BreachForums の内部: ダークウェブのサイバー犯罪と混乱のハブ

by

ダークウェブの隠れたデジタル マーケットプレイスのサービスをより深く理解するために、私たちはサイバー犯罪活動で賑わう独占的なオンライン プラットフォームである BreachForums への侵入に成功しました。

これが私たちが見つけたものです。

目次

ダークウェブとは何ですか?

背景を説明するために、「ダークウェブ」と「サイバー犯罪フォーラム」と呼ばれるものについて説明しましょう。ダークウェブは、Tor などの特定のブラウザを使用してアクセスできるインターネットの目立たない領域であり、ユーザーのプライバシーを維持することに主な焦点が当てられています。これらのプラットフォームは、違法行為が議論され調整​​されるオンライン コミュニティであるサイバー犯罪フォーラムと関連付けられることがよくあります。

ダークウェブでは、安全で機密性の高いウェブ ナビゲーションから、盗まれた情報、違法薬物、銃器、サービス、禁止品の取引などの違法行為に至るまで、さまざまな目的が果たされています。

ダークウェブでは、サイバー犯罪フォーラムがハッカー、詐欺師、その他の違法行為者たちの集会の場として機能し、知識、ツール、提供物を共有し、秘密の金銭取引を確保するために暗号通貨を頻繁に使用します。

ブリーチフォーラムとは何ですか?

2015 年、元々は RaidForums として知られていた BreachForums が、ポルトガルのハッカー Diogo Santos Coelho によってデジタル世界に紹介されました。当初、RaidForums は、いたずら、冗談、またはオンライン活動の妨害を目的として、Web サイトや仮想環境に「侵入」することに関心を共有する個人のグループのプラットフォームとして機能していました。

当初、このサイトのハッカーはソーシャル メディア プラットフォームや Web サイトに侵入し始め、何百万ものユーザー アカウントを盗みました。その後、彼らはこれらの盗まれた認証情報を最高額入札者に売却しました。時間が経つにつれ、RaidForums はダークウェブにおける犯罪活動の最も先進的で広く認知されたセンターの 1 つに変わりました。

Binance ユーザーの KYC データが現在ダークウェブで販売されているようです

Github ハッキング漏洩の疑い

— otteroooo (@otteroooo) 2024 年 2 月 4 日

2024 年 2 月、Binance が侵害に見舞われたとき、最初にユーザーの KYC 詳細が販売されていたのは BreachedForums でした。同様に、4月後半に暴露されたエルサルバドルから流出したビットコインATMコードも、BreachForumsで売りに出された。

この Web サイトは、企業のハッキングから機密データを購入したり、さらには盗まれた政府ファイルを購入しようとするサイバー犯罪者の標的になりました。その結果、世界中の法執行機関から注目を集めました。

2022年、ユーロポールとアメリカの諜報チームは協力してウェブサイトを閉鎖し、その創設者で現在サイバー犯罪の容疑で英国で拘留されているディオゴ・サントス・コエーリョを逮捕した。彼は現在、米国への引き渡しを待っている。

RaidForums は BreachForums に変わりました。この変更は、その後 2023 年に FBI に逮捕された PomPomPurin として知られるユーザーによって開始されました。PomPomPurin の逮捕後、BreachForums の管理は Baphomet という別のユーザーに移りました。しかし、FBI は 2024 年 5 月に BreachForums を押収しました。それ以来、サイトの複数のコピーが再出現しました。

このサイトは今も多くのユーザーによってアクティブに保たれているが、インターネット ユーザーの間では、潜在的には法的措置に向けてサイバー犯罪者を監視し逮捕することを目的として、FBI によって設置されたおとりまたは罠である可能性があるとの話題になっている。

ダークウェブ犯罪ハブ BreachForums で発見したこと

BreachForums にアクセスすると、すぐに違法行為に関する多数の提案が届きました。 IT やサイバーセキュリティの利益団体を装う他のサイバー犯罪フォーラムとは異なり、BreachForums はその正体を隠そうとしたことはありません。私たちがログインしたとき、ホームページには、MS13 や La Mara Salvatrucha などの犯罪組織のサービスを 10,000 ドルで提供するユーザーが表示されていました。

暴力を伴うダークウェブのリスティングの分野では、本物ではなく詐欺であると考えるほうが安全なことがよくあります。しかし、不正行為はこの投稿だけにとどまらなかった。サイトのチャットボックスは会話で継続的に更新されており、ユーザーがリアルタイムで活発に議論し、取引していることがわかりました。これには、フォーラムのマーケットプレイスでの商品の販売も含まれており、そのマーケットプレイスには、盗まれたデータ、銀行詐欺やクレジットカード詐欺に関するガイド、IP追跡サービス、その他多数の違法商品などの違法商品を提供するベンダーが溢れていた。

さらに、会話の中にアニメやマンガへの共通の関心が含まれていることも注目に値します。サイバー犯罪に携わっている人でも、このような娯楽があることがわかっています。

暗号通貨愛好家として、私は初めてログインしたときに、圧倒的な数の投稿が流入し、すべてがわずか数時間以内に公開されたことに気づきました。これは、当局の厳しい監視下にある可能性があるにもかかわらず、活気に満ちたアクティブなオンライン コミュニティが繁栄し続けていることを示唆しています。

この写真には、Paramount Plus や Netflix などのビデオ ストリーミング プラットフォームや、OnlyFans などのプラットフォーム上のハッキングされたアカウントを含む、さまざまなサービスへのアクセスを提供している個人が示されています。

データ侵害に関する隠れたディスカッション セクションでは、ユーザーがデータ漏洩への不正アクセスを取引していることが観察されました。これには、アラブ首長国連邦、インド、カタール、サウジアラビアなどの国々からの企業経営幹部の電子メール認証情報、身分証明書の収集が含まれ、さらに、侵害されたサウジアラビアの軍事電子メールから盗まれたファイルや画像の漏洩も含まれていました。

私たちの初期分析では、最近公開された軍事文書は本物であるように見えますが、その起源は 2016 年まで遡っており、このユーザーが古い漏洩資料を新しいものとして提示することで他人を騙そうとしていることを示唆しています。これは、サイバー犯罪者がオンラインで行っている、古い情報を最新のものとして偽装しようとするさまざまな詐欺行為の一例にすぎません。

あるユーザーは、MedBank というオーストラリアの健康保険会社が関与したデータ侵害に個人的にアクセスしたと主張し、この組織である MedBank が 2022 年にロシアの犯罪者によるサイバー攻撃を経験したことが確認されました。この事件中に、ユーザーの個人情報が流出しました。約970万人のオーストラリア人が不法に連行された。

ダークウェブの特徴である悪名高い「ヒットマン」スタイルの広告ではなく、BreachForums での活動は、漏洩した文書や個人情報の販売に関するものであり、残念なことに、長期間にわたって一貫した成功を収めていることを考えると、これらは非常に信頼できるものであるように見えます。

これらの繰り返し投稿の一部は、犯罪行為に関与した個人を逮捕することを目的として、FBI またはその他の法執行機関によって設定されたものである可能性が考えられます。

BreachForums で見つかったサービス

データを盗むことに加えて、狡猾なサイバー犯罪者はダークウェブ上でさまざまなレンタルサービスを宣伝することが多く、通常は支払い方法として暗号通貨を受け入れます。

暗号通貨投資家として、私は DDoS サービスを提供していると主張するユーザーを BreachForums ですぐに見つけました。これらのサービスは基本的に分散型サービス拒否攻撃を伴い、悪意のある個人がボットネットを悪用して Web サイトの機能を妨害します。このような攻撃の背後にある目的は、被害者から金銭を脅し取ること、ライバル企業を標的にすること、あるいは単に敵に損害を与えることなど、さまざまです。

Hidden Virtual Network Computing (HVNC) として知られるサービスを提供するサイバー犯罪者集団は、離れた場所から他人のコンピュータに不正アクセスできるツールを宣伝していました。

この投稿は、ロシア語と英語の両方の言語で利用できる顧客サービスとともに、その機能と価格体系の包括的な概要を提供していたため、この投稿が法律オンライン サービスの広告に似ていたことは言及する価値があります。

追加のサービスには、犯罪者に一時的な電話番号を提供するサービスが含まれており、犯罪者はそれを使用して、本当の身元や個人の電話番号を明かさずにオンライン アカウントをアクティブ化するための確認コードを受け取ることができました。

私たちは、フィッシングやその他の有害なソフトウェアを含む詐欺や、相手の電子メール アカウントに大量のデータを送信するように設計されたツールの広告を発見するなど、さまざまな違法な大規模プロモーション活動を目的としてスパム メールが大量に送信されている事例を発見しました。これらのアクションの背後にある目的は、多くの場合、電子メール サービスを使用不能にすること、または不正なログイン試行の警告などの悪意のあるアクティビティを隠蔽することです。

ある執拗な送信者は、名前のないサービスのブランド エンブレムとともに、人工知能システムから発信されたと思われる広告を作成しました。彼らのビジネスの宣伝を避けるため、名前は省略しました。

さまざまな議論が、リモート サーバー アクセス、Web 開発用のカスタム プログラミング、グラフィック デザインを提供する市場に焦点を当てていました。これらすべてのリソースは、ユーザーの個人情報を騙すことを目的とした偽の Web サイトなど、手の込んだ詐欺を構築するために利用される可能性があります。

このシナリオを調査しているアナリストとして、私は、これらのサービスの一部は本物である可能性がありますが、かなりの数が詐欺であると思われると信じています。 Web サイトの押収と再開が繰り返されることは潜在的な問題を示唆しており、すべてのユーザー アカウントが 2 年未満であることを考慮すると、その正当性について疑問が生じます。

オンライン マーケットプレイスを調査している研究者として、私は多くのサイバー犯罪フォーラムがエスクロー システムに依存しているか、販売者の「信頼できる」取引履歴を通じて信頼を構築していることに気づきました。ただし、この斬新なサイトには詐欺を防ぐための最小限の保護措置が講じられているようで、そのセキュリティと信頼性について懸念が生じています。

複数のプロバイダーがエスクロー取引を扱っていると主張しています。これは、双方が支払いに満足していることを確認するまで、中立的な仲介者が資金を安全に保管することを意味します。たとえば、プレハブのフィッシング サイトとランディング ページを提供するこの開発者は、そのような取り決めを提供しています。

エスクロー サービスの使用に同意したユーザーは、宣伝している商品を本当に提供している可能性がありますが、このプラットフォームではエスクロー支払いを伴う不正取引が多数存在することに注意することが重要です。

実際、このプラットフォーム内には詐欺に特化したディスカッションやトピックがあり、ユーザーは自分の経験を共有し、サイト自体での詐欺行為の疑いのある事例を報告します。

uuu732 さんによると、オンラインで他人を騙そうとする彼らの試みは、結局は罠だったそうです。彼らは、ウイルス対策プログラムをバイパスし、感染した PDF を知らないターゲットに送信すると主張するソフトウェアに対して、ユーザーの PennyTrate-x に 300 ドルを支払ったときに詐欺に遭いました。その後、彼ら自身も BreachForums での詐欺の被害者であったことが判明しました。

ベンダーから期待通りの商品が届かなかった状況で、司会者に促されても説明を怠った。返答がなかったため、アカウントが停止されました。

別のユーザーが別のベンダーと意見の相違に関するアカウントを共有しました。この例では、ユーザーはスイスの保険会社から侵害されたデータベースを 500 ドルで購入しようとして失敗し、さらに 1,300 ドルでスイスの小売店から侵害されたデータベースを購入しようとして失敗しました。ユーザーは、どちらの取引でも不正なデータを取得していないと主張した。

ダークウェブ犯罪者は盗んだユーザーデータをどうするのでしょうか?

悪意のあるオンライン ユーザーは、電子メールやソーシャル メディア プラットフォームに侵入する目的で、ログイン資格情報と個人情報を購入します。その目的は、ユーザーの資金を略奪するか、機密データを取得して、さまざまな悪意のある方法で悪用することです。

ダークウェブ上の悪意のある個人がユーザーの PayPal アカウントを許可なく悪用し、不正取引を試みたり、資金を別のアカウントに移動したりする可能性があります。さらに、パスポートの詳細などの個人データを悪用して、偽りのふりをしてローンを申請する可能性もあり、これは個人情報盗難として知られています。

このデータは、犯罪者が個人の機密アカウントにアクセスすると、恐喝や脅迫などの脅迫または強制的な行為に悪用される可能性があります。

オンラインで安全を保つ方法

ダークウェブは、さまざまな要因により、インターネットの潜在的に危険な部分であることを認識することが重要です。たとえば、Web サイトは何度も没収され、再度開かれた後も、サービス、製品、他のユーザーを狙った詐欺などの違法行為の活発な市場として機能しています。

