Очевидно, что форумы не сдаются, но что же лежит в основе лояльности их пользователей? Ответ кроется в нескольких аспектах, которые могут быть применимы даже к добросовестным службам поддержки:
Рисунок 1: Домашняя страница XSS
В случае с DamageLab, кажущееся превосходство форума привело к одному из самых неожиданных событий в русскоязычной киберпреступности за последние годы. DamageLab был основан в 2004 году и стал одним из самых известных русскоязычных форумов. В декабре 2017 года один из администраторов DamageLab, белорус Сергей Ярец, был арестован в ходе совместной операции белорусских, американских и европейских правоохранительных органов за участие в форуме и ботнете Andromeda. После ареста «Ar3s» (никнейм Ярца на форуме) оставшаяся команда администраторов DamageLab приняла решение полностью закрыть форум, чтобы защитить пользователей от дальнейшего расследования со стороны властей.
Необычно то, что спустя почти год (в конце 2018 года) бывший администратор нашумевшего Exploit приобрёл резервную копию DamageLab, созданную ещё в конце 2015 года, и вновь открыл сайт. Новый администратор поклялся, что форум больше никогда не будет работать под старым названием, потому что это было бы «небезопасно, неэтично и вредно для кармы». Они переименовали сайт в «XSS» и занялись восстановлением, перестройкой и привлечением новых участников.
Рисунок 2: Сообщение о перезагрузке DamageLab
Несмотря на очевидную опасность работы на платформе, связанной с лицом, известным правоохранительным органам, форум процветает. Число участников выросло, и теперь на нём присутствуют высококвалифицированные специалисты по кибератакам, готовые обсуждать передовые методы атак и предлагать выгодные предложения. Этот успех во многом обусловлен наследием форума: многие из его старейших участников по-прежнему активно участвуют в нём, делясь своими знаниями и опытом.
Даже Ar3s, который теперь вышел из тюрьмы (шесть месяцев заключения означали, что его штраф был отменен), занимает важную должность в XSS и недавно был назначен модератором Exploit. Новый администратор XSS использовал репутацию, приобретенную им в качестве администратора Exploit, для укрепления доверия к своему новому проекту. (Этот человек также воспользовался успехом Exploit для продвижения других проектов, включая торговую площадку и сервер Jabber.) Престиж и долговечность DamageLab перевесили потенциальные негативные последствия восстановления закрытого форума; опыт Ar3s в сфере права часто используется другими участниками форума, и его мнение высоко ценится.
Продвижение форума, основанное на его прежней репутации, имело место даже в англоязычном киберсообществе. Хакерский форум Hell, закрытый в июле 2015 года в ходе спецоперации правоохранительных органов, возродился в начале 2016 года под названием Hell Reloaded. Один из первоначальных модераторов Hell, создавший сайт-сиквел, пытался раскрутить новый форум и привлечь новых участников, используя громкое название прежнего форума. Однако многие новые пользователи отнеслись к нему с осторожностью, подозревая, что сайт — своего рода «приманка» для спецслужб. Hell Reloaded больше не активен.
Рисунок 3: Домашняя страница Exploit, которая непрерывно работает с 2005 года.
Такой форум, как Exploit, работающий непрерывно с 2005 года, привлекает пользователей, которые знают о репутации, созданной им за многие годы, и о престиже, который они приобретут, став его участником, а также о его очевидном успехе в преодолении угроз, которые привели к краху других форумов. Пользователи форума, выбирающие Exploit, уверены, что время и силы, вложенные в создание бренда и клиентской базы, не будут потрачены впустую.
Необычайная долговечность этих форумов также означает, что на них хранятся бесценные хранилища контента, связанного с киберпреступностью, охватывающего многие годы. Например, Exploit может похвастаться более чем миллионом сообщений с обсуждениями, советами, инструкциями и рекомендациями. Такие сайты, как Hackforums, работающий с 2009 года, пытаются извлечь выгоду из своей продолжительности жизни и значимости информации, продвигая себя как образовательные ресурсы, а не просто как хакерские форумы (этот подход также может помочь отвлечь нежелательное внимание властей).
Но есть существенная разница между общением через мессенджер и форум: объём связанной информации о пользователе. Многие мессенджеры скрывают максимально возможный объём данных о своих пользователях. Зачастую доступной оказывается только имя пользователя, ник и, возможно, аватар. Некоторые сервисы также позволяют указать краткую биографию. Такое отсутствие информации преподносится как преимущество: разве не оптимально в мире, где анонимность имеет первостепенное значение, предоставлять собеседнику минимум информации?
Однако, как ни парадоксально, в мире теней и анонимности дополнительная информация может стать ключом к успеху. Очень сложно оценить, можно ли доверять имени пользователя и аватару в мессенджере, особенно если не видно, как этот пользователь взаимодействовал с другими злоумышленниками. Хотя киберпреступники, несомненно, не хотят раскрывать свою реальную личную информацию, для успешных транзакций им необходимо предоставить данные своей онлайн-идентичности. Форумы позволяют им создавать целые виртуальные персоны.
Участник форума, впервые пытающийся взаимодействовать с другим пользователем, вероятно, сможет увидеть историю его предыдущей активности на форуме. Таким образом, он сможет оценить его авторитетность, принимая во внимание несколько факторов:
Форумы предлагают бесчисленное множество инструментов и систем, которые могут помочь участникам в проведении таких оценок. Многие англоязычные форумы, посвящённые взлому, используют рейтинги «leecher» или «lurker», чтобы выделять пользователей, которые не вносят вклад в жизнь форума, что приводит к бану во время частых отсевов участников. Кроме того, на большинстве форумов действует система, позволяющая участникам начислять пользователю положительные или отрицательные баллы репутации. Это может отражать результаты транзакций или мнение о вкладе пользователя в тему. Отрицательные баллы могут привести к бану на некоторых форумах, поэтому в интересах участников стремиться к максимально высокому рейтингу, и они ценят эту возможность; Exploit удалил свою систему репутации после редизайна сайта, что побудило многих пользователей требовать её восстановления.
Рисунок 4: Объявление CrackedTO о запрете личеров
Существует множество других способов повысить доверие участников. Некоторые форумы, специализирующиеся на продаже товаров и услуг, временно закрывают тему после её создания, чтобы модераторы могли проверить заявления продавца. На многих форумах действует система статусов, позволяющая пользователям с большим стажем и большим количеством сообщений продвигаться по службе; пользователи с более высоким рангом автоматически получают большее уважение. На некоторых форумах пользователи могут достичь определённого ранга только при наличии поручительств других участников форума — верный признак легитимности. Другие же форумы позволяют пользователям повышать свой статус за плату, поскольку для некоторых сотрудников правоохранительных органов и лиц, стремящихся обмануть других пользователей, такая оплата нежелательна или невозможна.
