Utforsk underwebfora: Hvordan nettkriminelle kommuniserer

Forrige uke fikk jeg en samtale fra Visa. "Hallo, Mr. Kassner, er du for tiden i Usbekistan?" Hu h. I ignorering av meg fortsatte den umettelige representanten, "Hva er mors mors pikenavn?" Da hadde jeg det. Noen hentet kredittkortnummeret mitt ... igjen.

Da jeg makulerte kredittkortet mitt, kom en tanke til meg. Stjeler medlemmer av internettets mørke side fra hverandre?

Alt jeg leser antyder - i motsetning til over bakken - er det en økonomisk boom som skjer i den digitale verdenen. Og det skjer ikke hvis stjeling fra hverandre er det viktigste direktivet. Så, hva vet de at vi ikke gjør det? Jeg måtte finne ut av det, men hvor skulle jeg begynne?

"Gjensidig mistillitfulle partier"

Så husket jeg "En analyse av underjordiske fora" skrevet av et universitet i California, San Diego forskerteam til Marti Motoyama, Damon McCoy, Kirill Levchenko, Stefan Savage og Geoffrey M. Voelker. Etter å ha jobbet med en av forfatterne - Stefan Savage - på en tidligere artikkel, visste jeg at papiret ville være verdt å lese.

Jeg hadde rett:

"I motsetning til tradisjonelle sosiale nettverk som Facebook, i underjordiske fora, koder kommunikasjonsmønsteret ikke bare for eksisterende sosiale relasjoner, men fanger opp det dynamiske tillitsforholdet som er smidd mellom gjensidig mistillitfulle partier."

Der er det: "forhold som er smidd mellom gjensidig mistillitsfulle partier." Jeg fortsatte å lese, i håp om å finne svar på hvordan - men gjorde det ikke.

For å være rettferdig var det ikke målet for forskerteamet. Intensjonen deres var å analysere aktivitetsposter (jeg kommer tilbake til dette senere) fra flere underjordiske fora: BlackhatWorld (BH), Carders (CC), L33tCrew (LC), Freehack (FH), HackSector (HS) og HackeL1te ( HL) og kvantifiser følgende:

  • Den sosiale sammensetningen av fora.
  • Hvordan brukere samhandlet.
  • Hvordan individuelle omdømme ble etablert.
  • Hvordan omdømme endret seg over tid.

For eksempel:

Utforske Underweb

Ikke gir opp, spurte jeg Brian Krebs, en ledende autoritet innen datakriminalitet og mangeårig helt av meg om hans hjelp.

Hvorfor Brian?

Brian har erfaring med å infiltrere tvilsomme underjordiske organisasjoner. Jeg leste først om utnyttelsene hans da han jobbet for Washington Post (Security Fix), deretter senere på bloggen hans Krebs on Security.

Jeg kontaktet Brian og fortalte ham om mitt forslag. Han svarte:

"Det er så mye å lære, og så mange vendinger at jeg fremdeles lærer om dem. De fleste styrer som sist har en ganske stiv sosial struktur, og kan være ganske hensynsløse for medlemmer, til og med mangeårige medlemmer, som har vist seg upålitelige på en måte. "

Og Brian gikk med på å hjelpe. Ja!

Kassner : Brian, jeg trodde det var best å starte med noen grunnleggende spørsmål.

Vi hører mye om underverdenen, men vet veldig lite om den. Forskningsteamets artikkel: "Analyse av underjordiske fora" tilbyr følgende beskrivelse:

"Brukere av underjordiske fora deltar i mange aktiviteter som ligner på de som finnes på tradisjonelle sosiale nettverk på nettet: De opprettholder profiler, legger andre brukere til kompislister og deltar i samtaler via privat melding.

Imidlertid er "raison d'etre" for slike fora ikke bare for sosial kontakt, men for å støtte kriminelle (eller i beste fall "grå hat") aktiviteter. Dermed deltar brukere av disse fora regelmessig i kjøp, salg og handel av fornærmende tjenester og ulovlig innhentede varer som kredittkortnummer, online valutaer, kompromitterte kontoer og til og med narkotika. "

Brian, er du enig i det? Savnet de noe?

