Структура Даркнет, его акторы и принципы функционирования, торговые площадки вредоносного программного обеспечения теневого сегмента Интернет

Таким образом, эволюцию доступа и взаимодействия с каналами диктуют развивающиеся технологии. До распространения мобильных платформ и устройств, благодаря которым связь и транзакции могут быть выполнены в любом месте и в любое время, количество магазинов и совершенных покупок в Даркнете было крайне невелико. По мере распространения технологий растет число коммуникационных инструментов и, как следствие, сделок.

Черный рынок по-прежнему сохраняет высокую репутацию, по крайней мере, в пределах более высоких уровней доступа. Благодаря постоянно развивающимся технологиям, участники рынков могут использовать всё новые и новые средства анонимизации, такие как “blockchain” и созданные на его базе электронные валюты, введя зашифрованное общение и скрытые каналы связи. Так как большая часть темного рынка размещается в Даркнете (основные магазины запрещенных и цифровых товаров), его доступность снижается, а проверка потенциальных участников становится более интенсивной.

Валидация лиц, продуктов и платежей на рынках Даркнета носит сложный и многоуровневый характер. На заре теневых рынков проверка считалась редким явлением - было достаточно легко стать участником и оказаться включенным в транзакции. Анонимность и безопасность участников обеспечивалась сложностью самой технологии попадания в Даркнет. Сегодня механизм проверки новых участников является куда более надежным и многофакторным, а цена за вход выше, поскольку действия правоохранительных органов в Даркнет год от года становятся всё более активными. Покупатели и продавцы проверяют друг друга, прибегая к помощи посредников (например, администраторов форума), принимая во внимание личные отношения - из чего формируется репутация и привилегии участников. Некоторые участники, по мнению Нежельского, знают друг друга лично; они часто говорят на одном языке и доверяют друг другу.

Таким образом, мы увидели, что Даркнет действительно отождествляется с сетью, которую можно квалифицировать как социотехническую, так как она состоит не только из людей - администраторов, экспертов, продавцов и покупателей, - но и из «неживых» объектов - каналов общения, товаров и криптовалюты. Все эти элементы так или иначе взаимодействуют между собой - являются единой функционирующей системой. Когда актор решает стать частью сети, он «сливается» с ней - проходит авторизацию, получает конкретную роль и, следовательно, список действий, которые он в рамках этой роли может выполнять. Акторы, играющие даже самые незначительные, на первый взгляд, роли, влияют на развитие Даркнет. Их действия могут быть не видны до тех пор, пока какой-то из элементов сети не выйдет из строя: закрытие одного рынка позволяет акторам объединиться и бросить силы на восстановление утраченной единицы - создание новой торговой площадки, чтобы поддержать баланс Даркнет.

Исходя из вышесказанного, можно сделать предположение, что транзакции в Даркнете, скорее всего, увеличатся. Следовательно, более тщательная процедура регистрации и проверки, особенно для доступа к высококачественным рынкам, повлечет за собой меньшую доступность для новых игроков, которых могут считать подозрительными. Для участников станет сложнее завоевать хорошую репутацию, а для правоохранительных органов станет сложнее находить теневые рынки.

Надежность продуктов также остается важной. Как правило, продукты и услуги, продаваемые на черных рынках, выполняют свои функции. Проблема целостности продукта возникает, когда у этих надежных товаров появляются нежелательные «функции» - например, бэкдоры (уязвимые места), посредством которых создатели наборов для киберпреступлений могут получить доступ к своим продуктам позже. Такие типы товаров, как правило, появляются на рынках более низкого уровня. Таким образом, покупатели должны быть более осмотрительны при выборе товаров, а также обладать минимальными техническими знаниями, чтобы задать продавцу правильные вопросы и не попасть в затруднительное положение после совершения транзакции.

