Исследование

Как устроен бизнес в даркнете: сделки и их регуляция

Скачать полную версию исследования в PDF

Ежедневно в даркнете заключаются сотни сделок: злоумышленники покупают и продают данные, оказывают друг другу нелегальные услуги, нанимают сотрудников в группировки, ищут партнеров. Часто на кону при этом стоят довольно большие деньги. Чтобы застраховать себя от потерь, киберпреступники используют системы саморегуляции, такие как гарант-сервисы и арбитражи. Гаранты выступают посредниками практически в любых сделках, контролируют выполнение договоренностей и снижают риски мошенничества. Арбитражи выступают в роли аналогов судов, в которые злоумышленники обращаются, если кто-то из участников сделки пытается обмануть остальных. За исполнением решений арбитров следит администрация теневой площадки, которая применяет к мошенникам санкции — в основном это блокировка аккаунтов, бан и добавление в публичный список «кидал».

Суть исследования

Мы изучили публикации о сделках с гарантом в даркнете за период с 2020 по 2022 год. В выборку попали сообщения, опубликованные на международных теневых форумах и популярных Telegram-каналах. Общее число сообщений, в которых так или иначе упоминается использование гарантов, составило более одного миллиона, из них почти 313 тысяч сообщений было опубликовано в 2022 году.

Динамика количества сообщений на теневых ресурсах с упоминанием гарантов, 2022 год. Источник — сервис Kaspersky Digital Footprint Intelligence (скачать)

Также мы нашли и проанализировали правила работы гарантов более десяти популярных теневых площадок. Как оказалось, регламенты и порядок работы на разных форумах почти не различаются. Типовая схема сделки с участием гаранта выглядит следующим образом.

Помимо публикаций, касающихся гарант-сервисов, мы изучили публикации на теневых площадках, связанные с арбитражем и разрешением споров, и выяснили, что формат жалобы в арбитраж в даркнете тоже стандартизирован. Как правило, обращение включает информацию об участниках сделки, сумму, краткое описание ситуации и ожидания по ее решению. Также стороны отправляют выбранному арбитру доказательства своей правоты.

Что мы узнали о регуляции сделок в даркнете

  • Около половины всех сообщений за 2022 год, в которых так или иначе упоминается использование гаранта, было размещено на популярной теневой площадке, специализирующейся на обналичивании денег и сопутствующих услугах.
  • К услугам гарантов (незаинтересованных в результатах сделки посредников) прибегают не только при заключении разовых сделок, но и при поиске партнеров для долгосрочного взаимодействия и найме сотрудников.
  • В настоящее время теневые форумы развивают автоматизированные гарант-системы для ускорения «типовых» сделок.
  • Сорвать сделку («кинуть») может любая сторона: и продавец, и покупатель, и гарант, а также вовсе третьи лица, использующие поддельные аккаунты и выдающие себя за официальных представителей популярных площадок или гарантов.
  • Основная мотивация соблюдать договоренности — это репутация в теневом сообществе.
  • В одной сделке может участвовать пять сторон — продавец, покупатель, гарант, арбитр и администрация теневой площадки — или даже больше. Например, если после того, как арбитраж вынес решение, недовольная сторона подает апелляцию другому арбитру.

Зачем знать, как устроен бизнес в даркнете

Понимание того, как функционирует теневое сообщество, как злоумышленники взаимодействуют между собой, какие бывают сделки и роли в них, играет важную роль при поиске информации в даркнете и ее последующем анализе на предмет наличия возможных угроз для компаний, государственных структур или определенных групп людей. Оно помогает ИБ-специалистам быстрее и эффективнее находить информацию, не раскрывая при этом себя.

Регулярный мониторинг даркнета на предмет различных киберугроз — от планируемых атак до уже случившихся инцидентов безопасности (например, компрометации внутренней сети или утечки базы данных предприятия) — необходим для своевременного противодействия таким угрозам, а также для устранения последствий мошеннической и вредоносной активности. Как говорится, предупрежден — значит, вооружен.

Полная версия статьи «Бизнес в даркнете: сделки и их регуляция» (PDF)

Как устроен бизнес в даркнете: сделки и их регуляция

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике