Understanding Dark Web Intelligence: Wie Cyberkriminelle Informationen austauschen
Inhaltsübersicht
In diesem ausführlichen Leitfaden über Dark Web Intelligence untersuchen wir die wichtigsten Methoden, mit denen Cyberkriminelle ihre Methoden und Strategien verbreiten, wie Foren und Marktplätze sowie Kommunikationskanäle wie Telegram, Discord, Dread Jabber, Tox, Wickr und andere.
Willkommen zurück zu Teil 2 unserer 5-teiligen Serie zur Überwachung des Dark Web. Dieser Leitfaden richtet sich an CISOs und ihre Teams, die für 2024 einen schnellen Überblick über Informationen aus dem Dark Web suchen. In diesem Leitfaden gehen wir auf neuere (und altbekannte) Methoden ein, mit denen Cyberkriminelle Informationen im Dark Web austauschen.
Sehen Sie sich die gesamte fünfteilige Serie an:
- Was ist Dark Web Monitoring und wie wird es sich im Jahr 2024 weiterentwickeln?
- Informationen aus dem Dark Web verstehen: Wie Cyberkriminelle Informationen austauschen
- Dark Web Takedowns im Jahr 2023 | Ein Überblick für CISOs
- Top-Bedrohungsakteure im Dark Web | 2023 Zusammenfassung
- Welche neuen Sicherheitslücken im Deep Web zielen auf Ihre Marke?
Die Bedeutung des Dark Web für den Informationsaustausch
Das Dark Web kann als Ort für den gewöhnlichen Austausch genutzt werden, z. B. in Fällen politischer Dissidenz oder für Nutzer, die eine private Kommunikation sicherstellen wollen.
Vor allem aber ist das Dark Web eine florierende Untergrundgemeinschaft für Cyberkriminelle.
Plattformen wie RECON, Nemesis, Russian Market, Genesis, White House Market, Monopoly, Hydra, Alphabay, Hansa und Dream usw. haben aus diesem Grund im Dark Web Berühmtheit erlangt. Cyberkriminelle nutzen auch Oberflächen-Websites oder datenschutzfreundliche Hosting-Lösungen wie I2P, um Informationen auszutauschen.
Neuere Kanäle werden aus verschiedenen Gründen immer beliebter.
Jenseits von Drogen
Das Dark Web ist wahrscheinlich am besten als Drogenmarktplatz und als Lieferkette für den Schwarzmarktverkauf von Arzneimitteln oder anderen illegalen Gütern wie Waffen bekannt.
Es gibt jedoch noch einige andere grundlegende Verwendungsmöglichkeiten durch Bedrohungsakteure, die von Bedeutung sind:
- Verkauf von Zahlungskarten in großem Umfang (Millionen von Karten)
- "Fullz" oder vollständige Identitätspakete für Identitätsdiebstahl
- Verbrauchsmaterial/Werkzeuge zur Begehung von Internetkriminalität
- Cybercrime-as-a-service wird von erfahrenen Hackern und Cyber-Kriminellen angeboten
- Malware-as-a-Service wo Ransomware-Banden oder Einzelpersonen versuchen, durchgesickerte Daten zu verkaufen
Diese Liste ist natürlich nicht erschöpfend.
Bei CybelAngel stellen wir unseren Kunden ausführliche Bedrohungsnotizen zur Verfügung, die von unserem REACT-Expertenteam erstellt wurden, um kontextbezogene Profile von Bedrohungsakteuren, einschließlich neu entstehender Dark-Web-Communities, zu erstellen..
Aufdeckung der Kommunikation von Cyberkriminellen im (und außerhalb des) Dark Web
Das Dark Web ist alles in allem ein passender Name für die schieren Netze der Informationsverbreitung, die es dort gibt.
Seine schiere Größe kann viele Fragen aufwerfen, insbesondere für Nicht-Cyber-Experten, die verstehen wollen, ob Daten kontrolliert werden können, wenn sie ins Dark Web gelangt sind.
Im Folgenden finden Sie einen Überblick über die wichtigsten Informationen, die Sie wissen sollten.
Wie kommunizieren Cyberkriminelle und Ransomware-Banden?
Wir haben bereits kurz erwähnt, dass bestimmte Foren und Marktplätze wie RECON, Nemesis, Russian Market, Genesis und White House Market Cyberkriminellen helfen, auf dem Laufenden zu bleiben.
Doch worin bestehen die Unterschiede, und welche Formen der Intelligenz werden auf beiden Seiten geteilt?
Schauen wir uns zunächst die Unterscheidungsmerkmale zwischen den beiden Kernelementen des Dark Web an.
Was sind die Unterschiede: Foren im Dark Web und Märkte?
Cyberkriminelle Marktplätze sind in der Regel wie E-Commerce-Websites im Internet, auf denen Käufer Verkäufer bewerten können, Websites haben in der Regel ein Treuhandsystem und spiegeln typische Marktplätze im Internet wider.
Foren sind eher auf Diskussionen ausgerichtet (aber beachten Sie, dass Foren auch als Marktplätze genutzt werden, wo Diskussionen in Form von privaten Nachrichten stattfinden und die Bezahlung über ein Treuhandkonto erfolgen kann). Foren sind Orte, an denen Cyberkriminelle in der Regel Schwachstellen diskutieren und Wissen, Taktiken und Techniken austauschen. Sie dienen auch der Diskussion in der Gemeinschaft, vom Verkauf persönlicher Daten und Anmeldedaten bis hin zu Unternehmensbewertungen und -geheimnissen.
Der Hauptunterschied zwischen Marktplätzen und Foren besteht darin, dass Marktplätze automatisch sind.
Ist die Anonymität von Hackern in Dark-Web-Foren gewährleistet?
Ja, zum größten Teil.
Das macht einen großen Teil ihrer Attraktivität aus.
Laut einer KAG-Bericht (Cybersecurity and Infrastructure Security Agency) gibt es mehrere Hürden für den Zugang zu Foren und Marktplätzen im Dark Web, um sicherzustellen, dass die Mitglieder legitime Hacker sind.
Zu diesen Kriterien können gehören:
- Gemeinden nur mit Einladung
- Die Einreise ist nur aufgrund der Nationalität oder der politischen Ausrichtung möglich.
- Die Einreise wird durch Zahlung beschleunigt
- Die Stimmabgabe ist ein notwendiger Schritt für die Einreise
- Hacker können aufgefordert werden, Beweise für begangene Cyberkriminalität vorzulegen
Foren sind jedoch besonders durch Strafverfolgungsbehörden gefährdet. Schauen wir uns nun verschiedene Plattformen an, die außerhalb des Dark Web existieren und die umfangreiche Datenschutzoptionen bieten.
Gibt es weitere Plattformen für den Austausch von Informationen?
Ja, es gibt mehrere, die für Bedrohungsakteure bequemer sind.
Telegramm ist eine durchgängig verschlüsselte, cloudbasierte Messaging-App in russischem Besitz. Sie ist für ihre bedeutenden Datenschutzfunktionen bekannt, wie z. B. die Option "Geheime Chats" und "Selbstzerstörung von Nachrichten". Telegrams Datenschutzbestimmungen unterstreicht, dass "Wenn Telegram einen Gerichtsbeschluss erhält, der bestätigt, dass Sie ein Terrorverdächtiger sind, können wir Ihre IP-Adresse und Telefonnummer an die zuständigen Behörden weitergeben. Bislang ist dies noch nie geschehen.."
Diskord ist eine Sprach-, Video- und Text-Chat-App, die von Millionen von Nutzern verwendet wird und bei Cyberkriminellen sehr beliebt ist, da sie als Treffpunkt dient, wo sich die Nutzer in privaten Räumen unterhalten können. Als beliebter Gaming-Kanal wird er häufig von weniger qualifizierten Akteuren genutzt, aber auch von anspruchsvolleren Cyberkriminellen, um Schwachstellen durch Phishing, Malware-Verteilung und vieles mehr auszunutzen. Discord's Datenschutzbestimmungen ist im Vergleich zu Telegram weniger liberal und stellt fest, dass, "Discord gibt Nutzerinformationen an Strafverfolgungsbehörden weiter, wenn wir ein vollstreckbares Gerichtsverfahren erhalten haben."
Dread ist die Tor-Version oder das Deep-Web-Forum im Stil von Reddit (es besteht keine Verbindung zu Reddit). Es handelt sich um eine beliebte Dark-Web-Plattform mit einem breiten Spektrum an Communities und Diskussionen, auch im Zusammenhang mit Cyberkriminalität. Auf dem Screenshot unten sehen Sie ein Beispiel für einen Beitrag, den deutsche Behörden nach der Beschlagnahmung des Kingdom Market-Marktplatzes im Dark Web verfasst haben.
Jabber ist eine österreichische App für Computer und Mobiltelefone, mit der Sie Anrufe über die Nebenstelle Ihres Universitätstelefons tätigen, annehmen und verwalten können. Außerdem können Sie damit Ihre Voicemail abrufen und auf andere Sprachdienste zugreifen. Sie profitiert von strengen Datenschutzgesetzen, die auf dem Standort des Hauptquartiers basieren. Es ist Erklärung zum Datenschutz bestätigt, dass "Österreich hat derzeit keine Gesetze zur Vorratsdatenspeicherung. Es wäre rechtswidrig, wenn wir Daten länger als für den Betrieb dieses Dienstes unmittelbar erforderlich aufbewahren würden. In Österreich kann ein öffentliches Gericht anordnen, dass wir mit Strafverfolgungsbehörden zusammenarbeiten, um bei strafrechtlichen Ermittlungen zu helfen. Eine solche Anordnung ist nur möglich, wenn die vermutete Straftat mit einer Freiheitsstrafe von mindestens einem Jahr bedroht ist.."
Tox ist ein sicheres Protokoll für Nachrichtenübermittlung und Videotelefonie, das eine direkte Kommunikation mit Verschlüsselung ermöglicht. Allerdings bietet es weniger Spielraum als die anderen Kandidaten in dieser Liste. Sie haben bestätigt, dass sie innerhalb ihrer Datenschutzbestimmungen dass "in Einzelfällen, in denen wir gesetzlich verpflichtet sind, Ihre Daten auf behördliche Anordnung weiterzugeben, wenn und soweit dies für Zwecke der Strafverfolgung oder zur Gefahrenabwehr durch die Polizei oder sonstige Stellen erforderlich ist."
Wickr ist ein amerikanisches Softwareunternehmen (es wurde 2021 von Amazon übernommen), das eine Instant-Messaging-App anbietet, mit der Nutzer Ende-zu-Ende-verschlüsselte und inhaltlich ablaufende Nachrichten austauschen können. Auch hier ist der Datenschutz nicht auf dem Niveau von Telegram. Das Support-Center Staaten dass "Wickr hat sich verpflichtet, in einem Umfeld vollständiger Transparenz zu arbeiten und mit den Strafverfolgungsbehörden zusammenzuarbeiten, wobei das Recht jedes Einzelnen auf Privatsphäre respektiert wird.."
Letztes Jahr zunehmende Anzeichen legt nahe, dass Telegram ein konkreter Favorit für Cyberkriminelle ist, die bei der Planung von Cyberangriffen Schwachstellen austauschen und weitergeben.
Warum tauschen Cyberkriminelle immer mehr Informationen aus, bevor es zu Datenverletzungen kommt?
Gibt es eine Methode für ihren Wahnsinn?
Ja, absolut.
In der Regel sind Planung und Vorbereitung präzise. Maßgeschneiderte und verschlüsselte Telegram-Kanäle sind beliebt, um groß angelegte Angriffe durchzuführen. Cyberkriminelle haben die Möglichkeit, Nachrichten einzeln oder in Gruppen auszutauschen und auch große Datendateien völlig unbesorgt zu senden oder zu empfangen.
Berichte wie der Lancope-Ponemon "Reaktion auf Cyber-Sicherheitsvorfälle" Bericht und IBMs "Bericht über die Kosten einer Datenpanne 2023" verdeutlichen, dass Cyberangriffe heute ein umfassendes Geschäftsmodell darstellen.
Daher ist es nur logisch, dass sie immer sorgfältiger geplant und durch gemeinsame Erkenntnisse der Gemeinschaft unterstützt werden.
IBM-Daten zeigen, dass die durchschnittlichen Kosten für globale Datenschutzverletzungen weiter steigen (im Jahr 2023 um 15% auf $4,45 Mio. USD im Vergleich zu 2020).
Was ist die beste Strategie, wenn Ihre Daten im Dark Web auftauchen?
Wir haben einen vollständigen Leitfaden für die Reaktion auf Zwischenfälle zu dieser Frage erstellt, den Sie hier einsehen können hier lesen. Es geht um Verstöße von Verkäufern, aber die gleiche Logik gilt für alle Datenschutzverletzungen.
Zum Abschluss: 4 wichtige Schlussfolgerungen
Im Folgenden finden Sie eine kurze Zusammenfassung der wichtigsten Informationen, die Sie kennen sollten.
1: Das Dark Web ist eine blühende Untergrundgemeinschaft für Cyberkriminelle: Foren wie Dread sind im Dark Web dafür bekannt, dass sie cyberkriminelle Informationen liefern.
2: Cyber-Kriminelle kommunizieren über Foren und Marktplätze: Die verschiedenen Plattformen im Dark Web dienen unterschiedlichen Zwecken. Cyberkriminelle Marktplätze funktionieren wie E-Commerce-Seiten, auf denen Käufer Verkäufer bewerten, während Foren als Diskussionsplattformen für Cyberkriminelle dienen, um Taktiken, Techniken und Schwachstellen auszutauschen. Diese Plattformen bieten Anonymität durch verschiedene Mechanismen, wie z. B. Communities, die nur auf Einladung zugänglich sind, und Vouching.
3: Zusätzliche Plattformen außerhalb des Dark Web für den Austausch von Informationen: Telegram, Discord, Reddit, Jabber, Tox, Wickr usw. sind Plattformen, die von Cyberkriminellen häufig zur Kommunikation und zur Durchführung von Betrügereien genutzt werden. Jede Plattform bietet ein unterschiedliches Maß an Datenschutz und Zusammenarbeit mit den Strafverfolgungsbehörden, wobei einige sicherer und andere anfälliger für Überwachung sind.
4: Cyberkriminelle tauschen Informationen aus, um akribisch geplante Angriffe zu unterstützen: Der Austausch von Informationen über Datenschutzverletzungen und Cyberangriffe ist für Cyberkriminelle unerlässlich geworden, um ihre Angriffe effektiver durchzuführen. Da die durchschnittlichen Kosten von Datenschutzverletzungen steigen, sind Cyberkriminelle bei der Planung und Unterstützung auf Informationen aus der Gemeinschaft angewiesen, um eine maximale Wirkung zu erzielen.
Das war's für diesen Dark Web Blog.
Bleiben Sie auf dem Laufenden und verfolgen Sie unsere Serie zur Überwachung des Dark Web über unseren Blog und unsere sozialen Kanäle. Folgen Sie uns auf LinkedIn und Twitter um alle neuen Inhalte dieser Serie zu sehen.