表層ウェブ (クリアネット) では、安全性を維持することが非常に重要です。効果的な方法の 1 つは、すべてのデバイスとオンライン アカウントで 2 要素認証を有効にすることです。このセキュリティ対策では、ログインの詳細を確認するために携帯電話などの 2 番目のデバイスが必要となるため、ハッキングやフィッシング攻撃のリスクが軽減されます。さらに、アクセスする前に URL を再確認すると、詐欺サイトの被害を避けることができます。

ダークウェブの神秘的な深みに足を踏み入れるカジュアルな探検家は、常に脆弱性を探している経験豊富な詐欺師やサイバー犯罪者と知らず知らずのうちに交わることがあります。訪問者は、不明なリンクをクリックしたり、疑わしいファイルをダウンロードしたりしないように注意することをお勧めします。さらに、取引を行うと、法人だけでなく悪徳個人からもさまざまな問題にさらされる可能性があることを覚えておくことが重要です。

ダークウェブ上の潜在的な危険を回避するための最も安全なアプローチは、ダークウェブにまったく立ち入らないことです。その代わりに、私たちはダークウェブのさまざまな部分を定期的に調査し、発見に関する一貫した最新情報を提供して、グローバルインターネットの不審な側面について常に最新情報を提供します。

Chromebook でダークウェブにアクセスするにはどうすればよいですか?

Chromebook でダークウェブをナビゲートすることについての質問は非常に頻繁に起こりますが、人々がダークウェブに完全にアクセスすることを避けることが最善であることを強調しなければなりません。ダークウェブはジャーナリストにとって興味深いトピックである一方で、詐欺師やその他の犯罪要素が蔓延しており、それらに遭遇した個人に危険をもたらす可能性があります。

Chromebook でダークウェブにアクセスするには、通常、ユーザーは Crostini アプリを通じて Linux をインストールし、Tor ブラウザ リポジトリを追加します。これにより、ダークウェブの別名である Tor の隠されたサービスを利用できるようになります。ただし、これは研究または報道目的でのみ行われるべきであることを強調しなければなりません。それ以外の場合は、避けるのが最善です。

ダークウェブはなぜこれほど不気味なのでしょうか?

ダークウェブは、コンテンツ作成者がダークウェブから「謎のパッケージ」を開梱すると主張する人気の YouTube 動画で頻繁に描写されているため、また、短編小説や「不気味なパスタ」に頻繁に登場しているため、ダークウェブは「不気味」であると認識されることがよくあります。ホラー小説のジャンルの一つ。

私は研究者として、人々がダークウェブに対して抱いている認識は、しばしば誤った方向に導かれていることを理解するようになりました。実際には、センセーショナルな描写が示唆するよりも、取引と情報の交換が重要です。多くの個人がこのネットワークにアクセスして、保護を求める政治的内部告発者などの無検閲の情報を共有したり、サイバー犯罪活動や違法取引などそれほど崇高ではない目的でアクセスしています。

自分のメールがダークウェブ上にあるかどうかを確認するにはどうすればよいですか?

電子メールが侵害されているかどうかを確認するために Nulled のようないかがわしいサイトにアクセスする代わりに、ダーク Web の曖昧な深部を調査する必要はありません。より簡単な方法は、オープン インターネットで利用可能な Have I Been Pwned ツールを使用して、あなたの電子メール アドレスが侵害されたアドレスに含まれているかどうかを確認することです。

ダークウェブは本物ですか?

ダークウェブは確かに存在し、薬物、盗まれたデジタル資産、マルウェアなどの有害なソフトウェア、銃器、ハッキング仕事、さまざまな違法商品の違法取引で重要な金融取引が行われるプラットフォームとして機能します。

電子メールがダークウェブにある場合はどうすればよいですか?

メールがダークウェブで発見された場合は、直ちにパスワードを更新し、2 要素認証 (2FA) を有効にすることをお勧めします。その後も引き続きログイン要求が受信される場合は、新しいメール アドレスに完全に切り替えることを検討する必要があるかもしれません。

2025-01-18 06:53