Исследовательская группа Photon обнаружила, что строгие правила и соглашения форума также помогают сформировать представление о человеке. Пользователь, который участвует в жизни форума и отвечает на вопросы других пользователей, с большей вероятностью будет искренним. Содержательные ответы и сообщения также свидетельствуют о знаниях и опыте пользователя. Пользователи, которые только задают вопросы или оставляют несерьёзные ответы, вероятно, являются неопытными дилетантами. Многие форумы требуют, чтобы сообщения содержали содержательный контент, и допускают начисление отрицательных баллов репутации за так называемые пустые сообщения.
Рисунок 5: профиль заблокированного пользователя mrbo
Использование форумов в качестве рекламных площадок представляет собой ещё одно преимущество перед альтернативными технологиями. Лишь немногие злоумышленники могут успешно действовать исключительно на альтернативных платформах, обнаружив, что членство в форумах расширяет пользовательскую базу, на которой они могут рекламировать свои товары и услуги. В ноябре 2019 года в ходе обсуждения на англоязычном форуме по взлому CrackedTO многие пользователи признались, что у них менее 50 «друзей» в мессенджере Discord, что свидетельствует о том, что уровень раскрытия информации в мессенджере зачастую значительно ниже, чем на форуме.
Злоумышленники часто используют одно и то же имя пользователя на разных форумах, создавая маркетинговый образ и распространяя этот «бренд» на альтернативные каналы. Известный мошенник в сфере путешествий «Sergik00», который почти четыре года предлагал мошеннические авиабилеты и бронирование отелей на форумах, перенаправляет заинтересованных покупателей в свои каналы в Telegram для оформления заказов. Мы даже видели, как они использовали своё имя пользователя в Telegram для создания рекламных изображений в своих темах. Однако, что особенно важно, Sergik00 сохранил присутствие на самых разных форумах киберпреступников и включил положительные отзывы клиентов в свои темы, продвигая свой бренд на нескольких сайтах.
Рисунок 6: Предложения Serggik00 по путешествиям
Аналогичным образом, операторы кардинговой схемы Project13 используют Telegram различными способами: используя отдельные европейские и американские аккаунты для обработки заказов пользователей и бота Telegram для обработки запросов. Но даже с такой обширной инфраструктурой Telegram они продолжают активно вести рекламные темы на многочисленных русскоязычных форумах. Даже скандально известный кардинг AVC Joker's Stash обновляет несколько тематических тем на форуме каждый раз, когда загружает на свой сайт большой набор новых данных карт.
Как правило, на большинстве форумов есть популярный раздел арбитража, где пользователи могут создавать темы, если чувствуют себя обманутыми другим участником форума. Такие споры обычно возникают из-за неуплаты одной из сторон согласованной цены, несвоевременной поставки товара в согласованный срок или поставки товара, не соответствующего описанию.
Рисунок 7: Раздел арбитража эксплойтов
Истец, инициирующий арбитражное разбирательство, должен предоставить все контактные данные, которые использовал ответчик (например, идентификаторы Jabber), любые другие известные ему имена пользователей и журналы личных бесед с подробным описанием всех переговоров между двумя сторонами. На форумах обычно имеются шаблоны для арбитражных исков, которые должны использовать участники. Арбитр форума может затем ознакомиться с журналами бесед и потребовать от ответчика представить свою версию событий или доказательства своей невиновности. Другие участники форума также могут принять участие в обсуждении; иногда эти пользователи также пострадали от действий ответчика, но иногда они вносят свой вклад из чувства общности.
В конце концов арбитр форума выносит решение, обычно предоставляя ответчику возможность вернуть причитающиеся деньги, если он будет признан виновным. Если ответчик не выплачивает долг или его преступления считаются слишком тяжкими, арбитр форума заблокирует ему доступ на сайт. Имя ответчика будет внесено в черный список в качестве предупреждения другим участникам форума о недопустимости использования его имени пользователя. Решенные арбитражные дела, в которых ответчик не был заблокирован, также хранятся в «публичном» доступе. Это означает, что пользователи форума, рассматривающие возможность заключения сделки с неизвестным поставщиком, могут видеть все арбитражные дела с участием этого поставщика.
На некоторых форумах система правосудия ещё более запутана. Verified, известный русскоязычный форум киберпреступников, специализирующийся на кардинге, использует систему компенсаций, благодаря которой пострадавшие могут возместить часть своих убытков. Пользователь, который их обманул, мог внести средства на Verified, и его жертва(ы) может подать заявку на получение этих средств. В большинстве случаев у виновных ответчиков больше одной жертвы; после того, как все пользователи подали иски против них, один из членов команды форума вмешивается и распределяет средства пропорционально, в соответствии с заявлениями пользователей. В большинстве случаев пострадавшим причитается гораздо больше, чем сумма, внесённая мошенником на форуме, но они, по крайней мере, получают хоть какую-то компенсацию.
Рисунок 8: Раздел проверенной компенсации
В одном из исключительных примеров форумного правосудия, наблюдавшемся на русскоязычном Античате, пользователь подал заявку на оплачиваемую работу по программированию в проекте, организующем «криптоатаки». Несмотря на прохождение собеседования и обещания работы и оплаты от организатора проекта, пользователь так и не получил никаких денег. Жалуясь на эту несправедливость на форуме, пользователь объяснил, что деньги нужны ему для оплаты лечения отца от рака. Другие участники форума также утверждали, что организатор проекта обманул их, и делились своей перепиской. В конечном итоге администраторы Античата забанили организатора проекта и устроили «сбор средств» среди участников форума, чтобы собрать средства на лечение. В результате форум перечислил ответчику 700 долларов США. Подобная помощь от поддерживающего сообщества недоступна ни на каких платформах, кроме форумов.
Рисунок 9: Объявление суммы, отправленной пользователю на лечение, с последующим сообщением с благодарностью
Рисунок 10: Баннер «Эксплуатация Хэллоуина»
В отличие от этого, сервисы обмена сообщениями, представляют собой почти исключительно платформы для купли-продажи товаров и услуг, и это не удовлетворяет всех пользователей. Исследовательская группа Photon, например, наблюдала, как пользователи CrackedTO жалуются на транзакционный характер Discord. Форумы предоставляют площадку для проведения транзакций, но при этом обладают дополнительным преимуществом в виде знаний и навыков всей пользовательской базы, что, как можно утверждать, способствует торговле. На форуме злоумышленник может начать обсуждение с конкретными поставщиками, запросить подробную информацию о других товарах, предлагаемых поставщиком, или узнать о регионах/системах, на которые он может нацелиться; на торговой площадке злоумышленник может отправлять лишь ограниченное количество запросов по конкретному листингу. Несколько известных торговых площадок, включая Rapture, Empire, Olympus и HYDRA, даже создали форумы наряду со своим основным предложением, чтобы способствовать дальнейшему обсуждению и использовать преимущества форумного сообщества.
