بقلم: ستيفن كوب ، باحث متخصص في أمن المعلومات لدى شركة «إسيت» (ESET)
هل أنت في سوق البيانات المسروقة؟ ما رأيك في بعض الأدوات التي تساعدك في سرقة البيانات أو كسب الأموال عن طريق اختطاف أجهزة الكمبيوتر الخاصة بالأشخاص الآخرين؟ حسناً أنت محظوظ, فلقد أصبح الانخراط في الجرائم السيبرانية أسهل الآن من أي وقت مضى بفضل الجيل القادم من الأسواق المظلمة.
يتم تعريف السوق المظلمة هنا على أنها موقع ويب يتيح شراء وبيع السلع الغير قانونية، وعادةً ما يكون ذلك على مجموعة فرعية من الإنترنت التي لا تظهر على Google أو Bing، ولكن لا يزال من السهل العثور عليها. يوضح هذا المقال متى تطور هذه الأسواق في السنوات الأخيرة، مما يجعل الجريمة السيبرانية أسهل من أي وقت مضى.
يمكن لمجرمي الإنترنت الطامحين تجنب المخاطرة بأموالهم من خلال التعامل مع شخصيات مشبوهة في زوايا غامضة من الفضاء السيبراني. تأتي الأسواق المظلمة اليوم مصحوبة بتقييمات النجوم ومراجعات العملاء والضمانات وتصنيفات المشترين. ويتم تقديم عروض المنتجات في واجهات المتاجر الرقمية سهلة التنقل والتي تجعل من السهل العثور على ما تبحث عنه بالضبط؛ فكر "أمازون" و " إيباي" للمجرمين.
لماذا نذهب الى هناك؟
نأمل انك لست في سوق البيانات المسروقة أو غيرها من الأشياء الرقمية غير المشروعة ، فلماذا أقول لك هذا؟ لدي عدة أسباب. أولاً، جزء مهم من عملي هو التأكد من أن الشركات والمستهلكين والحكومات تفهم مدى جدية مشكلة الجريمة السيبرانية. لقد اكتشفت أن عرض مواقع الويب التي يتم فيها شراء وبيع البيانات المسروقة وأدوات الجريمة المسروقة يساعد على توصيل الرسالة، خاصة عندما يرون كيف تبدو هذه الصفحات "احترافية" و "خطيرة". إليك مثال على ذلك حتى تتمكن من رؤية ما أعنيه:
تتضمن العناصر المعروضة رمزًا خبيثًا تساعد على جرائم مثل سرقة المعلومات و cryptocurrency ، وتسجيل ضربات المفاتيح بطريقة غير مشروعة ، وتوليد خلل cryptocurrency . يمكنك أن ترى أن رانسومواري ومنتجات الحرمان من الخدمة هي أيضا في العرض.
لاحظ أن البائعين يتم تصنيفهم وتقييمهم مثل المنتجات. يدفع المشترون من خلال عملة مشفرة يصعب تتبعها مثل Bitcoin. غالبا ما يتم الاحتفاظ بالدفعات في الضمان حتى يؤكد المشتري أن المعاملة مرضية. وتشاهد في كثير من الأحيان أزرار التعليمات والأسئلة المفصلة التفصيلية وخيارات الدعم؛ و هناك دردشة حية. هنا هو السوق الآخر الذي قمت فيه بالبحث عن "خدع" أو مجموعات من بيانات بطاقة الدفع المسروقة المجمعة للبيع:
لاحظ أن هناك ما يقرب من 7000 نتيجة و مثل أي سوق رقمية حديثة تمامًا هناك العديد من الطرق لتضييق نطاق البحث باستخدام الفلاتر. على سبيل المثال ، يمكنك حصر نفسك على العمليات التي يتم بيعها من خلال نظام الضمان.
ولاحظ كذلك أنه في حين أن السوق التي تمت رؤيتها أعلاه تحتوي على ما يقرب من 60،000 بطاقة تحت "السلع الرقمية"، إلا أنالمزيد مها يقع تحت مجموعة منتجات "الأدوية". بعض الأسواق المظلمة تبيع المخدرات فقط، في حين يتاجر آخرون في كل شيء من الحبوب والأوعية إلى بطاقات الدفع المسروقة والمواد الإباحية ، وأيضا هناك جزء يتعلق بالأسلحة النارية.
