Fora cyberprzestępcze to bezsprzecznie jedne z najstarszych i najprostszych form komunikowania się internetowych przestępców. CarderPlanet to powstała w 2001 pierwsza strona internetowa mająca charakter forum międzynarodowego / multijęzykowego. Na jej łamach cyberprzestępcy posiadający różnorakie umiejętności konkurowali zgodnie z prawem popytu i podaży. Stała się ona się pierwowzorem dla kolejnych platform tego typu.
Obecnie fora cyberprzestępców są skarbnicą wiedzy i informacji na temat specjalistycznych narzędzi służących do hakowania. To także miejsce sprzedaży baz danych, złośliwego oprogramowania, danych z kart płatniczych i kredytowych. Członkowie dzielą się również informacjami na temat najnowszych rozwiązań technologicznych. Według raportu przygotowanego przez Digital Shadows, kolejne platformy tego typu na całym świecie nie tracą na popularności pomimo działań organów ścigania, które nieustępliwie dążą do ich zamykania.
Użytkownicy nie rezygnują z korzystania z forów, choć mają możliwość dostępu do innych, alternatywnych i często skuteczniejszych narzędzi oraz źródeł pozyskiwania wiedzy. Jednak fora to z pewnością najszybsza metoda wymiany informacji. Ważnym aspektem jest także to, że fora wspierają reklamę i propagują „usługi” użytkowników. Natomiast ich systemy arbitrażowe i depozytowe zapewniają ogólną uczciwość transakcji i konsekwencje w przypadku nieudanych transakcji.
Cykl życia forów
Zaobserwowano, że liczba użytkowników nowego forum zaczyna wzrastać, gdy stare, długo istniejące forum przestaje działać. Taka sytuacja miała miejsce z forum cyberprzestępców Torum. Założone zostało w połowie 2017 roku, a na początku 2019 roku liczyło prawie 6 tys. użytkowników. Szybko osiągnęło liczbę 44 tys użytkowników. Wzrost ten spowodowany był tym, że w owym czasie organy ścigania zamknęły popularne wcześniej forum KickAss.
Najciekawsze fora cyberprzestępcze
Anglojęzyczne
Altenen (750 tys. użytkowników, ponad 500 tys. wątków, 3 mln wiadomości)
To strona, która początkowo powstała jako arabskojęzyczne forum dla cyberprzestępców. W 2013 roku przekształciło się w anglojęzyczną platformę cardingową. Po kilku cyberatakach, Altenen zakończył swoje działanie na początku 2017 roku. Jednak w połowie 2018 roku administrator ponownie wskrzesił stronę. Od tego czasu mocno przyciągnęła użytkowników z całego świata. Odnotowuje stały wzrost liczby członków forum. Samo forum reklamuje się jako forum poświęcone programom zarobkowym i zagadnieniom IT. Użytkownicy dzielą się wiedzą na tematy cardingu, modyfikacji złośliwego oprogramowania, włamań, bezpieczeństwa, programowania, crackowania i inne. Altenen słynie z ogromnej ilości działów o różnorodnej tematyce, od tych typowo developerskich aż po zagadnienia porno.
RaidForums (480 tys. użytkowników, 82 tys. wątków, 2.3 mln wiadomości)
Popularne forum utworzone w marcu 2015 roku. Na jego stronach znaleźć można treści związane z szeregiem tematów cyberprzestępczych. W tym ogólne działania hakerskie, luki, metody i narzędzia crackowania, kryptografię i zbiory danych z różnych wycieków. Zaobserwowano, że w ostatnim czasie RaidForums zwiększyło swoją popularność w społeczności cyberprzestępców, przyciągając ważne podmioty z innych aktywnych platform zajmujących się zagrożeniami, takich jak Exploit.
Nulled (2.8 mln użytkowników, 19 tys. wiadomości)
Nulled to forum cyberprzestępcze, które działa od stycznia 2015 r. Znajdują się w nim treści związane z testami penetracyjnymi, kodowaniem i programowaniem, inżynierią wsteczną, inżynierią społeczną i zbiorami danych z wycieków. Wykorzystywane głównie przez cyberprzestępców do handlu i kupowania wyciekających lub zhakowanych informacji. W 2016 roku Nulled został zhakowany, a jego baza danych uległa wyciekowi. Zawierał on 9.65 GB danych osobowych użytkowników, kompletny plik bazy danych MySQL oraz całe dane strony internetowej. Wyciek obejmował 4053 konta użytkowników, ich adresy e-mail używane w PayPal wraz ze złamanymi hasłami. Ujawnione zostały m.in. adresy e-mail znajdujące się na domenach rządowych. Tożsamość załogi, która zhakowała bazę danych Nulled, nie jest znana. Jednak spekulowano, że w sprawę zaangażowani byli hakerzy sponsorowani przez państwo.