Хорошим примером того, насколько форумы киберпреступников ориентированы на сообщество, служат обсуждения на большинстве крупных русскоязычных форумов, посвящённых деятельности правоохранительных органов. В специальных разделах пользователи обсуждают судьбу своих товарищей, попавших в ловушку полиции или спецслужб, делясь всеми возможными подробностями их историй, чтобы сообщество могло извлечь уроки из их ошибок. Пользователи часто публикуют новостные статьи об арестах киберпреступников, тщательно изучая детали дела, чтобы установить, как их поймали.
Например, на Exploit разгорелась дискуссия о деле хакера Романа Селезнёва, приговорённого в 2016 году к 37 годам лишения свободы за мошенничество с кредитными картами. Один из пользователей заявил, что Селезнёв знал об интересе к нему западных спецслужб, но всё равно решил отправиться на отдых за границу. Его задержали «при прохождении паспортного контроля в аэропорту страны, не имеющей соглашения об экстрадиции с США», — рассказал пользователь форума. Он также отметил, что власти раскрыли реальную личность Селезнёва, поскольку он использовал тот же адрес электронной почты, который его жена использовала для социальных сетей, в качестве резервного адреса, на который приходили журналы вредоносных программ. Когда пользователи Exploit перешли к обсуждению опасности поездок русскоязычных киберпреступников за границу, один из участников форума мрачно заметил: «Российские курорты лучше американских тюрем».
Еще более поразительной является склонность участников форума, имевших проблемы с законом, возвращаться на форум, чтобы затем поделиться подробностями своего опыта с сообществом. Пользователь XSS «maza-in» — предполагаемый создатель банковского трояна «Anubis» — был арестован в начале 2019 года, но это не ознаменовало конец его активности на форуме. Арест maza-in последовал за расследованием неуказанных российских силовых структур, и в августе 2019 года пользователи XSS опубликовали ссылки на местные новостные сайты в Ставрополе, Россия, сообщая, что maza-in должен явиться в Ставропольский военный суд вместе с неназванным сообщником. В октябре 2019 года maza-in вновь появился на XSS с новым именем пользователя (добавив «1» к своему предыдущему нику), чтобы предоставить подробности об обстоятельствах своего ареста.
Рисунок 11: пост maza-in1, рассказывающий историю своего ареста.
maza-in1 задался вопросом, не «погубила ли» ли их «чрезмерная самоуверенность», добавив, что их «разрушило» «небрежное отношение к безопасности». Они объяснили, что зарегистрировали учётную запись электронной почты, используя «белый» IP-адрес (то есть законный и не защищённый VPN-технологией), а затем использовали этот адрес для регистрации на Exploit. maza-in1, предположительно, не намеревались заниматься киберпреступностью, регистрируясь на Exploit, поэтому не учли последствий использования этого адреса для безопасности. maza-in1 заявил, что их бывшего партнёра «cccalypse» не арестовали, потому что они были настолько «параноидальны» в отношении контроля своей анонимности.
В конечном итоге maza-in1 был приговорён к 18 месяцам лишения свободы условно, конфискации документов и штрафу в размере 120 000 рублей (1872 доллара США). Они утверждали, что их «спасло» от более сурового приговора то, что они не атаковали страны Содружества Независимых Государств и не имели идентифицированного «пострадавшего». Хотя некоторые пользователи XSS с подозрением отнеслись к возвращению maza-in1, сообщество в целом отнеслось к нему благосклонно, высоко оценив понимание системы уголовного правосудия и мелких ошибок, которые могли привести к поимке. Киберпреступники не найдут такой постоянной информации нигде в интернете, кроме как на форуме.
Взять, к примеру, Telegram, который постоянно подвергается давлению со стороны российских властей, требующих предоставить спецслужбам ключи шифрования приложения. Московский суд даже запретил Telegram в апреле 2018 года, хотя российские пользователи продолжают использовать приложение через VPN. Создатель Telegram Павел Дуров покинул Россию в 2014 году после неоднократных конфликтов по поводу его другого проекта — социальной сети «ВКонтакте». Хотя Дуров регулярно заявляет, что никогда не уступит требованиям российского правительства, вполне возможно, что возникнут обстоятельства, которые вынудят его согласиться.
Рисунок 12: Пользователи Exploit обсуждают WhatsApp
Киберпреступники не только подвержены влиянию операторов мессенджеров, но и сами сервисы могут содержать уязвимости, которые могут поставить под угрозу безопасность пользователей. Коммерческое шпионское ПО, такое как Pegasus, использовало уязвимость в WhatsApp для заражения пользовательских устройств и перехвата сообщений. Заражение произошло после звонка WhatsApp на телефон жертвы, который, предположительно, не требовал ответа пользователя. Pegasus также может удалить любые следы заражения из журналов связи устройства. Пользователи Exploit неоднократно обсуждали безопасность WhatsApp; в одном из таких обсуждений от мая 2019 года продолжительное обсуждение было вызвано комментариями самого Павла Дурова о том, что WhatsApp «никогда не будет безопасным».
Размышляя о надёжности мессенджеров, пользователь Torum сказал (дословно): «Я знаю людей, которых арестовали из-за Wikr, Snapchat и WhatsApp. Telegram тоже взломали федералы год-два назад (я помню, как из-за Telegram была изъята крупная партия оружия у террористов)». Другой пользователь форума предупредил на Verified: «Не используйте WhatsApp/Viber, ФБР уже скачало оттуда переписку. Пользуйтесь Telegram на свой страх и риск».
В целом, разговоры об операционной безопасности и анонимности — обычное дело на форумах киберпреступников. В той же теме на Torum, что и упомянутая выше, другой пользователь написал: «Единственное абсолютно безопасное чат-приложение — это SkyEcc, но оно стоит около 800 долларов в месяц». В другой теме на похожую тему один из участников заявил: «При высоком уровне ресурсов любой централизованный сервис обмена сообщениями потенциально может быть скомпрометирован. Я не говорю, что это легко, но такую возможность всё же стоит учитывать».