وقد تطورت المتاجر المتخصصة في بيع بيانات بطاقات الدفع المسروقة ما يسمى منتديات البطاقات. و لم تعد مواقع البطاقات من المناطق المستندة إلى نصوص الإنترنت. البعض منها متاح في العلن و تتميز بالحملات الإعلانية العدوانية، مثل هذه الحملات من Carding Mafia.
يتم استخدام صور العصابات على نطاق واسع في إعلانات البانر هذه، وكذلك صور المشاهير. في ما يلي بعض الأمثلة الإضافية - هل يمكنك تحديد شخصية المشار إليها هنا بجانب الرئيس ترامب؟
كما ترون، تبيع هذه الأسواق أكثر من مجرد بطاقات الائتمان الرئيسية. كما أنهم يبيعون حسابات " إيباي" و PayPal المخترقة، في حين أنه ليس من الواضح هنا، فإنهم يقدمون حسابات "أمازون" .
ما هو الجيل التالي حول أسواق الجريمة الإلكترونية اليوم؟
في هذه المرحلة ، قد يكون محاربو الإنترنت المخضرمون يتذمرون بعدم وجود شيء جديد حول الاتجار بالبشر في بيانات بطاقة الدفع المسروقة وغيرها من المواد الغير القانونية. وهو أمر مختلف بما يكفي لتبرير استخدام مصطلح الجيل القادم، ولو على سبيل السخرية فقط – وما هو مدى احتضان الأسواق المظلمة لنفس التقنيات والإمكانيات مثل الأعمال التجارية المشروعة عبر الإنترنت، من مراجعات العملاء والعلامة التجارية لآلات التسويق، مثل حملات التجراية الإعلانية. في ما يلي مثال على موقع تتنافس فيه مخازن البطاقات لجذب الإنتباه - ويتم تشغيل هذه الإعلانات مباشرةً للعامة على الإنترنت العادي:
وفي رأيي، فإن هذا النهج المعتاد للجريمة السيبرانية يؤهل كـ "الجيل القادم" لأنه حوّل نشاطًا غامضًا ومخصصًا إلى نموذج أعمال يمكن الوصول إليه. ما نشهده هو قطاع جديد من الصناعة يبدو أنه مزدهر على الرغم من أنه غير أخلاقي في الأساس ويشكل تهديدًا خطيرًا للتقدم البشري.
إذا كان بإمكان الأشخاص نشر عروض خاصة بالأعياد على أدوات الجريمة والنشاط الإجرامي بشكل معلن للجميع مع القليل من الخوف من العقاب، فربما حان الوقت للاعتراف بأنه تم تجاوز أحد الخطوط. ضع في اعتبارك موقع الويب الخاص بالتمهيد هذا الذي كان يقدم تفاصيل بطاقة الائتمان المسروقة - في هذه الحالة بطاقة أمريكان إكسبريس - احتفالاً بالجمعة السوداء.
الانطباع الذي تحصل عليه هو أن الانخراط في الجريمة السيبرانية أمر مشروع - وإن كان طفيفًا - في مجال الأعمال. وفي بعض أنحاء العالم هذه هي الطريقة التي ينظر بها.و بصراحة، حتى تبذل حكومات العالم المزيد لمعالجة هذا الوضع ، ليس هناك ما يدعو إلى الاعتقاد بأن الجهود المبذولة للحد من التأثير السلبي للجريمة السيبرانية على المجتمع ستنجح.
ولكي نكون صرحاء كانت هناك بعض جهود الإنفاذ القانونة الناجحة في الماضي. مثل اللدغة التي قام بها مكتب التحقيقات الفيدرالي تحت اسم "عملية بطاقة تسوق". و التي بدأت في العام 2010 وأسفرت عن 26 اعتقالات. أنشأ الوكلاء منتدى تمشيطًا مزيفًا يدعى CarderProfit بهدف "تحديد المستخدمين الذين كانوا يشترون ويبيعون حسابات بطاقات الائتمان المسروقة والبضائع المشتراة بحسابات مسروقة" (Krebs on Security). بعد ذلك في عام 2013، قامت عملية مشتركة من قبل مكتب التحقيقات الفيدرالي و " دائرة الإيرادات الداخلية " IRS بالقبض على سوق مظلم سيئ السمعة يسمى "طريق الحرير". كان هذا الموقع يبيع المخدرات والأسلحة وكذلك بيانات البرمجيات الخبيثة وبطاقات الدفع ؛ و المجرم يقضي الاَن عقوبة بالسجن مدى الحياة.
