Získali jsme přístup na BreachForums, uzavřené online fórum s prosperující komunitou kyberzločinců, abychom získali představu o produktech a službách prodávaných na digitálním černém trhu temného webu.
Tady je to, co jsme našli.
Tento článek je napsán pro vzdělávací účely a nepodporuje používání temného webu.
Obsah
Co je temný web?
Co je BreachForums?
Co jsme našli na temném webu na zločineckém uzlu BreachForums
Služby nalezené na BreachForums
Co dělají zločinci na temném webu s ukradenými uživatelskými daty?
Jak zůstat v bezpečí online
Co je temný web?
Abychom objasnili, co máme na mysli pod pojmem temný web a fóra kyberzločinu, temný web je skrytá část internetu, přístupná pouze prostřednictvím speciálního prohlížecího softwaru, jako je Tor, která se zaměřuje na anonymitu uživatelů.
Temný web slouží jako uzel pro legitimní použití, jako je procházení s ohledem na soukromí, a nelegální činnosti, včetně prodeje ukradených údajů, drog, zbraní, služeb a jiného kontrabandu.
Fóra kyberzločinu na temném webu jsou komunity, kde hackeři, podvodníci a další zločinci vyměňují informace, nástroje a služby, často za použití kryptoměn k usnadnění anonymních transakcí.
Můžete mít také zájem: Hackeři unikli kód digitální peněženky El Salvadoru Chivo Bitcoin
Co je BreachForums?
BreachForums byl spuštěn jako RaidForums v roce 2015 portugalským hackerem Diogo Santos Coelho. RaidForums byl založen jako komunita zaměřená na 'raiding' webových stránek a online prostorů jako formu prankování, trolling nebo online disruptivní činnosti.
Jakmile však hackeři na webu začali pronikat do platforem sociálních médií a webových stránek a krást miliony přihlašovacích údajů uživatelů, začali tyto přihlašovací údaje prodávat nejvyššímu nabídce. RaidForums se rychle vyvinul v jedno z nejsofistikovanějších a nejzavedenějších center organizované zločinné činnosti na temném webu.
Údaje o uživatelském KYC Binance se zdají být nyní na prodej na temném webu, údajný únik kódu github pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) 4. února 2024
Když byl Binance narušen v únoru 2024, BreachedForums bylo první místo, kde se detaily uživatele KYC objevily na prodej, a to samé platilo pro uniklý kód Bitcoin ATM používaný ve státě El Salvador, který se objevil na prodej na BreachForums v dubnu téhož roku.
Stránka začala přitahovat kyberzločince hledající citlivé informace z porušení firemní bezpečnosti a dokonce uniklé vládní dokumenty, což způsobilo, že se stala cílem mezinárodních právních úřadů.
V roce 2022 spolupracovaly Europol a americké zpravodajské agentury na zabavení webové stránky a identifikaci a zatčení zakladatele Diogo Santos Coelha, který nyní čeká na vydání ve Spojeném království za obvinění z kyberzločinu.
Banner FBI umístěný na BreachForums po zabavení v roce 2022
RaidForums byl rychle znovu založen jako BreachForums uživatelem jménem PomPomPurin, který byl zatčen FBI v roce 2023, a stránku převzal jiný uživatel jménem Baphomet. BreachForums byla zabavena FBI v květnu 2024, i když se od té doby opět objevily klonované verze stránky.
Zatímco stránka stále vykazuje silnou aktivitu, jak brzy ukážeme, mnoho online uživatelů spekulovalo, že webová stránka může být 'pastí' nebo léčka nastavená FBI, aby sledovala kyberzločince a odhalila je k trestnímu stíhání.
Co jsme našli na temném webu na zločineckém uzlu BreachForums
Po vstupu na BreachForums jsme se okamžitě setkali s přívalem navrhované nelegální činnosti. Zatímco některá fóra kyberzločinu se snaží maskovat jako komunity nadšenců IT a kybernetické bezpečnosti, BreachForums nikdy nepodniklo žádné kroky k tomu, aby skrylo svou pravou povahu, a domovská stránka v době našeho přihlášení ukazovala uživatele, kteří nabízeli násilné služby gangu MS13 nebo La Mara Salvatruca za 10 000 dolarů.
Jako všechny příspěvky na temném webu zahrnující násilí, je to pravděpodobně více podvod než skutečná nabídka, ale nelegální činnost se tu nezastavila. Skrolovací chatbox webové stránky také zobrazoval uživatele, kteří diskutovali, v reálném čase, o prodeji tržiště fóra, které je plné prodejců nabízejících nelegální produkty jako ukradená data, návody na bankovní podvody a podvody s kreditními kartami, IP sledování a mnohem více.
Bylo tam také, samozřejmě, vlákno o obdivu anime a mangy, protože i kyberzločinci mají koníčky.
Anime vlákno | zdroj: BreachForums
Všechny příspěvky zobrazené v tomto článku byly zveřejněny během několika hodin po našem prvním přihlášení, což dokazuje silnou aktivitu v online komunitě, která je stále velmi aktivní, i když se předpokládá, že je pod těžkým dohledem orgánů činných v trestním řízení.
Výše uvedený obrázek ukazuje uživatele prodávající přístup k čemukoli od online video streamovacích platforem, jako jsou Paramount Plus a Netflix, po narušené účty OnlyFans.
Příspěvky v subforu s uniklými daty ukázaly uživatele prodávající úniky dat, včetně balíčků e-mailových přihlašovacích údajů pro ředitele C-Suite různých společností, stejně jako identifikačních dokumentů z SAE, Indie, Kataru a Saúdské Arábie, a také únik souborů a obrázků ukradených z e-mailů saúdské armády.
Tento poslední únik týkající se vojenských dokumentů se podle našeho předběžného vyšetřování jeví jako pravý, ale také bylo prokázáno, že pochází z roku 2016, což naznačuje, že tento uživatel se snaží předložit staré uniklé informace jako čerstvé, což je jeden z mnoha příkladů typů podvodů, které probíhají i mezi kyberzločinci online.
Jeden uživatel tvrdil, že má exkluzivní přístup k úniku australského zdravotního pojištění MedBank, a MedBank v Austrálii byla skutečně narušena ruskými kyberzločinci v roce 2022, kdy byly ukradeny osobní údaje 9,7 milionů Australanů.
Subforum úniků databází | zdroj: BreachForums
Na rozdíl od příspěvků o nájemných zabijácích, pro které je temný web známý, jsou tyto úniky dokumentů a identit bohužel velmi plausibilní, neboť hlavním cílem BreachForums je skutečně prodávat ukradená data tohoto druhu, a podnikání vzkvétá již léta.
Nicméně, s opakovanými zabaveními a zatčeními ze strany orgánů činných v trestním řízení je možné, že některé z těchto příspěvků jsou také pasti od FBI nebo jiných agentur, které se snaží chytit zločince při činu.
Služby nalezené na BreachForums
Kromě ukradených dat také pracovití kyberzločinci nabízejí různé služby na temném webu, obvykle přijímající kryptoměnu jako platbu.
Na BreachForums jsme okamžitě našli uživatele, kteří se tvářili, že nabízejí DDoS služby, přístup k distribuovanému útoku na odmítnutí služby, kde zločinci využívají botnet k uzavření operací webové stránky, aby buď vynutili peníze od oběti, cíleně na konkurenční podniky nebo prostě ze zloby na nepřítele.
Subforum služeb | zdroj: BreachForums
Jedna online skupina kyberzločineckých vývojářů měla reklamu na služby HNVC nebo Skryté virtuální síťové výpočty, které lze použít k získání vzdáleného přístupu k počítači oběti.
Bylo zajímavé si povšimnout, že podobně jako reklama na legální online služby, měl příspěvek podrobný seznam funkcí a cenových možností a nabízel zákaznickou podporu v ruštině i angličtině.
Subforum služeb | zdroj: BreachForums
Mezi další služby patřily služby poskytující telefonní čísla, která umožňují zločincům přijímat přihlašovací kódy k aktivaci online účtů, aniž by se identifikovali nebo použili své vlastní telefonní číslo.
