Một người từng nói với tôi rằng diễn đàn dark web là nơi xảy ra những điều thực sự kỳ quặc. Tôi quyết định tự mình tìm hiểu và truy cập vào BreachForums để xem thực sự chuyện gì đang diễn ra. Hóa ra, còn tồi tệ hơn tôi nghĩ.

Trước tiên, cần biết dark web là gì. Đó là phần ẩn của internet, chỉ truy cập được qua các trình duyệt đặc biệt như Tor. Nó phục vụ cả mục đích hợp pháp — như duyệt web ẩn danh — lẫn vô số hoạt động phi pháp. Các diễn đàn tội phạm mạng là nơi hacker và lừa đảo trao đổi công cụ, dữ liệu và dịch vụ. Họ thanh toán bằng tiền điện tử để giữ ẩn danh.

BreachForums ngày nay là một trong những nơi lớn nhất như vậy. Ban đầu nó tên là RaidForums vào năm 2015, do hacker người Bồ Đào Nha Diogo Santos Coelho sáng lập. Ban đầu, đó là kiểu troll — hacker xâm nhập vào các trang web để vui chơi. Nhưng nhanh chóng biến thành một doanh nghiệp. Khi họ bắt đầu trộm hàng triệu dữ liệu người dùng, họ nhận ra có thể bán chúng. RaidForums trở thành một trung tâm của tội phạm có tổ chức trên dark web.

Năm 2022, Europol và các cơ quan Mỹ đã chiếm quyền kiểm soát trang này. Diogo Coelho bị bắt tại Vương quốc Anh, chờ dẫn độ sang Mỹ. Nhưng diễn đàn không chết. Nó được khôi phục bởi một người dùng có nickname PomPomPurin, người này cũng bị bắt vào năm 2023. Sau đó, nó được một người dùng khác tên Baphomet tiếp quản. FBI lại chiếm quyền vào tháng 5 năm 2024, nhưng các bản sao của nó lại xuất hiện. Nhiều người đồn đoán rằng phiên bản hiện tại là một cái bẫy của FBI để theo dõi tội phạm.

Tôi đã vào đó và ngay lập tức thấy rõ chuyện gì đang xảy ra. Trên trang chính, người ta rao bán dịch vụ của băng đảng MS13 với giá mười nghìn đô la. Chắc chắn đó là lừa đảo. Nhưng đó mới chỉ là bắt đầu. Trên chat, bạn thấy người ta thảo luận trực tiếp về việc bán hàng. Có đủ các đề tài — dữ liệu bị đánh cắp, hướng dẫn lừa đảo ngân hàng, theo dõi IP. Thậm chí còn có một chủ đề về anime, vì ngay cả tội phạm mạng cũng có sở thích riêng.

Trong phần phụ của diễn đàn về rò rỉ dữ liệu, tôi thấy có người bán các bộ đăng nhập dành cho các quản lý doanh nghiệp, các tài liệu chứng minh nhân dân từ khắp nơi trên thế giới — UAE, Ấn Độ, Qatar, Ả Rập Saudi. Một người nói rằng có dữ liệu bị rò rỉ từ công ty bảo hiểm MedBank của Úc. Thật vậy, vào năm 2022, hacker Nga đã đánh cắp dữ liệu của 9,7 triệu người Úc.

Ngoài ra còn có dịch vụ cho thuê. Các cuộc tấn công DDoS — tấn công từ chối dịch vụ phân tán, dùng để chặn các trang web. Truy cập vào máy tính từ xa của nạn nhân. Số điện thoại để nhận mã đăng nhập. Gửi hàng loạt email lừa đảo. Một người thậm chí đã tạo ra một banner quảng cáo giả mạo cho dịch vụ flood email của mình. Tất cả đều qua tiền điện tử.

Thú vị là một số dịch vụ hoạt động theo nguyên tắc escrow — bên thứ ba đã xác minh giữ tiền cho đến khi cả hai bên đều hài lòng. Điều này cho thấy thực sự có người bán hàng. Nhưng cũng có nhiều chủ đề về lừa đảo. Người ta lừa đảo lẫn nhau. Một người đã trả 300 đô la cho phần mềm vượt qua phần mềm diệt virus mà không nhận được gì. Người khác bỏ ra 500 đô la mua dữ liệu, rồi 1300 đô la cho dữ liệu khác — cũng chẳng nhận được gì.

Rò rỉ dữ liệu là ngành kinh doanh chính. Hacker bán các tài khoản email, mạng xã hội, PayPal. Người mua sau đó xâm nhập, trộm tiền hoặc phạm tội danh danh tính — vay mượn dựa trên tên của người khác, dùng hộ chiếu của nạn nhân. Đôi khi còn là tống tiền — hacker đăng nhập vào tài khoản, tìm ra thứ gì đó xấu hổ rồi đòi tiền chuộc.

Khi Binance bị tấn công vào tháng 2 năm 2024, dữ liệu KYC của người dùng đã xuất hiện để bán trên BreachForums. Điều này cho thấy thông tin bị rò rỉ nhanh chóng được đưa lên các diễn đàn dark web.

Làm thế nào để tự bảo vệ? Trước tiên — đừng truy cập dark web. Nghiêm túc đấy. Nhưng nếu bạn vẫn dùng internet, hãy bật xác thực hai yếu tố trên tất cả các tài khoản quan trọng. Điều này có nghĩa là bạn cần một thiết bị thứ hai — điện thoại. Kiểm tra kỹ địa chỉ URL trước khi nhấp vào liên kết. Cẩn thận với các liên kết và tải xuống tệp.

Nếu muốn kiểm tra xem email của bạn có nằm trong dark web không, hãy dùng Have I Been PWNed trên internet bình thường. Nếu phát hiện, hãy đổi mật khẩu ngay lập tức và bật 2FA. Nếu có người cố gắng xâm nhập nữa, hãy xem xét đổi toàn bộ địa chỉ email.

Dark web là một vấn đề thực sự. Hàng tỷ đô la được trao đổi về ma túy, tài khoản bị đánh cắp, phần mềm độc hại, vũ khí, dịch vụ hacker. BreachForums chỉ là một trong nhiều nền tảng như vậy. Dù diễn đàn bị chiếm quyền hoặc mở lại, tội phạm vẫn hoạt động ở đó. Có thể đang theo dõi, nhưng vẫn tiếp tục hoạt động.