Explorar o fórum de cibercrime mais famoso da Dark Web na área das criptomoedas

Obtivemos acesso ao BreachForums, um fórum fechado com uma comunidade de cibercriminosos muito ativa, a fim de entender quais produtos e serviços são vendidos no mercado negro digital, ou seja, o dark web.

Aqui está o que descobrimos.

Este artigo tem um objetivo educativo e não incentiva o uso do dark web.

O que é o dark web?

Para um breve contexto, vamos explicar o que entendemos por dark web e fóruns de cibercriminosos. A dark web é uma parte oculta da internet, acessível apenas através de navegadores especializados como o Tor, que se concentra no anonimato dos usuários.

O dark web serve como um ponto de encontro tanto para usos legítimos, como a navegação privada, quanto para atividades ilegais, incluindo a venda de dados roubados, drogas, armas, serviços e outros produtos de contrabando.

Os fóruns de cibercriminosos na dark web são comunidades onde hackers, golpistas e outros criminosos trocam informações, ferramentas e serviços, muitas vezes utilizando criptomoedas para facilitar transações anônimas.

O que é o BreachForums?

BreachForums foi lançado sob o nome de RaidForums em 2015 por um hacker português, Diogo Santos Coelho. RaidForums foi criado como uma comunidade focada no “raid” de sites web e espaços online como uma forma de brincadeira, trolling ou perturbação das atividades online.

No entanto, quando os hackers do site começaram a invadir plataformas de redes sociais e sites web e a roubar milhões de dados de usuários, eles começaram a vender esses dados para o maior lance. O RaidForums rapidamente se transformou em um dos centros mais sofisticados e bem estabelecidos de atividades criminosas organizadas no dark web.

Quando o Gate foi hackeado em fevereiro de 2024, o BreachedForums foi o primeiro lugar onde os dados KYC dos usuários apareceram à venda, e o mesmo aconteceu com o código dos caixas eletrônicos de Bitcoin usados em El Salvador, que apareceu à venda no BreachForums em abril do mesmo ano.

O site começou a atrair cibercriminosos em busca de informações sensíveis provenientes de violações de segurança de empresas, e até mesmo de documentos governamentais divulgados, tornando-se assim o alvo de esforços internacionais das forças de segurança.

Em 2022, a Europol e as agências de inteligência americanas colaboraram para apreender o site e identificar e prender o fundador Diogo Santos Coelho, que atualmente está detido no Reino Unido aguardando extradição para os Estados Unidos por acusações de cibercrime.

O RaidForums foi rapidamente relançado sob o nome de BreachForums por um usuário chamado PomPomPurin, que foi preso pelo FBI em 2023, e o site foi assumido por outro usuário chamado Baphomet. O BreachForums foi apreendido pelo FBI em maio de 2024, embora versões clonadas do site tenham reaparecido.

Embora o site permaneça muito ativo, como vamos mostrar, muitos usuários online especulam que o site poderia ser uma “armadilha” montada pelo FBI para monitorar os cibercriminosos e expô-los a processos.

O que encontramos no dark web no hub criminoso BreachForums

Ao entrar no BreachForums, fomos imediatamente confrontados com uma onda de atividades ilegais propostas. Enquanto alguns fóruns de cibercriminosos adotam uma abordagem mais sutil fingindo ser comunidades de entusiastas de informática e cibersegurança, o BreachForums nunca fez tais esforços para esconder sua verdadeira natureza, e a página inicial no momento da nossa conexão mostrava usuários oferecendo serviços brutais da gangue MS13 ou La Mara Salvatruca por 10 000 dólares.

Como todos os anúncios do dark web relacionados à violência, provavelmente se trata mais de uma fraude do que de uma oferta autêntica, mas as atividades ilegais não param por aí. O chat em tempo real no site também exibia usuários discutindo sobre a venda no mercado do fórum, que estava cheio de vendedores oferecendo produtos ilegais como dados roubados, tutoriais sobre fraudes bancárias e golpes com cartões de crédito, rastreamento de IP e muito mais.

Havia também, claro, um tópico de discussão dedicado a anime e manga, pois até os cibercriminosos têm hobbies.

Todas as mensagens mostradas neste artigo foram publicadas nas horas seguintes à nossa primeira conexão, mostrando uma grande atividade na comunidade online que continua muito ativa, embora se possa supor que está sob estreita vigilância das forças de segurança.

A imagem acima mostra usuários vendendo acesso a tudo, desde plataformas de streaming de vídeo online como Paramount Plus e Netflix até contas OnlyFans pirateadas.

As mensagens no subfórum de vazamentos de dados mostravam usuários vendendo vazamentos de dados, incluindo conjuntos de identificadores de e-mail para executivos de várias empresas, bem como documentos de identidade dos Emirados Árabes Unidos, da Índia, do Qatar e da Arábia Saudita, além de um vazamento de arquivos e imagens roubadas de e-mails militares sauditas.

Esta última fuga contendo documentos militares parece autêntica segundo nossa análise preliminar, mas também foi demonstrado que data de 2016, indicando que este usuário está tentando apresentar informações antigas divulgadas como novas, o que é um dos muitos exemplos dos tipos de fraudes que ocorrem mesmo entre os cibercriminosos online.

Um utilizador alegou ter acesso exclusivo a uma fuga de dados do seguro de saúde australiano MedBank, e a MedBank Australia foi efetivamente hackeada por cibercriminosos russos em 2022, quando as informações pessoais de 9,7 milhões de australianos foram roubadas.

Ao contrário das mensagens sobre os assassinos à soldo, que são conhecidos por serem fraudes no dark web, esses vazamentos de documentos e de identidade são, infelizmente, muito prováveis, pois o principal objetivo do BreachForums é efetivamente vender dados roubados desse tipo, e os negócios prosperam há anos.

