Cisco Talos har offentliggjort en ny kartläggning av sociala medias mörkare hörn.
En plats där bedragare, sabotörer och skräpposttillverkare bjuder ut sina tjänster och varor – exempelvis stulen kreditkortsinformation – till högstbjudande.
När man pratar om de ”underground-marknader” där kriminella möts och utbyter varor och tjänster på nätet brukar man tala i termer av ”dark web” – en åtskild miljö dit det är svårt att få tillträde och hemlighetsmakeriet är stort. Men den nya kartläggningen från Cisco Talos, Ciscos avdelning för säkerhetsanalys, visar att ett förvånansvärt stort antal ”entreprenörer” väljer att göra det helt öppet, på allmänt tillgängliga sociala medier.
Cisco Talos har kartlagt 74 Facebook-grupper med totalt omkring 385 000 medlemmar, som samtliga handlar med exempelvis stulen kreditkortsinformation, hackade lösenordsdatabaser och tjänster för att skapa och sprida spammeddelanden för att skicka ut exempelvis länkar med skadlig kod eller ransomware-attacker till stora mängder mottagare.
Bland de tjänster som användare påstods erbjuda fanns även förfalskade identitetshandlingar, och hjälp med penningtvätt. I vissa fall agerar säljarna på egen hand, men ofta också via ombud. Betalningen avkrävs i allmänhet i Bitcoin eller andra kryptovalutor och många grupper har ett gemensamt ”kodspråk” för hur affärer genomförs.
Grupperna har namn som exempelvis ”Spammer & Hacker Professional” och ”Facebook hack (Phishing)” och trots att namnen ger en tydlig indikation på vad som försiggår där har många av grupperna varit aktiva i flera år.
Ingen tjuvheder
I grupperna uppstår det ofta klagomål från enskilda användare som uppger sig ha blivit blåsta på den utlovade varan eller tjänsten. Samtidigt delar gruppmedlemmarna frikostigt med sig av erfarenheter från lyckade – eller misslyckade – attacker från hela världen.
Anledningen till granskningen var att information och verktyg som delades i grupperna också användes för att attackera Ciscos kunder, vilket stod klart efter att informationen matchats mot Ciscos egna händelserapporter och loggar.
”Vi fann det framför allt överraskande att det här pågick så öppet”, konstaterar Henrik Bergqvist som är chef för Cybersecurity på Cisco Sverige och lokal talesperson för Cisco Talos. ”Med hjälp av Facebook har de här grupperna nu tagits bort men det dyker hela tiden upp nya, och det ger också en inblick i hur cyberbrottsligheten bedrivs, den är både väldigt komplex och samtidigt väldigt vardaglig. För att fortsätta bekämpa det här problemet har alla en viktig roll att spela – de sociala medieplattformarna, vi säkerhetsexperter och även användarna själva. Vi gör den här kartläggningen för att bidra till att allmänhetens kunskap och vaksamhet ökar.”