Поскольку транзакции на черных рынках не могут быть юридически соблюдены, есть вероятность попасть в руки мошенников, которые имеют тенденцию быстро продавать свой товар, а затем бесследно исчезать. Некоторые исследователи предполагают, что около 30% продавцов являются мошенниками, а вероятность успешного возврата денег после совершения недобросовестной сделки составляет всего лишь 15-20%. Чаще всего обманывают непрофесиональных покупателей. По большей части это происходит на низком, более легком для доступа, менее проверенном уровне, а также на черных рынках, которые занимаются операциями с кредитными картами и финансовыми данными, на которых преобладают мошенники.

Как и на любом другом рынке, товары и поставщики Даркмаркета, как правило, надежны, хотя существуют и плохие акторы, поэтому стоит внимательно относиться к сделкам и проверять покупаемый товар, чтобы не попасть в сети мошенников. Из-за увеличения числа недавних демонтажей отдельных площадок (подробнее о которых говорилось в первой главе), все больше транзакций перемещается в темную сеть, а рынки становятся более скрытыми: используются широкие методы шифрования и анонимизации, что ограничивает доступ к наиболее сложным частям черного рынка.

Несмотря на то, что правоохранительные органы становятся более изощренными и раскрывают многие площадки, черный рынок остается устойчивым и разрастается быстрыми темпами, становясь более креативными и инновационными, находя способы усиления защиты.

В сетевой теории нередко создаются модели генерации случайных графов, чтобы лучше понять динамику сетей реального мира. В данном параграфе на основе метода ближайшего соседа мы попытаемся понять, как распространяется связь между участниками в теневых сообществах, а также есть ли зависимость между количеством участников в этих сетях и объемом общения между ними.

Для извлечения и анализа данных о количестве участников и их активности (сколько сообщений на форуме они оставляют и с кем коммуницируют), был написан парсер страниц для 26 площадок Даркнет, занимающих лидирующее положение в рейтинге администраторов TOR (по критериям легкости регистрации, навигации, совершения сделок и транзакций, комиссии поставщиков), который можно найти на официальном сайте теневого рынка - DeepDotWeb - открытом ресурсе, который содержит внутреннюю информацию о площадках, включая свежие новости, такие как, к примеру, постоянные изменения в структуре и количестве незаконных магазинов.

Рис. 6. Главная страница сайта DeepDotWeb с рейтингом торговых площадок

Для моделирования графов была выбрана программа SPSS Statistics, в которой точками были отмечены пользователи, а треугольником между точками - возникающая коммуникация между пользователями.



Рис. 7. Количество акторов на рынках Даркнет

Рисунок 7 иллюстрирует относительные размеры рынков по количеству их активных пользователей. Это количество точек в каждой сети.

Рис. 8. Количество случайных связей коммуникации между пользователями

Рисунок 8 иллюстрирует случаи связи между пользователями на каждом рынке. Это количество треугольников в каждой сети.

Как видно из графиков, Даркнет включает в себя различные по объему и количеству участников рынки - от небольших точек в 100 человек до крупных площадок с десятками тысяч участников. От количества участников, как правило, зависит и количество социальных связей на рынках - чем больше участников, тем, следовательно, более активно происходит коммуникация на форумах, что дает возможность проанализировать динамику торговой площадки.

Вступая в коммуникацию на форумах сайтов, пользователи обычно имеют возможность ответить непосредственно актору, написавшему исходное сообщение. Такие случаи - наряду с непосредственной коммуникацией двух акторов - можно также считать контактом и добавлять их в граф.

Помимо погрешностей парсинга данных (ввиду больших объемов данных и постоянно меняющегося количества участников на теневых площадках) недостатком данного метода извлечения данных является то, что коммуникации между акторами могут быть недооценены. Причина этого заключается в том, что не все пользователи на форумах непосредственно обращаются к актору, написавшему исходное сообщение, чтобы говорить напрямую друг с другом. Некоторые обычно просто обращаются к имени актора, с которым они хотят поговорить, непосредственно в новом сообщении. Также, более умудренные пользователи ради большей анонимности общаются через личные сообщения, отследить которые нам, в силу их приватности, не удалось. Тем не менее доля пользователей, которые вступают в диалог, значительна, чтобы сделать выводы о том, как структурированы связи.

Чтобы измерить степень зависимости между соседними узлами сети, нами был использован метод ближайшего соседа. Данный метод помогает увидеть схожие наблюдения, близкие друг к другу - «соседей», - и отсечь несхожие.

