0
0
Os cibercriminosos costumam ser vistos como parasitas, alimentando-se de uma ampla gama de vítimas de todos os tamanhos e faixas. Mas, ao que parece, eles se tornaram alvos por direito próprio, com uma série de “metaparasitas” que se alimentam de fundo, reunindo-se nos mercados da Dark Web para encontrar seu próprio conjunto de marcas.
É um fenômeno que tem o feliz efeito colateral de expor uma rica veia de inteligência de ameaças aos pesquisadores, incluindo detalhes de contato e localização de cibercriminosos.
O pesquisador sênior de ameaças da Sophos, Matt Wixey, subiu ao palco no Black Hat Europe 2022 para discutir o ecossistema metaparasita, em uma sessão intitulada ” Scammers Who Scam Scammers, Hackers Who Hack Hackers “. De acordo com a pesquisa que ele fez com a colega pesquisadora Angela Gunn, a economia clandestinaestá repleta de uma grande variedade de fraudadores, que extraem com sucesso milhões de dólares por ano de seus colegas cibercriminosos.
A dupla examinou 12 meses de dados em três fóruns da Dark Web (exploit e XSS em russo e fóruns de violação em inglês) e descobriu milhares de esforços de golpe bem-sucedidos.
“É uma colheita muito rica”, disse Wixey. “Os golpistas enganaram os usuários desses fóruns em cerca de $ 2,5 milhões de dólares americanos ao longo de 12 meses. Os valores por golpe podem ser de apenas $ 2 até seis dígitos.”
As táticas variam, mas uma das mais comuns – e a mais grosseira – é uma jogada conhecida como “rasgar e correr”. Isso se refere a uma das duas variantes de “rasgo”: um comprador recebe mercadorias (uma exploração, dados confidenciais, credenciais válidas, números de cartão de crédito etc.), mas não paga por elas; ou, um vendedor é pago e nunca entrega o que foi prometido. A parte “corrida” refere-se ao golpista desaparecendo do mercado e se recusando a responder a quaisquer perguntas. Considere-o uma versão Dark Web do jantar e dash.
Também existem muitos golpistas vendendo produtos falsos – como contas criptográficas inexistentes, construtores de macro que não constroem nada nefasto, dados falsos ou bancos de dados que já estão disponíveis publicamente ou vazaram anteriormente.
Alguns deles podem ser criativos, explicou Wixey.
“Encontramos um serviço que afirma ser capaz de vincular um texto .EXE a um PDF, de modo que, quando a vítima clicar no PDF, ele será carregado em segundo plano, o .EXE será executado silenciosamente”, disse ele. “O que o golpista realmente fez foi apenas enviar de volta um documento com um ícone de PDF, que na verdade não era um PDF nem continha um .EXE. Eles esperavam que o comprador não soubesse realmente o que estava pedindo ou como verificar isso.”
Também são comuns os golpes em que um vendedor oferece produtos legítimos que não são exatamente da qualidade anunciada – como dados de cartão de crédito que afirmam ser 30% válidos, quando na realidade apenas 10% dos cartões funcionam. Ou os bancos de dados são reais, mas estão sendo anunciados como “exclusivos”, enquanto o vendedor os está revendendo para vários compradores.
Em alguns casos, os fraudadores trabalham em conjunto de uma maneira mais longa, acrescentou. Os sites tendem a ser exclusivos, o que fomenta “um grau de confiança intrínseca” com o qual eles podem jogar, de acordo com Wixey.
“Um vai construir um relacionamento com um alvo e se oferecer para fornecer um serviço; eles dirão que realmente conhecem alguém que pode fazer esse trabalho muito melhor, que é um especialista no assunto”, explicou Wixey. “Eles geralmente apontam para um fórum falso que uma segunda pessoa trabalha e opera, o que exige algum tipo de depósito ou taxa de registro. A vítima paga a taxa de registro e os dois golpistas simplesmente desaparecem.”
Como os Fóruns Reagem
A atividade tem um efeito adverso no uso dos fóruns da Dark Web – agindo como um “imposto efetivo sobre os mercados criminosos, tornando-os mais caros e perigosos para todos os outros”, observou Wixey. Como tal, ironicamente, muitos mercados estão implementando medidas de segurança para ajudar a conter a onda de fraudes.
