Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Talebi Karşılamak İçin 2022’de 190 ‘Önemli’ Darknet Pazarının Çıkış Yaptığını Söyledi
Mathew J. Schwartz (euroinfosec) •
14 Mart 2023
Kolluk kuvvetleri tarafından tekrarlanan yayından kaldırmalara rağmen, karanlık ağ pazarları gelişmeye devam ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Tehdit istihbaratı şirketi Flashpoint’in bildirdiğine göre, geçen yıl 190 “önemli” yeni darknet pazarı veya forumu açıldı.
Hizmet olarak fidye yazılımı grupları, bağlı kuruluşların reklamını yapmak için bu karaborsa e-ticaret sitelerine patronluk taslıyor. İlk erişim simsarları bunları yeni kurbanların reklamını yapmak için kullanırken, kötü amaçlı yazılım geliştiricileri mallarını satıyor ve veri simsarları, ödeme kartı ayrıntıları da dahil olmak üzere çalıntı bilgileri satıyor. Bunlara genellikle Tor veya I2P gibi anonimleştirici bir ağ (darknet olarak da bilinir) aracılığıyla erişilebilir.
Yeni pazarların başlangıcı, karışıklık sabit kalırken devam ediyor. Geçen yıl Batı kolluk kuvvetleri, FBI’ın 2021’de darknet piyasa işlemlerinin %80’ini gerçekleştirdiğini söylediği SSNDOB, RaidForums ve Hydra da dahil olmak üzere birçok büyük oyuncuyu alt etti (bkz:: Hydra Darknet Market: Tehdit İstihbaratından Alınan Dersler).
Rusya da bastırdı. 2022’nin başlarında Rus yetkililer, UniCC, Ferum Shop, Sky-Fraud ve Trump’s Dumps, diğer adıyla TDStore dahil olmak üzere çalıntı ödeme kartı verileri satan büyük kartçı pazarlarını kesintiye uğrattı. Tehdit istihbaratı şirketi Recorded Future’a göre, bu baskıya rağmen tarakçı ekosistemi Mayıs 2022’de toparlandı.
Büyük oyuncular kolluk kuvvetleri tarafından rahatsız edildikten sonra, yeni alternatifler genellikle hızla ortaya çıkar. Flashpoint, “Silk Road’dan Silk Road II’ye ve Silk Road Reloaded’a kadar dark web pazarlarının bu döngüsünü daha önce gözlemledik; yerinden edilmiş dark web kullanıcılarından yararlanmak isteyen rakipler, taklitçiler ve dolandırıcılar her zaman vardır” diyor.
Rusya’nın Şubat 2022’de bir fetih savaşına dönüşen Ukrayna işgali, darknet pazarlarını da etkiledi. Flashpoint’in analiz ve araştırma direktörü Ian Gray, Information Security Media Group’a “Savaş yeraltı siber suçlardaki bölünmeleri genişletti” dedi.
Hydra’nın ölümünün ardından Flashpoint, Ukrayna yanlısı bir grubun, pazar yeri OMGOMG – diğer adıyla OMG!OMG! tarafından desteklenen RuTor’a taşındığını keşfetti. – Rusya yanlısı bir grup, aynı adı taşıyan meşru San Francisco merkezli kripto para borsasına bağlı olmayan WayAWay/Kraken’i kucaklarken.
Rusça konuşan pazarların yalnızca Ruslara hizmet vermesiyle iyi bilinmesine rağmen, uzmanlar bunun dünya çapında baskın darknet pazar dili olmadığını söylüyor. Gray, “İngilizce, yeraltı dünyasının ortak dili olmaya devam ediyor” dedi. “Belirli bölgelere odaklanan çeşitli dolandırıcılık türleri gözlemledik – örneğin, o bölge için yerelleştirilmiş olan uyuşturucu satışları, tarama ve kötü amaçlı yazılım geliştirme” ve bu durumlarda pazarlar genellikle yerel dili kullanır.
Gray, Hydra’nın alıcı ve satıcılarının çoğunun önce şifreli sohbet uygulamaları kullanarak yeniden bir araya geldiğini söyledi. Gray, “Bir pazarın yapısı olmadan, şifreli mesajlaşma uygulamaları, satıcılar ve müşteriler arasındaki doğrudan etkileşimlere uygundur. Ancak, bir pazarın sunduğu göreli güvenliği sunmazlar” dedi (bkz:: Şifreli Sohbet Uygulamaları Neden Darknet Pazarlarının Yerini Almıyor?).