Рисунок 13: Обсуждение безопасности приложений на Torum
Судя по этим частым обсуждениям, многие пользователи форумов, похоже, видят в приложениях для обмена сообщениями изначальное неудобство. Это связано с тем, что безопасность команд, управляющих этими приложениями, не зависит от безопасности самих приложений; администратор форума, в большинстве юрисдикций, совершает уголовное преступление, управляя своей платформой. Они кровно заинтересованы в обеспечении максимальной безопасности форума и сохранении своей анонимности и анонимности своих участников. Понятно, что команды, управляющие форумами, серьёзно относятся к этой ответственности.
Ныне несуществующий англоязычный форум KickAss настолько упирал на безопасность, что пользователи оказались в невыгодном положении. В конце 2018 года администратор удалил все отметки времени и даты из сообщений, вероятно, чтобы помешать полиции собирать информацию для своих расследований. Однако побочным эффектом стало то, что пользоваться форумом стало гораздо сложнее. Форум CrackedTO также использовал эту тактику, как и англоязычный форум Carding Forum, который дошёл до того, что удалил всю информацию об IP-адресах пользователей из журналов форума (чтобы затруднить расследование в случае изъятия базы данных журналов).
Последний недостаток использования легитимных мессенджеров — риск того, что компании, стоящие за ними, не потерпят преступной деятельности. В одном из обсуждений на CrackedTO пользователи отметили, что их регулярно банили в Discord за нарушение правил этой платформы, касающихся разрешённых действий.
Три крупных обновления сайта, все зафиксированные в октябре 2019 года, демонстрируют перспективный подход форумов. Во-первых, XSS ввёл двухфакторную аутентификацию (2FA). Администратор форума заявил, что этот шаг призван повысить безопасность учётных записей пользователей и минимизировать риск таких атак, как «перебор паролей, [несанкционированный] подбор паролей и перехват другими сервисами».
Рисунок 14: Объявление о XSS 2FA
Затем англоязычный форум Dread ввёл функцию «Canary», предназначенную для информирования участников форума о статусе администратора Dread и его контроле над форумом. Эти еженедельные обновления, осуществляемые посредством персонализированного сообщения от администратора, подписанного криптографически, вероятно, были введены после исчезновения этого пользователя с форума в сентябре 2019 года, что вызвало смятение в сообществе. Функция «Canary» демонстрирует явное намерение поддержать доверие к форуму, исключить возможность захвата форума правоохранительными органами и предотвратить захват его кем-то, выдающим себя за законного администратора.
Рисунок 15: Сообщение-объявление Canary
Наконец, Verified представила бесплатную версию регистрации, которая предоставляет пользователям ограниченный доступ к системе эскроу форума. , при которых сторонний гарант гарантирует, что и покупатель, и продавец получат то, что ожидают от сделки. Использование этой функции даёт продавцам дополнительную уверенность в том, что они имеют дело с надёжным покупателем, а не с мошенником, исследователем или представителем службы безопасности, которые вряд ли согласились бы на подобные операции. Verified предлагает пользователям свою систему эскроу бесплатно, не требуя полного членства в Verified, что расширяет охват форума даже за пределами сайта.
Рисунок 16: Подтвержденное объявление о бесплатной регистрации
Мы также наблюдали случаи, когда пользователи форумов брали на себя заботу о своей безопасности, не полагаясь на указания администраторов. В последние месяцы как англоязычные, так и русскоязычные пользователи форумов начали пользоваться услугами эскроу-сервисов, когда транзакции ещё даже не были инициированы. Заинтересованные покупатели обычно связываются с продавцами, чтобы запросить более подробную информацию об их объявлении, например, скриншоты доступа к внутренней системе, подтверждающие легитимность предложения. Однако в последнее время многие продавцы стали настаивать на том, чтобы покупатели вносили деньги на эскроу-сервис форума, прежде чем отправлять какие-либо дополнительные данные.
Стремление к внедрению новых функций и улучшений сайта для адаптации к меняющемуся ландшафту безопасности свидетельствует о том, что киберпреступники, управляющие форумами, осознают необходимость предоставлять пользователям ценные услуги. Даже давно существующие форумы ощущают потребность в инновациях; недавно Exploit полностью переработал сайт. Сами участники форума активно предлагают улучшения или меняют способы использования форумов. Учитывая постоянное стремление к совершенствованию и множество функций и преимуществ, которые просто невозможно получить с помощью других технологий, маловероятно, что популярность форумов, объединённых киберпреступниками, снизится в ближайшие годы. Вместо этого, симбиотическая связь между альтернативными технологиями и форумами, где первые не могут процветать без вторых, будет процветать.
- Долгая история и почтенная репутация
- Доказательство достоверности
- Гарантии честных сделок
Долголетие порождает уважение
Неизменная популярность форумов в какой-то степени обусловлена их историей, особенно для русскоязычных киберпреступников. Многие из известных русскоязычных киберпреступных форумов, действующих сегодня, имеют долгую историю. Исследовательская группа обнаружила пост на XSS, в котором упоминался «пантеон первых», имея в виду «первые форумы, открывшиеся в Рунете в 2000-х годах», среди которых были названы Carder Planet, Web Hack, Zloy, Antichat, Exploit, Maza и DamageLab. Тот же пользователь отметил, что эти форумы воспитали «целое поколение первоклассных специалистов… целое поколение, целую жизнь, целую эпоху». Репутация этих давно существующих киберпреступных форумов и престиж, связанный с их участием, привлекают многих киберпреступников. Ссылка на профиль на авторитетном форуме — практически безошибочный способ доказать свою надёжность и легитимность.
Рисунок 1: Домашняя страница XSS
В случае с DamageLab, кажущееся превосходство форума привело к одному из самых неожиданных событий в русскоязычной киберпреступности за последние годы. DamageLab был основан в 2004 году и стал одним из самых известных русскоязычных форумов. В декабре 2017 года один из администраторов DamageLab, белорус Сергей Ярец, был арестован в ходе совместной операции белорусских, американских и европейских правоохранительных органов за участие в форуме и ботнете Andromeda. После ареста «Ar3s» (никнейм Ярца на форуме) оставшаяся команда администраторов DamageLab приняла решение полностью закрыть форум, чтобы защитить пользователей от дальнейшего расследования со стороны властей.
Необычно то, что спустя почти год (в конце 2018 года) бывший администратор нашумевшего Exploit приобрёл резервную копию DamageLab, созданную ещё в конце 2015 года, и вновь открыл сайт. Новый администратор поклялся, что форум больше никогда не будет работать под старым названием, потому что это было бы «небезопасно, неэтично и вредно для кармы». Они переименовали сайт в «XSS» и занялись восстановлением, перестройкой и привлечением новых участников.
