Thế giới tội phạm mạng đang chuyển động nhanh chóng. Các tác nhân đe dọa , băng nhóm tống tiền , nhà phát triển phần mềm độc hại và những người khác đang ngày càng nhanh chóng rời khỏi trang web tối "truyền thống" (các trang Tor) và chuyển sang các kênh Telegram bất hợp pháp chuyên về tội phạm mạng.
Bài viết này của Flare sẽ xem xét lý do tại sao các tác nhân đe dọa đang chuyển từ Tor và cung cấp hướng dẫn chi tiết về các phương pháp hay nhất trong việc giám sát các kênh Telegram.
Ngày nay, chúng ta thấy phần lớn hoạt động của tội phạm mạng xảy ra ngoài dark web truyền thống và trên các ứng dụng truyền thông xã hội hiện đại.
Có vô số lý do dẫn đến việc chuyển đổi bao gồm việc hàng hóa hóa tội phạm mạng, tăng cường giám sát của cơ quan thực thi pháp luật đối với các trang web Tor và sự chậm chạp chung của Tor. Chúng tôi sẽ bao gồm từng lần lượt.
Một trong những ưu và nhược điểm lớn nhất đối với thị trường dark web truyền thống là thị trường hoạt động như một cơ quan thanh toán bù trừ.
Thông thường, có một khoản giữ 14 ngày đối với các giao dịch trong đó thị trường nắm giữ tiền điện tử và trong đó người mua có thể yêu cầu truy đòi nếu họ bị lừa đảo.
Thách thức trở thành trong nhiều trường hợp, chủ sở hữu thị trường có thể nắm giữ hàng triệu đô la tiền điện tử tại bất kỳ thời điểm nào, tạo ra động cơ mạnh mẽ để thoát khỏi lừa đảo và đánh cắp số tiền đang nắm giữ.
So với các trang Tor, Telegram có lợi thế hơn trong các lĩnh vực sau:
Không có gì bí mật khi các thị trường, diễn đàn và trang web Tor được giám sát chặt chẽ bởi các tổ chức thực thi pháp luật. Người dùng biết khi họ tạo một bài đăng trên diễn đàn hoặc danh sách thị trường sẽ có thể được các nhóm bảo mật doanh nghiệp, hàng chục cơ quan thực thi pháp luật và nhiều cơ quan khác nhìn thấy.
Ngược lại, Telegram cung cấp tính ẩn danh được nhận thức dựa trên hàng nghìn kênh chuyên về tội phạm mạng, thiếu tính năng theo dõi IP dành cho các chuyên gia bảo mật và LE cũng như tính chất tạm thời của tin nhắn.
So với các thị trường dark web truyền thống, các kênh Telegram có xu hướng chuyên về một loại hoạt động tội phạm cụ thể. Thị trường web đen có thể cung cấp cho tội phạm khả năng mua ma túy, súng, số thẻ tín dụng, danh sách kết hợp và hàng tá hàng hóa bất hợp pháp khác.
Các kênh Telegram theo hợp đồng hoạt động như một cửa hàng duy nhất cho một loại hàng hóa và có thể được phân loại dựa trên những gì họ đang cung cấp.
Các danh mục sau đây chúng tôi đã xác định là không đầy đủ:
Nhật ký kẻ đánh cắp thể hiện dữ liệu từ các thiết bị bị nhiễm phần mềm độc hại infostealer. Chúng thường bao gồm dấu vân tay của trình duyệt, mật khẩu đã lưu trong trình duyệt, dữ liệu khay nhớ tạm, dữ liệu thẻ tín dụng được lưu trong trình duyệt, thông tin ví tiền điện tử và thông tin liên quan.
Nhật ký cá nhân › đại diện cho dữ liệu từ một máy tính. Các kênh nhật ký của kẻ đánh cắp trên Telegram có hai loại:
Các kênh này thường xuyên phân phối các tệp có kích thước megabyte-gigabyte chứa hàng trăm, hàng nghìn hoặc trong một số trường hợp là hàng trăm nghìn nhật ký của kẻ đánh cắp riêng lẻ.
Đây có thể được coi là một quảng cáo mở rộng cho các kênh nhật ký riêng tư, chỉ mời và là cách để nhà cung cấp chứng minh rằng nhật ký mà họ đang cung cấp có chất lượng cao và chứa thông tin xác thực có giá trị.
Các kênh nhật ký của kẻ đánh cắp VIP cung cấp cho một số lượng hạn chế các tác nhân đe dọa truy cập vào các nhật ký "cao cấp" được cho là trực tiếp từ nguồn và không bị các tác nhân đe dọa khác chạm tới. Thông thường, giá để truy cập vào các kênh này dao động từ $200-$400 một tháng được trả bằng Monero.
Chúng tôi nghi ngờ rằng nhiều nhà môi giới truy cập ban đầu sàng lọc các nhật ký được đăng trong các kênh này để xác định các nhật ký cụ thể có quyền truy cập của công ty, xác thực quyền truy cập và sau đó bán lại quyền truy cập trên các diễn đàn tội phạm mạng hàng đầu như Exploit hoặc XSS.
Một loại kênh khác mà chúng ta thường thấy là các kênh gian lận tài chính trong đó tài khoản ngân hàng, thẻ tín dụng và thông tin hoàn tiền được cung cấp hàng loạt. Ví dụ, các kênh này thường chuyên về "loại" tội phạm cụ thể của họ.
Danh sách kết hợp có thể được tạo dựa trên địa lý, ngành, quyền truy cập tài khoản và các tính năng khác khiến chúng có giá trị cao đối với các tác nhân đe dọa.
Trong nhiều trường hợp, tên người dùng, email và mật khẩu được dán trực tiếp vào cuộc trò chuyện Telegram. Trong các trường hợp khác, các tác nhân đe dọa có thể cung cấp các tệp chứa hàng nghìn hoặc hàng chục nghìn điểm dữ liệu (và thường đi kèm với phần mềm độc hại).
Danh mục kênh cuối cùng đặc biệt phù hợp với các nhóm an ninh mạng là các kênh tin tặc cấp quốc gia. Các kênh như Bloodnet, Killnet, Noname47, Anonymous Sudan và các kênh khác đã trở nên phổ biến, đặc biệt kể từ khi bắt đầu chiến tranh ở Ukraine.
TRUNGTAMBAOHANH.COM Sửa Chữa 0 Đồng, Xài Trước Trả Sau