Krebs : Det er en nøyaktig oppsummering. Det moderne kriminalitetsforumet er virkelig det som gjør Underweb til en så sterk styrke. Kriminelle som selger til kriminelle (skurk-til-kjeltring eller C2C-tjenester) hjelper selv de minst erfarne medlemmene å komme seg raskt fra bakken. Og de fleste fora har tutorials og seksjoner for nybegynnere. Men dette "å selge inn i markedet" senker virkelig barren for deltakelse i Underweb-økonomien.

Én ting jeg vil legge til, er at selv om mye kriminell handel foregår gjennom private meldinger i styrene, insisterer medlemmene i økende grad på at transaksjoner skal fullføres via direktemelding, og at det hovedsakelig er Jabber i disse dager.

Kassner : Jeg nevnte tidligere at jeg ikke hadde noen anelse om dette. Hvordan går man frem til å finne og bli med i underjordiske fora? Krebs : Det er tre hovedmåter. Det ene er at du bygger opp et rykte på ett brett og bruker det til å utnytte deg inn i et annet. Mer vanlig er kupongen: Et eksisterende medlem garanterer for et nytt medlem, og hvis det medlemmet viser seg å være en noob, en ripper (person som svindler andre medlemmer) eller en snitch, kan det føre til at medlemskapet i kupongen blir i fare.

En tredje måte er ikke så uvanlig som du kanskje tror: kaprede og stjålne kontoer. Til tross for den åpenbare risikoen er mange forummedlemmer menneskelige og derfor late, og har en tendens til å velge lett gjette passord. Det har vært utallige brudd på forumdatabaser som viser at mange medlemmer til og med bruker de samme passordene på flere fora.

Kassner : Hvordan forbereder man seg teknisk til å infiltrere et underjordisk forum? Krebs : Det vil avhenge veldig av forumet. Noen fora har flere lag med fysisk og operativ sikkerhet: De krever nettlesersertifikater, spesifikke OS-språkinnstillinger og kunnskap om spesifikke porter, og de kan være oppmerksom på IP-adressene dine. Andre bryr seg ikke om noe av det, og lar brukere til og med logge seg på via http: // (ukrypterte) tilkoblinger.

Utover det hjelper det å vite forumets språk. Mange kriminalitetsfora er på russisk, og noen av dem vil bli skremt hvis de ser noen moron i kanalen stille spørsmål på engelsk. Det er heller ikke veldig nyttig å bare komme på disse forumene som engelsktalende og prøve å kommunisere ved hjelp av Google Translate. Oversettelse er flott for hva det er, men de fleste av disse gutta på forumet kan se en ikke-morsmål fra en kilometer unna.

Jeg har lært russisk i mange år nå, og jeg blir fremdeles ropt ut (vanligvis i forbindelse med at jeg har nådd ut til et medlem for å lære mer om hans tjenester / verktøy / tilbud), og det medlemmet vil ganske enkelt bytte til engelsk fordi han vil selge og kan fortelle at russisk ikke er mitt førstespråk.

Du bør også være kjent med forumets etikette, eller du kan finne den hardt vunnede nye medlemskontoen din som er utestengt eller satt til "hjort / noob" -status.

Kassner : Forskningsoppgaven refererer til:

"Dynamiske tillitsforhold smidd mellom gjensidig mistillitfulle parter."

Brian, du må ha løpt på dette. Hvordan engasjerer "gjensidig mistillitfulle parter" nettforhold? Er det en undersøkelsesprosess som du måtte gjennom?

Krebs : Ja, mange fora vil sette nye medlemmer gjennom en kort medlemskapveteringsprosess, der eksisterende medlemmer oppfordres til å veterinere nykommeren, teste sine kunnskaper, undersøke deres historie osv.

Utover det er kjernetilliten til kriminalfora den samme som vanlige fora eller steder som eBay: Omdømme. Hvis du gjør et salg i undergrunnen, får du omdømme eller "rep" poeng. Hvis du hjelper et medlem med å svare på en forespørsel eller spørsmål, kan det hende at de kan tildele deg omdømmepoeng (hvis de selv har vært på forumet lenge nok til å tjene den retten).

Motsatt, hvis du oppfører deg som en idiot, ripper folk bort, oversvømmer andre medlemmers tråder med kommentarer eller egne salgsplasser, vil du miste poeng. Det er verdt å merke seg at hvis du ikke har noen poeng, tilsvarer det å ikke ha noe kreditt: Det er vanskelig for forummedlemmer å stole på deg, siden de ikke har noe grunnlag eller historie for å bestemme riktig tillitsnivå.