Našli jsme hromadné e-mailové odesílatele používané pro nelegální hromadně marketingové kampaně na produkty, phishingové podvody nebo jiný malware a také jsme viděli reklamy na e-mailové floodery používané k zahlcení e-mailové schránky nepřítele ve snaze učinit e-mail nepoužitelným nebo skrýt škodlivé aktivity, jako jsou varování o pokusech o přihlášení.
Jeden e-mailový flooder se postaral o vytvoření toho, co se zdá být bannerovou reklamou a logem pro jejich službu generovanou AI, jejíž název jsme cenzurovali, abychom nepropagovali jejich služby.
Reklama generovaná AI pro e-mailového floodera na temném webu | Zdroj: BreachForums
Viděli jsme celé diskuse zaměřené na služby prodávající přístup k vzdáleným online serverům, programovací služby pro webový vývoj a dokonce i grafické designové služby, které by mohly být použity k vytváření sofistikovaných podvodů, jako jsou falešné vstupní stránky k ukradení uživatelských dat obětí.
Samozřejmě, zatímco některé z těchto služeb mohou být legitimní, mnohé z nich jsou pravděpodobně falešné, a vzhledem k tomu, že webová stránka byla zabavena a znovu otevřena několikrát, účty zde jsou všechny mladší než dva roky.
Fóra kyberzločinu často fungují na základě escrow nebo na základě důvěry, kde má uživatel prokázanou historii 'poctivých' prodejů, zatímco tato nová webová stránka má málo opatření na ochranu proti podvodům.
Viděli jsme několik služeb, které inzerovaly, že přijímají escrow platby, což znamená, že prověřená třetí strana drží prostředky, dokud nejsou obě strany spokojené s platbou, jak tomu bylo u tohoto vývojáře nabízejícího předpřipravené phishingové webové stránky a vstupní stránky.
Subforum služeb | zdroj: BreachForums
Ochota přijmout escrow naznačuje, že tento uživatel skutečně může prodávat to, co tvrdí, že prodává, ačkoli na této stránce pravděpodobně existuje mnoho podvodů zahrnujících escrow platby.
Ve skutečnosti má stránka celé vlákno podvodů, které ukazuje záznam uživatelů hlásících podvody na místě.
Uživatel uuu732 hlásí, že jejich snahy o podvodné jednání s ostatními online selhaly, protože se sami stali obětí podvodu na BreachForums. Zaplatili uživateli PennyTrate-x 300 dolarů za software, který by jim umožnil obejít detekční software malware a posílat PDF soubory infikované malwarem jejich důvěřivým obětem.
Podfukářské zprávy | zdroj: crypto.news
Prodávající nedodal zboží, a když se moderátor zeptal na vysvětlení, odmítl odpovědět, což vedlo k zablokování jeho účtu.
Další uživatel oznámil spor s jiným prodejcem. V tomto případě uživatel utratil 500 dolarů za pokus o koupi databáze uživatelských přihlašovacích údajů zasažené ze švýcarské pojišťovny a dalších 1 300 dolarů za pokus o koupi databáze švýcarského maloobchodu. Oznámili, že v žádné transakci nedostali své nelegální údaje.
Co dělají zločinci na temném webu s ukradenými uživatelskými daty?
Kyberzločinci kupují přihlašovací údaje a uživatelská data ve snaze hacknout e-mailové a sociální média účty, aby buď získali přístup k financím uživatele a oloupili je, nebo aby získali přístup k citlivým informacím, které mohou dále zneužít.
Například kyberzločinec na temném webu by mohl přistupovat k uživatelskému účtu PayPal a pokusit se provést neoprávněné nákupy nebo převést prostředky přímo na jiný účet, nebo spáchat krádež identity tím, že zažádá o půjčky na jméno někoho jiného pomocí jejich informací z pasu.
Tyto informace jsou také běžně používány k vydírání a šantáži, když zločinci najdou citlivé informace přihlášením do účtů svých obětí.
