos e melhorias no site, para se adaptar a um cenário de segurança em mudança, sugere que os atores de ameaças que executam fóruns de cibercriminosos reconhecem a necessidade de fornecer valor para seus usuários. Mesmo fóruns há muito estabelecidos veem a necessidade de inovar; A Exploit embarcou recentemente em um redesenho inteiro do site. Os próprios membros do fórum assumem um papel ativo na sugestão de melhorias ou mudança na forma como usam fóruns. Com esse impulso contínuo para a melhoria, e uma série de recursos e benefícios simplesmente não obtidos de outros tipos de tecnologias, é altamente improvável que a popularidade dos fóruns de cibercriminosos diminua nos próximos anos. Em vez disso, a relação simbiótica entre tecnologias alternativas e fóruns — nos quais o primeiro não pode prosperar sem o segundo — florescerá.