Siber suç dünyası hızla ilerliyor. Tehdit aktörleri, fidye yazılımı çeteleri, kötü amaçlı yazılım geliştiricileri ve diğerleri, “geleneksel” karanlık ağdan (Tor siteleri) giderek ve hızla siber suçlarda uzmanlaşmış yasa dışı Telegram kanallarına geçiyor.
Bu Flare makalesi, tehdit aktörlerinin Tor’dan kaymasının nedenlerini inceleyecek ve Telegram kanallarının izlenmesinde en iyi uygulamalar için ayrıntılı rehberlik sağlayacaktır.
Tehdit Aktörleri Neden Tor’dan Telegram’a Geçiyor?
Bugün, siber suç faaliyetlerinin büyük çoğunluğunun geleneksel karanlık ağ dışında ve modern sosyal medya uygulamalarında gerçekleştiğini görüyoruz.
Siber suçun metalaştırılması, Tor sitelerinde yasa uygulama incelemelerinin artması ve Tor’un genel yavaşlığı dahil olmak üzere geçişin sayısız nedeni vardır. Her birini sırayla ele alacağız.
Çıkış Dolandırıcılığı Eksikliği
Geleneksel karanlık web pazar yerlerinin en büyük artılarından ve eksilerinden biri, pazar yerinin bir takas odası gibi davranmasıdır.
Tipik olarak, pazarın kripto para birimini elinde tuttuğu ve alıcının dolandırılmaları durumunda rücu talebinde bulunabileceği işlemlerde 14 günlük bir bekletme vardır.
Buradaki zorluk, çoğu durumda pazar yeri sahiplerinin herhangi bir zamanda milyonlarca dolarlık kripto para bulundurması ve bu da dolandırıcılıktan çıkmak ve elde tutulan parayı çalmak için güçlü bir teşvik oluşturmasıdır.
Modern Sosyal Medyanın Olanakları
Tor siteleriyle karşılaştırıldığında, Telegram’ın aşağıdaki alanlarda bir avantajı vardır:
- Telegram hızlıdır ve modern sosyal medya uygulamalarının sahip olduğu emojiler, doğrudan özel sohbetler, bir telefon uygulaması ve diğer hoş şeyler gibi birçok olanağa sahiptir.
- Siber suç kanallarını bulmak ve başarılı bir şekilde satın alma yapmak için teknik yeterlilik düzeyi Tor’dan bile daha düşüktür ve bu da siber suç verilerinin demokratikleştirilmesini sağlar
- Kullanıcıların satıcıların tekliflerinin etkinliğini “doğrulaması” için kolay bir yol sağlayabilen kimlik bilgileri, hırsız günlükleri, ihlallerden elde edilen veriler ve diğer verilerin ücretsiz “örneklerini” sağlayan birçok kanal mevcuttur.
Algılanan Anonimlik
Tor pazaryerlerinin, forumların ve sitelerin kolluk kuvvetleri tarafından sıkı bir şekilde izlendiği bir sır değil. Kullanıcılar, bir forum gönderisi veya pazar yeri listesi oluşturduklarında kurumsal güvenlik ekipleri, düzinelerce kolluk kuvveti ve diğerleri tarafından büyük olasılıkla görüleceğini bilirler.
Tersine, siber suçlarda uzmanlaşmış binlerce kanal, güvenlik ve LE profesyonelleri için IP izleme eksikliği ve mesajların geçici görünen doğası göz önüne alındığında, Telegram algılanan anonimlik sağlar.
Siber Suç Telgraf Kanal Türleri
Eski karanlık web pazarlarıyla karşılaştırıldığında, Telegram kanalları belirli bir suç faaliyeti türünde uzmanlaşma eğilimindedir. Bir karanlık ağ pazarı, bir suçluya uyuşturucu, silah, kredi kartı numarası, kombocu ve düzinelerce başka yasadışı mal satın alma olanağı sunabilir.
Sözleşmeli telgraf kanalları, tek bir mal türü için tek bir mağaza görevi görür ve sunduklarına göre sınıflandırılabilir.
Belirlediğimiz aşağıdaki kategoriler eksiksiz değildir:
Hırsız Günlük Dağıtımı
Stealer günlükleri, infostealer kötü amaçlı yazılım bulaşmış cihazlardan alınan verileri temsil eder. Bunlar genellikle tarayıcı parmak izini, tarayıcıda kayıtlı şifreleri, pano verilerini, tarayıcıda kayıtlı kredi kartı verilerini, kripto para cüzdan bilgilerini ve ilgili bilgileri içerir.
