Досліджуйте найвідоміший форум кіберзлочинності в Dark Web у сфері криптовалют.

Ми отримали доступ до BreachForums, закритого форуму з дуже активною спільнотою кіберзлочинців, щоб зрозуміти, які продукти та послуги продаються на цифровому чорному ринку, тобто в даркнеті.

Ось що ми виявили.

Ця стаття має освітню мету і не заохочує використання даркнету.

Що таке даркнет?

Для короткого контексту, давайте пояснимо, що ми маємо на увазі під даркнетом та форумами кіберзлочинців. Даркнет - це прихована частина інтернету, доступна лише через спеціалізовані браузери, такі як Tor, яка зосереджується на анонімності користувачів.

Даркнет служить як центр як для легітимних використань, таких як приватний веб-серфінг, так і для незаконної діяльності, зокрема продажу вкрадених даних, наркотиків, зброї, послуг та інших контрабандних товарів.

Форуми кіберзлочинців у даркнеті є спільнотами, де хакери, шахраї та інші злочинці обмінюються інформацією, інструментами та послугами, часто використовуючи криптовалюти для спрощення анонімних транзакцій.

Що таке BreachForums?

BreachForums був запущений під назвою RaidForums у 2015 році португальським хакером, Діого Сантосом Коельо. RaidForums був створений як спільнота, орієнтована на “рейди” веб-сайтів та онлайн-просторів як форма жартів, тролінгу або порушення онлайн-діяльності.

Однак, коли хакери сайту почали зламувати платформи соціальних медіа та веб-сайти і красти мільйони даних користувачів, вони почали продавати ці дані найбільшому bidder. RaidForums швидко перетворився на один з найбільш складних і добре налагоджених центрів організованої злочинності в даркнеті.

Коли Gate був зламаний у лютому 2024 року, BreachedForums став першим місцем, де дані KYC користувачів з'явилися на продаж, і те ж саме стосується коду банкоматів Bitcoin, який використовувався у Сальвадорі і з'явився на продаж на BreachForums у квітні того ж року.

Сайт почав приваблювати кіберзлочинців, які шукали чутливу інформацію, отриману внаслідок порушень безпеки компаній, а також документи урядів, які були розкриті, що зробило його мішенню міжнародних зусиль правоохоронних органів.

У 2022 році Європол і американські розвідувальні агентства співпрацювали для захоплення сайту та ідентифікації і арешту засновника Діого Сантоса Коельо, який наразі утримується у Великій Британії в очікуванні екстрадиції до Сполучених Штатів за звинуваченнями у кіберзлочинності.

RaidForums швидко був перезапущений під назвою BreachForums користувачем на ім'я PomPomPurin, який був заарештований ФБР у 2023 році, а сайт був переданий іншому користувачеві на ім'я Baphomet. BreachForums був конфіскований ФБР у травні 2024 року, хоча клоновані версії сайту знову з'явилися.

Хоча сайт залишається дуже активним, як ми покажемо, багато користувачів в Інтернеті спекулюють, що сайт може бути “пасткою”, створеною ФБР для моніторингу кіберзлочинців і їх викриття для переслідування.

Що ми знайшли на даркнет у кримінальному хабі BreachForums

Увійшовши на BreachForums, ми відразу ж зіткнулися з хвилею незаконних діяльностей, що пропонуються. У той час як деякі форуми кіберзлочинців приймають більш тонкий підхід, видаючи себе за спільноти ентузіастів комп'ютерних технологій і кібербезпеки, BreachForums ніколи не робив таких зусиль, щоб приховати свою справжню природу, і головна сторінка на момент нашого підключення показувала користувачів, які пропонують брутальні послуги банди MS13 або La Mara Salvatruca за 10 000 доларів.

Як і всі оголошення даркнету про насильство, це, можливо, більше шахрайство, ніж справжня пропозиція, але незаконні діяльності на цьому не закінчуються. Чат, що прокручується на сайті, також показував користувачів, які в реальному часі обговорювали продаж на форумному ринку, який був наповнений продавцями, які пропонували незаконні продукти, такі як вкрадені дані, навчальні посібники з банківських шахрайств та шахрайств з кредитними картками, відстеження IP і багато іншого.