Cracked.TO (1.6 mln użytkowników, 300 tys wątków, 9.4 mln wiadomości)
Cracked.TO to anglojęzyczne forum cyberprzestępcze utworzone w maju 2015 r. I chociaż nie zostało to potwierdzone, Cracked.TO może mieć pewien związek lub stopień współpracy z zespołem administracyjnym Nulled. Cracked.TO, podobnie jak Nulled, rzekomo doświadczył znacznego wzrostu liczby członków w okresie pandemii COVID-19 w okolicach kwietnia i maja 2020 r. Cracked.TO zawiera treści podobne do Nulled. Posiada też sekcję międzynarodową, a w niej wątki w 8 najpopularniejszych (po angielskim) językach.
Cracking King (3.7 mln użytkowników, 1.7 mln wątków, 1.9 mln wiadomości)
Forum to zostało utworzone we wrześniu 2014 r. Znajdują się w nim treści dotyczące głównie zbiorów danych z włamań, narzędzi do łamania zabezpieczeń i samouczków oraz konfiguracji. Cracking King był bardzo aktywny w pierwszych kilku latach funkcjonowania. Jego aktywność spadła w ciągu ostatnich dwóch lat.
Envoy
Envoy to forum, którego przewodnimi tematami są narkotyki, recenzje z czarnego rynków internetowego i dyskusje zorientowanych dotyczące nowinek technologicznych. Forum zostało uruchomione na początku lipca 2019 roku i od tego czasu zyskało dużą liczbę członków (ponad 6 tys).
Założyciel forum jest jednocześnie moderatorem Dread. To mroczna usługa internetowa w stylu Reddit, która zyskała dobrą reputację i popularność w 2019 roku. Wprawdzie ten fakt nie jest bezpośrednim powodem sukcesu Envoy, jednak może przyczynić się do krótkoterminowego zwiększenia popularności forum.
Envoy wprowadził nową funkcję: wyróżnia sekcje lokalizacyjne. Sekcja dyskusji oparta jest na danych geograficznych użytkowników. Umożliwił przez to rejestrację większej liczby odbiorców oraz wyszukiwanie tematów specyficznych dla danego regionu (wschodzące rynki, taktyki i techniki).
HackForums.net (511 tys. użykowników)
Strona zajmuje pierwsze miejsce w kategorii Hacking pod względem ruchu internetowego podawaną przez firmę analityczną Alexa Internet. Forum jest przeznaczone głównie dla młodych odbiorców, którzy są ciekawi nowinek technologicznych.
Jednym z powodów, dla których forum jest tak popularne, jest to, że oprócz tego, że poza samą funkcjonalnością forum oferuje wiele narzędzi do testowania zabezpieczeń i hakowania całkowicie za darmo. Użytkownicy mogą uzyskać dostęp do tych narzędzi nawet bez rejestracji na platformie. Forum nie jest do końca anonimowe. Personel ma również prawo dostępu do wiadomości prywatnych użytkowników.
KickAss
Jedno z najbardziej rewolucyjnych i ekskluzywnych forów w sieci Tor. Mówiono, że to pierwsza platforma wykorzystująca informacje poufne. Publikowała jawnie swoje działania, aby zwrócić na siebie uwagę, podczas gdy większość ciemnych forów internetowych pozostawała w ukryciu.
W jednym z wywiadów administrator forum podał szczegółowe informacje na temat rodzaju informacji, którymi handluje. Przedstawił mechanizmy, umożliwiające publikację tylko wiarygodnych informacji. Dzięki temu zyskał dobrą reputację wśród wielu hakerów i firm zajmujących się badaniem zagrożeń. Forum stało się wiarygodnym miejscem handlu.
KickAss obejmowało m.in. sprzedaż dostępów do wewnętrznych serwerów firm, czy handel poufnymi informacjami z wycieków. Witryna koncentrowała się również na hakowaniu i kodowaniu, a dostęp do niej mieli wyłącznie użytkownicy z doświadczeniem zawodowym. Aby dołączyć, musieli przejść przez testy, które badały ich umiejętności hakerskie i techniczne.