Kassner : Tilsynelatende er ikke alt perfekt i verden. Det ser ut til at underjordiske fora har medlemmer som oppfører seg feil, og til tider blir forvist. Ironisk nok hevder papiret at forvisning skyldes vanligvis mangel på skrupler. Følgende diagram viser de tre viktigste grunnene for å bli utestengt:

Spammer og malware er selvforklarende. De andre er ikke:

  • Dupliserte kontoer (dup. Akk): Prøver å omgå et tidligere forbud.
  • Inflammatoriske innlegg (Infl. Innlegg): Folk tagget som "troll."
  • Misbruk: Misbruk av forumforskrifter.
  • Rippers: Å lure andre medlemmer.
  • Handelsrelaterte problemer (Trade-rel.): Byttehandel med begrensede objekter.

Brian, fant du noen forekomster av mennesker som ble utestengt? Hva skjedde?

Krebs : Trolig er den vanligste årsaken ripping. Personen som ble dratt vil vanligvis legge ut en kopi av øyeblikkelig meldingsutskrift (er) av transaksjonen og påfølgende samtaler som bevis på brudd (er). Hvis forumets admins er enige, vil krenkeren bli slått til ripper-status. Dette skjer hele tiden, hver dag på mange fora. Kassner : Så underjordiske fora har problemer. Men de eksisterer fremdeles, blomstrer til og med. Kunne du se noe under bakken som kan bidra til å forbedre sikkerheten / personvernet for oss på toppen? Krebs : Godt spørsmål. Jeg vil si det er en påminnelse om at ting som truer sikkerheten vår, også er skikkelige for de skurkene. For eksempel dårlig sikkerhetspraksis (slurvete passord) og sosial ingeniørarbeid (som ønsker noe uten å være påpasselig med kilden eller omdømmet).

Forumene kan være gode indikatorer på hva som skjer eller kommer snart på toppen. Ofte kan du for eksempel ofte finne salg av større hackede nettsteder, eller spesifikke databaser som gir advarsel om kompromisser tidlig. I den grad noe handel med utnyttelser og sårbarheter med programvare / maskinvare / prosess foregår i undergrunnen, kan det være en indikator på hvor du skal se etter feil eller kommende angrep.

Det er mye intelligens som skal hentes fra Underweb, men ikke alt er nøyaktig, betimelig, ekte eller hva det ser ut til å være.

Aktivitetsjournaler

Jeg nevnte at jeg ville komme tilbake til hvordan forskerteamet innhente så mye informasjon om seks kjente underjordiske fora. Siden det ikke ble skrevet ut i papiret, bestemte jeg meg for å spørre teamet. Og forskeren Marti Motoyama var snill nok til å svare.

Kassner : Oppgaven nevner hvordan du mottok de lekke aktivitetspostene:

"I denne studien har vi luksusen av" bakken sannhet "- komplette poster av seks underjordiske fora via SQL-dumper av deres underliggende databaser."

Og:

"For en mer omfattende liste over tilgjengelige data, vennligst se Invision Power Board (for L33tCrew) og vBulletin databaseskjemaer. Vi beskriver kort formålet med hvert forum."

Jeg er nysgjerrig og satser på at leserne også er det. Hvordan fikk du faktiske aktivitetsregister fra disse forumene?

Motoyama : Vi vet ikke det sanne opprinnelsen til databasene på samme måte som man ikke vet den nøyaktige beviser for data som vises på WikiLeaks.

Vår forståelse er at rivaliserende kriminelle grupper - som hacker seg inn i og deretter legger ut konkurrentens databaser offentlig (samtidig en handling som demonstrerer deres evner og ødelegger konkurrentene) - har skaffet seg mye av det.

Vi fant vanligvis disse databasedumpene enten gjennom vår egen underjordiske sleuting eller med hjelp fra tredjepart som aktivt overvåker kriminell aktivitet på Internett.

Siste tanker

Takket være forskerteamet og Brian, har vi en bedre idé om hvordan det skjer i den digitale undergrunnen. Juryen er fremdeles ute etter om det er et æresystem eller om de har bygget en bedre musefelle.

Personlig merknad : Min kjære venn og forfatter mentor fikk meg til å love noe før han dro. Aldri, glem aldri ansvaret som er tillatt en ordetsmed. Jeg skal prøve, men trenger hjelp.

Fred, mann.

© Copyright 2021 | pepebotifarra.com