Abbiamo ottenuto accesso a BreachForums, un forum online chiuso con una fiorente comunità di cybercrime, per avere un'idea dei prodotti e dei servizi venduti sul mercato nero digitale del dark web.
Ecco cosa abbiamo trovato.
Questo articolo è scritto per scopi educativi e non incoraggia l'uso del dark web.
Indice
Cos'è il dark web?
Cos'è BreachForums?
Cosa abbiamo trovato nell'hub di crimine del dark web BreachForums
Servizi trovati su BreachForums
Cosa fanno i criminali del dark web con i dati rubati degli utenti?
Come rimanere al sicuro online
Cos'è il dark web?
Come informazione di base, chiarifichiamo cosa intendiamo per dark web e forum di cybercrime. Il dark web è una parte nascosta di internet, accessibile solo tramite software di navigazione speciali come Tor, che si concentra sull'anonimato degli utenti.
Il dark web funge da hub per usi legittimi, come la navigazione attenta alla privacy, e attività illegali, inclusa la vendita di dati rubati, droghe, armi, servizi e altri beni di contrabbando.
I forum di cybercrime sul dark web sono comunità dove hacker, truffatori e altri criminali scambiano informazioni, strumenti e servizi, spesso coinvolgendo criptovalute per facilitare transazioni anonime.
Potresti anche essere interessato a: Gli hacker pubblicano il codice del wallet Bitcoin Chivo di El Salvador
Cos'è BreachForums?
BreachForums è stato lanciato come RaidForums nel 2015 dal hacker portoghese Diogo Santos Coelho. RaidForums è stato avviato come una comunità focalizzata sul 'raid' di siti web e spazi online come forma di scherzo, trolling o interruzione online.
Tuttavia, mentre gli hacker sul sito iniziavano a violare piattaforme di social media e siti web e rubare milioni di credenziali utente, iniziavano a vendere queste credenziali al miglior offerente. RaidForums è rapidamente evoluto in uno dei più sofisticati e affermati hub di attività criminale organizzata del dark web.
I dati KYC degli utenti Binance sembrano essere in vendita sul dark web ora presunto leak hack su github pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) 4 febbraio 2024
Quando Binance è stata violata nel febbraio 2024, BreachedForums è stato il primo luogo dove i dettagli KYC dell'utente sono apparsi in vendita, e lo stesso valeva per il codice del Bitcoin ATM trapelato utilizzato nello stato di El Salvador, che è apparso in vendita su BreachForums nell'aprile dello stesso anno.
Il sito ha iniziato ad attrarre criminali informatici in cerca di acquistare informazioni sensibili da violazioni della sicurezza aziendale e persino documenti governativi trapelati, facendolo diventare il fulcro degli sforzi delle forze dell'ordine internazionali.
Nel 2022, Europol e le agenzie di intelligence statunitensi hanno collaborato per sequestrare il sito e identificare e arrestare il fondatore Diogo Santos Coelho che ora è in custodia nel Regno Unito in attesa di estradizione negli Stati Uniti per accuse di cybercrime.
Banner dell'FBI posizionato su BreachForums dopo la confisca del 2022
RaidForums è stato rapidamente ristabilito come BreachForums da un utente chiamato PomPomPurin che è stato arrestato dall'FBI nel 2023, e il sito è stato preso in carico da un altro utente chiamato Baphomet. BreachForums è stato sequestrato dall'FBI nel maggio 2024, sebbene versioni clonate del sito siano riapparsi ancora una volta.
Anche se il sito vanta ancora una forte attività, come stiamo per mostrare, molti utenti online hanno speculato che il sito potrebbe essere un 'honeypot' o una trappola allestita dall'FBI per monitorare i criminali informatici ed esporli per la prosecuzione.
Cosa abbiamo trovato nell'hub di crimine del dark web BreachForums
Entrando in BreachForums, siamo stati immediatamente confrontati con una raffica di attività illegali proposte. Mentre alcuni forum di cybercrime adottano un approccio più sottile mascherandosi come comunità di appassionati di IT e cybersecurity, BreachForums non ha mai fatto alcuno sforzo per nascondere la sua vera natura, e la home page al momento del nostro accesso mostrava utenti che offrivano i servizi violenti del MS13 o del gang La Mara Salvatruca per $10.000.
Come tutti i post del dark web che coinvolgono violenza, è più probabile che questa sia una truffa piuttosto che un'offerta genuina, ma l'attività illegale non si è fermata lì. La chatbox scorrevole del sito mostrava anche utenti che discutevano, in tempo reale, la vendita del mercato del forum, che è in fermento con venditori che offrono prodotti illegali come dati rubati, tutorial su frodi bancarie e frodi con carte di credito, tracciamento IP e molto altro.
C'era anche, ovviamente, un thread di apprezzamento di Anime e Manga perché anche i criminali informatici hanno hobby.
Thread Anime | fonte: BreachForums
Tutti i post mostrati in questo articolo sono stati pubblicati entro poche ore dal nostro accesso iniziale, dimostrando una forte attività in una comunità online che è ancora molto attiva, sebbene si presuma sotto pesante osservazione da parte delle forze dell'ordine.
L'immagine sopra mostra utenti che vendono accesso a tutto, dalle piattaforme di streaming video online come Paramount Plus e Netflix agli account OnlyFans violati.
I post nel sottforum di dati trapelati mostrano utenti che vendono fughe di dati, comprese confezioni di accessi email per direttori C-Suite di varie aziende così come documenti d'identità dagli Emirati Arabi Uniti, India, Qatar e Arabia Saudita, oltre a una fuga di file e immagini rubate da email militari saudite.
Quest'ultimo leak contenente documenti militari appare genuino secondo la nostra indagine preliminare ma è stato anche mostrato essere del 2016, indicando che questo utente sta tentando di spacciare vecchie informazioni trapelate come fresche, uno dei tanti esempi dei tipi di truffe che avvengono anche tra i criminali informatici online.
Un utente ha affermato di avere accesso esclusivo a una fuga di dati di MedBank, un'assicurazione sanitaria australiana, e MedBank dell'Australia è stata effettivamente violata da criminali informatici russi nel 2022 quando sono state rubate informazioni personali di 9,7 milioni di australiani.
Sottforum fughe di dati | fonte: BreachForums
A differenza dei post di tipo killer a pagamento di cui il dark web è famoso, queste fughe di documenti e identità sono purtroppo molto plausibili, poiché lo scopo principale di BreachForums è infatti vendere dati rubati di questo tipo, e gli affari sono fioriti per anni.
Tuttavia, con i ripetuti sequestri e arresti da parte delle forze dell'ordine, è possibile che alcuni di questi post siano anche trappole dell'FBI o di altre agenzie che cercano di catturare i criminali sul fatto.
Servizi trovati su BreachForums
Oltre ai dati rubati, i criminali informatici industriosi offrono anche vari servizi a pagamento sul dark web, accettando invariabilmente criptovaluta come pagamento.
Su BreachForums, abbiamo immediatamente trovato utenti che si proponevano di offrire servizi DDoS, accesso a un attacco distribuito di negazione del servizio in cui i criminali sfruttano un botnet per fermare le operazioni di un sito web per estorcere denaro alla vittima, mirare a concorrenti o semplicemente per dispetto di un nemico.
Sottforum Servizi | fonte: BreachForums
Un gruppo online di sviluppatori di criminalità informatica aveva un annuncio per servizi HNVC o Hidden Virtual Network Computing che possono essere utilizzati per ottenere accesso remoto al computer di una vittima.
È stato interessante notare che molto simile a un annuncio per servizi online legali, il post aveva un elenco dettagliato di caratteristiche e opzioni di prezzo disponibili e offriva supporto clienti sia in russo che in inglese.