W styczniu 2019 roku KickAss został zlikwidowany przez FBI i ICE Homeland Security Investigations.
Rosyjskojęzyczne
Exploit (36 tys. użytkowników, 350 tys. wiadomości)
Exploit jest silnym elementem rosyjskojęzycznego podziemia cyberprzestępców od 2005 roku. Wyrobiło sobie markę poprzez skupienie najlepszych cyberprzestępców na świecie. Jest zatem powszechnie uważany za jedno z najbardziej znanych rosyjskojęzycznych forów cyberprzestępczych. Jego działalność opiera się na handlu przez użytkowników szeroką gamą wartościowych towarów i usług. Forum zawiera sekcje dotyczące złośliwego oprogramowania, sprzedaży dostępu do sieci, exploitów, hakowania, inżynierii społecznej, kryptowalut, spamu i mediów społecznościowych. Witryna jest „w pełni ogrodzona”, co oznacza, że osoby z zewnątrz muszą zapłacić 100 USD za dostęp i udowodnić swoją autentyczność poprzez obecność na innych forach. Aby uzyskać dostęp do sekcji VIP, użytkownicy potrzebują gwaranta, który potwierdzi ich wiarygodność.
Antichat.ru (ponad 130 tys. użytkowników, 200 tys. wątków, 2.5 mln wiadomości)
Forum charakteryzuje specyficzny sposób zatwierdzania kont przez administratora:
Forum posiada 3 tzw. sekcje zamknięte z trzema poziomami dostępu: I – należy napisać kilka użytecznych postów, II – należy zamieścić dane wrażliwe, III – należy być dobrze znanym w społeczności, i mieć na koncie kilka prawdziwych „smaczków”.
Koszt weryfikacji zależy od tego w jakim języku zainteresowany zada pytanie (po angielsku jest drożej).
XSS.is
XSS to transformacja istniejącego wcześniej forum DamageLab. Było ono jednym z pierwszych utworzonych rosyjskojęzycznych forów cyberprzestępczych. Dość szybko zostało zamknięte, gdy jego administrator spotkał się z organami ścigania. XSS prowadzony przez byłego administratora Exploit, spotkało się z wysoką oceną na scenie cyberprzestępczej. Obejmuje dyskusje oraz działalność komercyjną w kilku dziedzinach, w tym złośliwym oprogramowaniu, spamie, exploitach, lukach w zabezpieczeniach, kartach, sprzedaży dostępu i bazach danych uwierzytelniających.
Aby zwiększyć bezpieczeństwo kont użytkowników oraz zminimalizować ryzyko przejęcia haseł przez nieautoryzowane podmioty – administratorzy XSS, wprowadzili dwuetapową rejestrację.
Wg informacji na forum, XSS to jeden z największych portali w dziedzinie wycieków informacji i baz danych:
Podsumowanie
Rosyjskojęzyczne fora charakteryzują się mocnymi zabezpieczeniami i silną weryfikacją nowych użytkowników. Jako uzupełnienie tego artykułu, warto też obejrzeć ciekawą prezentację na temat kolejnych rosyjskojęzycznych forów.
Niemieckojęzyczne
Crimenetwork
Forum zawiera treści związane z szeregiem działań cyberprzestępczych, w tym fałszywymi dokumentami, kontami, narkotykami, kartami, złośliwym oprogramowaniem, exploitami i inżynierią społeczną. Od czerwca 2019 roku forum jest nieaktywne. Zgodnie z komunikatem prasowym Prokuratury Generalnej w Bambergu i Komendy Głównej Policji Kraju Związkowego Brandenburgii, organy śledcze przeszukały łącznie 229 obiektów w 15 krajach w związku z nielegalną działalnością na tej platformie. W Niemczech i za granicą toczy się 328 postępowań. Administrator został aresztowany przez Federalną Policję Kryminalną (BKA, niem. Bundeskriminalamt). Podczas akcji, w której uczestniczyło ponad 1400 policjantów, aresztowano również obywatela Brandenburgii, którego władze śledcze zaliczają do głównych sprawców. Prawdopodobnie przy użyciu tej platformy popełniono ok. 1500 przestępstw.
Statystycznie rzecz biorąc…
W połowie 2020 roku administrator Altenen – ogłosił sukces serwisu pod względem statystyk ruchu na stronie. Opublikował kilka kluczowych wskaźników opierając się na stronach HypeStat dokumentujących popularność forum. Statystyki obejmowały m.in. dzienną liczbę logujących się na stronie użytkowników, źródła ruchu (czy odwiedzający odwiedzają witrynę bezpośrednio, przez wyszukiwarkę, odnośniki w innych witrynach internetowych czy za pośrednictwem mediów społecznościowych), średni czas trwania sesji i inne. Publikacja ta spotkała się z euforią użytkowników dumnych z funkcjonowania na Altenen.
O ile statystyki ruchu witryny są ogólnodostępne, to ciekawe w tym przypadku jest to, że administrator Altenen celowo użył tych wskaźników do ilościowego określenia popularności forum. Tym samym zachęcił użytkowników do propagowania Altenen na całym świecie w celu dalszego rozwoju platformy. To pierwszy przypadek, w którym administracja celowo opublikowała statystyki ruchu na forum w celach promocyjnych.
Liczby najważniejsze?
To właśnie dzięki nim forum zyskuje popularność i atrakcyjność. Z drugiej strony tego typu działania są obarczone swego rodzaju ryzykiem. Statystyki forum i ruchu na stronie mogą być manipulowane, dlatego nie są jedynymi wskazówkami prawdziwej wiarygodności. Jeśli forum zostanie przyłapane na manipulowaniu statystykami – jego wiarygodność może zejść do zera – patrz przykład rynku BitBazaar.
Przykład Altenena skłania do zastanowienia się, czy i w jaki sposób mniej dochodowe fora cyberprzestępcze zaczną stosować podobne praktyki, aby przyciągnąć nowych odwiedzających i walczyć o popularność.
Czy zatem duże, istniejące już fora nie są zależne od statystyk? Co statystyki ruchu w witrynie mogą nam powiedzieć o danej platformie?
Digital Shadows posługując się HypeStat przeanalizował statystycznie wiodące fora cyberprzestępcze anglojęzyczne i niemiecko-rosyjskie. Skupiono się na wskaźnikach uwzględnionych na rankingu Alexa. Są to: unikalne codzienne wejścia na stronę, kraje będące źródłem odwiedzin, źródła ruchu i prognozy dziennych przychodów. Wszystko po to aby sprawdzić, czy statystyki są zgodne z ogólnym postrzeganiem tych witryn, oraz czy same liczby mogą wskazać na coś więcej. Do wyjaśnienia jest, na ile można wierzyć, że liczby te nie zostały sztucznie zawyżone. Wszak fora tego typu zyskują wiarygodność i popularność przez oferowanie wysokiej jakości treści i przyciąganie użytkowników, którzy realnie wnoszą do branży bezpieczeństwa ofensywnego „nową jakość”. Natomiast statystyki ruchu można sztucznie zawyżać, pomijając już nawet fakt, że ruch taki może być związany po prostu z wizytami ciekawskich obserwatorów.