Bireysel günlük ›bir bilgisayardan alınan verileri temsil eder. Telegram’daki hırsız günlük kanalları iki türde gelir:
Açık Erişim Stealer Günlük Kanalları
Bu kanallar, yüzlerce, binlerce ve bazı durumlarda yüzbinlerce ayrı hırsız günlüğü içeren megabayt-gigabayt boyutlu dosyaları rutin olarak dağıtır.
Bunlar, özel, yalnızca davetli günlük kanalları için genişletilmiş bir reklam olarak ve satıcılar için sağladıkları günlüklerin yüksek kaliteli olduğunu ve değerli kimlik bilgileri içerdiğini kanıtlamanın bir yolu olarak görülebilir.
VIP Stealer Günlük Kanalları
VIP hırsız günlükleri kanalları, sınırlı sayıda tehdit aktörünün, sözde doğrudan kaynaktan gelen ve diğer tehdit aktörleri tarafından dokunulmayan “premium” günlüklere erişimini sağlar. Tipik olarak bu kanallara erişim ücreti Monero’da ödenen aylık 200-400 ABD Doları arasında değişmektedir.
Birçok ilk erişim aracısının, kurumsal erişime sahip belirli günlükleri belirlemek, erişimi doğrulamak ve ardından erişimi Exploit veya XSS gibi üst düzey siber suç forumlarında yeniden satmak için bu kanallarda yayınlanan günlükleri incelediğinden şüpheleniyoruz.
Finansal dolandırıcılık
Yaygın olarak gördüğümüz bir diğer kanal türü ise banka hesabı, kredi kartı ve iade bilgilerinin toplu olarak verildiği finansal dolandırıcılık kanallarıdır. Bu kanallar tipik olarak, örneğin kendi özel suç “türlerinde” alt-uzmanlaşır.
- Kredi Kartı Numaraları
- Banka hesabı
- Geri Ödeme Kılavuzları
- SIM Değiştirme
- Hediye Kartı Dolandırıcılığı
Kombolistler ve Kimlik Bilgileri
İzlenecek bir diğer yaygın ve kritik kanal türü, birleşik listeler sağlayan kanallardır. Kombinasyon listeleri, bazen adların, e-postaların ve suçluların hesap ele geçirme saldırılarına teşebbüs etmek için kullandıkları diğer tanımlayıcı bilgilerin eşlik ettiği, çalınan kullanıcı adları ve parolaların “düzenlenmiş” listeleridir.
Kombolistler, onları tehdit aktörleri için yüksek değerli kılan coğrafya, endüstri, hesap erişimi ve diğer özelliklere dayalı olarak oluşturulabilir.
Çoğu durumda kullanıcı adları, e-postalar ve şifreler doğrudan Telegram sohbetine yapıştırılır. Diğer durumlarda, tehdit aktörleri binlerce veya onbinlerce veri noktası içeren (ve genellikle kötü amaçlı yazılımların eşlik ettiği) dosyalar sağlayabilir.
Ulus Devlet Hacktivizmi
Siber güvenlik ekipleriyle özellikle ilgili olan son kanal kategorisi, ulus-devlet bilgisayar korsanlığı kanallarıdır. Bloodnet, Killnet, Noname47, Anonymous Sudan ve diğerleri gibi kanalların popülaritesi, özellikle Ukrayna’da savaşın başlamasından bu yana patladı.
Bu kanallar tipik olarak belirli hedefleri, genellikle NATO ülkelerindeki kritik altyapıları seçer ve web sitelerini, hayati DDoS hizmetlerini ve şirketlerden veri sızdırmaya çalışır.
Telegram hakkında endişeli misiniz? Parlama Yardımcı Olabilir
Flare’nin Tehdit Açığa Çıkma Yönetimi platformu 30 dakikada kurulur ve açık ve karanlık ağı tehditlere karşı sorunsuz bir şekilde izler. Haftada bir milyondan fazla hırsız günlüğü içe aktarıyoruz, Tor’da yüzlerce pazar yeri ve forumu izliyoruz ve ayrıca binlerce yasa dışı Telegram kanalındaki tehditleri tespit ediyoruz.
Ayrıca Flare, GitHub’da sızan API anahtarları ve kimlik bilgileri, pastebin’de veri ifşası ve diğer net web risk kaynakları gibi insan hatası nedeniyle ortaya çıkan riskleri otomatik olarak algılar.
5 dakikada ücretsiz Deneme için kaydolun.
Sponsorlu ve Flare tarafından yazılmıştır