Sottforum Servizi | fonte: BreachForums
Altri servizi includevano servizi per fornire numeri di telefono che consentivano ai criminali di ricevere codici di accesso per attivare account online senza identificarsi o utilizzare il proprio numero di telefono.
Abbiamo trovato invii di email in massa utilizzati per campagne di marketing illegali per prodotti, truffe di phishing o altro malware, e abbiamo anche visto pubblicità per flooder di email utilizzati per intasare la casella di posta di un nemico nel tentativo di rendere l'email inutilizzabile o nascondere attività malevole come avvisi di tentativi di accesso.
Un flooder di email ha fatto lo sforzo di creare quello che sembra essere un banner pubblicitario e un logo generato dall'AI per il loro servizio, il cui nome abbiamo censurato per non pubblicizzare i loro servizi.
Annuncio generato dall'AI per un flooder di email del dark web | Fonte: BreachForums
Abbiamo visto interi thread dedicati ai servizi che vendono accesso a server online remoti, servizi di programmazione per lo sviluppo web e persino servizi di graphic design, tutti utilizzabili per creare truffe sofisticate come pagine di atterraggio fraudolente per rubare i dati degli utenti delle vittime.
Naturalmente, mentre alcuni di questi servizi possono essere legittimi, molti di essi sono probabilmente falsi, e a causa del sito che è stato sequestrato e riaperto più volte, gli account qui hanno tutti meno di due anni.
I forum di cybercrime spesso operano su base di escrow, o sulla base di fiducia dove un utente ha una comprovata esperienza di vendite 'oneste', mentre questo nuovo sito ha poche misure in atto per proteggere contro truffe.
Abbiamo visto diversi servizi pubblicizzare che accettano pagamenti in escrow, il che significa che una terza parte verificata trattiene i fondi fino a quando entrambe le parti non sono soddisfatte del pagamento, come con questo sviluppatore che offre siti web di phishing pre-fatti e pagine di atterraggio.
Sottforum Servizi | fonte: BreachForums
La disponibilità ad accettare pagamenti in escrow indica che questo utente potrebbe effettivamente vendere ciò che afferma di vendere, anche se ci sono probabilmente molte truffe che coinvolgono pagamenti in escrow su questo sito.
Infatti, il sito ha un intero thread di truffe che mostra un registro di utenti che segnalano truffe sul sito.
L'utente uuu732 riporta che i loro sforzi per truffare altri online si sono ritorcesi contro a causa di essere caduti vittima di una truffa su BreachForums stessi. Hanno pagato l'utente PennyTrate-x $300 per un software che avrebbe permesso loro di eludere i software di rilevamento malware e inviare PDF infettati da malware alle loro vittime ignare.
Sottforum di segnalazioni di truffe | fonte: crypto.news
Il venditore non ha fornito la merce e quando il moderatore ha chiesto loro una spiegazione, hanno rifiutato di rispondere, portando al divieto del loro account.
Un altro utente ha segnalato una disputa con un venditore diverso. In questo caso, l'utente ha speso $500 tentando di acquistare un database di credenziali utente violate da una compagnia assicurativa svizzera e ulteriori $1.300 tentando di acquistare il database di un outlet retail svizzero. Hanno segnalato di non aver ricevuto i loro dati illeciti in nessuna delle due transazioni.
Cosa fanno i criminali del dark web con i dati rubati degli utenti?
I criminali informatici acquistano dati di accesso e dati degli utenti nel tentativo di hackerare email e account sui social media per ottenere accesso alle finanze di un utente e derubarli, o per ottenere accesso a informazioni sensibili che possono ulteriormente sfruttare.
Ad esempio, un criminale del dark web potrebbe accedere all'account PayPal di un utente e tentare di effettuare acquisti non autorizzati o trasferire fondi direttamente a un altro account, o commettere furto d'identità richiedendo prestiti a nome di qualcun altro utilizzando le loro informazioni del passaporto.
Queste informazioni sono anche comunemente utilizzate per scopi di estorsione e ricatto quando i criminali trovano informazioni sensibili accedendo agli account delle loro vittime.
