Изучите самый известный форум киберпреступности в Даркнете в области криптовалют

Мы получили доступ к BreachForums, закрытому форуму с очень активным сообществом киберпреступников, чтобы понять, какие продукты и услуги продаются на цифровом черном рынке, то есть на дарквеб.

Вот что мы обнаружили.

Эта статья носит образовательный характер и не поощряет использование дарквеба.

Что такое дарквеб?

Для краткого контекста давайте объясним, что мы понимаем под дарквебом и форумами киберпреступников. Дарквеб — это скрытая часть интернета, доступная только через специальные браузеры, такие как Tor, которая сосредоточена на анонимности пользователей.

Дарквеб служит центром как для легитимных использований, таких как приватный серфинг, так и для незаконной деятельности, включая продажу украденных данных, наркотиков, оружия, услуг и других контрабандных товаров.

Форумы киберпреступников на дарквебе — это сообщества, где хакеры, мошенники и другие преступники обмениваются информацией, инструментами и услугами, часто используя криптовалюты для упрощения анонимных транзакций.

Что такое BreachForums?

BreachForums был запущен под названием RaidForums в 2015 году португальским хакером Диого Сантосом Коэльо. RaidForums был создан как сообщество, сосредоточенное на “рейдах” сайтов и онлайн-пространств в качестве формы шутки, троллинга или нарушения онлайн-активности.

Однако, когда хакеры сайта начали взламывать социальные сети и веб-сайты и красть миллионы данных пользователей, они начали продавать эти данные тому, кто больше заплатит. RaidForums быстро превратился в один из самых сложных и хорошо зарекомендовавших себя центров организованной преступной деятельности на дарквебе.

Когда Gate был взломан в феврале 2024 года, BreachedForums стал первым местом, где появились на продажу KYC данные пользователей, и то же самое произошло с кодом Bitcoin-банкоматов, использованным в Сальвадоре, который появился на продаже на BreachedForums в апреле того же года.

Сайт начал привлекать киберпреступников в поисках конфиденциальной информации, полученной в результате нарушений безопасности компаний, а также даже утечек государственных документов, что сделало его целью международных усилий правоохранительных органов.

В 2022 году Европол и американские разведывательные агентства сотрудничали для закрытия сайта и идентификации и ареста основателя Диогу Сантуша Коэлью, который в настоящее время находится под стражей в Великобритании в ожидании экстрадиции в США по обвинениям в киберпреступности.

RaidForums был быстро перезапущен под названием BreachForums пользователем по имени PomPomPurin, который был арестован ФБР в 2023 году, и сайт был передан другому пользователю по имени Baphomet. BreachForums был конфискован ФБР в мае 2024 года, хотя клонированные версии сайта снова появились.

Хотя сайт остается очень активным, как мы собираемся показать, многие пользователи в сети спекулируют, что сайт может быть “ловушкой”, установленной ФБР для наблюдения за киберпреступниками и их последующего привлечения к ответственности.

Что мы нашли на дарквебе в криминальном хабе BreachForums

Войдя на BreachForums, мы сразу столкнулись с волной предлагаемых незаконных действий. В то время как некоторые форумы киберпреступников принимают более тонкий подход, выдавая себя за сообщества энтузиастов информатики и кибербезопасности, BreachForums никогда не прилагал таких усилий, чтобы скрыть свою истинную природу, и главная страница на момент нашего подключения показывала пользователей, предлагающих жестокие услуги банды MS13 или La Mara Salvatruca за 10 000 долларов.

Как и все объявления дарквеба, касающиеся насилия, это, вероятно, больше мошенничество, чем подлинное предложение, но незаконная деятельность на этом не останавливается. В чате, прокручивающемся на сайте, также отображались пользователи, обсуждающие в реальном времени продажу на форуме, который кипел от продавцов, предлагающих незаконные продукты, такие как украденные данные, руководства по банковским мошенничествам и мошенничествам с кредитными картами, отслеживание IP и многое другое.

Конечно, также была отдельная ветка обсуждения, посвященная аниме и манге, так как даже киберпреступники имеют свои хобби.

Все сообщения, показанные в этой статье, были опубликованы в часы после нашего первого подключения, показывая большую активность в онлайн-сообществе, которое остается очень активным, хотя можно предположить, что оно находится под пристальным наблюдением правоохранительных органов.

На изображении выше показаны пользователи, продающие доступ ко всему, от онлайн-платформ потокового видео, таких как Paramount Plus и Netflix, до взломанных аккаунтов OnlyFans.

Сообщения в подсайте утечек данных показывали пользователей, продающих утечки данных, включая наборы идентификаторов электронной почты для руководителей различных компаний, а также документы удостоверения личности из Объединенных Арабских Эмиратов, Индии, Катара и Саудовской Аравии, а также утечку файлов и изображений, украденных из военных электронных писем Саудовской Аравии.

Этот последний утечка, содержащая военные документы, кажется подлинной согласно нашему предварительному анализу, но также было показано, что она датируется 2016 годом, что указывает на то, что этот пользователь пытается представить старую утечку информации как новую, что является одним из многих примеров типов мошенничества, которые происходят даже среди киберпреступников в сети.

Пользователь утверждал, что у него есть эксклюзивный доступ к утечке данных австралийской медицинской страховки MedBank, и MedBank Australia действительно был взломан киберпреступниками из России в 2022 году, когда были похищены личные данные 9,7 миллиона австралийцев.

В отличие от сообщений о киллерах, которые известны как мошенничество в дарквебе, эти утечки документов и личных данных, к сожалению, весьма вероятны, поскольку основной целью BreachForums является фактически продажа украденных данных такого рода, и дела процветают на протяжении многих лет.