إن الأحكام القوية قد تردع بعض المجرمين المحتملين، إلا أن سيستمر افتراض أن احتمالات الوقوع في جرائم ارتكبت في الفضاء السيبراني ضئيلة. إن السبيل إلى زيادة تلك الصعاب هو مقاضاة عدد أكبر من الجناة وإصدار لوائح اتهام بسرعة أكبر. أن علماء الجريمة الذين يدرسون أساليب الجرائم مثل السطو يقولون: إن العدالة السريعة هي الرادع الأفضل من الأحكام القاسية.
لا تذهب هناك
إن لديّ سببين لإظهار الناس كل ما يتعلق بالأسواق المظلمة. كان الهدف الأول هو زيادة الوعي بحجم مشكلة الجرائم الإلكترونية. والثاني هو إنقاذ الناس عناء الدخول في هذه الأسواق بأنفسهم. وبعد إعلان كبير عن خرق البيانات - مثل إعلان الأسبوع الماضي من ماريوت - سيتساءل الكثير من الناس: ما الذي يحدث للبيانات المسروقة؟ الإجابة المختصرة هي أنه في كثير من الحالات ينتهي به الأمر للبيع في الأسواق المظلمة. ثم يسأل بعض الأشخاص عن كيفية الدخول إلى الأسواق المظلمة لإلقاء نظرة على أنفسهم.
على الرغم من سهولة العثور على تعليمات الوصول إلى الأسواق المظلمة على الإنترنت العادي باستخدام محرك البحث المفضل لديك، فمن الأسلم أن يكون هناك شخص ما يعرض لك لقطات لما ستعثر عليه هناك بدلاً من الذهاب إلى هناك بمفردك. وكقاعدة عامة، كلما ابتعدت عن المواقع الرئيسية على شبكة الإنترنت العادية، كلما زاد خطر حدوث شيء غير سار و تراوحت رؤية الصور المقلقة التي تتعرض للتهديد من خلال الكودات الضارة. عندما يتعلق الأمر بمطالعة المواقع التي تبيع البضائع غير القانونية، يكون لديك خطر إضافي من المراقبة من قبل الموظفين المكلفين بإنفاذ القانون، والذين قد لا تحمل عبارة "كنت أنظر فقط" الكثير من الحماية إذا تم ضبطك.
(إذا لم يكن لديك فهم جيد للأمن التشغيلي وتعرف طريقك نحو تقنيات مثل الأنفاق والشبكات الافتراضية الخاصة (VPN)، فإن زيارة أي مكان يتاجر في البيانات المسروقة أو البرمجيات الخبيثة ليست سوى فكرة سيئة .)
الأسواق المظلمة باعتبارها بنية تحتية للجريمة السيبرانية
وكما أشرت من قبل، ففي الوقت الذي أصبحت فيه الأسواق المظلمة اليوم أكثر قابلية للوصول والتطور من الإصدارات السابقة ، فإن النشاط الأساسي الذي تمثله مستمر بشكل أو بآخر. واحدة من أفضل دراسات هذه الظاهرة هي تقرير مفصل من 80 صفحة نشرته مؤسسة راند في عام 2014: أسواق أدوات الجريمة السيبرانية والبيانات المسروقة: بازار هاكرز ، من قبل ليليان ابلون ، ومارتن ليبكي ، وأندريا غولاي. إليك كيفية تمثيل هيكل أسواق جرائم الإنترنت:
غالباً ما يستخدم هذا الرسم لتوضيح كيفية "تنظيم" هذا النشاط، ونتيجة لعدم إحراز تقدم في تعطيله ، وكيف "تم تأسيسه".