Рис. 9. Средняя степень ближайшего соседа торговой площадки P.int



Рис. 10. Средняя степень ближайшего соседа торговой площадки Zion

На рисунках 9 и 10 показано применение данного метода к сетям крупных теневых торговых площадок P.int и Zion. Как видно из графов, для данных сетей (как и для большинства других проанализированных сетей) теоретические значения - показанные синими треугольниками - примерно соответствуют значениям реальной сети - красным точкам. Дисперсия (мера разброса значений случайной величины относительно ее математического ожидания) реальных значений может быть больше ожидаемого результата (что видно на рисунке 10). Стоит отметить, что распространение реальных значений вокруг теоретической кривой сетей небольших торговых площадок Tor Check, BitBlender и CGMC, как видно из рисунков ниже, кардинально не симметрично. Исходя из этого можно сделать вывод о том, что эти сети показывают немного более низкую степень ближайшего соседа (степень «похожести» объектов), чем предсказывает модель конфигурации, что может быть вызвано погрешностями анализа либо действительно слабыми коммуникационными связями на данных площадках.



Рис. 11. Средняя степень ближайшего соседа торговой площадки BitBlender

Рис. 12. Средняя степень ближайшего соседа торговой площадки CGMS

Рис. 13. Средняя степень ближайшего соседа торговой площадки TorCheck

Для того, чтобы понять степень взаимодействия между собой ближайших соседей, проведем кластерный анализ - разбиение объектов совокупности на однородные группы. На примерах анализа площадок Charlie UK, BitBlender и TheHub продемонстрируем результаты анализа:

Рис. 14. Средний коэффициент кластеризации для торговой площадки Charlie UK

Рис. 15. Средний коэффициент кластеризации для торговой площадки BitBlender



Рис. 16. Средний коэффициент кластеризации для торговой площадки TheHub

Как можно наблюдать из графиков выше, крупные сети, такие как Charlie UK и TheHub не оправдали ожидаемого от них эффекта кластеризации: во этих случаях реальные значения образуют более крутую линию корреляции, чем теоретическая. Сеть небольшой площадки TheHub (108 акторов) более легко поддается анализу, демонстрируя результат, не выходящий за пределы стандартного отклонения. Все же, даже в тех случаях, когда более половины точек данных имеют более двух стандартных отклонений от теоретического значения, они все еще имеют структуру и не распределены случайным образом вокруг предсказаний теоретических значений. Эта структура образует кривую, только в случае коэффициента кластеризации намного круче, чем теоретическую.

Таким образом, степень ближайшего соседа действительно неплохо моделирует сетевые структуры торговых площадок Даркнет. В его основе лежит предположение о том, что участники различных узлов участвуют в определенном количестве сообщений. Такой анализ может служить хорошей отправной точкой для понимания специфики сети. Однако для более сложных сетей с большим количеством участников предсказания расходятся довольно сильно. Несмотря на это, такие расхождения могут дать более глубокое понимание криминальных рынков и дать основу интересным выводам о поведении человека в дальнейших исследованиях. Исходя из анализа, можно сделать предположение о том, что пользователи рынка Даркнет, которые являются более пассивными участниками, время от времени заходящими на форумы, формируют более плотные коммуникационные кластеры, так как они склонны открыто вступать в коммуникацию непосредственно на форумах сайтов, в силу своей неопытности. Более умудренные хакеры закрыто коммуницируют напрямую с интересующими их продавцами, посылая им личные сообщения.

В заключение, рассмотрим товарный ассортимент площадок вредоносного ПО, а также используемый механизм ценообразования.

Мир цифровых услуг теневого рынка обширен. На десятках международных площадок представлен широкий выбор средств для мошенничества и хакинга - как для новичков, так и пользователей, ориентированных на специфические запросы.

