تلگرام در جرایم سایبری خبرساز شده است. دنیای جرایم سایبری به سرعت در حال حرکت می باشد. عوامل تهدید، گروه های باج افزار، توسعه دهندگان بدافزار و سایرین به طور فزاینده و سریع از دارک وب “سنتی” (سایت های Tor) خارج شده و وارد کانال های تلگرام غیرقانونی متخصص در جرایم سایبری می شوند.
چرا عوامل تهدید از Tor به تلگرام می روند؟
به گزارش عدل البرز به نقل از bleepingcomputer ،امروزه شاهد اکثریت فعالیت های جرایم سایبری هستیم که خارج از دارک وب سنتی و در برنامه های کاربردی رسانه های اجتماعی مدرن رخ می دهد.
دلایل بیشماری برای این تغییر وجود دارد، از جمله تجاری سازی جرایم سایبری، افزایش نظارت مجری قانون در سایتهای Tor و کندی عمومی Tor.
عدم کلاهبرداری های خروج (Exit Scams)
یکی از بزرگترین مزایا و معایب بازارهای سنتی دارک وب این است که این بازارها به عنوان یک مرجع عمل می کند.
در معاملات انجام شده در بازار، معمولاً یک دوره ۱۴ روزه برای تراکنشها وجود دارد که در آن مقداری از رمزارز به عنوان وثیقه یا تضمین نگهداری میشود. این مقدار رمزارز به طور معمول توسط بازار نگهداری میشود تا اطمینان حاصل شود که هیچ کلاهبرداری یا تقلبی در معامله انجام نشده است.
در بسیاری از موارد صاحبان بازار ممکن است در هر لحظه میلیونها دلار بصورت کریپتو نگهداری کنند که همین امر انگیزهای قوی برای کلاهبرداری خروج و سرقت پول در اختیار ایجاد میکند.
امکانات رسانه های اجتماعی مدرن در مقایسه با سایت های Tor
تلگرام در زمینه های زیر دارای مزیت می باشد:
تلگرام سریع می باشد و دارای بسیاری از امکاناتی ست که اپلیکیشنهای رسانههای اجتماعی مدرن دارند مانند ایموجیها، چتهای خصوصی مستقیم، اپلیکیشن تلفن و سایر امکانات خوب.
سطح مهارت فنی برای یافتن کانالهای جرایم سایبری و خرید موفقیتآمیز حتی پایینتر از Tor می باشد و باعث ایجاد دموکراسی سازی دادههای جرایم سایبری میشود.
کانالهای زیادی وجود دارند که «نمونههایی» رایگان از اعتبارنامهها، لاگهای جاسوسی (Stealer logs)، دادههای مربوط به نقضها و سایر دادهها را ارائه میدهند که میتوانند راهی آسان برای تأیید اثربخشی پیشنهادهای فروشندگان برای کاربران فراهم کنند.
ناشناسی ملموس
برکسی پوشیده نیست که بازارها، انجمنها و سایتهای Tor به شدت توسط سازمانهای مجری قانون نظارت میشوند. کاربران به طور کلی از این مسئله مطلع هستند که وقتی یک پست در انجمن یا یک آگهی در بازارها ارسال میکنند، احتمالاً توسط تیمهای امنیت شرکتها، دستگاههای انفورماتیکی نیروهای پلیس و بسیاری دیگر نظارت میشود.
در مقابل، تلگرام به دلیل وجود هزاران کانال متخصص در جرمهای سایبری، عدم قابلیت ردیابی آدرس IP توسط متخصصان امنیت و نیروهای پلیس و ماهیت زودگذر پیام ها ، ناشناسی و پنهانیت را ارائه می دهد.
انواع کانال های تلگرام جرایم سایبری
در مقایسه با بازارهای قدیمی دارک وب، کانال های تلگرام تمایل دارند در یک نوع خاص از فعالیت های مجرمانه تخصص داشته باشند. یک بازار دارک وب ممکن است به مجرمان توانایی خرید مواد مخدر، اسلحه، شماره کارت اعتباری، لیستهای ترکیبی( مجموعهای از نام کاربری و رمزعبورهایی است که به صورت ترکیبی در یک لیست قرار میگیرند.) و ده ها کالای غیرقانونی دیگر را ارائه بدهد.
کانالهای تلگرام به عنوان بسترهایی عمل میکنند که در آن محصولات یا خدمات خاصی ارائه میشود. این کانالها به عنوان فروشگاه یا بازار مجازی، به نوعی به یک نوع کالا یا خدمت مشخص متمرکز میشوند. آنها بر اساس محصولاتی که ارائه میدهند، قابل دستهبندی هستند.
دسته بندی هایی که ما شناسایی کرده ایم، جامع نیستند:
توزیع لاگهای جاسوسی
به معنای انتقال و توزیع دادههای حاصل از دستگاههایی است که تحت تأثیر بدافزارهای جاسوسی نرمافزاری قرار گرفتهاند. این لاگها به طور معمول شامل انواع اطلاعات زیر هستند:
- اثر انگشت مرورگر: اطلاعاتی که هویت منحصر به فرد مرورگر وب مورد استفاده در دستگاه آلوده را شناسایی میکند، از جمله نسخه مرورگر، افزونههای نصب شده و سایر جزئیات پیکربندی.
