Исследование

Как устроен бизнес в даркнете: сделки и их регуляция

Скачать полную версию исследования в PDF

Ежедневно в даркнете заключаются сотни сделок: злоумышленники покупают и продают данные, оказывают друг другу нелегальные услуги, нанимают сотрудников в группировки, ищут партнеров. Часто на кону при этом стоят довольно большие деньги. Чтобы застраховать себя от потерь, киберпреступники используют системы саморегуляции, такие как гарант-сервисы и арбитражи. Гаранты выступают посредниками практически в любых сделках, контролируют выполнение договоренностей и снижают риски мошенничества. Арбитражи выступают в роли аналогов судов, в которые злоумышленники обращаются, если кто-то из участников сделки пытается обмануть остальных. За исполнением решений арбитров следит администрация теневой площадки, которая применяет к мошенникам санкции — в основном это блокировка аккаунтов, бан и добавление в публичный список «кидал».

Суть исследования

Мы изучили публикации о сделках с гарантом в даркнете за период с 2020 по 2022 год. В выборку попали сообщения, опубликованные на международных теневых форумах и популярных Telegram-каналах. Общее число сообщений, в которых так или иначе упоминается использование гарантов, составило более одного миллиона, из них почти 313 тысяч сообщений было опубликовано в 2022 году.

Динамика количества сообщений на теневых ресурсах с упоминанием гарантов, 2022 год. Источник — сервис Kaspersky Digital Footprint Intelligence (скачать)

Также мы нашли и проанализировали правила работы гарантов более десяти популярных теневых площадок. Как оказалось, регламенты и порядок работы на разных форумах почти не различаются. Типовая схема сделки с участием гаранта выглядит следующим образом.

Помимо публикаций, касающихся гарант-сервисов, мы изучили публикации на теневых площадках, связанные с арбитражем и разрешением споров, и выяснили, что формат жалобы в арбитраж в даркнете тоже стандартизирован. Как правило, обращение включает информацию об участниках сделки, сумму, краткое описание ситуации и ожидания по ее решению. Также стороны отправляют выбранному арбитру доказательства своей правоты.

Что мы узнали о регуляции сделок в даркнете

  • Около половины всех сообщений за 2022 год, в которых так или иначе упоминается использование гаранта, было размещено на популярной теневой площадке, специализирующейся на обналичивании денег и сопутствующих услугах.
  • К услугам гарантов (незаинтересованных в результатах сделки посредников) прибегают не только при заключении разовых сделок, но и при поиске партнеров для долгосрочного взаимодействия и найме сотрудников.
  • В настоящее время теневые форумы развивают автоматизированные гарант-системы для ускорения «типовых» сделок.
  • Сорвать сделку («кинуть») может любая сторона: и продавец, и покупатель, и гарант, а также вовсе третьи лица, использующие поддельные аккаунты и выдающие себя за официальных представителей популярных площадок или гарантов.
  • Основная мотивация соблюдать договоренности — это репутация в теневом сообществе.
  • В одной сделке может участвовать пять сторон — продавец, покупатель, гарант, арбитр и администрация теневой площадки — или даже больше. Например, если после того, как арбитраж вынес решение, недовольная сторона подает апелляцию другому арбитру.

Зачем знать, как устроен бизнес в даркнете

Понимание того, как функционирует теневое сообщество, как злоумышленники взаимодействуют между собой, какие бывают сделки и роли в них, играет важную роль при поиске информации в даркнете и ее последующем анализе на предмет наличия возможных угроз для компаний, государственных структур или определенных групп людей. Оно помогает ИБ-специалистам быстрее и эффективнее находить информацию, не раскрывая при этом себя.

Регулярный мониторинг даркнета на предмет различных киберугроз — от планируемых атак до уже случившихся инцидентов безопасности (например, компрометации внутренней сети или утечки базы данных предприятия) — необходим для своевременного противодействия таким угрозам, а также для устранения последствий мошеннической и вредоносной активности. Как говорится, предупрежден — значит, вооружен.

Полная версия статьи «Бизнес в даркнете: сделки и их регуляция» (PDF)

Как устроен бизнес в даркнете: сделки и их регуляция

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике