Fora cyberprzestępców przeżywają drugą młodość

Autorzy raportu wskazują, że fora to jedne z najstarszych i najprostszych form komunikowania się. Pierwsze z nich powstało w latach 90. XX wieku, a stworzone w 2001 roku CarderPlanet stało się punktem odniesienia dla wszystkich kolejnych platform tego typu. Obecnie fora wykorzystywane są jako źródła wiedzy oraz informacji na temat specjalistycznych narzędzi służących do hakowania. Fora stały się również miejscem sprzedaży baz danych,  złośliwego oprogramowania, danych z kart płatniczych i kredytowych czy poradników dokonywania ataków hakerskich. Od 2001 roku pojawiło się wiele innych narzędzi oferujących podobne możliwości, które są bezpieczniejsze i efektywniejsze – twierdzą autorzy raportu. Aplikacje takie jak Telegram, Wickr i Discord czy zdecentralizowane technologie jak np. blockchain DNS, i2P czy BitTorrent to tylko niektóre z nich. Wydaje się, że w obliczu nadchodzących zmian, fora jako anachroniczne i przestarzałe rozwiązania powinny cieszyć się coraz mniejszą popularnością. Jest jednak odwrotnie.

W raporcie zauważono, że kolejne platformy tego typu cały czas się pojawią, a ich ogólna liczba uczestników rośnie. Bardzo ciekawym trendem jest wzrost użytkowników nowego forum w momencie kiedy stare, długo istniejące fora przestają działać. Taka sytuacja miała miejsce z forum cyberprzestępców Torum, które istniało od 2017 roku, a które przed lutym 2019 liczyło prawie 6 tys. użytkowników. W październiku 2019 było ich aż 44 tys. i to właśnie do nagłego wzrostu przyczyniło się zamknięcie przez organy ścigania popularnego forum KickAss.

Raport charakteryzuje również użytkowników forów. Są oni niechętni do zmiany technologii do komunikowania i sprzedawania swoich towarów i usług. W ich opinii alternatywne środki mają liczne wady i nie przekonują ich argumenty ekspertów, że oferują one lepsze środki bezpieczeństwa. Pojawią się również propozycje na forach, żeby przesiąść się na inne aplikacje jak Telegram, ale są one odrzucane przez większość użytkowników. Nawet garstka tych, która przesiadała się na nowe narzędzia, wciąż wraca na fora, ponieważ ciężko się jest im wyzbyć starych przyzwyczajeń.  

Fenomen popularności forów cyberprzestępczych jest tłumaczony poprzez fakt ich długiego istnienia oraz reputacji, którą się cieszą. Dzięki temu trafiają ze swoim przekazem do cyberprzestępców. Ich wysoka reputacja przyciąga najbardziej uzdolnionych hakerów oraz stanowi repozytorium dla ważnych informacji dla cyberprzestępców. Rosyjskie forum Exploit istnieje od 2005 roku i wyrobiło sobie markę poprzez skupienie w jego ramach najlepszych cyberprzestępców na świecie. Powoduje to, że na forach tworzy się również pewna specyficzna społeczność, która oferują wsparcie oraz przekazuje pomoc techniczną. Członkowie dzielą się również informacjami na temat najnowszych rozwiązań technologicznych.

Fora w przeciwieństwie do innych narzędzi do dzielenia się wiadomościami opierają się na systemie reputacji oraz oferują historię aktywności danego użytkownika, co jest ważną oznaką wiarygodności dla innych cyberprzestępców. Ponadto arbitraż oraz inne mechanizmy na forach zmniejszą ryzyko nieudanej transakcji. Potencjalną nielegalną działalność oszustów jest bardzo łatwo wykryć, a oszuści są karani. Ciężko jest nie docenić tego, w szczególności w transakcjach pomiędzy cyberprzestępcami.

Fora wydają się przestarzałą i nie przystającą do dzisiejszej rzeczywistości formą komunikacji, pomimo tego cieszą się niesłabnącym zainteresowaniem cyberprzestępców. Nie przeszkadzają im główne problemy takie jak słabe w porównaniu do innych narzędzia zabezpieczenia, konieczność oparcia transakcji na zaufaniu oraz anonimowości. Fora jednak przechodzą również transformację. Jedna z nich, XSS, wprowadziło pod koniec weryfikację dwuetapową. Administratorzy forum argumentowali, że było to podyktowane zwiększeniem bezpieczeństwa kont użytkowników oraz zminimalizowaniem ryzyka przejęcia haseł przez nieautoryzowane podmioty.

Innym rozwiązaniem zwiększającym bezpieczeństwo jest wdrożenie właściwości „Canary” na niektórych forach, którego celem jest informowanie na bieżąco użytkowników o statusie administratora. Są to wiadomości cyfrowo podpisane przez administratora, które są wysyłane co tydzień do uczestników forów. Ma to zapobiec sytuacji z października 2019 roku, kiedy to zniknął administrator jednego z forów a użytkownicy nie wiedzieli co się dzieje. Ten środek bezpieczeństwa ma zapobiec przejęciom forów przez nieuczciwą konkurencję czy organy śledcze.

Obecny trend wskazuje na to, że fora nie odejdą w przeszłość, tylko raczej będą powoli dostosowywać się do współczesnych wymagań bezpieczeństwa. Dotyczy to również najstarszych forów, których zmiany obejmują kwestie graficzne ale również dodawanie nowych funkcji bezpieczeństwa. Często ma to miejsce we współpracy z aktywnymi uczestnikami forów, którzy sugerują zmiany.