Предложения теневых рынков включают в себя как товары (хакерские инструменты: от получения первоначального доступа к цели до полного цикла атаки), так и услуги (хакерство как услуга). Интересующие нас цифровые товары можно разделить на следующие категории, в соответствии с разделами сайтов:

мошенничество - разнообразные предложения украденных персональных данных (банковских аккаунтов, аккаунтов от социальных сетей) и схем по зарабатыванию денег в Интернете;

услуги - продукты для поднятия или ухудшения уровня социальной жизни (увеличение траффика, спам-рассылки, вредоносные загрузки, для компрометирования жертв);

вредоносное программное обеспечение.

Более конкретно товары можно разделить на категории, представленные в таблице, типологизированную на основе анализа торговых площадок Даркнет:

Табл. 1

Категоризация товарного ассортимента Даркнет
Категория	Определение	Примеры
Initial access Tools (инструменты для начального доступа)	позволяют пользователю выполнять произвольные операции на зараженном компьютере, а затем доставлять полезные нагрузки; могут автоматизировать использование уязвимостей на стороне клиента	Exploit kit (хакерские наборы) Zero-day vulnerabilities
Payload parts and Features (отдельные функции полезных нагрузок)	товары и / или услуги, которые создают, упаковывают или повышают полезную нагрузку, чтобы закрепиться в системе	Packers / Binders (упаковщики) Crypters (криптеры или шифровальщики) Obfuscation (обфускаторы)
Payloads (полезные нагрузки)	внедряют вредоносное поведение, включая уничтожение файлов, сбой функционирование компьютера, нарушение или распространение данных	Botnet for sale (ботнеты на продажу)
Enabling Services (вспомогательные услуги)	помогают пользователю достигнуть цель с помощью использования инструментов начального доступа и / или полезной нагрузки; векторов атаки и методов масштабирования	Search engine optimization services (оптимизатор поисковых систем) Spam services (спам-сервисы) pay-per-install and affiliates (оплата за установку и поддержание) phishing and spear-phishing services (фишинг) Services to drive / find traffic (траффик) Fake website design and development (разработка фейковых сайтов)
Full Services (as-a-service) (полные сервисы совершения атак)	хакерские пакеты инструментов вместе с исходными инструментами доступа, полезными нагрузками и функциями полезной нагрузки для проведения атак от имени клиента; может обеспечить полный жизненный цикл атаки	Hackers for hire (аренда хакеров) Botnets for rent (аренда ботнетов) Doxing DDoS as a service (атаки типа отказа в обслуживании)
Enabling and Operations Support products (продукты, поддерживающие выполнение операций)	проверка, что инструменты начального доступа и хакерские услуги (включение или полное обслуживание) будут работать по мере необходимости, настроены правильно и могут преодолеть препятствия в виде антивирусов	Инфраструктура (лизинг сервисы, VPN, скомпрометированные сайты) Криптоаналитические сервисы (взлом паролей) Взлом CapTCHa
Digital assets (цифровые активы)	цифровыми активами являются товары, полученные с помощью компрометации жертвы (взломанная или украденная информация)	Информация кредитных карт (fullz, dumps, верификационный номер карт) информация об аккаунтах (электронная торговля, банки, социальные сети) логины и пароли от электронной почты аккаунты от сервисов онлайн-оплаты учетные данные и идентификационные номера данные ИОЗ (Института Общественного Здравоохранения)
Digital asset Commerce and Cyber Laundering (торговля цифровыми активами и “кибер-отмывание”)	Цифровая торговля активами и их обналичивание	Поддельные товары и услуги (например, поддельные документы, идентификаци-онные номера, валюта) Клонеры документов Услуги обработки и обналичиваниякредитных карт Услуги переадресации

В описании продуктов продавцы часто гарантируют долгий срок службы и ценность своих продуктов - к примеру, что конкретный вариант вредоносного ПО будет безотказно действовать в течение нескольких часов непрерывно и его не обнаружат антивирусные программы. Некоторые, добавляет Нежельский, могут отслеживать, что клиент делает с их продуктом, чтобы убедиться, что соблюдено «пользовательское соглашение» - внедряя в свои продукты программы слежения, продавец может приостановить использование продукта покупателем, если действия не нарушают цифровые права.

