Siber suçlular genellikle her boyuttan ve şeritten geniş bir kurban yelpazesini besleyen parazitler olarak görülür. Ancak ortaya çıktığı gibi, kendi işaret setlerini bulmak için Dark Web pazarlarına akın eden bir dizi dipten beslenen “metaparazit” ile kendi başlarına hedef haline geldiler.
Bu, siber suçluların iletişim ve konum ayrıntıları da dahil olmak üzere zengin bir tehdit istihbaratını araştırmacılara ifşa etme mutlu yan etkisine sahip bir olgudur.
Sophos’un kıdemli tehdit araştırmacısı Matt Wixey, “” başlıklı bir oturumda metaparazit ekosistemini tartışmak üzere Black Hat Europe 2022’de sahneye çıktı.Dolandırıcıları Dolandıran Dolandırıcılar, Hackerları Hackleyen HackerlarAraştırma arkadaşı Angela Gunn ile yaptığı araştırmaya göre, yeraltı ekonomisi, siber suçlu arkadaşlarından yılda milyonlarca doları başarıyla çalan çok çeşitli dolandırıcılarla dolu.
İkili, üç Dark Web forumunda (Rusça konuşan Exploit ve XSS ve İngilizce konuşan Breach Forumları) 12 aylık verileri inceledi ve binlerce başarılı dolandırıcılık girişimini ortaya çıkardı.
Wixey, “Oldukça zengin bir seçim,” dedi. “Dolandırıcılar, bu forumların kullanıcılarından 12 ay boyunca yaklaşık 2,5 milyon ABD Doları dolandırdı. Dolandırıcılık başına miktar, en düşük altı rakama kadar 2 ABD Doları kadar düşük olabilir.”
Taktikler değişir, ancak en yaygın ve en kaba olanlardan biri, “parçala ve kaç” olarak bilinen bir kumardır. Bu, iki “rip” varyantından birine atıfta bulunur: Bir alıcı malları alır (istismar, hassas veriler, geçerli kimlik bilgileri, kredi kartı numaraları vb.) ancak bunlar için ödeme yapmaz; veya bir satıcıya ödeme yapılır ve asla vaat edileni teslim etmez. “Koş” kısmı, dolandırıcının piyasadan kaybolması ve herhangi bir soruyu yanıtlamayı reddetmesi anlamına gelir. Bunu akşam yemeği yemenin Karanlık Web versiyonu olarak kabul edin.
Ayrıca, var olmayan kripto hesapları, kötü niyetli hiçbir şey oluşturmayan makro oluşturucular, sahte veriler veya zaten halka açık olan veya daha önce sızdırılmış veritabanları gibi sahte ürünler satan çok sayıda dolandırıcı var.
Wixey, bunlardan bazılarının yaratıcı olabileceğini açıkladı.
“Bir .EXE metnini bir PDF’ye bağlayabildiğini iddia eden bir hizmet bulduk, böylece kurban PDF’ye tıkladığında arka planda yüklenirken .EXE sessizce çalışacaktı” dedi. “Dolandırıcının aslında yaptığı, onlara PDF simgesi olan bir belgeyi geri göndermekti, bu aslında bir PDF değildi ve .EXE de içermiyordu. Alıcının ne istediğini gerçekten bilmediğini umuyorlardı. veya nasıl kontrol edileceğini.”
Ayrıca, bir satıcının reklamı yapılan kalitede olmayan meşru mallar sunduğu dolandırıcılıklar da yaygındır – örneğin, gerçekte kartların yalnızca %10’u çalışırken %30 geçerli olduğunu iddia eden kredi kartı verileri. Veya veritabanları gerçektir, ancak satıcı onları birden fazla alıcıya satarken “özel” olarak ilan edilir.
Bazı durumlarda, dolandırıcıların daha çok uzun vadeli bir şekilde birlikte çalıştıklarını da sözlerine ekledi. Wixey’e göre siteler, üzerinde oynayabilecekleri “bir dereceye kadar içsel güven” uyandıran özel olma eğilimindedir.
Wixey, “Biri bir hedefle bir ilişki kuracak ve bir hizmet sunmayı teklif edecek; daha sonra bu işi çok daha iyi yapabilecek, konuda uzman başka birini gerçekten tanıdıklarını söyleyecekler” dedi. “Genellikle onları ikinci bir kişinin çalıştığı ve işlettiği, bir tür depozito veya kayıt ücreti gerektiren sahte bir foruma yönlendirirler. Kurban kayıt ücretini öder ve ardından her iki dolandırıcı da ortadan kaybolur.”
Forumlar Nasıl Karşı Koyar?
Wixey, etkinliğin Dark Web forumlarının kullanımı üzerinde olumsuz bir etkiye sahip olduğunu – “suç pazarları üzerinde etkili bir vergi görevi görerek, onu diğer herkes için daha pahalı ve daha tehlikeli hale getirdiğini” belirtti. Bu nedenle, ironik bir şekilde, birçok pazar dolandırıcılık dalgasını dizginlemeye yardımcı olmak için güvenlik önlemleri uyguluyor.
