Скрытые угрозы на форумах подземного бизнеса – как функционирует BreachForums в темной сети

Западная кибербезопасность регулярно отслеживает активность на форумах подпольной торговли, чтобы понять, как действуют киберпреступники и какие продукты и услуги они предлагают в своей подпольной экономике. Форум в Даркнете, такой как BreachForums, является одним из крупнейших очагов организованной преступной деятельности. Ниже представлена подробная аналитика того, что происходит внутри этой темной экосистемы.

Статья носит образовательный характер и не призывает к использованию darknet.

От RaidForums до BreachForums – рождение подпольной платформы

Прежде чем BreachForums стал самым известным форумом киберпреступности в dark web, он существовал под прежним названием – RaidForums. Платформа была основана в 2015 году португальским хакером Диого Сантошом Коэльо. Изначально она функционировала как сообщество, сосредоточенное на «атаке» на веб-сайты в виде шутки и троллинга. Однако, когда участники начали заниматься массовым краже данных с платформ соцсетей и корпоративных сайтов, RaidForums быстро превратился в один из самых прибыльных центров нелегального бизнеса.

История BreachForums — цепочка захватов, арестов и возрождений. В 2022 году Europol и разведывательные агентства США совместно захватили платформу и арестовали Диого Сантоша Коэльо, который сейчас находится в британской тюрьме в ожидании экстрадиции. Затем сайт был восстановлен пользователем с псевдонимом PomPomPurin, который также был арестован FBI в 2023 году. В целом, BreachForums известен тем, что каждый раз возобновляет деятельность под новыми операторами — последнее захват FBI произошло в мае 2024 года.

Несмотря на повторные вмешательства правоохранительных органов, форум продолжает активно функционировать. Специалисты по кибербезопасности предполагают, что текущая версия может быть контролируемой «ловушкой», установленной FBI для отслеживания преступников и сбора доказательств.

Экосистема преступности – что на самом деле предлагает BreachForums

Сразу после входа на BreachForums видно открытые приглашения к нелегальной деятельности. В отличие от других форумов кибербезопасности, которые маскируются под сообщества энтузиастов безопасности, BreachForums никогда не скрывает своей истинной природы. На главной странице можно найти пост за постом, предлагающие запрещенные услуги — от аренды банды MS13 за 10 000 долларов (скорее всего, мошенничество, чем реальное предложение), до продажи утечек бизнес-данных.

Чат на форуме показывает пользователей, которые в реальном времени обсуждают продажу данных пользователей, украденных с потоковых сервисов, таких как Netflix, Paramount Plus, платформ OnlyFans или украденных логинов к корпоративным почтовым аккаунтам. Активность на форуме очень высокая — все опубликованные в исследовании сообщения появились за несколько часов, что свидетельствует о высокой жизнеспособности этой подпольной сообщества.

Одним из крупнейших сабфорумов является раздел, посвященный исключительно утечкам данных. Пользователи продают там комплекты логинов по электронной почте для топ-менеджеров компаний, документы удостоверяющих личность из ОАЭ, Индии, Катара и Саудовской Аравии. Особенно популярны были утечки из австралийского страхового медицинского провайдера MedBank, который действительно был взломан российскими киберпреступниками в 2022 году — тогда было украдено личных данных 9,7 миллиона австралийцев. Многие из этих предложений — старые утечки (например, 2016 года), которые продавцы повторно выставляли как «свежие» — еще один пример мошенничества, распространенного даже среди самих преступников.

Каталог услуг – профессиональный бизнес нелегальной деятельности

Форум в dark web, такой как BreachForums, предлагает каталог услуг, которые могли бы находиться на легальных маркетплейсах — только все они нелегальны. Преступники нанимаются для проведения DDoS-атак, то есть распределенных атак отказа в обслуживании, при которых ботнет блокирует работу сайта с целью вымогательства денег или саботажа конкурентов.

Еще одна популярная услуга — доступ к удаленному компьютеру жертвы (HNVC — Hidden Virtual Computer), что позволяет хакерам полностью контролировать устройство. Одним из интересных открытий было то, что группы киберпреступников рекламируют такие услуги так же, как и легальные компании — с детализацией функций, цен и обслуживанием на русском и английском языках.