Несмотря на то, что в ходе исследования мы не вступали в прямой контакт с продавцами и не пытались совершить покупку, на даннном этапе анализа можно сказать, что Даркмаркет функционирует как обычный рынок в привычном смысле слова: продавцы выставляют свои товары с заманчивыми описаниями и гарантией качества, а покупатели ищут интересующие инструменты по наиболее выгодным ценам (в криптовалюте - с пересчетом на доллары и евро для удобства пользователей), сравнивая предложения на разных рынках.

Механизм ценообразования также похож на функционирование обычного рынка. Новизна продукта влияет на его цену. Недавно украденная учетная запись Twitter стоит дороже, чем, скажем, украденная месяц назад кредитная карта, поскольку учетные данные свежей учетной записи потенциально имеют большую доходность - по причине того, что ее пользователь еще может быть не осведомлен о том, что его аккаунт скомпрометирован. Сразу после крупной кражи банковских карт их могут сбывать по более высокой цене, поскольку существует большая вероятность того, что кредитные карты будут оставаться активными. Но со временем цены падают из-за того, что данные теряют актуальность, а рынок постепенно становится переполнен.

Тенденции ценообразования для разных продуктов оценить трудно; соотношение продукта и цены на него могут быть весьма нюансированными и зависят от множества факторов (например, бренда товара, качества услуг, стоимости аренды или покупки). Поэтому цены на некоторые товары могут варьироваться в широких пределах. Например, взломать банковский аккаунт можно за цену от $ 16 до более чем $ 325, в зависимости от типа счета. Цены на комплект хакерских инструментов варьируются в зависимости от того, приобретаются ли они напрямую или сдаются в аренду на время.

Практически каждый рынок без исключения имеет аккаунты от разнообразных социальных сетей, предложения которых варьируются согласно популярности в определенной стране. Например, на российских рынках продаются аккаунты сетей «Вконтакте» и «Одноклассников», Яндекс (российская интернет-компания), Rambler, Mamba (онлайн-чат для социальных знакомств) и Avito (аналог площадки интернет-торговли EBay). Цены на них колеблются от нескольких центов до $300 в зависимости от конфигурации счета (денежного баланса или количества подписчиков). Предложения американских и европейских рынков включают такие социальные сети, такие как Snapchat, Twitter, Gramblr, Periscope, GitHub, Tumblr, Pinterest, Scribd, PayPal, а также включают учетные записи музыкальных сервисов, таких как Spotify, Pandora, Tidal, Saavn, и Soundcloud, аккаунты онлайн-кинотеатров Stan, Netflix, HBO и Slingbox, стоимость которых колеблется в пределах $5.

Обширную витрину на теневых рынках занимают услуги спама, фишинга и профилирования аккаунтов. Цены на спам-рассылку для электронной почты и телефонный флуд зависят от количества звонков или отправленных писем. В среднем, поставщики предлагают отправлять 1000 писем за $1,22 и 100 000 писем за примерно $90. Таким образом, более выгодно заказывать большие рассылки.

Наиболее обширным сегментом теневых рынков являются предложения банковских карт и услуг по их взлому. Стоимость на них также варьируется в зависимости от банка, платежной системы и количества средств на карте. Продавцы теневых рынков имеют тенденцию продавать аккаунты от банков Европы и Великобритании, которые более ценны из-за некоторых причин:

они часто имеют более высокий кредитный лимит;

обычно они имеют тенденцию быть более безопасными (из-за их ПИН-кода с системой подписи), чего, например, нет в картах США;

как правило, при обработке карты в иностранном банке происходит задержка, так что есть больше времени для выведения средств, пока банк что-то заподозрит.

Безусловно, с помощью мелких сделок, описанных выше, можно получить прибыль. Основными предметами монетизации киберпреступлений, однако, являются приложения хакерских услуг и вредоносных программ. Например, Wall Street Market предлагает DiamondFox (также известный как Gorynych Botnet - многоцелевой ботнет с возможностями кражи информации кредитных карт из POS-терминалов) за $700 и Sphinx Trojan (мощная банковская вредоносная программа, модификация печально известного трояна Zeus Banking) за $800. P.int предлагает Wincor ATM Malware (известное вредоносное ПО, которое помогает злоумышленники взламывать банкоматы) за $ 3975, GoldenEye Ransomware (комбинация вирусов-вымогателей Petja и MISCHA, которые распространяются при помощи фишинга) за $795 и Galileo (одно из лучших программных обеспечений для взлома устройств, работающих на iOS, Android, Windows Mobile, BlackBerry, а также Mac и Windows PC) за $2349.

Рис. 17. Предложение ПО “Galileo”

Иногда есть шанс столкнуться с уникальными предложениями. Так, продавцы “Wall Street Market” продают полный исходный код для “Netsnapper” - сайта для безопасного подключения к умным устройствам дома - всего за $49 000.

Рис. 18. Предложение программного кода “Netsnapper”

Анализ структуры и товарного ассортимента черного рынка вредоносного ПО показал, что Даркнет является динамической, постоянно развивающейся сетью, каждый элемент которой - участники, торговые площадки, товары и услуги - влияет на ее развитие. Несмотря на техническую сложность парсинга данных - ввиду каждодневного изменения участников, товарного ассортимента и количества площадок, а также закрытости некоторых магазинов, - нам удалось создать полноценную картину функционирования Даркнет, описать географию распространения его рынков, проанализировать иерархию участников и категоризировать предложения товаров и услуг.

Проведя акторно-сетевой анализ, перейдем к заключению, в котором подтвердим или опровергнем выдвинутые в начале исследования гипотезы.

Заключение

Развитие информационно-коммуникационных технологий оказывает как положительное, так и негативное влияние на жизнь современного общества. Последнее, помимо прочего, выражается в появлении Даркнета - сети теневой экономики и криминала.

В данном исследовании мы попытались ответить на вопросы, схож ли по своему устройству и функционированию Даркнет с принципами работы рынков в их привычном понимании, а также действуют ли теневые площадки Даркнет, торгующие вредоносным программным обеспечением, по законам теневой экономики.

Несмотря на то, что при анализе Даркнет мы не вступали в прямой контакт с продавцами и не совершали покупки самостоятельно, а лишь анализировали информацию, доступную через браузер TOR, на основе проведенного исследования можно сказать, что функционирование теневого сегмента Интернета Даркнет отчасти противоречит законам свободного рынка. Если на первый взгляд может показаться, что конкуренция на торговых площадках не ограничена и каждый вправе предлагать свои продукты свободно, то при анализе стало понятно, что далеко не каждый может свободно войти на определенные торговые площадки Даркнет, не говоря уже о том, чтобы стать продавцом. Относительная однородность товаров также не дает право считать Даркнет свободным рынком - многие продавцы скрывают описание товаров, их количество и цены на них. Все же, несмотря на сложность доступа, участники, продемонстрировав свои навыки и таланты, могут не только получить доступ на закрытые сайты, но и создать свои собственные площадки, что указывает на то, что определенная свобода на черном рынке, все же, присутствует. Тот факт, что продавцы не дают описания для определенных товаров, может указывать на то, что по каким-то определенным причинам продавцы вынуждены скрывать данную информацию. Причины этого весьма интересны и станут одним из основных вопросов в дальнейших исследованиях. Таким образом, гипотеза о том, что Даркнет является свободным рынком, подтвердилась частично.

Гипотеза о том, что Даркнет является теневым рынком, подтверждается не полностью. В категориях Г. Беккера торговые площадки Даркнет являются теневым рынком лишь частично: хотя администрация и продавцы знают о противоправности своих действий и совершают их абсолютно сознательно, большинство обычных участников (покупателей) не совершают незаконных действий целенаправленно и могут даже быть не осведомлены о незаконности киберпреступной деятельности. К тому же, несколько искажено понятие прибыли по отношению к рынкам вредоносного ПО. В терминологии как легальной, так и теневой экономики, под прибылью подразумевается разница между полученным за товар доходом и понесенными на него затратами. Однако следует отметить, что для большинства товаров на рынках вредоносного ПО продавцы не несут материальных затрат, так как, по сути, товар представляет из себя программный код - продукт деятельности программиста. Получается, что продавец получает чистую прибыль от продажи своего продукта.