Jak zůstat v bezpečí online
Jak vidíme, temný web je nebezpečná podsekce internetu z mnoha důvodů. I na této webové stránce, která byla zabavena a znovu otevřena několikrát, nacházíme otevřený trh zločinné činnosti, počínaje nelegálními službami a produkty až po podvody páchané na jiných členech fóra. Na čistém internetu se mohou uživatelé chránit tím, že implementují dvoufaktorové ověřování na svých zařízeních a online účtech, což znamená, že je potřeba druhé zařízení, jako je jejich telefon, k přihlášení do účtu. To může pomoci zabránit hackům a phishingovým útokům. Stejně tak, pečlivé ověřování URL online, aby se zajistilo, že jsou správné a ne překroucené nebo podvodné, může pomoci předejít tomu, abyste se stali obětí útoku.
Důvěřiví uživatelé navštěvující temný web, i čistě z osobního zájmu, se ocitnou v blízkosti zkušených podvodníků a hackerů, kteří hledají jakoukoli slabinu, kterou mohou najít. Uživatelé navštěvující temný web by se měli vyvarovat klikání na jakékoli neznámé odkazy nebo stahování jakýchkoli souborů, a zatímco by mělo být samozřejmé, provedení jakéhokoli druhu nákupu vás může vystavit všem možným problémům od právních až po nelegální.
Ve skutečnosti je nejlepší způsob, jak se chránit před temným webem, jednoduše na něj vůbec nechodit! Nechte to na nás. Snažíme se pravidelně navštěvovat jiné kouty temného webu a pravidelně informovat o našich zjištěních, abychom vás udrželi informované o podsvětí globálního internetu.
Můžete mít také zájem: FBI sleduje kryptoměnové převody, aby rozbila trh s kontrabandem na temném webu za 100 milionů dolarů
Jak se dostat na temný web na Chromebooku?
Lidé se na to ptají pořád, a odpověď je trochu složitá. Především nedoporučujeme, aby kdokoliv přistupoval na temný web! I když je prostor zajímavý k prozkoumání z novinářského hlediska, je také plný podvodníků a dalších typů zločinců, se kterými může být nebezpečné se setkat. Aby se lidé dostali na temný web na Chromebooku, obvykle instalují Linux prostřednictvím aplikace Crostini a jednoduše přidávají repozitář pro prohlížeč Tor, aby získali přístup k Torovým skrytým službám, známým jako temný web. Nicméně, znovu, to se nedoporučuje, pokud to není děláno pro výzkumné nebo novinářské účely.
Proč je temný web tak děsivý?
Temný web má pověst 'děsivého' částečně díky prevalenci populárních videí na YouTube, která ukazovala YouTubery, jak tvrdí, že otvírají 'mystery boxy' z temného webu, stejně jako popularitě krátkých příběhů a 'creepypastas', které zahrnovaly temný web v hororové fikci.
Ve skutečnosti jsou tyto videa obvykle inscenována a temný web je často více byznysový. Lidé se na něj obvykle dostávají buď, aby sdíleli informace bez cenzury nebo pronásledování, jako jsou politické whistlebloweři, nebo samozřejmě, aby páchali kyberzločin a obchodovali s kontrabandem.
Jak zkontrolovat, zda je můj e-mail na temném webu?
Zatímco narušené e-mailové adresy se prodávají na webových stránkách jako Nulled, nemusíte přistupovat na temný web, abyste zjistili, zda je váš e-mail tam. K ověření, zda je váš e-mail na temném webu, můžete použít nástroj Have I Been PWNed na čistém internetu.
Je temný web skutečný?
Ano, temný web je velmi skutečný! Velké částky peněz se vyměňují za prodej narkotik, narušených online účtů, malwaru, zbraní, hackerských služeb k pronájmu a jiných forem kontrabandu.
Co dělat, pokud je e-mail na temném webu?
Pokud je váš e-mail nalezen na temném webu, měli byste okamžitě změnit své heslo a nastavit dvoufaktorové ověřování (2FA). Pokud zjistíte, že se lidé stále pokoušejí přistupovat k vašemu účtu, například s e-maily ve vaší schránce, které vás žádají o potvrzení přihlášení, možná byste měli zvážit změnu své e-mailové adresy úplně.