Форум также содержит услуги массовых рассылок электронных писем для фишинговых кампаний, «флудеров» — спам-рассылок, засоряющих почтовые ящики жертв, а также целые каталоги программных услуг для создания поддельных целевых страниц для кражи данных. Все транзакции осуществляются через криптовалюты, что обеспечивает анонимность сторон.

Однако из-за многократных захватов форума большинство аккаунтов имеют менее двух лет, что снижает репутацию продавцов и увеличивает число мошенничеств. Некоторые продавцы предлагают услугу «escrow» — систему, при которой доверенная третья сторона хранит средства до тех пор, пока обе стороны не будут удовлетворены сделкой. Это лучший показатель того, что продавец действительно может предложить то, что заявляет.

Внутренние мошенничества – когда преступники обманывают друг друга

Интересный аспект этого подпольного форума — наличие темы, посвященной сообщениям о мошенничествах. Форум ведет документацию случаев, когда пользователь uuu732 сообщил, что стал жертвой мошенничества со стороны продавца с псевдонимом PennyTrate-x. Он заплатил 300 долларов за программное обеспечение для обхода антивирусных детекторов, но продавец так и не поставил товар. Когда модератор вмешался, продавец отказался отвечать, а его аккаунт был заблокирован.

Другой случай — пользователь потратил 500 долларов, пытаясь купить украденную базу данных швейцарской страховой компании, и дополнительно 1300 долларов — базу данных швейцарского ритейлера — ни один товар так и не был доставлен. Эти случаи показывают, что даже в атмосфере беззакония подпольного форума мошенничество широко распространено, а модераторы сталкиваются с трудностями в обеспечении порядка.

Последствия – как преступники используют украденные данные

Обмен данными на dark web forum имеет конкретные и опасные последствия для жертв. Когда преступники покупают логины и пароли к почтовым аккаунтам, они используют их для взлома банковских счетов, PayPal, соцсетей или интернет-магазинов с целью несанкционированных переводов денег или покупок.

Личные данные также используются для кражи идентичности — преступники оформляют кредиты на чужие имена, пользуясь украденными паспортными документами. Во многих случаях данные применяются для шантажа — когда хакер получает доступ к чувствительной информации на аккаунте жертвы, он угрожает ее публикацией.

Защита – как защититься от интернет-угроз

Несмотря на реальную угрозу, форум в dark web можно и нужно защищать. Самое главное — не посещайте darknet вообще. Это самый эффективный способ защиты.

Для обычных пользователей интернета базовая защита — включение двухфакторной аутентификации (2FA) на все аккаунты — означает, что для входа потребуется второе устройство, например телефон. Внимательно проверяйте URL-адреса перед кликом — мошенники часто создают сайты, почти идентичные оригиналам. Никогда не скачивайте файлы из ненадежных источников и не кликайте на подозрительные ссылки.

Если хотите проверить, появлялся ли ваш e-mail в dark web, используйте инструмент «Have I Been Pwned», доступный в обычной сети — для этого не нужно заходить в darknet. Если обнаружите, что ваш адрес появился на таком форуме, немедленно смените пароль, включите 2FA и подумайте о смене всего адреса электронной почты, если заметите подозрительную активность.

Часто задаваемые вопросы о dark web и безопасности

Можно ли получить доступ к dark web на Chromebook?
Технически да — через установку Linux с помощью Crostini и добавление репозитория Tor. Однако настоятельно не рекомендуем этого делать, если только не ведете журналистские или научные исследования. Риск столкнуться с мошенниками и преступниками значительно превышает возможные выгоды.

Почему dark web имеет репутацию «страшного»?
Многие популярные видео на YouTube показывают блогеров, открывающих «таинственные посылки» с darknet, а интернет полон ужасов, вдохновленных этой тематикой. На самом деле большинство из них — постановочные сценки. Dark web менее «страшен», а скорее — бизнесовский ресурс, где люди получают доступ, чтобы делиться информацией без цензуры (например, политические информаторы) или просто совершать киберпреступления.

Что делать, если мой e-mail появился в dark web?
Немедленно смените пароль, включите двухфакторную аутентификацию и внимательно следите за активностью. Если замечаете подозрительные входы (например, письма с просьбами подтвердить вход), подумайте о полном изменении адреса электронной почты.

Мониторинг активности на форумах dark web специалистами по кибербезопасности помогает информировать пользователей о реальных угрозах. Знание методов работы преступников — первая линия защиты в борьбе с ними.