Budd, suç yarışmalarının hile olasılığını azaltmak için kendi kurallarına sahip olduğunu söylüyor. Exploit’te kurallar, girişlerin “başka bir yerde yayınlanmamış olması”, “anlamlı ve hacimli olması”, kod veya algoritmalar gibi teknik detayları içermesi ve “en az 5.000 karakter (boşluklar hariç)” olması gerektiğini söylüyor. Bu, yaklaşık 1000 kelimeye veya bu WIRED makalesinin kabaca uzunluğuna eşittir. XSS’deki kurallar da benzerdir (“kopyala-yapıştır = utanç verici bir şekilde yarışmadan ihraç”) ancak makalelerin daha uzun olmasını (en az 7.000 karakter) gerektirir ve “düzgün biçimlendirme, yazım ve noktalama işaretleri” olması gerektiğini söyler.
Ancak dolandırıcılar dolandırıcılık yapacak. En son yarışmalarında Exploit’in 35, XSS’nin ise 38 katılımı vardı. Ancak XSS bunlardan 10’unu diskalifiye etti. Yarışmaların kazananları, girişlere oy veren forum üyeleri tarafından belirleniyor, ancak sitelerin yöneticileri de kazananları seçebiliyor ve Sophos’a göre oylamaya hile karıştırıldığına dair şikayetler var.
Budd, bu yarışmaların zamanla gelişip büyüdüğünü söylüyor. ReliaQuest tarafından satın alınan siber güvenlik firması Digital Shadows’un önceki araştırması, siber suç forumlarındaki yarışmaların 2006 civarında başladığını gösteriyor. ReliaQuest’te siber tehdit istihbarat analisti Roman Faithfull, bu ilk yarışmaların çok basit olduğunu söylüyor. Faithfull, “Başlangıçta oldukça sadeydiler” diyor. “Bunlar her zaman forum yöneticileri tarafından organize edilmiyordu.”
Kendisi, ilk yarışmalardan bazılarının forum üyelerinden logo tasarlamalarının istendiğini ve hatta sitede en uzun hesap geçmişine sahip olan bir forum başlığına yorum yapan kişiye küçük bir para ödülü teklif edildiğini söylüyor. Faithfull, “Forumlar daha karmaşık hale geldikçe, genel olarak yarışmalar da daha karmaşık hale geldi” diyor.
ReliaQuest araştırmacısı, çoğu yıllık olarak düzenlenen yarışmaların 2015’ten bu yana makale ve kod yazıp göndermeye odaklandığını söylüyor. “İnsanlara para kazandıracak şeylere çok fazla odaklanılıyor” diye ekliyor. Hal böyle olunca ödül potları da arttı: XSS’de toplam ödül potu 2018’de 1.000 $’dı ve 2021’de kazanan için 14.000 $ ile 40.000 $’a yükseldi. Faithfull, gerçekten zor bir durumdalar ve acil paraya ihtiyaçları olduğunu söylüyor. “Bir fidye yazılımı grubu ya da gerçekten üst düzeydeki birini görmeniz pek mümkün değil.”
Sophos araştırması, en son iki yarışmaya yapılan katılımların içeriğinin oldukça geniş olduğunu ortaya çıkardı. Bazıları daha yenilikçiydi, diğerleri ise esasen başka yerlerde bulunan bilgileri tekrarlıyordu. Exploit’in 2021 kripto yarışmasının kazananı, klonlanmış blockchain.com web sitesinin oluşturulması oldu ve Sophos bunun genel olarak “nispeten basit” olduğunu söyledi. Araştırma, “Bunun gibi klonlanmış bir site, genellikle diğer herhangi bir kimlik avı veya kimlik bilgisi toplama sitesi gibi kullanılır” diyor.
Exploit yarışmasında kazanan diğer katılımlar veya mansiyon alan kişiler, ilk madeni para tekliflerini hedeflemeye, insanların kripto para birimi hesap ayrıntılarını çalmak için bir kimlik avı sitesi oluşturmaya yönelik bir kılavuza ve sıfırdan bir kripto para birimi oluşturma konusunda bir eğitime odaklandı. Ancak birkaç yıldır bunun nasıl yapılacağına dair ücretsiz ve kamuya açık eğitimlerin mevcut olduğunu belirtmekte fayda var” diye belirtiyor Sophos araştırması.