Звичайно, також була окрема тема для обговорення аніме та манги, адже навіть кіберзлочинці мають свої хобі.

Всі повідомлення, показані в цій статті, були опубліковані в години після нашого першого підключення, демонструючи велику активність в онлайн-спільноті, яка залишається дуже активною, хоча можна припустити, що вона знаходиться під пильним наглядом правоохоронних органів.

Зображення вище показує користувачів, які продають доступ до всього, від онлайн-платформ відеостримінгу, таких як Paramount Plus і Netflix, до зламаних облікових записів OnlyFans.

Повідомлення в підфорумі витоків даних показували користувачів, які продавали витоки даних, включаючи набори ідентифікаторів електронної пошти для керівників різних компаній, а також документи особи з Об'єднаних Арабських Еміратів, Індії, Катару та Саудівської Аравії, а також витік файлів та зображень, вкрадених з військових електронних листів Саудівської Аравії.

Ця остання витік, що містить військові документи, здається, є автентичною згідно з нашим попереднім аналізом, але також було показано, що вона датується 2016 роком, що вказує на те, що цей користувач намагається представити старі розкриті дані як нові, що є одним з багатьох прикладів типів шахрайства, які відбуваються навіть серед кіберзлочинців онлайн.

Користувач стверджував, що має ексклюзивний доступ до витоку даних австралійської страхової компанії MedBank, і MedBank Australia дійсно була зламаною російськими кіберзлочинцями в 2022 році, коли були вкрадені особисті дані 9,7 мільйонів австралійців.

На відміну від повідомлень про кіллерів, які відомі як шахрайство на даркнеті, ці витоки документів та ідентичності, на жаль, є дуже ймовірними, оскільки головна мета BreachForums насправді полягає у продажу викрадених даних такого типу, і бізнес процвітає вже багато років.

Однак, з огляду на неодноразові арешти та затримання з боку правоохоронних органів, можливо, що деякі з цих повідомлень також є пастками ФБР або інших агенцій, які прагнуть спіймати злочинців на гарячому.

Послуги, знайдені на BreachForums

На додаток до вкрадених даних, промислові кіберзлочинці також пропонують різні послуги в оренду на даркнеті, незмінно приймаючи криптовалюти як оплату.

На BreachForums ми відразу знайшли користувачів, які стверджують, що пропонують послуги DDoS, доступ до атак відмови в обслуговуванні, де злочинці використовують ботнет для блокування операцій веб-сайту, або для вимагання грошей у жертви, націлюючись на конкурентні компанії, або просто для переслідування ворога.

Група кіберзлочинців в Інтернеті мала рекламу послуг HNVC або Hidden Virtual Computer, які можуть бути використані для віддаленого доступу до комп'ютера жертви.

Цікаво було відзначити, що, так само як реклама онлайн-юридичних послуг, повідомлення містило детальний список функцій та доступних цінових опцій і пропонувало підтримку клієнтів російською та англійською.

Інші послуги включали послуги, що надають номери телефонів, які дозволяють злочинцям отримувати коди доступу для активації облікових записів в Інтернеті без ідентифікації або розкриття свого власного номера телефону.

Ми виявили відправників електронних листів масового розсилання, які використовуються для незаконних маркетингових кампаній продуктів, шахрайств з фішингом або іншого шкідливого програмного забезпечення, і ми також бачили рекламу для затоплювачів електронних листів, які використовуються для переповнення поштових скриньок ворога, щоб зробити електронну пошту непрацездатною або приховати шкідливу діяльність, таку як сповіщення про спроби входу.

Один з винахідників електронної пошти потрудився створити те, що виглядає як банер і логотип, згенеровані ШІ для його сервісу, назву якого ми цензурували, щоб не рекламувати їхні послуги.