Ranking Alexa
Ranking Alexa | Różnica w rankingu (90 dni) | Odwiedzający dziennie | Geografia odwiedzających (od najczęstszych) | Średni czas trwania sesji w minutach | Źródła ruchu | Dzienny przychód (USD) | |
Altenen | 27025 | +157836 | 81700 | Egipt, Algieria, Maroko, USA, Indie, Tunezja, Albania, Turcja, Bangladesz, Wietnam, Jordania, Terytorium Palestyńskie | 22:02 | Direct (69,68%), Search (21.08%), Social (5.46%), Referral (2.46%) | 1601.31 |
RaidForums | 27063 | -613 | 90700 | USA, Australia, Indie, Indonezja, Turcja, Sri Lanka, Egipt, Rosja, Iran, Wietnam, Maroko, Tunezja, Algieria, Ukraina | 07:00 | Direct (52,48%), Search (39,40%), Social (3,69%), Referral (1,65%), Paid (0.01%) | 2678.69 |
Nulled | 8282 | +4631 | 258600 | USA, Indie, Egipt, Kanada, Algieria, Brazylia, Turcja, Maroko, Chile, Pakistan, Tunezja, Izrael, Indonezja, Rosja, Wietnam, Zjednoczone Emiraty Arabskie | 09:50 | Direct (56,56%), Search (34,19%), Social (3.35%), Referral (0.75%), Paid (0.03) | 5909.99 |
Cracked.TO | 10905 | -50 | 229500 | USA, Indie, Algieria, Egipt, Maroko, Turcja, Dania, Pakistan, Kanada, Izrael, Arabia Saudyjska, Meksyk, Tunezja, Bangladesz, Sri Lanka, Iran, Wietnam, Indonezja, Australia, Hongkong, Kolumbia, Peru i Rosja | 08:53 | Direct (47,70%), Search (45,47%), Social (3,13%), Referral (0,56%), Paid (0,04%) | 4031 |
Cracking King | 261124 | -104628 | 5600 | USA, Indie, Włochy, Wielka Brytania, Meksyk, Brazylia, Niemcy, Katar. Francja, Kanada, Hiszpania, Egipt, Grecja, Holandia, Iran, Turcja, Maroko, Argentyna, Pakistan, Australia, Tajwan, Arabia Saudyjska, Szwecja, Zjednoczone Emiraty Arabskie, Rumunia, Tunezja, Serbia, Filipiny, Algieria, Singapur, Bośnia i Hercegowina, Rosja i Polska | Brak danych | Brak danych | 8100 |
Crimenetwork | 3107635 | Alexa nie ma wykresu przedstawiającego ranking ruchu w sieci Crimenetwork z ostatnich 90 dni. Starszy wykres pokazuje, że ranking forum spadł o ponad 600 tys. miejsc w okresie od lipca do grudnia 2019 r. | 170 | Niemcy | 22:01 | Direct (78,56%), Search (14,29%), Referral (7,15%) | 4.84 |
Exploit | 97919 | +10403 | 3600 | Rosja, Niemcy, USA, Holandia, Szwecja, Wielka Brytania, Kanada, Francja, Hiszpania, Włochy, Ukraina, Polska, Szwajcaria, Łotwa, Białoruś, Indie, Indonezja, Kazachstan | 07:52 | Brak danych | 2635 |
XSS.is | 150609 | +7041 | 3400 | Rosja, Luksemburg, Polska, Niemcy, Azerbejdżan, Ukraina, Białoruś | 06:37 | Brak danych | 4437 |
Statystyki vs postrzegana rzeczywistość
Wzrost liczby członków
Wg rankingu Alexa – Altenen w ciągu ostatnich 90 dni doświadczyło znacznego wzrostu ruchu użytkowników (jak wskazał administrator podczas publikowania statystyk ruchu na stronie internetowej forum). Podobnie Nulled wykazuje wzrost liczby członków w ciągu ostatnich 90 dni (na jego stronach również wskazano wyższe słupki w liczbie „members”). Jednak statystyki nie pokażą automatycznych botów (używanych przez administratorów forum do podbijania liczby odwiedzin, aby zwiększyć ogólny ranking). Zatem nie ma pewności, czy i na ile rankingi Alexa są wiarygodne. Duży wzrost szczególnie rangi Altenen, wydaje się zbyt dobry, by mógł być prawdziwy, ponieważ żadne z innych popularnych forów (jak np. RaidForums) nie wykazało podobnego wzrostu w tym samym okresie.
Języki używane na forach
Co do zasady można przyjąć, że użytkownik pochodzi z regionu, w którym używany jest dany język (np. niemiecki w Niemczech). Statystyki pokazują, że większość odwiedzających np. Crimenetwork pochodzi z Niemiec, podczas gdy odwiedzający Exploit i XSS z Rosji. Liczby te nie pokazują jednak, czy użytkownicy ci uzyskali dostęp do stron za pomocą VPN, ukrywając tym swoje prawdziwe pochodzenie. Fora cyberprzestępcze takie jak Exploit i XSS stały się popularne poza swoimi rodzimymi granicami. Użytkownicy z zagranicy prawdopodobnie używają VPN w celu zwiększenia anonimowości. Mogą też omijać wszelkie regionalne ograniczenia, jakie te fora posiadają.