Ancak şifreli sohbet uygulamaları bir cankurtaran halatı sağlayabilse de, alıcılar ve satıcılar, kullanıcılara hizmet kalitesi için alıcı ve satıcı derecelendirmeleri, siparişler yerine getirilene kadar fonları saklamaya yönelik emanet özellikleri ve anlaşmazlık çözüm hizmetleri dahil olmak üzere birden fazla koruma sundukları için genellikle pazarlara geri çekilirler. (Görmek: Siber Suç: Darknet Piyasaları, Oyuncular Değişse Bile Canlı).
Teklifte neler var?
Siber suç cephesinde, araştırmacılar geçen yıl görülen popüler darknet pazar tekliflerinin şunları içerdiğini bildirdi:
- Çalınan kayıtlar: Kütük dükkanları olarak bilinen pazarlar, değerli, çalıntı bilgilerde kükreyen bir ticaret yapıyor. Flashpoint, yanlış yapılandırılmış veritabanlarının ve hizmetlerin satılan verilerin çoğunu sağlamaya devam ettiğini ve yanlış yapılandırmaların bildirilen ihlallerin yalnızca %5’ine bağlı olmasına rağmen, kayıp kayıtların %71’inin yanlış yapılandırmalardan kaynaklandığını bildiriyor.
- Kötü amaçlı yazılım: Bilgi hırsızları – diğer bir deyişle bilgi hırsızları – ve diğer kötü amaçlı yazılım türleri çılgınca popüler olmaya ve giderek daha fazla erişilebilir olmaya devam ediyor. Flashpoint, geçen yıl Raccoon, RedLine ve Vidar’ın özellikle popüler olduğunu, yeni gelenler AcridRain ve TyphonStealer’ın da ortaya çıktığını söylüyor. Bilgi hırsızları genellikle ödeme kartı verilerini, kripto para cüzdanı kimlik bilgilerini ve kişisel tanımlanabilir bilgileri toplamak için kullanılır ve bunların çoğu, tüketicileri, BT yöneticilerini ve diğerlerini taklit etmek için çalınan kimlik bilgilerini kullanmak isteyen suçlular için kütük dükkanlarında satışa çıkar.
- Kimlik avı kitleri ve hizmetleri: Bunların sunduğu yetenekler gelişmeye devam ediyor. Örneğin, geçtiğimiz Mayıs ayında kullanıma sunulan EvilProxy adlı yeni bir hizmet olarak kimlik avı platformu, oturum tanımlama bilgilerini çalmak ve çok faktörlü kimlik doğrulama savunmalarını atlayarak saldırganlara kurbanın ağına uzaktan erişim sağlamak için tasarlandı.
- Güvenlik açığı istismarları: Bilinen güvenlik açıklarının tartışılması, istismarların 2.000 ila 4.000 ABD Doları veya gelişmiş olanlar için 10.000 ABD Dolarından fazla satıldığı ve “etkilenen ürün yelpazesi veya kullanım kolaylığı gibi faktörlerin” istenen fiyatı etkilediği siber suç forumlarında çok yaygındır, Flashpoint .
Kayıtlı Gelecek, suç eğilimlerinde bir değişiklik olduğunu ve Rus suçluların, Kremlin’in 2020’de Ukrayna’yı işgal etmesinin ardından ülkelerinin ekonomik yaptırımlarla karşı karşıya kalması nedeniyle daha fazla ödeme kartı dolandırıcılığını kucaklayacaklarını söylüyor. Şirket, “Sahte bir siber suç biçimi olarak dolandırıcılığın ünü ne olursa olsun, muhtemelen hayatta kalmaktan çok bir fırsat suçu haline geliyor” diyor.
Flashpoint’ten Gray, aynı zamanda, darknet pazarlarının son derece “dayanıklı” ve “kapatma, kapatma ve çıkışlar nedeniyle ciroya rağmen canlı ve yaygın” olmaya devam ettiğini söyledi. “Genel olarak yasadışı ekonomi canlı ve iyi durumda.”