Ми бачили цілі теми, присвячені послугам, що продають доступ до віддалених серверів онлайн, послугам розробки для створення веб-сайтів і навіть графічним послугам, які можуть бути використані для створення складних шахрайств, таких як фальшиві цільові сторінки для викрадення даних жертв-користувачів.

Звичайно, хоча деякі з цих послуг можуть бути легітимними, багато з них, ймовірно, є фальшивими, і враховуючи, що сайт був вилучений і знову відкритий кілька разів, облікові записи тут мають всі менше двох років.

Форуми кіберзлочинців часто працюють на основі ескроу-системи або на основі довіри, де користувач має документовану історію “чесних” продажів, тоді як цей новий сайт має небагато гарантій проти шахрайства.

Ми бачили кілька сервісів, які оголошують, що приймають платежі під заставу, що означає, що перевірена третя сторона утримує кошти, поки обидві сторони не будуть задоволені платіжем, як у випадку цього розробника, який пропонує сторінки для фішингу та готові до використання цільові сторінки.

Бажання прийняти ескроу вказує на те, що цей користувач дійсно може продати те, що він стверджує, хоча ймовірно, що на цьому сайті також є багато шахрайств, пов'язаних з ескроу-платежами.

Насправді, сайт має цілу стрічку шахрайств, яка показує журнал користувачів, що повідомляють про шахрайства на сайті.

Користувач uuu732 повідомляє, що його спроби обманути інших в Інтернеті обернулися проти нього, коли він сам став жертвою шахрайства на BreachForums. Вони заплатили користувачеві PennyTrate-x 300 доларів за програмне забезпечення, яке дозволяло б їм обходити програми для виявлення шкідливих програм і надсилати заражені шкідливими програмами PDF-файли своїм нічого не підозрюючим жертвам.

Продавець не доставив товар, і коли модератор попросив у них пояснень, вони відмовилися відповісти, що призвело до видалення їхнього облікового запису.

Інший користувач повідомив про спір з іншим продавцем. У цьому випадку користувач витратив 500 доларів на спробу купити вкрадену базу даних користувачів у швейцарської страхової компанії та ще 1 300 доларів на спробу купити базу даних швейцарського роздрібного продавця. Вони повідомили, що не отримали своїх незаконних даних у жодній з угод.

Що роблять злочинці з даркнету з вкраденими даними користувачів?

Кіберзлочинці купують облікові дані та дані користувачів, щоб зламувати облікові записи електронної пошти та соціальних мереж, щоб отримати доступ до фінансів користувача та вкрасти їх, або щоб отримати доступ до чутливої інформації, яку вони можуть подальше використовувати.

Наприклад, злочинець з даркнету може отримати доступ до рахунку PayPal користувача та спробувати здійснити несанкціоновані покупки або безпосередньо перевести кошти на інший рахунок, або вчинити крадіжку особистості, подаючи заявки на кредити від імені когось іншого, використовуючи його паспортні дані.

Ця інформація також часто використовується з метою шантажу та вимагання, коли злочинці знаходять чутливу інформацію, підключаючись до рахунків своїх жертв.

Як залишатися в безпеці в мережі

Як ми можемо побачити, даркнет є небезпечною підсекцією інтернету з багатьох причин. Навіть на цьому сайті, який був захоплений і знову відкритий кілька разів, ми знаходимо відкритий базар кримінальних діяльностей, від незаконних послуг і продуктів до шахрайств, скоєних проти інших користувачів. Вкрай важливо вжити заходів для захисту вашої особистої та фінансової інформації в Інтернеті.

Використовуйте унікальні та складні паролі для кожного облікового запису, активуйте двофакторну аутентифікацію щоразу, коли це можливо, і будьте обережні з інформацією, яку ви ділитеся в Інтернеті. Регулярно перевіряйте свої банківські та кредитні картки на наявність підозрілої активності. Залишаючись уважними та дотримуючись хороших практик кібербезпеки, ви можете значно зменшити ризик того, що ваші особисті дані потраплять на форуми, такі як BreachForums.