Hochstapler schalten sich selbst ein

Cyberkriminelle werden oft denn Parasiten beliebt, die sich von einer Vielzahl von Opfern jeder Größe und Couleur ernähren. Nichtsdestoweniger wie sich herausstellt, sind sie selbst zu Zielen geworden, mit einer Vielzahl von sich von unten ernährenden „Metaparasiten“, die zu Dark Web-Marktplätzen strömen, um ihre eigenen Marken zu finden.

Es ist ein Phänomen, dasjenige den erfreulichen Nebenerscheinung hat, dass Forschern eine reiche Gefäß von Bedrohungsinformationen offengelegt wird, einschließlich Kontakt- und Standortdetails von Cyberkriminellen.

Sophos Senior Threat Researcher Matt Wixey trat aufwärts dieser Black Hat Europe 2022 aufwärts die Boden, um in einer Sitzung mit dem Titel „Scammers Who Scam Scammers, Hackers Who Hack Hackers“ darüber hinaus dasjenige Metaparasiten-Wildnis zu diskutieren. Laut Recherchen, die er zusammen mit seiner Forscherkollegin Angela Gunn durchgeführt hat, ist die Untergrundwirtschaft von einer Vielzahl von Betrügern durchsetzt, die triumphierend Mio. von Dollar pro Jahr von ihren Cyberkriminellen erpressen.

Dasjenige Paar untersuchte die Datenmaterial von 12 Monaten in drei Dark-Web-Foren (russischsprachige Exploit- und XSS- und englischsprachige Breach-Foren) und deckte Tausende erfolgreicher Betrugsversuche aufwärts.

„Dasjenige ist eine ziemlich reichhaltige Prise“, sagte Wixey. „Hochstapler nach sich ziehen die Benutzer dieser Foren im Laufe von 12 Monaten um etwa 2,5 Mio. US-Dollar betrogen. Die Beträge pro Betrug können so tief wie 2 US-Dollar solange bis hin zu niedrigen sechsstelligen Beträgen sein.“

Die Taktiken variieren, demgegenüber eine dieser gebräuchlichsten – und brutalsten – ist ein Gambit, dasjenige denn „Rip and Run“ traut ist. Gemeint ist eine von zwei „Rip“-Varianten: Ein Käufer erhält Ware (ein Exploit, sensible Datenmaterial, gültige Zugangsdaten, Kreditkartennummern etc.), getilgt demgegenüber nicht; oder ein Verkäufer wird getilgt und liefert nie, welches versprochen wurde. Jener „Run“-Teil bezieht sich darauf, dass dieser Hochstapler vom Marktplatz verschwindet und sich weigert, Anfragen zu beantworten. Betrachten Sie es denn eine Dark-Web-Version des Dine-and-Dash.

Es gibt genauso viele Hochstapler, die gefälschte Waren feilbieten – wie nicht existierende Krypto-Konten, Makro-Builder, die nichts Schändliches zusammensetzen, gefälschte Datenmaterial oder Datenbanken, die entweder schon publik zugänglich sind oder zuvor durchgesickert sind.

Manche davon können kreativ werden, erklärte Wixey.

„Wir nach sich ziehen kombinieren Tätigkeit gefunden, dieser behauptet, in dieser Stellung zu sein, kombinieren .EXE-Text an ein Portable Document Format zu flechten, sodass, wenn dasjenige Todesopfer aufwärts dasjenige Portable Document Format klickt, es geladen wird, während die .EXE-File im Hintergrund läuft“, sagte er. „Jener Hochstapler hat ihnen lediglich ein Manuskript mit einem Portable Document Format-Symbol zurückgeschickt, dasjenige weder wirklich ein Portable Document Format war noch eine EXE-File enthielt. Sie hofften, dass dieser Käufer nicht wirklich wusste, worauf er fragte oder wie man es überprüft.”

Ebenfalls normal sind Betrügereien, zwischen denen ein Verkäufer legitime Waren anbietet, die nicht ganz dieser beworbenen Qualität vollziehen – wie Kreditkartendaten, die behaupten, zu 30 % perfekt zu sein, obwohl realiter nur 10 % dieser Karten laufen. Oder die Datenbanken sind WAHR, werden demgegenüber denn „exklusiv“ beworben, während dieser Verkäufer sie tatsächlich an mehrere Empfänger weiterverkauft.

In manchen Fällen funktionieren Hochstapler eigentlich aufwärts Menorrhagie Betrugsbasis zusammen, fügte er hinzu. Websites tendieren dazu, exklusiv zu sein, welches laut Wixey „ein gewisses Vermessung an intrinsischem Vertrauen“ schürt, mit dem sie spielen können.

„Man wird eine Partnerschaft zu einem Ziel einrichten und bieten, kombinieren Tafelgeschirr zu leisten; sie werden dann sagen, dass sie tatsächlich jemanden Kontakt haben, dieser ebendiese Arbeit viel optimieren kann, dieser ein Kapazität aufwärts diesem Gebiet ist“, erklärte Wixey. „Oft verweisen sie sie aufwärts ein gefälschtes Forum, dasjenige von einer zweiten Person betrieben und betrieben wird und zu Gunsten von dasjenige eine Verfahren Kaution oder Registrierungsgebühr verlangt wird. Dasjenige Todesopfer zahlt die Registrierungsgebühr, und dann verschwinden jedwederlei Hochstapler störungsfrei.“

Wie sich Foren wehren

Die Geschäftigkeit wirkt sich schlecht aufwärts die Nutzung von Dark-Web-Foren aus – sie wirkt denn „effektive Steuer aufwärts kriminelle Marktplätze und macht sie teurer und gefährlicher zu Gunsten von allesamt anderen“, bemerkte Wixey. Punktum diesem Grund implementieren ironischerweise viele Märkte Sicherheitsmaßnahmen, um die Betrugswelle einzudämmen.