Рисунок 2: Сообщение о перезагрузке DamageLab
Несмотря на очевидную опасность работы на платформе, связанной с лицом, известным правоохранительным органам, форум процветает. Число участников выросло, и теперь на нём присутствуют высококвалифицированные специалисты по кибератакам, готовые обсуждать передовые методы атак и предлагать выгодные предложения. Этот успех во многом обусловлен наследием форума: многие из его старейших участников по-прежнему активно участвуют в нём, делясь своими знаниями и опытом.
Даже Ar3s, который теперь вышел из тюрьмы (шесть месяцев заключения означали, что его штраф был отменен), занимает важную должность в XSS и недавно был назначен модератором Exploit. Новый администратор XSS использовал репутацию, приобретенную им в качестве администратора Exploit, для укрепления доверия к своему новому проекту. (Этот человек также воспользовался успехом Exploit для продвижения других проектов, включая торговую площадку и сервер Jabber.) Престиж и долговечность DamageLab перевесили потенциальные негативные последствия восстановления закрытого форума; опыт Ar3s в сфере права часто используется другими участниками форума, и его мнение высоко ценится.
Продвижение форума, основанное на его прежней репутации, имело место даже в англоязычном киберсообществе. Хакерский форум Hell, закрытый в июле 2015 года в ходе спецоперации правоохранительных органов, возродился в начале 2016 года под названием Hell Reloaded. Один из первоначальных модераторов Hell, создавший сайт-сиквел, пытался раскрутить новый форум и привлечь новых участников, используя громкое название прежнего форума. Однако многие новые пользователи отнеслись к нему с осторожностью, подозревая, что сайт — своего рода «приманка» для спецслужб. Hell Reloaded больше не активен.
Рисунок 3: Домашняя страница Exploit, которая непрерывно работает с 2005 года.
Такой форум, как Exploit, работающий непрерывно с 2005 года, привлекает пользователей, которые знают о репутации, созданной им за многие годы, и о престиже, который они приобретут, став его участником, а также о его очевидном успехе в преодолении угроз, которые привели к краху других форумов. Пользователи форума, выбирающие Exploit, уверены, что время и силы, вложенные в создание бренда и клиентской базы, не будут потрачены впустую.
Необычайная долговечность этих форумов также означает, что на них хранятся бесценные хранилища контента, связанного с киберпреступностью, охватывающего многие годы. Например, Exploit может похвастаться более чем миллионом сообщений с обсуждениями, советами, инструкциями и рекомендациями. Такие сайты, как Hackforums, работающий с 2009 года, пытаются извлечь выгоду из своей продолжительности жизни и значимости информации, продвигая себя как образовательные ресурсы, а не просто как хакерские форумы (этот подход также может помочь отвлечь нежелательное внимание властей).
Проблемы с доверием
Что касается базовых возможностей, то злоумышленник может сделать на платформе обмена сообщениями очень мало того, что он не мог бы сделать на форуме. На некоторых форумах добавлены функции чата, позволяющие пользователям общаться в группах — например, в публичных группах или закрытых каналах платформы обмена сообщениями, или в личных беседах. Многие форумы также продвигают конфиденциальность этой функции, запрещая администраторам форума читать личные сообщения пользователей.Но есть существенная разница между общением через мессенджер и форум: объём связанной информации о пользователе. Многие мессенджеры скрывают максимально возможный объём данных о своих пользователях. Зачастую доступной оказывается только имя пользователя, ник и, возможно, аватар. Некоторые сервисы также позволяют указать краткую биографию. Такое отсутствие информации преподносится как преимущество: разве не оптимально в мире, где анонимность имеет первостепенное значение, предоставлять собеседнику минимум информации?
Однако, как ни парадоксально, в мире теней и анонимности дополнительная информация может стать ключом к успеху. Очень сложно оценить, можно ли доверять имени пользователя и аватару в мессенджере, особенно если не видно, как этот пользователь взаимодействовал с другими злоумышленниками. Хотя киберпреступники, несомненно, не хотят раскрывать свою реальную личную информацию, для успешных транзакций им необходимо предоставить данные своей онлайн-идентичности. Форумы позволяют им создавать целые виртуальные персоны.
Участник форума, впервые пытающийся взаимодействовать с другим пользователем, вероятно, сможет увидеть историю его предыдущей активности на форуме. Таким образом, он сможет оценить его авторитетность, принимая во внимание несколько факторов:
- Когда пользователь присоединился к форуму?
- Сколько постов они сделали?
- Создают ли они собственные темы или просто отвечают на темы других участников?
- Что они купили? Что они продали?
- Насколько они вовлечены в «жизнь форума» — участвуют ли они в обсуждениях сообщества? Указывают ли на ошибки? Предлагают ли способы улучшения форума?
- Как другие участники форума оценивают услуги этого пользователя? Сообщали ли они о каких-либо проблемах?
Форумы предлагают бесчисленное множество инструментов и систем, которые могут помочь участникам в проведении таких оценок. Многие англоязычные форумы, посвящённые взлому, используют рейтинги «leecher» или «lurker», чтобы выделять пользователей, которые не вносят вклад в жизнь форума, что приводит к бану во время частых отсевов участников. Кроме того, на большинстве форумов действует система, позволяющая участникам начислять пользователю положительные или отрицательные баллы репутации. Это может отражать результаты транзакций или мнение о вкладе пользователя в тему. Отрицательные баллы могут привести к бану на некоторых форумах, поэтому в интересах участников стремиться к максимально высокому рейтингу, и они ценят эту возможность; Exploit удалил свою систему репутации после редизайна сайта, что побудило многих пользователей требовать её восстановления.
Рисунок 4: Объявление CrackedTO о запрете личеров
Существует множество других способов повысить доверие участников. Некоторые форумы, специализирующиеся на продаже товаров и услуг, временно закрывают тему после её создания, чтобы модераторы могли проверить заявления продавца. На многих форумах действует система статусов, позволяющая пользователям с большим стажем и большим количеством сообщений продвигаться по службе; пользователи с более высоким рангом автоматически получают большее уважение. На некоторых форумах пользователи могут достичь определённого ранга только при наличии поручительств других участников форума — верный признак легитимности. Другие же форумы позволяют пользователям повышать свой статус за плату, поскольку для некоторых сотрудников правоохранительных органов и лиц, стремящихся обмануть других пользователей, такая оплата нежелательна или невозможна.