No entanto, com as apreensões e detenções repetidas pelas forças de segurança, é possível que algumas dessas mensagens sejam também armadilhas do FBI ou de outras agências que procuram apanhar criminosos em flagrante.

Serviços encontrados no BreachForums

Além dos dados roubados, os cibercriminosos industriosos também oferecem diversos serviços para alugar no dark web, aceitando invariavelmente criptomoedas como pagamento.

No BreachForums, encontramos imediatamente usuários afirmando oferecer serviços DDoS, acesso a ataques de negação de serviço distribuído, onde os criminosos usam um botnet para bloquear as operações de um site, seja para extorquir dinheiro da vítima, direcionar empresas concorrentes, ou simplesmente assediar um inimigo.

Um grupo de cibercriminosos online tinha um anúncio para serviços HNVC ou Hidden Virtual Computer, que podem ser usados para obter acesso remoto ao computador de uma vítima.

Era interessante notar que, assim como um anúncio para serviços legais online, a mensagem tinha uma lista detalhada das funcionalidades e opções de preços disponíveis e oferecia suporte ao cliente em russo e em inglês.

Outros serviços incluíam serviços que forneciam números de telefone permitindo que os criminosos recebessem códigos de acesso para ativar contas online sem se identificar ou revelar seu próprio número de telefone.

Encontrámos remetentes de e-mails em massa utilizados para campanhas de marketing ilegais de produtos, fraudes de phishing ou outros softwares maliciosos, e também vimos anúncios para inundadores de e-mails usados para sobrecarregar as caixas de entrada de um inimigo, a fim de tornar o e-mail inutilizável ou esconder atividades maliciosas, como alertas de tentativas de login.

Um dos inundadores de e-mails se deu ao trabalho de criar o que parece ser um banner publicitário e um logo gerados por IA para o seu serviço, cujo nome censurámos para não fazer publicidade aos seus serviços.

Vimos tópicos inteiros dedicados a serviços que vendem acesso a servidores remotos online, serviços de desenvolvimento para criar websites, e até serviços gráficos que poderiam ser utilizados para criar fraudes sofisticadas, como páginas de destino falsas para roubar os dados de usuários vítimas.

Claro, embora alguns desses serviços possam ser legítimos, muitos são provavelmente falsos, e dado que o site foi apreendido e reaberto várias vezes, as contas aqui têm todas menos de dois anos.

Os fóruns de cibercriminosos funcionam frequentemente com um sistema de custódia, ou com base na confiança, onde um usuário tem um histórico documentado de vendas “honestas”, enquanto este novo site tem poucas garantias contra fraudes.

Vimos vários serviços anunciando que aceitavam pagamentos sob custódia, o que significa que um terceiro verificado detém os fundos até que ambas as partes estejam satisfeitas com o pagamento, como no caso deste desenvolvedor que oferece páginas de phishing e páginas de destino prontas a usar.

A vontade de aceitar o depósito em garantia indica que este utilizador poderá efetivamente vender aquilo que afirma vender, embora haja provavelmente muitas fraudes envolvendo pagamentos sob custódia neste site também.

Na verdade, o site tem todo um fio de fraude que mostra um diário de usuários relatando fraudes no site.

O utilizador uuu732 relata que as suas tentativas de enganar outros online se viraram contra ele ao ser vítima de uma fraude no BreachForums. Eles pagaram ao utilizador PennyTrate-x 300 dólares por um software que lhes permitiria contornar os softwares de deteção de malware e enviar ficheiros PDF infetados com malware às suas vítimas desprevenidas.

O vendedor não entregou a mercadoria, e quando um moderador lhes pediu explicações, eles se recusaram a responder, o que levou à exclusão da sua conta.

Um outro utilizador reportou um conflito com outro vendedor. Neste caso, o utilizador gastou 500 dólares ao tentar comprar uma base de dados de utilizadores roubada a uma companhia de seguros suíça, e 1 300 dólares adicionais ao tentar comprar uma base de dados de um retalhista suíço. Eles relataram não ter recebido os seus dados ilegais em nenhuma das transações.

O que fazem os criminosos do dark web com os dados de usuários roubados?

Os cibercriminosos compram credenciais de login e dados de usuários para invadir contas de e-mail e redes sociais, a fim de acessar as finanças do usuário e roubá-lo, ou para acessar informações sensíveis que podem explorar ainda mais.

Por exemplo, um criminoso do dark web poderia aceder à conta PayPal de um utilizador e tentar realizar compras não autorizadas ou transferir diretamente fundos para outra conta, ou cometer roubo de identidade ao solicitar empréstimos em nome de outra pessoa usando os seus dados de passaporte.

Essas informações também são frequentemente usadas para chantagem e extorsão, quando os criminosos encontram informações sensíveis ao acessar as contas de suas vítimas.

Como manter-se seguro online

Como podemos ver, o dark web é uma subseção perigosa da internet por várias razões. Mesmo neste site que foi apreendido e reaberto várias vezes, encontramos um mercado aberto de atividades criminosas, que vão desde serviços e produtos ilegais até fraudes cometidas contra outros usuários. É crucial tomar medidas para proteger suas informações pessoais e financeiras online.

Utilize senhas únicas e complexas para cada conta, ative a autenticação de dois fatores sempre que possível e tenha cuidado com as informações que você compartilha online. Monitore regularmente seus extratos bancários e de cartão de crédito para detectar qualquer atividade suspeita. Ao permanecer vigilante e adotar boas práticas de cibersegurança, você pode reduzir consideravelmente o risco de que seus dados pessoais acabem em fóruns como BreachForums.