Forumlar, konu güvenlik önlemlerini almaya geldiğinde çeşitli zorluklarla karşı karşıyadır: Birincisi için kanun yaptırımına veya düzenleyici makamlara başvurmak mümkün değildir; ve yarı anonim bir kültür, suçluların izini sürmeyi zorlaştırıyor. Bu nedenle, uygulamaya konulan dolandırıcılıkla mücadele kontrolleri, faaliyeti izlemeye ve uyarılar vermeye odaklanma eğilimindedir.
Örneğin, bazı siteler, kullanıcıların sahte bir “katılım ücreti” ile dolandırıldığı sahte bir siteye değil, doğrulanmış bir siber suç forumuna bağlandığından emin olmak için bir URL’yi kontrol edecek eklentiler sunar. Diğerleri, onaylanmış dolandırıcılık araçları ve kullanıcı adlarından oluşan bir “kara liste” çalıştırabilir. Ve çoğu, kullanıcıların bir dolandırıcılık raporu sunabileceği özel bir tahkim sürecine sahiptir.
Wixey’e göre “Forumdaki başka bir kullanıcı tarafından dolandırıldıysanız, bu tahkim odalarından birine gidersiniz ve yeni bir ileti dizisi başlatırsınız ve bazı bilgiler sağlarsınız.” Bu bilgiler, dolandırıcı olduğu iddia edilen kişinin kullanıcı adı ve iletişim bilgilerinden, satın alma belgesi veya cüzdan transferi bilgilerinden ve ekran görüntüleri ve sohbet günlükleri dahil olmak üzere dolandırıcılığın mümkün olduğu kadar çok detayından oluşabilir.
Wixey, “Bir moderatör raporu inceler, gerektiğinde daha fazla bilgi ister ve ardından suçlanan kişiyi etiketler ve foruma bağlı olarak yanıt vermesi için 12 ila 72 saat arasında bir süre verir” dedi. “Sanık tazminat ödeyebilir, ancak bu oldukça nadirdir. Daha yaygın olan şey, dolandırıcının rapora itiraz etmesi ve bunun satış şartlarının yanlış anlaşılmasından kaynaklandığını iddia etmesidir.”
Bazıları yanıt vermiyor ve bu durumda geçici veya kalıcı olarak yasaklanıyorlar.
Forum kullanıcıları için başka bir güvenlik seçeneği, emanet hesabı görevi gören, site tarafından doğrulanmış bir kaynak olan bir garantörün kullanılmasıdır. Bozdurulacak para, mal veya hizmetlerin meşru olduğu teyit edilene kadar orada bekletilir. Bununla birlikte, garantörlerin kendileri genellikle dolandırıcılar tarafından taklit edilir.
Tehdit İstihbarat Hazinesi
Araştırma, Dark Web dünyasının ilginç bir alt parçasının iç işleyişine bir bakış sunarken, Wixey ayrıca özellikle tahkim sürecinin araştırmacılara harika bir tehdit istihbaratı kaynağı sağladığını da belirtti.
“Forumlar, bir dolandırıcılık iddia edildiğinde kanıt ister ve buna ekran görüntüleri ve sohbet günlükleri gibi şeyler de dahildir – ve kurbanlar genellikle buna mecbur olamayacak kadar mutludur,” diye açıkladı. “Azınlığı bu kanıtı düzeltir veya kısıtlar, bu nedenle yalnızca bir moderatör tarafından görülebilir, ancak çoğu bunu yapmaz. Düzeltilmemiş ekran görüntüleri ve genellikle kripto para birimi adresleri, işlem kimlikleri, e-posta adreslerinden oluşan bir hazine içeren sohbet günlükleri yayınlayacaklar. , IP adresleri, kurban adları, kaynak kodu ve diğer bilgiler. Ve bu, OpSec’in normalde oldukça iyi olduğu suç pazarlarının diğer alanlarının aksine.”
Bazı dolandırıcılık raporları ayrıca, bir kişinin masaüstünün tarih, saat, hava durumu, dil ve konum için kırıntılar sunan uygulamalar dahil olmak üzere tam ekran görüntülerini içerir.
Başka bir deyişle, normal önlemler pencereden dışarı çıkıyor. Üç forumdaki en son 250 dolandırıcılık raporunun Sophos analizi, bunların neredeyse %40’ının bir tür ekran görüntüsü içerdiğini ortaya çıkardı; yalnızca %8’i kanıtlara erişimi kısıtladı veya özel olarak sunmayı teklif etti.
Wixey, “Genel olarak, dolandırıcılık raporları hem teknik istihbarat hem de stratejik istihbarat için yararlı olabilir.”
“Buradaki en büyük çıkarım, tehdit aktörlerinin aldatma, sosyal mühendislik veya dolandırıcılığa karşı bağışık görünmemesidir” diye ekledi. “Aslında herkes kadar savunmasız görünüyorlar. Bu biraz ilginç çünkü bunlar tam olarak diğer kullanıcılara karşı kullandıkları türden teknikler.”