Исследовательская группа Photon обнаружила, что строгие правила и соглашения форума также помогают сформировать представление о человеке. Пользователь, который участвует в жизни форума и отвечает на вопросы других пользователей, с большей вероятностью будет искренним. Содержательные ответы и сообщения также свидетельствуют о знаниях и опыте пользователя. Пользователи, которые только задают вопросы или оставляют несерьёзные ответы, вероятно, являются неопытными дилетантами. Многие форумы требуют, чтобы сообщения содержали содержательный контент, и допускают начисление отрицательных баллов репутации за так называемые пустые сообщения.
«Бесплатная» реклама
Хорошая репутация и положительные отзывы пользователей также могут быть бесценны для злоумышленников, продвигающих товары или услуги. Будь то продвижение предложений на других форумах или обновление существующих рекламных тем, ссылки на высоко оцененный профиль на форуме или положительные отзывы других пользователей форума — один из немногих способов, с помощью которых злоумышленники могут попытаться убедить других участников совершить сделку. Иногда они даже пытаются использовать положительные отзывы, чтобы отвлечь внимание от проблем, с которыми сталкиваются. Основатель недавно созданного магазина оболочек MagBo, «mrbo», использовал тему с положительными отзывами на русскоязычном киберкриминальном форуме Antichat для продвижения своего сайта через XSS, несмотря на то, что в том же сообщении признал, что был забанен на Exploit.
Рисунок 5: профиль заблокированного пользователя mrbo
Использование форумов в качестве рекламных площадок представляет собой ещё одно преимущество перед альтернативными технологиями. Лишь немногие злоумышленники могут успешно действовать исключительно на альтернативных платформах, обнаружив, что членство в форумах расширяет пользовательскую базу, на которой они могут рекламировать свои товары и услуги. В ноябре 2019 года в ходе обсуждения на англоязычном форуме по взлому CrackedTO многие пользователи признались, что у них менее 50 «друзей» в мессенджере Discord, что свидетельствует о том, что уровень раскрытия информации в мессенджере зачастую значительно ниже, чем на форуме.
Злоумышленники часто используют одно и то же имя пользователя на разных форумах, создавая маркетинговый образ и распространяя этот «бренд» на альтернативные каналы. Известный мошенник в сфере путешествий «Sergik00», который почти четыре года предлагал мошеннические авиабилеты и бронирование отелей на форумах, перенаправляет заинтересованных покупателей в свои каналы в Telegram для оформления заказов. Мы даже видели, как они использовали своё имя пользователя в Telegram для создания рекламных изображений в своих темах. Однако, что особенно важно, Sergik00 сохранил присутствие на самых разных форумах киберпреступников и включил положительные отзывы клиентов в свои темы, продвигая свой бренд на нескольких сайтах.
Рисунок 6: Предложения Serggik00 по путешествиям
Аналогичным образом, операторы кардинговой схемы Project13 используют Telegram различными способами: используя отдельные европейские и американские аккаунты для обработки заказов пользователей и бота Telegram для обработки запросов. Но даже с такой обширной инфраструктурой Telegram они продолжают активно вести рекламные темы на многочисленных русскоязычных форумах. Даже скандально известный кардинг AVC Joker's Stash обновляет несколько тематических тем на форуме каждый раз, когда загружает на свой сайт большой набор новых данных карт.
Простота арбитража
Ещё один недостаток, который киберпреступники видят в использовании альтернативных платформ, — это высокий риск стать жертвой мошенничества и отсутствие возможности обратиться за помощью в этом случае. Если злоумышленник, работающий исключительно через Discord или Wickr, отказывается продать другому пользователю набор данных после заключения сделки, покупатель — или кто-либо ещё — мало что может с этим поделать. Пострадавшей стороне даже негде высказать своё недовольство. Однако русскоязычные форумы киберпреступников имеют встроенные системы правосудия, призванные разрешать споры, обеспечивать соблюдение сторонами условий соглашения и наказывать нарушителей.Как правило, на большинстве форумов есть популярный раздел арбитража, где пользователи могут создавать темы, если чувствуют себя обманутыми другим участником форума. Такие споры обычно возникают из-за неуплаты одной из сторон согласованной цены, несвоевременной поставки товара в согласованный срок или поставки товара, не соответствующего описанию.
Рисунок 7: Раздел арбитража эксплойтов
Истец, инициирующий арбитражное разбирательство, должен предоставить все контактные данные, которые использовал ответчик (например, идентификаторы Jabber), любые другие известные ему имена пользователей и журналы личных бесед с подробным описанием всех переговоров между двумя сторонами. На форумах обычно имеются шаблоны для арбитражных исков, которые должны использовать участники. Арбитр форума может затем ознакомиться с журналами бесед и потребовать от ответчика представить свою версию событий или доказательства своей невиновности. Другие участники форума также могут принять участие в обсуждении; иногда эти пользователи также пострадали от действий ответчика, но иногда они вносят свой вклад из чувства общности.
В конце концов арбитр форума выносит решение, обычно предоставляя ответчику возможность вернуть причитающиеся деньги, если он будет признан виновным. Если ответчик не выплачивает долг или его преступления считаются слишком тяжкими, арбитр форума заблокирует ему доступ на сайт. Имя ответчика будет внесено в черный список в качестве предупреждения другим участникам форума о недопустимости использования его имени пользователя. Решенные арбитражные дела, в которых ответчик не был заблокирован, также хранятся в «публичном» доступе. Это означает, что пользователи форума, рассматривающие возможность заключения сделки с неизвестным поставщиком, могут видеть все арбитражные дела с участием этого поставщика.
На некоторых форумах система правосудия ещё более запутана. Verified, известный русскоязычный форум киберпреступников, специализирующийся на кардинге, использует систему компенсаций, благодаря которой пострадавшие могут возместить часть своих убытков. Пользователь, который их обманул, мог внести средства на Verified, и его жертва(ы) может подать заявку на получение этих средств. В большинстве случаев у виновных ответчиков больше одной жертвы; после того, как все пользователи подали иски против них, один из членов команды форума вмешивается и распределяет средства пропорционально, в соответствии с заявлениями пользователей. В большинстве случаев пострадавшим причитается гораздо больше, чем сумма, внесённая мошенником на форуме, но они, по крайней мере, получают хоть какую-то компенсацию.
Рисунок 8: Раздел проверенной компенсации
В одном из исключительных примеров форумного правосудия, наблюдавшемся на русскоязычном Античате, пользователь подал заявку на оплачиваемую работу по программированию в проекте, организующем «криптоатаки». Несмотря на прохождение собеседования и обещания работы и оплаты от организатора проекта, пользователь так и не получил никаких денег. Жалуясь на эту несправедливость на форуме, пользователь объяснил, что деньги нужны ему для оплаты лечения отца от рака. Другие участники форума также утверждали, что организатор проекта обманул их, и делились своей перепиской. В конечном итоге администраторы Античата забанили организатора проекта и устроили «сбор средств» среди участников форума, чтобы собрать средства на лечение. В результате форум перечислил ответчику 700 долларов США. Подобная помощь от поддерживающего сообщества недоступна ни на каких платформах, кроме форумов.