Rangi Forum
Można się było spodziewać, ze RaidForums (27 063 miejsce) będzie najwyżej ocenianym anglojęzycznym forum, jednak okazało się stabilną platformą, która w ciągu ostatnich miesięcy zwiększyła swoją popularność i ogólną aktywność. Podobną rangę ma Altenen (27 025). Natomiast Nulled (8 282) i Cracked.TO (10 905) znacznie przewyższają oba te serwisy pod kątem renomy. Inną zaskakującą metryką są niskie oceny forów rosyjskojęzycznych Exploit (pozycja 97 919) i XSS (pozycja 150 609) w porównaniu z forami anglojęzycznymi. Tymczasem fora te cieszą się dużym zainteresowaniem w anglojęzycznej i rosyjskojęzycznej społeczności cyberprzestępców.
Ewentualne zniekształcenia rankingów
Na rankingi może mieć wpływ wiele czynników. Obok wykorzystania automatycznych botów przez administratorów forum, istnieje możliwość zniekształcenia rankingów przez wszelkiego rodzaju skanery i crawlery. Boty tego, często indeksujące cały Internet, próbują łączyć się z witrynami w różnych celach: szukania podatności, indeksowania informacji, czy po prostu wysyłania spamu. Takie aktywności botów mogą powodować wzrost rankingu strony, jeśli jest ona stosunkowo łatwo dostępna (np. wątki i tematy wyświetlane są bez konieczności logowania).
Kilka forów posiada również domenę lustrzaną .onion, do której dostęp można uzyskać tylko za pośrednictwem Tora. Odwiedzin domen .onion nie wlicza się do statystyk ruchu. Dlatego rzeczywista liczba odwiedzających nie musi pokrywać się z tym, co jest przedstawione w oficjalnych rankingach Alexa.
Średni czas odwiedzin
Według statystyk, średni czas spędzony na większości forów wynosi zazwyczaj mniej niż 10 minut. Wyjątkami są Altenen i Crimenetwork. Tam użytkownicy spędzają średnio 20 minut. Dane te mówią o tym, czy forum ma więcej gości przeglądających forum przez kilka minut, czy zaangażowanych użytkowników, którzy spędzają więcej czasu na stronie. Jednak specyfika poszczególnych forów pokazuje, że również te dane nie są wiarygodne. Na przykład użytkownicy na Exploit spędzają średnio tylko 7:52 minuty na forum. Jednak Exploit jest forum w pełni zamkniętym i żaden z użytkowników nie jest przypadkowym gościem.
Lokalizacja odwiedzających
Podczas gdy pochodzenie odwiedzających może być zniekształcone w statystykach przez użycie narzędzi takich jak VPN, lista krajów odwiedzających chociaż ogólnie wskazuje na regiony, z których pochodzą użytkownicy. USA były najbardziej popularnym krajem wśród odwiedzających, nie tylko na anglojęzycznych forach. Amerykańscy użytkownicy zajmują wysokie pozycje w rankingach Exploit i XSS. Jedynym wyjątkiem wśród anglojęzycznych forów jest Altenen. Większość jego użytkowników pochodzi z Egiptu, Algierii i Maroka. Jest tak prawdopodobnie z uwagi na pochodzenie Altenen jako forum arabskojęzycznego. Duża obecność odwiedzających z krajów Bliskiego Wschodu i Azji na anglojęzycznych forach może też wskazywać na brak odpowiednich arabsko- i azjatyckojęzycznych platform.
Czego liczby nie powiedzą?
Przede wszystkim zebrane statystyki nie dają żadnych informacji na temat zawartości forum. Nie da się z nich wyciągnąć informacji o jakości treści. Ponadto szacunki przychodów z reklam nie wskazują na rzeczywistą gospodarkę forum. Strony te mogą dobrze zarabiać, wymagając od użytkowników opłatę za rejestrację, aktualizację ich kont, bądź uzyskanie dostępu VIP. Mogą też pobierać prowizję od usług escrow podczas transakcji.
I wreszcie statystyki nie podają żadnych powodów do wahań w rankingach Alexa w czasie. Wahania zaś mogą być regularne bądź „sezonowe” jak np. podczas pandemii COVID-19 (jak w przypadku Nulled czy Cracked.TO). Ranking Alexa dla Crimenetwork nie wskazuje znaczącego spadku rangi forum w czerwcu 2019 r., co było spowodowane zniknięciem administratora.
Współmierność statystyk z rzeczywistością podkreśla tylko, jak duże znaczenie ma ocena człowieka – analityka i jego obserwacja ruchów na forach. Bez odpowiedniej analizy i kontekstu statystyki dostarczają zniekształconego obrazu społeczności cyberprzestępczej.
Jak wyglądają fora związane z bezpieczeństwem IT w Polsce?
Jedyne publicznie znane analizy polskich forów pochodzą z portalu Zaufana Trzecia Strona, gdzie były publikowane:
- w listopadzie 2012 – fora w „normalnym” Internecie
- w czerwcu 2013 – fora w sieci Tor
8 lat później…
Co ciekawe, 8 lat później, z 11 forów w „normalnym” Internecie wymienionych w tej analizie, 6 nadal istnieje, z czego 5 ma otwarty dostęp do treści, a jedno wymaga logowania. Wydawać by się mogło, że w przypadku forów angielskojęzycznych taki staż byłby ewenementem – fakty są jednak takie, że na forach tych przeważają dyskusje na jak najbardziej legalne, defensywne tematy.
Ale jest też druga przyczyna: strategia działania polskiej policji i SKW różni się dość znacząco od strategii poszczególnych służb z USA:
- USA działa globalnie, dążąc do możliwie szybkiego zamykania stron uznanych za niepożądane (w szczególności tych, na których dochodzi do handlu numerami kart kredytowych), a jednocześnie do wyłapywania największych postaci z podziemia cyberprzestępczego, nie „rozdrabniając się” na walkę z „płotkami”
- polskie służby skupiają się głównie na forach polskojęzycznych i wg dostępnej wiedzy (m.in. zeznań Łukasza Jędrzejczaka) stawiają na głęboką infiltrację poszczególnych forów i innych stron, wspomaganą współpracą z dostawcami usług VPN, w celu cyklicznego wyłapywania również tych mniej znaczących postaci – natomiast likwidacja zinfiltrowanych stron nie jest priorytetem, wręcz często na kontach przejętych od zatrzymanych osób prowadzi się dalszą aktywność
Nowy gracz: Lolifox
Opisując polskie fora cyberprzestępcze nie sposób nie wspomnieć o Lolifox To forum, które ogłasza się jako „bez cenzury, bez inwigilacji, bez konsekwencji”. To tzw. chan czyli forum obrazkowe. Wątki zamieszczane są w formie katalogów.
Charakteryzuje się tym, ze jego użytkownicy nie przebierają w słowach, anonimowo pisząc na jego stronach o tym, czego bali lub wstydzili by się napisać w innych miejscach. Tematyka porusza kwestie bezpieczeństwa, sprzętu komputerowego, sieci Tor, prywatności, szyfrowania. Kontrowersyjne posty poruszają też tematy o wydarzeniach w Polsce i na świecie, działalności wywrotowej, przestępczości niekoniecznie związanej z bezpieczeństwem IT, czy pornografii (szczególnie dziecięcej). Forum jest bardzo aktywne, a wszelkie wydarzenia w kraju są na nim komentowane na bieżąco.
Najpopularniejsze wątki Lolifox to: Alarmy Bombowe, Terroryzm to coś fajnego, Pomysł na hasło maskowane, Poradnik bezkarności w internecie. I rzeczywiście przypuszcza się, że za falę fałszywych alarmów bombowych w polskich szkołach odpowiedzialni są właśnie użytkownicy Lolifoxa.
Jaką żywotność mają fora cyberprzestępcze?
Aby forum funkcjonowało, trzeba zachować kilka czynników, w przeciwnym razie platforma może upaść, tak jak było z Torigon.
Forum powstało w drugiej połowie 2019 roku, jego celem było połączenie rosyjsko- i anglojęzycznych użytkowników, aby mogli sprzedawać exploity, udostępniać próbki złośliwego oprogramowania, oraz omawiać hakowanie i bezpieczeństwo w Internecie.
Na początku przyciągnęło 650 użytkowników, jednak szybko zamknięto je z powodu prac konserwacyjnych. Takie działanie często obserwuje się na nowych forach, które zaraz po otwarciu są zamykane z powodów:
- zmiany kluczowego personelu w zespole administracyjnym
- niezbędnych prac konserwacyjnych na forum (czyli w praktyce problemów ze skalowalnością i stabilnością)
- utrzymujących się cyberataków uniemożliwiających członkom dostęp do forum
Zaangażowanie i język
Tymczasem aktywność forum zależy zarówno od zaangażowania samych użytkowników, jak i od aktywnego zespołu administracyjnego. Niski poziom obu tych elementów na Torigon spowodował zniechęcenie nowych członków do przyłączania się. Innym czynnikiem, który prawdopodobnie przyczynił się do zniknięcia Torigon, mogła być niezdolność witryny do konkurowania z innymi uznanymi platformami w zakresie ruchu użytkowników działających w podobnej przestrzeni.
Kolejnym czynnikiem który mógł wpłynąć na upadłość forum to fakt, że Torigon chciał odwołać się do cyberprzestępców mówiących po angielsku i rosyjsku. Zawartość witryny napisano w języku angielskim. Dlatego podjęto próbę zaspokojenia potrzeb nieanglojęzycznych odbiorców, świadcząc usługi tłumaczeniowe oraz reklamowano usługę na nieanglojęzycznych forach cyberprzestępczych. Niestety próby były na tyle mierne, że nie wystarczyły aby przykuć uwagę rosyjskojęzycznych cyberprzestępców.
Ciągłe inwestowanie w stabilność i użyteczność nowego forum ma kluczowe znaczenie dla jego sukcesu. Platforma bezsprzecznie musi dostosować się do aktualnej problematyki istniejącej na rynku, zająć się wszelkimi błędami oprogramowania wpływającymi na dostępność usługi i złagodzić wszelkie potencjalne ataki (np. DDoS) zagrażające jej dostępności. Przykład taki dają fora np. Dread i Torum, które wprowadziły nowy mechanizm CAPTCHA, zaprojektowany w celu zmniejszenia liczby oszustów i usług DDoS wpływających na usługę, a forum Envoy obecnie aktualizuje swoją infrastrukturę CMS. Utrzymujący się atak DDoS, którego Torigon doświadczył na początku swojego istnienia, a następnie przez cały okres jego trwania, wpłynął bardzo negatywnie na jego dostępność. Administracja forum nie przeznaczyła odpowiednich zasobów, aby pokazać potencjalnym członkom, że mogą zwalczać takie zagrożenia.
Analiza to podstawa
Torigon szybko spadł ze sceny cyberprzestępczej. I chociaż forum nie było niczym szczególnym, jeśli chodzi o zawartość lub ekspozycję danych to ważnym aspektem jest sama analiza tego co może spowodować zamknięcie forum w dzisiejszych czasach.
Chociaż żywotność Torigona była krótka to pokazuje zachowanie społeczności dark webowej. Torigon to jedna z wielu platform, które wzrosły, ale nie spełniły oczekiwań. Chociaż nikt nie ma idealnej recepty na sukces w świecie pełnym mocnych (i mrocznych) osobowości, to obawy o niezawodność i wiarygodność Torigon pokazały, że istnieją krytyczne obszary, których którymi należy się zająć. W przeciwnym razie należy liczyć się z klęską.
Fora cyberprzestępcze zawsze będą na topie
Podsumowując, fora cyberprzestępcze funkcjonują na całym świecie. Różnią się używanym językiem, pochodzeniem, sposobem rejestracji i stylem. Jednak niewątpliwie proponowane przez użytkowników usługi, ich działanie czy zamieszczane treści są zbliżone. Krążą opinie, że fora cyberprzestępcze przeżywają drugą młodość. Na linii czasu przechodzą liczne transformacje (szczególnie jeśli chodzi o zwiększenie poziomu bezpieczeństwa kont użytkowników i zminimalizowanie konsekwencji przejęcia haseł przez osoby trzecie).
Bardzo istotnym elementem każdego forum jest status Administratora. Aby użytkownicy byli na bieżąco o nim informowani, wdrażana jest funkcjonalność „Canary”. Polega ona na tym, że co tydzień do uczestników forów wysyłana jest wiadomość cyfrowo podpisana przez administratora – dopóki jego konto nie zostanie przejęte (np. wskutek aresztowania i wymuszenia podania danych dostępowych). Taki zabieg ma zapobiec przejęciom forów przez nieuczciwą konkurencję czy organy śledcze.
Obecny trend wskazuje na to, że fora cyberprzestępcze z pewnością nie odejdą w przeszłość. Jeszcze bardziej będą dostosowywać się do współczesnych wymagań bezpieczeństwa. Dotyczy to również najstarszych forów, których zmiany obejmują kwestie graficzne, ale również dodawanie nowych funkcji bezpieczeństwa. Duże znaczenie dla zmian ma aktywna współpraca z członkami forum, którzy często sami sugerują nowe rozwiązania.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.