Come rimanere al sicuro online
Come possiamo vedere, il dark web è una sottosezione pericolosa di internet per molti motivi. Anche su questo sito che è stato sequestrato e riaperto più volte, troviamo un bazar a cielo aperto di attività criminali che vanno da servizi e prodotti illegali a truffe perpetrate contro altri membri del forum. Sulla rete chiara, gli utenti possono rimanere al sicuro implementando l'autenticazione a due fattori sui loro dispositivi e account online, il che significa che è necessario un secondo dispositivo come il loro telefono per accedere a un account. Questo può aiutare a prevenire attacchi di hacking e phishing. Allo stesso modo, prestare attenzione a verificare gli URL online per assicurarsi che siano corretti e non errati o fraudolenti può aiutare a prevenire di cadere vittima di un attacco.
Utenti ignari che visitano il dark web, anche solo per interesse personale, si troveranno a fianco di truffatori e hacker esperti che cercano qualsiasi debolezza possano trovare. Gli utenti che visitano il dark web dovrebbero evitare di cliccare su link sconosciuti o scaricare file, e anche se dovrebbe andare senza dire, effettuare un acquisto di qualsiasi tipo può aprirti a tutti i tipi di problemi sia da attori legali che non legali.
Infatti, il modo migliore per rimanere al sicuro dal dark web è semplicemente non visitarlo affatto! Lasciaci fare questo per te. Puntiamo a visitare altri angoli del dark web regolarmente e fornire aggiornamenti regolari sui nostri risultati, tenendoti aggiornato sul ventre dell'internet globale.
Potresti anche essere interessato a: L'FBI traccia trasferimenti di criptovaluta per smantellare un mercato del dark web da $100 milioni
Come accedere al dark web su un Chromebook?
La gente chiede questo tutto il tempo e la risposta è un po' complicata. In primo luogo, non raccomandiamo a nessuno di accedere al dark web! Mentre lo spazio è interessante da esplorare dal punto di vista giornalistico, è anche pieno di truffatori e altri tipi di criminali che possono essere pericolosi. Per accedere al dark web su un Chromebook, le persone tipicamente installano Linux tramite l'app Crostini e aggiungono semplicemente il repository del browser Tor per accedere ai servizi nascosti di Tor, alias il dark web. Tuttavia, ancora una volta, questo non è raccomandato a meno che non venga fatto per scopi di ricerca o giornalismo.
Perché il dark web è così inquietante?
Il dark web ha una reputazione di essere 'inquietante' in parte a causa della prevalenza di popolari video su YouTube che mostrano YouTuber che affermano di aprire 'scatole misteriose' dal dark web, così come la popolarità di racconti brevi e 'creepypasta' che presentano il dark web nella narrativa horror.
In realtà, questi video sono tipicamente messi in scena, e il dark web è spesso più professionale. Le persone di solito accedono ad esso per condividere informazioni senza essere censurati o perseguitati, come i whistleblower politici, o, ovviamente, per perpetrate cybercrime e trattare beni di contrabbando.
Come posso controllare se la mia email è sul dark web?
Mentre gli indirizzi email violati vengono venduti su siti come Nulled, non è necessario accedere al dark web per vedere se la tua email è lì. Per controllare se la tua email è sul dark web, puoi utilizzare lo strumento Have I Been PWNed sulla rete chiara.
Il dark web è reale?
Sì, il dark web è molto reale! Grandi somme di denaro vengono scambiate nella vendita di narcotici, account online violati, malware, armi, servizi di hacking a pagamento e altre forme di contrabbando.
Cosa fare se l'email è sul dark web?
Se la tua email risulta essere sul dark web, dovresti cambiare immediatamente la tua password e impostare l'autenticazione a due fattori (2FA). Se scopri che le persone cercano ancora di accedere al tuo account, come con email nella tua casella di posta che ti chiedono di confermare accessi, potresti voler considerare di cambiare completamente il tuo indirizzo email.