Рисунок 9: Объявление суммы, отправленной пользователю на лечение, с последующим сообщением с благодарностью
Чувство общности
Предыдущий случай — лишь один из примеров духа общности, царящего на форумах киберпреступников и способствующего их устойчивому развитию. Участники форума даже празднуют вместе: поздравляют друг друга с днём рождения и Новым годом, а Exploit даже отпраздновал Хэллоуин.
Рисунок 10: Баннер «Эксплуатация Хэллоуина»
В отличие от этого, сервисы обмена сообщениями, представляют собой почти исключительно платформы для купли-продажи товаров и услуг, и это не удовлетворяет всех пользователей. Исследовательская группа Photon, например, наблюдала, как пользователи CrackedTO жалуются на транзакционный характер Discord. Форумы предоставляют площадку для проведения транзакций, но при этом обладают дополнительным преимуществом в виде знаний и навыков всей пользовательской базы, что, как можно утверждать, способствует торговле. На форуме злоумышленник может начать обсуждение с конкретными поставщиками, запросить подробную информацию о других товарах, предлагаемых поставщиком, или узнать о регионах/системах, на которые он может нацелиться; на торговой площадке злоумышленник может отправлять лишь ограниченное количество запросов по конкретному листингу. Несколько известных торговых площадок, включая Rapture, Empire, Olympus и HYDRA, даже создали форумы наряду со своим основным предложением, чтобы способствовать дальнейшему обсуждению и использовать преимущества форумного сообщества.
Хорошим примером того, насколько форумы киберпреступников ориентированы на сообщество, служат обсуждения на большинстве крупных русскоязычных форумов, посвящённых деятельности правоохранительных органов. В специальных разделах пользователи обсуждают судьбу своих товарищей, попавших в ловушку полиции или спецслужб, делясь всеми возможными подробностями их историй, чтобы сообщество могло извлечь уроки из их ошибок. Пользователи часто публикуют новостные статьи об арестах киберпреступников, тщательно изучая детали дела, чтобы установить, как их поймали.
Например, на Exploit разгорелась дискуссия о деле хакера Романа Селезнёва, приговорённого в 2016 году к 37 годам лишения свободы за мошенничество с кредитными картами. Один из пользователей заявил, что Селезнёв знал об интересе к нему западных спецслужб, но всё равно решил отправиться на отдых за границу. Его задержали «при прохождении паспортного контроля в аэропорту страны, не имеющей соглашения об экстрадиции с США», — рассказал пользователь форума. Он также отметил, что власти раскрыли реальную личность Селезнёва, поскольку он использовал тот же адрес электронной почты, который его жена использовала для социальных сетей, в качестве резервного адреса, на который приходили журналы вредоносных программ. Когда пользователи Exploit перешли к обсуждению опасности поездок русскоязычных киберпреступников за границу, один из участников форума мрачно заметил: «Российские курорты лучше американских тюрем».
Еще более поразительной является склонность участников форума, имевших проблемы с законом, возвращаться на форум, чтобы затем поделиться подробностями своего опыта с сообществом. Пользователь XSS «maza-in» — предполагаемый создатель банковского трояна «Anubis» — был арестован в начале 2019 года, но это не ознаменовало конец его активности на форуме. Арест maza-in последовал за расследованием неуказанных российских силовых структур, и в августе 2019 года пользователи XSS опубликовали ссылки на местные новостные сайты в Ставрополе, Россия, сообщая, что maza-in должен явиться в Ставропольский военный суд вместе с неназванным сообщником. В октябре 2019 года maza-in вновь появился на XSS с новым именем пользователя (добавив «1» к своему предыдущему нику), чтобы предоставить подробности об обстоятельствах своего ареста.
Рисунок 11: пост maza-in1, рассказывающий историю своего ареста.
maza-in1 задался вопросом, не «погубила ли» ли их «чрезмерная самоуверенность», добавив, что их «разрушило» «небрежное отношение к безопасности». Они объяснили, что зарегистрировали учётную запись электронной почты, используя «белый» IP-адрес (то есть законный и не защищённый VPN-технологией), а затем использовали этот адрес для регистрации на Exploit. maza-in1, предположительно, не намеревались заниматься киберпреступностью, регистрируясь на Exploit, поэтому не учли последствий использования этого адреса для безопасности. maza-in1 заявил, что их бывшего партнёра «cccalypse» не арестовали, потому что они были настолько «параноидальны» в отношении контроля своей анонимности.
В конечном итоге maza-in1 был приговорён к 18 месяцам лишения свободы условно, конфискации документов и штрафу в размере 120 000 рублей (1872 доллара США). Они утверждали, что их «спасло» от более сурового приговора то, что они не атаковали страны Содружества Независимых Государств и не имели идентифицированного «пострадавшего». Хотя некоторые пользователи XSS с подозрением отнеслись к возвращению maza-in1, сообщество в целом отнеслось к нему благосклонно, высоко оценив понимание системы уголовного правосудия и мелких ошибок, которые могли привести к поимке. Киберпреступники не найдут такой постоянной информации нигде в интернете, кроме как на форуме.
Высказывание сомнений относительно альтернативных технологий
Ключевым вопросом для киберпреступников при выборе места и способа ведения деятельности является безопасность и то, насколько легко сохранить абсолютную анонимность. Опора на новые технологии и сервисы обмена сообщениями для обеспечения безопасности, какими бы безопасными они ни казались, по сути, означает уверенность в том, что операторы этих платформ не поставят под угрозу анонимность своих пользователей ни намеренно, ни непреднамеренно.Взять, к примеру, Telegram, который постоянно подвергается давлению со стороны российских властей, требующих предоставить спецслужбам ключи шифрования приложения. Московский суд даже запретил Telegram в апреле 2018 года, хотя российские пользователи продолжают использовать приложение через VPN. Создатель Telegram Павел Дуров покинул Россию в 2014 году после неоднократных конфликтов по поводу его другого проекта — социальной сети «ВКонтакте». Хотя Дуров регулярно заявляет, что никогда не уступит требованиям российского правительства, вполне возможно, что возникнут обстоятельства, которые вынудят его согласиться.
