Explorer le forum de cybercriminalité le plus célèbre du Dark Web dans le domaine des cryptomonnaies

Nous avons obtenu l’accès à BreachForums, un forum fermé avec une communauté de cybercriminels très active, afin de comprendre quels produits et services sont vendus sur le marché noir numérique, c’est-à-dire le dark web.

Voici ce que nous avons découvert.

Cet article est à visée éducative et n’encourage pas l’utilisation du darknet.

Qu’est-ce que le dark web ?

Pour un bref contexte, expliquons ce que nous entendons par dark web et forums de cybercriminels. Le dark web est une partie cachée d’internet, accessible uniquement via des navigateurs spécialisés comme Tor, qui se concentre sur l’anonymat des utilisateurs.

Le dark web sert de plaque tournante à la fois pour des utilisations légitimes, comme la navigation privée, et des activités illégales, notamment la vente de données volées, de drogues, d’armes, de services et d’autres produits de contrebande.

Les forums de cybercriminels sur le dark web sont des communautés où les pirates, les fraudeurs et autres criminels échangent des informations, des outils et des services, utilisant souvent les cryptomonnaies pour faciliter des transactions anonymes.

Qu’est-ce que BreachForums ?

BreachForums a été lancé sous le nom de RaidForums en 2015 par un pirate portugais, Diogo Santos Coelho. RaidForums a été créé comme une communauté axée sur le “raid” de sites web et d’espaces en ligne comme une forme de plaisanterie, de trolling ou de perturbation des activités en ligne.

Cependant, lorsque les pirates du site ont commencé à pirater des plateformes de médias sociaux et des sites web et à voler des millions de données utilisateurs, ils ont commencé à vendre ces données au plus offrant. RaidForums s’est rapidement transformé en l’un des hubs les plus sophistiqués et bien établis d’activités criminelles organisées sur le dark web.

Lorsque Gate a été piraté en février 2024, BreachedForums a été le premier endroit où les données KYC des utilisateurs sont apparues à la vente, et il en a été de même pour le code des guichets automatiques Bitcoin utilisé au Salvador qui est apparu à la vente sur BreachForums en avril de la même année.

Le site a commencé à attirer des cybercriminels à la recherche d’informations sensibles provenant de violations de sécurité d’entreprises, et même de documents gouvernementaux divulgués, ce qui en a fait la cible d’efforts internationaux des forces de l’ordre.

En 2022, Europol et les agences de renseignement américaines ont collaboré pour saisir le site et identifier et arrêter le fondateur Diogo Santos Coelho, qui est actuellement détenu au Royaume-Uni en attente d’extradition vers les États-Unis pour des accusations de cybercriminalité.

RaidForums a été rapidement relancé sous le nom de BreachForums par un utilisateur nommé PomPomPurin, qui a été arrêté par le FBI en 2023, et le site a été repris par un autre utilisateur nommé Baphomet. BreachForums a été saisi par le FBI en mai 2024, bien que des versions clonées du site soient réapparues.

Bien que le site reste très actif, comme nous allons le montrer, de nombreux utilisateurs en ligne spéculent que le site pourrait être un “piège” mis en place par le FBI pour surveiller les cybercriminels et les exposer à des poursuites.

Ce que nous avons trouvé sur le dark web dans le hub criminel BreachForums

En entrant sur BreachForums, nous avons immédiatement été confrontés à une vague d’activités illégales proposées. Alors que certains forums de cybercriminels adoptent une approche plus subtile en se faisant passer pour des communautés d’enthousiastes de l’informatique et de la cybersécurité, BreachForums n’a jamais fait de tels efforts pour cacher sa véritable nature, et la page d’accueil au moment de notre connexion montrait des utilisateurs offrant des services brutaux du gang MS13 ou La Mara Salvatruca pour 10 000 dollars.

Comme toutes les annonces du dark web concernant la violence, il s’agit probablement plus d’une arnaque que d’une offre authentique, mais les activités illégales ne s’arrêtent pas là. Le chat défilant sur le site affichait également des utilisateurs discutant en temps réel de la vente du marché du forum, qui bourdonnait de vendeurs offrant des produits illégaux tels que des données volées, des tutoriels sur les fraudes bancaires et les escroqueries par carte de crédit, le traçage d’IP et bien plus encore.

Il y avait aussi, bien sûr, un fil de discussion dédié aux anime et manga, car même les cybercriminels ont des hobbies.

Tous les messages montrés dans cet article ont été publiés dans les heures suivant notre première connexion, montrant une grande activité dans la communauté en ligne qui reste très active, bien qu’on puisse supposer qu’elle est sous étroite surveillance des forces de l’ordre.

L’image ci-dessus montre des utilisateurs vendant l’accès à tout, des plateformes de streaming vidéo en ligne comme Paramount Plus et Netflix aux comptes OnlyFans piratés.

Les messages dans le sous-forum des fuites de données montraient des utilisateurs vendant des fuites de données, y compris des ensembles d’identifiants de messagerie pour les dirigeants de diverses entreprises, ainsi que des documents d’identité des Émirats arabes unis, de l’Inde, du Qatar et de l’Arabie saoudite, ainsi qu’une fuite de fichiers et d’images volés à partir d’e-mails militaires saoudiens.

Cette dernière fuite contenant des documents militaires semble authentique selon notre analyse préliminaire, mais il a également été démontré qu’elle datait de 2016, indiquant que cet utilisateur tente de présenter de vieilles informations divulguées comme nouvelles, ce qui est l’un des nombreux exemples des types de fraudes qui se produisent même parmi les cybercriminels en ligne.

Un utilisateur prétendait avoir un accès exclusif à une fuite de données de l’assurance santé australienne MedBank, et MedBank Australia a effectivement été piraté par des cybercriminels russes en 2022, lorsque les informations personnelles de 9,7 millions d’Australiens ont été volées.

Contrairement aux messages sur les tueurs à gages, qui sont connus pour être des arnaques sur le dark web, ces fuites de documents et d’identité sont malheureusement très probables, car le but principal de BreachForums est effectivement de vendre des données volées de ce type, et les affaires prospèrent depuis des années.

Cependant, avec les saisies et arrestations répétées par les forces de l’ordre, il est possible que certains de ces messages soient également des pièges du FBI ou d’autres agences cherchant à attraper des criminels en flagrant délit.

Services trouvés sur BreachForums

En plus des données volées, les cybercriminels industrieux proposent également divers services à louer sur le dark web, acceptant invariablement les cryptomonnaies comme paiement.

Sur BreachForums, nous avons immédiatement trouvé des utilisateurs prétendant offrir des services DDoS, l’accès à des attaques par déni de service distribué, où les criminels utilisent un botnet pour bloquer les opérations d’un site web, soit pour extorquer de l’argent à la victime, cibler des entreprises concurrentes, ou simplement harceler un ennemi.

Un groupe de cybercriminels en ligne avait une publicité pour des services HNVC ou Hidden Virtual Computer, qui peuvent être utilisés pour obtenir un accès à distance à l’ordinateur d’une victime.

Il était intéressant de noter que, tout comme une publicité pour des services légaux en ligne, le message avait une liste détaillée des fonctionnalités et des options de prix disponibles et offrait un support client en russe et en anglais.

D’autres services comprenaient des services fournissant des numéros de téléphone permettant aux criminels de recevoir des codes de connexion pour activer des comptes en ligne sans s’identifier ou révéler leur propre numéro de téléphone.

Nous avons trouvé des expéditeurs d’e-mails en masse utilisés pour des campagnes marketing illégales de produits, des escroqueries de phishing ou d’autres logiciels malveillants, et nous avons également vu des publicités pour des inondateurs d’e-mails utilisés pour submerger les boîtes de réception d’un ennemi afin de rendre l’e-mail inutilisable ou de cacher des activités malveillantes telles que des alertes de tentatives de connexion.

Un des inondateurs d’e-mails s’est donné la peine de créer ce qui semble être une bannière publicitaire et un logo générés par IA pour son service, dont nous avons censuré le nom pour ne pas faire de publicité pour leurs services.