Os fóruns enfrentam vários desafios quando se trata de implementar salvaguardas: não há como recorrer à aplicação da lei ou às autoridades reguladoras; e é uma cultura semianônima, dificultando o rastreamento dos culpados. Assim, os controles antifraude implantados tendem a se concentrar no rastreamento da atividade e na emissão de alertas.
Por exemplo, alguns sites oferecem plug-ins que verificam uma URL para garantir que ela seja vinculada a um fórum de cibercrime verificado, não a um site falso em que os usuários são fraudados por meio de uma falsa “taxa de adesão”. Outros podem executar uma “lista negra” de ferramentas de golpistas e nomes de usuário confirmados. E a maioria tem um processo de arbitragem dedicado, onde os usuários podem registrar uma denúncia de fraude.
“Se você foi enganado por outro usuário no fórum, você vai a uma dessas salas de arbitragem e inicia um novo tópico e fornece algumas informações”, de acordo com Wixey. Isso pode consistir no nome de usuário e detalhes de contato do suposto golpista, comprovante de compra ou detalhes de transferência de carteira e tantos detalhes do golpe – incluindo capturas de tela e registros de bate-papo – quanto possível.
“Um moderador revisa o relatório, pede mais informações conforme necessário e, em seguida, marca a pessoa acusada e dá a ela algo entre 12 e 72 horas para responder, dependendo do fórum”, disse Wixey. “O acusado pode fazer a restituição, mas isso é muito raro. O que acontece mais comumente é que o golpista contestará o relatório e alegará que é devido a um mal-entendido dos termos da venda.”
Alguns simplesmente não respondem e, nesse caso, são banidos temporária ou permanentemente.
Outra opção de segurança para os usuários do fórum é o uso de um fiador – um recurso verificado pelo site que atua como uma conta caucionada. O dinheiro a ser trocado fica ali estacionado até que se confirme a legitimidade do bem ou serviço. No entanto, os próprios fiadores são frequentemente representados por fraudadores.
Um tesouro de inteligência de ameaças
Embora a pesquisa ofereça uma visão do funcionamento interno de uma subparte interessante do mundo da Dark Web, Wixey também observou que o processo de arbitragem em particular oferece aos pesquisadores uma fonte fantástica de inteligência de ameaças .
“Os fóruns exigem provas quando um golpe é alegado, e isso inclui coisas como capturas de tela e logs de bate-papo – e as vítimas geralmente ficam muito felizes em obedecer”, explicou ele. “Uma minoria deles edita essa evidência ou a restringe, por isso é visível apenas para um moderador, mas a maioria não. Eles postarão capturas de tela e registros de bate-papo não editados, que geralmente contêm um tesouro de endereços de criptomoeda, IDs de transação, endereços de e-mail , endereços IP, nomes de vítimas, código-fonte e outras informações. E isso contrasta com a maioria das outras áreas de mercados criminosos, onde a OpSec normalmente é muito boa.”
Alguns relatórios de fraude também incluem capturas de tela completas da área de trabalho de uma pessoa, incluindo data, hora, clima, idioma e aplicativos – oferecendo migalhas de localização.
Em outras palavras, as precauções normais saem pela janela. Uma análise da Sophos dos 250 relatórios de fraude mais recentes nos três fóruns descobriu que quase 40% deles incluíam algum tipo de captura de tela; apenas 8% restringiram o acesso às evidências ou se ofereceram para apresentá-las em particular.
“Em geral, os relatórios de fraude podem ser úteis tanto para inteligência técnica quanto para inteligência estratégica”, concluiu Wixey.
“A grande conclusão aqui é que os agentes de ameaças não parecem imunes a enganos, engenharia social ou fraude”, acrescentou. “Na verdade, eles parecem ser tão vulneráveis quanto qualquer outra pessoa. O que é interessante porque esses são exatamente os tipos de técnicas que eles estão usando contra outros usuários.”
FONTE: DARK READING