Однако, с повторяющимися арестами и задержаниями со стороны правоохранительных органов, возможно, что некоторые из этих сообщений также являются ловушками ФБР или других агентств, стремящихся поймать преступников на месте преступления.

Услуги, найденные на BreachForums

В дополнение к украденным данным, предприимчивые киберпреступники также предлагают различные услуги в аренду на дарквебе, неизменно принимая криптовалюты в качестве оплаты.

На BreachForums мы сразу нашли пользователей, утверждающих, что предлагают услуги DDoS, доступ к атакам распределенного отказа в обслуживании, где преступники используют ботнет для блокировки операций веб-сайта, чтобы вымогать деньги у жертвы, нацеливаться на конкурирующие компании или просто преследовать врага.

Группа онлайн-киберпреступников размещала рекламу услуг HNVC или Скрытый Виртуальный Компьютер, которые могут быть использованы для удаленного доступа к компьютеру жертвы.

Интересно отметить, что, как и реклама юридических услуг онлайн, сообщение содержало подробный список доступных функций и ценовых опций и предлагало поддержку клиентов на русском и английском языках.

Другие услуги включали в себя услуги, предоставляющие номера телефонов, позволяющие преступникам получать коды доступа для активации онлайн-аккаунтов без идентификации или раскрытия своего собственного номера телефона.

Мы обнаружили отправителей массовых электронных писем, использующихся для незаконных маркетинговых кампаний товаров, мошенничества с фишингом или другого вредоносного ПО, а также видели объявления о наводнителях электронных писем, используемых для затопления почтовых ящиков противника с целью сделать электронную почту непригодной для использования или скрыть вредоносные действия, такие как уведомления о попытках входа.

Один из основателей электронной почты потратил время на создание того, что похоже на рекламный баннер и логотип, сгенерированные ИИ для его сервиса, название которого мы цензурировали, чтобы не рекламировать их услуги.

Мы видели целые темы, посвященные услугам по продаже доступа к удалённым серверам онлайн, услугам разработки для создания веб-сайтов, и даже графическим услугам, которые могут быть использованы для создания сложных мошенничеств, таких как фальшивые целевые страницы для кражи данных жертв-пользователей.

Конечно, хотя некоторые из этих услуг могут быть легитимными, многие, вероятно, являются фальшивыми, и учитывая, что сайт был конфискован и открывался снова и снова, аккаунты здесь все менее двух лет.

Форумы киберпреступников часто работают на основе эскроу-системы или на основе доверия, где у пользователя есть документированная история «честных» продаж, в то время как этот новый сайт имеет мало гарантий против мошенничества.

Мы видели несколько сервисов, объявляющих о том, что они принимают залоговые платежи, что означает, что проверенный третьей стороной держит средства до тех пор, пока обе стороны не будут удовлетворены платежом, как в случае с этим разработчиком, предлагающим фишинговые страницы и готовые целевые страницы.

Желание принять эскроу указывает на то, что этот пользователь действительно может продать то, что он утверждает, хотя, вероятно, на этом сайте также существует множество мошенничеств с оплатой через эскроу.

На самом деле, сайт имеет целую цепочку мошенничества, которая демонстрирует журнал пользователей, сообщающих о мошенничествах на сайте.

Пользователь uuu732 сообщает, что его попытки обмануть других в Интернете обернулись против него, так как он сам стал жертвой мошенничества на BreachForums. Они заплатили пользователю PennyTrate-x 300 долларов за программное обеспечение, которое должно было позволить им обходить программы обнаружения вредоносного ПО и отправлять зараженные вредоносным ПО PDF-файлы своим ничего не подозревающим жертвам.

Продавец не доставил товар, и когда модератор попросил их объяснить, они отказались ответить, что привело к удалению их аккаунта.

Другой пользователь сообщил о конфликте с другим продавцом. В данном случае пользователь потратил 500 долларов, пытаясь купить украденную базу данных пользователей у швейцарской страховой компании, и еще 1 300 долларов, пытаясь купить базу данных у швейцарского ритейлера. Они сообщили, что не получили свои незаконные данные ни в одной из транзакций.

Что делают преступники с дарквеба с украденными данными пользователей?

Киберпреступники покупают учетные данные и пользовательские данные, чтобы взламывать учетные записи электронной почты и социальных сетей с целью доступа к финансам пользователя и их кражи, или чтобы получить доступ к конфиденциальной информации, которую они могут использовать дальше.

Например, преступник из дарквеба может получить доступ к аккаунту PayPal пользователя и попытаться совершить несанкционированные покупки или напрямую перевести средства на другой аккаунт, или совершить кражу личных данных, запрашивая кредиты от имени другого человека, используя его паспортные данные.

Эта информация также часто используется в целях шантажа и вымогательства, когда преступники находят конфиденциальную информацию, получая доступ к аккаунтам своих жертв.

Как оставаться в безопасности в интернете

Как мы можем видеть, дарквеб является опасным подсектором интернета по многим причинам. Даже на этом сайте, который был конфискован и снова открыт несколько раз, мы находим открытый базар преступной деятельности, от незаконных услуг и товаров до мошенничества, совершенного против других пользователей. Крайне важно принимать меры для защиты вашей личной и финансовой информации в интернете.

Используйте уникальные и сложные пароли для каждой учетной записи, активируйте двухфакторную аутентификацию каждый раз, когда это возможно, и будьте осторожны с информацией, которую вы делитесь в интернете. Регулярно проверяйте свои банковские выписки и выписки по кредитным картам на предмет подозрительной активности. Оставаясь бдительными и придерживаясь хороших практик кибербезопасности, вы можете значительно снизить риск того, что ваши личные данные окажутся на форумах, таких как BreachForums.