Nous avons vu des fils entiers dédiés à des services vendant l’accès à des serveurs distants en ligne, des services de développement pour créer des sites web, et même des services graphiques qui pourraient être utilisés pour créer des escroqueries sophistiquées telles que de fausses pages de destination pour voler les données des utilisateurs victimes.

Bien sûr, alors que certains de ces services pourraient être légitimes, beaucoup sont probablement faux, et étant donné que le site a été saisi et rouvert à plusieurs reprises, les comptes ici ont tous moins de deux ans.

Les forums de cybercriminels fonctionnent souvent sur un système d’entiercement, ou sur la base de la confiance, où un utilisateur a un historique documenté de ventes “honnêtes”, alors que ce nouveau site a peu de garanties contre la fraude.

Nous avons vu plusieurs services annonçant qu’ils acceptaient les paiements sous séquestre, ce qui signifie qu’un tiers vérifié détient les fonds jusqu’à ce que les deux parties soient satisfaites du paiement, comme dans le cas de ce développeur offrant des pages de phishing et des pages de destination prêtes à l’emploi.

La volonté d’accepter l’entiercement indique que cet utilisateur pourrait effectivement vendre ce qu’il prétend vendre, bien qu’il y ait probablement de nombreuses escroqueries impliquant des paiements sous séquestre sur ce site également.

En fait, le site a tout un fil d’arnaque qui montre un journal d’utilisateurs signalant des fraudes sur le site.

L’utilisateur uuu732 signale que ses tentatives d’escroquer les autres en ligne se sont retournées contre lui en étant victime d’une arnaque sur BreachForums lui-même. Ils ont payé l’utilisateur PennyTrate-x 300 dollars pour un logiciel qui leur permettrait de contourner les logiciels de détection de malware et d’envoyer des fichiers PDF infectés par des malwares à leurs victimes sans méfiance.

Le vendeur n’a pas livré la marchandise, et quand un modérateur leur a demandé des explications, ils ont refusé de répondre, ce qui a conduit à la suppression de leur compte.

Un autre utilisateur a signalé un différend avec un autre vendeur. Dans ce cas, l’utilisateur a dépensé 500 dollars en essayant d’acheter une base de données d’utilisateurs volée à une compagnie d’assurance suisse, et 1 300 dollars supplémentaires en essayant d’acheter une base de données d’un détaillant suisse. Ils ont signalé n’avoir reçu leurs données illégales dans aucune des transactions.

Que font les criminels du dark web avec les données utilisateurs volées ?

Les cybercriminels achètent des identifiants de connexion et des données utilisateurs pour pirater des comptes de messagerie et de médias sociaux afin d’accéder aux finances de l’utilisateur et de le voler, ou pour accéder à des informations sensibles qu’ils peuvent exploiter davantage.

Par exemple, un criminel du dark web pourrait accéder au compte PayPal d’un utilisateur et tenter d’effectuer des achats non autorisés ou de transférer directement des fonds vers un autre compte, ou commettre un vol d’identité en demandant des prêts au nom de quelqu’un d’autre en utilisant ses données de passeport.

Ces informations sont également couramment utilisées à des fins de chantage et d’extorsion, lorsque les criminels trouvent des informations sensibles en se connectant aux comptes de leurs victimes.

Comment rester en sécurité en ligne

Comme nous pouvons le voir, le dark web est une sous-section dangereuse d’internet pour de nombreuses raisons. Même sur ce site qui a été saisi et rouvert à plusieurs reprises, nous trouvons un bazar ouvert d’activités criminelles, allant des services et produits illégaux aux fraudes commises contre d’autres utilisateurs. Il est crucial de prendre des mesures pour protéger vos informations personnelles et financières en ligne.

Utilisez des mots de passe uniques et complexes pour chaque compte, activez l’authentification à deux facteurs chaque fois que possible, et soyez prudent avec les informations que vous partagez en ligne. Surveillez régulièrement vos relevés bancaires et de carte de crédit pour détecter toute activité suspecte. En restant vigilant et en adoptant de bonnes pratiques de cybersécurité, vous pouvez réduire considérablement le risque que vos données personnelles se retrouvent sur des forums comme BreachForums.