- رمزهای عبور ذخیره شده در مرورگر: اطلاعات حاوی رمزهای عبوری که در مرورگر ذخیره شدهاند.
- اطلاعات کلیپبورد: محتوایی که کاربران در کلیپبورد دستگاه آلوده کپی کردهاند.
- اطلاعات کارت اعتباری ذخیره شده در مرورگر: اطلاعات مرتبط با کارتهای اعتباری که در مرورگر ذخیره شدهاند.
- اطلاعات ولت رمزارز: اطلاعات مربوط به ولت های رمزارزی مانند بیتکوین، اتریوم و سایر ارزهای رمزنگاری شده که در دستگاه آلوده ذخیره شدهاند.
لاگ فردی › نشان دهنده داده های یک کامپیوتر می باشد. کانال های لاگ جاسوسی در تلگرام در دو نوع هستند:
کانالهای Open Access Stealer Log
این کانالها به طور منظم فایلهایی با حجم مگابایت تا گیگابایت را توزیع میکنند که شامل صدها، هزاران و گاهی اوقات صدها هزار لاگ جداگانه از نوع Stealer می باشند.
این کانالها میتوانند به عنوان یک نوع تبلیغات گسترده برای کانالهای خصوصی و محدود دسترسی به لاگها در نظر گرفته شوند. این کانالها نشان دهنده این هستند که فروشندگان میتوانند نمونههایی از لاگهای خود را ارائه دهند تا به خریداران نشان دهند که لاگهایی که در اختیار دارند، کیفیت بالا و شامل اطلاعات ارزشمندی هستند. به این صورت، فروشندگان میتوانند به عنوان معرفی کنندگان لاگهای خود عمل کرده و خریداران را قانع کنند که لاگهایی که ارائه میدهند، مورد نیاز و ارزشمند هستند.
کانال های VIP Stealer Log
این کانالها تعداد محدودی از عوامل تهدید را به لاگهای «پریمیوم» دسترسی میدهند که ظاهراً مستقیماً از سوی منبع می باشند و توسط سایر عوامل تغییر نمی کنند. به طور معمول قیمت دسترسی به این کانال ها بین ۲۰۰ تا ۴۰۰ دلار در ماه است که بصورت Monero پرداخت می شود.
ما فکر می کنیم که بسیاری از کارگزاران دسترسی اولیه، لاگهای ارسال شده در این کانالها را بررسی میکنند تا گزارشهای خاصی را که دسترسی شرکتی دارند، شناسایی کنند، دسترسی را تأیید، و سپس دسترسی را در انجمنهای جرایم سایبری درجه یک مانند Exploit یا XSS دوباره بفروشند.
کلاهبرداری مالی
نوع دیگری از کانال هایی که معمولاً می بینیم کانال های کلاهبرداری مالی هستند که در آن اطلاعات حساب بانکی، کارت اعتباری و بازپرداخت به صورت انبوه ارائه می شود. برای مثال، این کانالها معمولاً در زمینه های خاصی از جرم شناسی تخصصی می شوند.
- شماره های کارت اعتباری
- حساب های بانکی
- راهنمای بازپرداخت
- تعویض سیم کارت
- کلاهبرداری از طریق کارت هدیه
لیست های ترکیبی و اعتبارنامه ها
یکی دیگر از انواع رایج و مهم کانال برای نظارت، کانال هایی هستند که لیست های ترکیبی را ارائه می دهند. لیست های ترکیبی فهرستهای «انتخاب شده ای» از نامهای کاربری و رمزهای عبور سرقتشده هستند، که گاهی همراه با نامها، ایمیلها و سایر اطلاعات شناسایی می باشند. مجرمان از آنها برای حمله به حساب کاربری استفاده میکنند.
لیست های ترکیبی را می توان بر اساس جغرافیا، صنعت، دسترسی به حساب و سایر ویژگی هایی که آنها را برای عوامل تهدید ارزشمند می سازد، ایجاد کرد.
در بسیاری از موارد نام کاربری، ایمیل و رمز عبور مستقیماً در چت تلگرام قرار می گیرد. در موارد دیگر، عوامل تهدید ممکن است فایلهایی را ارائه کنند که حاوی هزاران یا دهها هزار نقاط داده ای می باشند (و اغلب با بدافزار همراه هستند).
هکتیویسم دولت ملی
آخرین دسته از کانالهایی که با تیمهای امنیت سایبری هم مرتبط هستند، کانالهای هکتیویسم دولت ملی هستند. کانالهایی مانند Bloodnet، Killnet، Noname47، Anonymous Sudan ، و سایر کانالها بهویژه از آغاز جنگ در اوکراین محبوبیت زیادی پیدا کردهاند.
این کانالها معمولاً اهداف خاصی مثلا زیرساختهای حیاتی در کشورهای NATO را انتخاب میکنند و تلاش میکنند تا وبسایتها، سرویسهای حیاتی DDoS، و اطلاعات افشا شده شرکتها را مخدوش کنند.