يتطلب تنفيذ معظم الأدوار التي تراها في هذا الرسم البياني الوصول إلى إمكانيات الحوسبة. ﻟذﻟك ﺳﺄﻧﮭﻲ ھذه اﻟﻣﻘﺎﻟﺔ ﺑﻣﺛﺎل ﻋﻟﯽ ﻣﺎ ﯾﻣﮐﻧﻧﺎ ﺟﻣﯾﻌﮫ "ﺟﻣﯾﻊ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻹﻟﮐﺗروﻧﯾﺔ اﻟﺟراﺋﻣﯾﺔ" أي اﻟﺧوادم اﻟﻣﺳروﻗﺔ. يمكنك مشاهدة أحد الأماكن التي يذهب إليها المجرمون عندما يحتاجون إلى جهاز كمبيوتر يمكن إنكاره أو يمكن التخلص منه. لنفترض أن عملية الجريمة السيبرانية تحتاج إلى خادم لاستضافة بعض البيانات المسروقة التي تقوم ببيعها. ماذا عن جهاز يعمل بنظام التشغيل Windows Server 2012 RS مع اتصال إنترنت سريع. هنا يمكنك أن ترى بعض الأمثلة المذكورة "للبيع" في سوق مظلمة:
ما تقوم بشرائه هنا هو الوصول عن بعد إلى نظام ينتمي إلى شخص آخر، وبعبارة أخرى ، الوصول الغير المصرح به و من المحتمل جدا الحصول عليه بطريقة غير مشروعة. كما ترى، يتيح لك الموقع أن تكون محددًا للغاية في عمليات البحث، وذلك بناءً على ما تحتاجه. و في هذه الحالة يبحث العميل المحتمل عن الوصول الإداري إلى الأجهزة ذات عنوان الإنترنت الثابت (IP).
يخلي المشغلون في هذا السوق أي مسؤولية عما تفعله بمشترياتك. ومع ذلك، فمن الواضح أن السوق مأهولة من قبل البائعين الذين قاموا باختراق أوراق اعتماد الوصول عن بعد لنظم ضحاياهم. كما يشير موقع الويب في صفحات المساعدة يمكن أن تكون هذه الأجهزة مفيدة عند إنشاء حسابات في المصارف والمتاجر وأنظمة الدفع عبر الإنترنت وغيرها. كما يمكن استخدامها أيضًا لإرسال الرسائل غير المرغوب فيها وإعداد الصفحات المقصودة لرسائل البريد الإلكتروني التصيدية. وبالطبع يمكن استخدام RDP باستخدام IP المباشر كخادم VPN أو Socks-proxy للمساعدة في إخفاء مساراتك (حيث RDP تعني بروتوكول سطح المكتب البعيد).
إذا تم تكوينها بشكل مناسب يمكن استخدام أنظمة مسروقة لتشغيل برامج تكسير كلمة المرور وبرامج cryptocurrency. و ماذا بعد؟ حسنًا.. يمكنك سرقة أي معلومات مفيدة تجدها على الجهاز الذي اشتريت منه الوصول، أو تشفيرها باستخدام أداة الفدية. لقد أصبحت الأجهزة المخترقة تشغيل RDP ناقلات هجوم خطيرة لمتداولين من الفدية (أنا استكشاف هذه المشكلة وبعض الحلول ، في Ransomware و الشركات: ورقة بيضاء جديدة).
الخط الأدنى
في هذا المقال قمنا بمراجعة بضع شرائح فقط من الأعمال المزدهرة التي تمثل جرائم الإنترنت اليوم. في غياب تحسينات جذرية في الطريقة التي يعالج بها العالم الأسباب الجذرية للنشاط الإجرامي في الفضاء السيبراني، من المرجح أن يستمر هذا دون هوادة لبعض الوقت، مما يقوض بفعالية منافع التكنولوجيا الرقمية. وهذا يعني أن جهودنا لحماية الأنظمة والبيانات من الاعتداء الإجرامي يجب أن تستمر أيضًا. يجب أن تصبح الممارسات الأمنية الجيدة بما في ذلك النظافة السيبرانية عالمية. ويجب أن يستمر البائعون الأمنيون في تحسين حلولهم. وعلينا العمل من أجل تحقيق التحسينات الجذرية المذكورة أعلاه.