Foren stillstehen vor mehreren Herausforderungen, wenn es drum geht, Sicherheitsvorkehrungen zu treffen: Es gibt keinen Regress aufwärts Strafverfolgungs- oder Regulierungsbehörden zu Gunsten von kombinieren; und es ist eine halbanonyme Kultur, die es schwierig macht, die Schuldigen aufzuspüren. Von dort zusammenfassen sich die eingeführten Betrugsbekämpfungskontrollen in dieser Regel aufwärts die Verfolgung dieser Geschäftigkeit und die Verteilung von Warnungen.

Manche Websites eröffnen zum Beispiel Plug-Ins an, die eine URL prüfen, um sicherzustellen, dass sie aufwärts ein verifiziertes Cybercrime-Forum verweist und nicht aufwärts eine gefälschte Website, aufwärts dieser Benutzer mit einer gefälschten „Beitrittsgebühr“ betrogen werden. Andere zur Folge haben unter Umständen eine „schwarze verkettete Liste“ mit bestätigten Hochstapler-Tools und Benutzernamen. Und die meisten nach sich ziehen ein spezielles Schlichtungsverfahren, zwischen dem Benutzer kombinieren Betrugsbericht vorlegen können.

„Wenn Sie von einem anderen Benutzer im Forum betrogen wurden, in Betracht kommen Sie zu einem dieser Schlichtungsstellen und beginnen kombinieren neuen Thread und liefern wenige Informationen“, so Wixey. Dasjenige kann aus dem Benutzernamen und den Kontaktdaten des mutmaßlichen Betrügers, dem Kaufbeleg oder den Überweisungsdetails und so vielen Einzelheiten des Betrugs – einschließlich Screenshots und Chat-Protokollen – wie möglich Dasein.

„Ein Moderator überprüft den Depesche, er fragt nachdem weiteren Informationen, wenn es erforderlich ist, und markiert dann die beschuldigte Person und gibt ihr je nachdem Forum zwischen 12 und 72 Zahlungsfrist aufschieben Zeit, um zu erwidern“, sagte Wixey. „Jener Angeklagte kann eine Restitution leisten, demgegenüber dasjenige ist ziemlich selten. Welches häufiger passiert, ist, dass dieser Hochstapler den Depesche dementieren und behaupten, dass er aufwärts ein Missverständnis dieser Verkaufsbedingungen zurückzuführen ist.“

Manche erwidern störungsfrei nicht und werden in diesem Kernpunkt entweder vorübergehend oder für immer nicht zugreifbar.

Eine weitere Sicherheitsoption zu Gunsten von Forenbenutzer ist die Verwendung eines Garantiegebers – einer seitenverifizierten Ressource, die denn Treuhandkonto fungiert. Dort wird dasjenige umzutauschende Geld geparkt, solange bis die Ware oder Service denn legitim bestätigt wird. Verbürgen selbst werden jedoch zig-mal von Betrügern imitiert.

Eine Fundgrube an Bedrohungsinformationen

Während die Wissenschaft kombinieren Einblick in dasjenige Innenleben eines interessanten Teils dieser Welt des Dark Web bietet, stellte Wixey genauso straff, dass insbesondere dasjenige Schlichtungsverfahren den Forschern eine fantastische Quelle zu Gunsten von Bedrohungsinformationen bietet.

„Foren verlangen Beweise, wenn ein Betrug behauptet wird, und in Verbindung stehen Gedöns wie Screenshots und Chatprotokolle – und die Todesopfer sind normalerweise nur zu gerne griffbereit, dem nachzukommen“, erklärte er. „Eine Minorität von ihnen redigiert ebendiese Beweise oder schränkt sie ein, sodass sie nur zu Gunsten von kombinieren Moderator visuell sind, die meisten jedoch nicht. Sie veröffentlichen nicht redigierte Screenshots und Chatprotokolle, die oft eine Fundgrube an Kryptowährungsadressen, Transaktions-IDs und Elektronischer Brief-Adressen enthalten , IP-Adressen, Opfernamen, Quellcode und andere Informationen. Und dasjenige steht im Kontroverse zu den meisten anderen Bereichen krimineller Marktplätze, wo OpSec normalerweise ziemlich gut ist.“

Manche Betrugsberichte enthalten genauso vollständige Screenshots des Desktops einer Person, einschließlich Zeitangabe, Zeit, Wetter, Sprache und Anwendungen – und eröffnen Breadcrumbs zum Standort.

Mit anderen Worten, normale Vorsichtsmaßnahmen in Betracht kommen aus dem Fenster. Eine Sophos-Schlussfolgerung dieser letzten 250 Betrugsberichte in den drei Foren ergab, dass so gut wie 40 % von ihnen eine Verfahren Screenshot enthielten; nur 8 % beschränkten den Zugang zu Beweismitteln oder boten an, ebendiese privat einzureichen.

„Im Allgemeinen können Betrugsberichte sowohl zu Gunsten von die technische denn genauso zu Gunsten von die strategische Intelligenz nützlich sein“, schloss Wixey.

„Dasjenige Wichtigste in diesem Zusammenhang ist, dass Bedrohungsakteure nicht resistent gegen Täuschung, Social Engineering oder Betrug zu sein scheinen“, fügte er hinzu. „Tatsächlich scheinen sie genauso verwundbar zu sein wie allesamt anderen. Dasjenige ist interessant, weil sie genau ebendiese Verfahren von Techniken gegen andere Benutzer einsetzen.“