Рисунок 12: Пользователи Exploit обсуждают WhatsApp
Киберпреступники не только подвержены влиянию операторов мессенджеров, но и сами сервисы могут содержать уязвимости, которые могут поставить под угрозу безопасность пользователей. Коммерческое шпионское ПО, такое как Pegasus, использовало уязвимость в WhatsApp для заражения пользовательских устройств и перехвата сообщений. Заражение произошло после звонка WhatsApp на телефон жертвы, который, предположительно, не требовал ответа пользователя. Pegasus также может удалить любые следы заражения из журналов связи устройства. Пользователи Exploit неоднократно обсуждали безопасность WhatsApp; в одном из таких обсуждений от мая 2019 года продолжительное обсуждение было вызвано комментариями самого Павла Дурова о том, что WhatsApp «никогда не будет безопасным».
Размышляя о надёжности мессенджеров, пользователь Torum сказал (дословно): «Я знаю людей, которых арестовали из-за Wikr, Snapchat и WhatsApp. Telegram тоже взломали федералы год-два назад (я помню, как из-за Telegram была изъята крупная партия оружия у террористов)». Другой пользователь форума предупредил на Verified: «Не используйте WhatsApp/Viber, ФБР уже скачало оттуда переписку. Пользуйтесь Telegram на свой страх и риск».
В целом, разговоры об операционной безопасности и анонимности — обычное дело на форумах киберпреступников. В той же теме на Torum, что и упомянутая выше, другой пользователь написал: «Единственное абсолютно безопасное чат-приложение — это SkyEcc, но оно стоит около 800 долларов в месяц». В другой теме на похожую тему один из участников заявил: «При высоком уровне ресурсов любой централизованный сервис обмена сообщениями потенциально может быть скомпрометирован. Я не говорю, что это легко, но такую возможность всё же стоит учитывать».
Рисунок 13: Обсуждение безопасности приложений на Torum
Судя по этим частым обсуждениям, многие пользователи форумов, похоже, видят в приложениях для обмена сообщениями изначальное неудобство. Это связано с тем, что безопасность команд, управляющих этими приложениями, не зависит от безопасности самих приложений; администратор форума, в большинстве юрисдикций, совершает уголовное преступление, управляя своей платформой. Они кровно заинтересованы в обеспечении максимальной безопасности форума и сохранении своей анонимности и анонимности своих участников. Понятно, что команды, управляющие форумами, серьёзно относятся к этой ответственности.
Ныне несуществующий англоязычный форум KickAss настолько упирал на безопасность, что пользователи оказались в невыгодном положении. В конце 2018 года администратор удалил все отметки времени и даты из сообщений, вероятно, чтобы помешать полиции собирать информацию для своих расследований. Однако побочным эффектом стало то, что пользоваться форумом стало гораздо сложнее. Форум CrackedTO также использовал эту тактику, как и англоязычный форум Carding Forum, который дошёл до того, что удалил всю информацию об IP-адресах пользователей из журналов форума (чтобы затруднить расследование в случае изъятия базы данных журналов).
Последний недостаток использования легитимных мессенджеров — риск того, что компании, стоящие за ними, не потерпят преступной деятельности. В одном из обсуждений на CrackedTO пользователи отметили, что их регулярно банили в Discord за нарушение правил этой платформы, касающихся разрешённых действий.
Будущее форумов киберпреступников: есть ли конец этой тенденции?
Несмотря на возраст — и кажущуюся устаревшую — модель и технологию форумов, администраторы форумов киберпреступников демонстрируют все признаки стремления обеспечить популярность этих платформ в будущем. Они признают основные потребности своих пользователей, описанные выше: безопасность, доверие и анонимность.Три крупных обновления сайта, все зафиксированные в октябре 2019 года, демонстрируют перспективный подход форумов. Во-первых, XSS ввёл двухфакторную аутентификацию (2FA). Администратор форума заявил, что этот шаг призван повысить безопасность учётных записей пользователей и минимизировать риск таких атак, как «перебор паролей, [несанкционированный] подбор паролей и перехват другими сервисами».
Рисунок 14: Объявление о XSS 2FA
Затем англоязычный форум Dread ввёл функцию «Canary», предназначенную для информирования участников форума о статусе администратора Dread и его контроле над форумом. Эти еженедельные обновления, осуществляемые посредством персонализированного сообщения от администратора, подписанного криптографически, вероятно, были введены после исчезновения этого пользователя с форума в сентябре 2019 года, что вызвало смятение в сообществе. Функция «Canary» демонстрирует явное намерение поддержать доверие к форуму, исключить возможность захвата форума правоохранительными органами и предотвратить захват его кем-то, выдающим себя за законного администратора.
Рисунок 15: Сообщение-объявление Canary
Наконец, Verified представила бесплатную версию регистрации, которая предоставляет пользователям ограниченный доступ к системе эскроу форума. , при которых сторонний гарант гарантирует, что и покупатель, и продавец получат то, что ожидают от сделки. Использование этой функции даёт продавцам дополнительную уверенность в том, что они имеют дело с надёжным покупателем, а не с мошенником, исследователем или представителем службы безопасности, которые вряд ли согласились бы на подобные операции. Verified предлагает пользователям свою систему эскроу бесплатно, не требуя полного членства в Verified, что расширяет охват форума даже за пределами сайта.
Рисунок 16: Подтвержденное объявление о бесплатной регистрации
Мы также наблюдали случаи, когда пользователи форумов брали на себя заботу о своей безопасности, не полагаясь на указания администраторов. В последние месяцы как англоязычные, так и русскоязычные пользователи форумов начали пользоваться услугами эскроу-сервисов, когда транзакции ещё даже не были инициированы. Заинтересованные покупатели обычно связываются с продавцами, чтобы запросить более подробную информацию об их объявлении, например, скриншоты доступа к внутренней системе, подтверждающие легитимность предложения. Однако в последнее время многие продавцы стали настаивать на том, чтобы покупатели вносили деньги на эскроу-сервис форума, прежде чем отправлять какие-либо дополнительные данные.
Стремление к внедрению новых функций и улучшений сайта для адаптации к меняющемуся ландшафту безопасности свидетельствует о том, что киберпреступники, управляющие форумами, осознают необходимость предоставлять пользователям ценные услуги. Даже давно существующие форумы ощущают потребность в инновациях; недавно Exploit полностью переработал сайт. Сами участники форума активно предлагают улучшения или меняют способы использования форумов. Учитывая постоянное стремление к совершенствованию и множество функций и преимуществ, которые просто невозможно получить с помощью других технологий, маловероятно, что популярность форумов, объединённых киберпреступниками, снизится в ближайшие годы. Вместо этого, симбиотическая связь между альтернативными технологиями и форумами, где первые не могут процветать без вторых, будет процветать.
Вложения
Последнее редактирование:
