Исследование: использование украденных в Интернете данных в Dark Web и в Surface Web
В последнее время наблюдается резкий рост числа случаев киберпреступлений как в Surface Web [видимая сеть], так и в Dark Web [темная сеть]. Так, кража данных учетной записи в сети является, пожалуй, самой распространенной проблемой, особенно в Dark Web, где цена за сетевую личность в среднем составляет около $900.
В попытке проанализировать, как одна и та же преступная деятельность разворачивается в Surface Web и в Dark Web, в недавно опубликованном исследовании сравниваются способы, с помощью которых киберпреступники воруют почтовые аккаунты Gmail в Dark Web. В последствии, результаты этого исследования сравнивались с результатами аналогичного эксперимента, проведенного в Surface Web. Ниже мы рассмотрим результаты этих экспериментов.
Методология проведенного исследования
В исследовании использовалась та же инфраструктура honeypot, которая была предложена Onaolapo в 2016 году для изучения утечек данных в Surface Web. Первым шагом было создание 100 учетных записей Gmail, которые назывались «медовыми аккаунтами». Вымышленные данные, использованные для создания этих учетных записей, автоматически генерировались из базы случайных персональных данных. Затем в «медовые аккаунты» были добавлены письма электронной почты, полученных из набора данных Enron, для имитации реального аккаунта, принадлежащей обычному пользователю. Каждый аккаунт электронной почты получил около 200 писем, отправленных в пакетном режиме для имитации действующей активности учетной записи.
Подобно исследованию Onaolapo для Surface Web, в Dark Web выбрали ряд сайтов, включавших в себя подпольные форумы, а также поддельные сайты-зеркала. «Медовые аккаунты» просто сливались туда, чтобы затем сравнить вредоносные действия на различных ресурсах.
В число подпольных форумов входили Silk Road Forum, AlphaBay и KickAss, на многих из которых обсуждается преступная деятельность и кража данных. Эти сайты из Dark Web были выбраны из-за их сходства с сайтами, которые использовались для исследования в Surface Web, в том числе pastebin.com, pastie.org, offensivecommunity.net, hackforums.net, bestblackhatforums.eu и blackhatworld.com.
Активность на «медовых аккаунтах» Gmail отслеживалась в течение семи месяцев.
Результаты исследования
В ходе эксперимента исследователи выявили 1092 случая доступа к учетным записям в Dark Web. С другой стороны, эксперимент в Surface Web, проведенный Onaolapo и коллегами, выявил 164 инцидента доступа. Важно отметить, что хотя «медовые аккаунты» попали на темные сайты, они не всегда были доступны через Tor. По факту, только 378 случаев доступа произошли через эту анонимную сеть.
Результаты исследования показывают, что утечка данных через поддельные сайты фиксировалась как в Surface Web, так и в Dark Web, однако масштаб взломов значительно больше в темной сети. На сайтах, расположенных в Surface Web их владельцы или администраторы, как правило, удаляют содержимое, связанное с утечкой данных. В то же время, сайты в темной сети особо строго не контролируются, а источник утечки данных остается доступным в течение более длительных периодов. При рассмотрении подпольных форумов, картина очень похожа на ситуацию с сайтами из Surface Web. С другой стороны, утечка данных менее заметна на форумах в темной сети, потому что пользователи должны создать учетную запись и иногда им необходимо получить также еще и приглашение на форум, чтобы получить к нему доступ.
Недостатки в исследовании
Одним из наиболее важных недостатков сравнения, представленного в этом исследовании, является то, что исследование для Surface Web и Dark Web проводилось в разные периоды времени. Таким образом, уровень активности в обеих средах сильно отличался бы от одного исследования к другому. Следовательно, данных обоих экспериментов недостаточно для обобщения полученных результатов. Авторы исследование планируют провести дальнейшую работу путем разработки honeypot-инфраструктуры для обеих веб-сред на других онлайн-сервисах, чтобы иметь возможность в будущем сделать более точное сравнение.
Еще одним недостатком исследования является относительно небольшое количество используемых аккаунтов Gmail. Создание учетной записи требует регистрации номера телефона, иначе Gmail будет считать созданный аккаунт, как источник спама. По этой причине исследователи не смогли создать большее количество учетных записей Gmail, для более репрезентативного сравнения.