Все же, Даркнет можно назвать рынком, так как на нем присутствуют продавцы, товарный ассортимент и покупатели, которое формируют товарное предложение - высказывая свои пожелания на форумах. Таким образом, выполняется информационная функция рынка. Даркмаркет также выполняет и ценообразующую функцию, которая формирует цены на различные товары киберхакинга. Наконец, имеет место быть санирующая функция, выявляющая сильных участников и отсеивающая слабых игроков.

Таким образом, анализ показал, что Даркнет представляется сложной постоянно развивающейся структурой, которая требует непрерывного мониторинга и изучения. Исходя из полученных данных можно сделать следующие предположения:

- в будущем количество кибератак увеличится, так как все больше персональных данных приобретает цифровой формат, а также увеличивается количество пользователей Интернет и мобильных устройств;

- все же, можно предположить, что атаки с целью кражи данных кредитных карт снизятся, так как рынок переполнен банковскими данными. На смену им придут другие данные, описанные в следующем пункте;

- гиперкоммуникабельность (увеличение так называемых «подключенных» устройств) также станет точкой притяжения киберпреступников. Новые электронные устройства (такие как бытовая техника, машины, устройства умных домов), работающие через мобильные приложения, неизбежно станут желанной целью хакеров;

- атакующие будут продолжать идти на шаг впереди защищающих: киберпреступники продолжат создавать новые средства для совершения кибератак и способы защиты своей деятельности, уходя все глубже в темную сеть. Таким образом, правоохранительные органы и антивирусные компании должны объединиться для совместной работы на международном уровне против киберпреступности в общем и Даркнет в частности: предугадывать возможные атаки в будущем и разрабатывать релевантные средства защиты.

Литература

1. Латур, Б. Об интеробъективности. / пер. с англ. А. Смирнова; под научн. ред. В.С. Вахштайна // Социология вещей: сб. ст. / Под ред. В.С. Вахштайна. -- М: Издательский дом «Территория будущего», 2006. -- С. 169--199.

2. Ложкин, С. Скрытые ресурсы сети Tor - тихая гавань для киберпреступников.

3. Ложкин, С., Танасе С. Правоохранительные органы в Tor.

4. Макрушин, Д., Гарнаева, М. ДеанонимизаTOR: где заканчивается анонимность в даркнете.

5. Ablon, L., Libicki, M., and A. Golay. Markets for Cybercrime Tools and Stolen Data. RAND: National Security Research Division, 2014.

6. Afroz S., Garg V., McCoy D., and R. Greenstadt. Honor among thieves: A common's analysis of cybercrime economies, 2013.

7. Allodi, L., and Fabio Massacci. Economics of Cybercrime. Presentation delivered at the Joint meeting with Ufa State Aviation University Russia, Trento, Italy, May 14, 2012.

8. Andrews, A. Trusted Computing in Embedded Systems: Challenges. Pittsburgh, Pa.: Carnegie Mellon University, November 2010.

9. Back, M., and A. Stiglic. Traffic analysis attacks and trade-offs in anonymity providing systems. Springer-Verlag, LNCS 2137, 2001.

10. Barraco, L. What are the Most Common Types of Malware.

11. Becker G., Murphy К. М. A Theory of Rational Addiction. Journalof Political Economy. 1988. Vol. 96. August.

12. BullGuard. The Online Black Market--How It Works.

13. Callon, M. Actor Network Theory. In: International Encyclopedia of the Social & Behavioral Science. Elsevier Science Ltd., 2001. Pp. 62-66.

14. Certeza, R.A. Necurs: The Malware That Breaks Your Security.

15. Christin, N. Traveling the Silk Road: A measurement analysis of a large anonymous online marketplace.

16. Department of Justice. Major Computer Hacking Forum Dismantled.

17. Grebennikov, N. Keyloggers: How they work and how to detect them.

18. Harrell E, Langton L. Victims of Identity Theft. US Bureau of Justice Statistics.

19. Jarvis, K. Cryptolocker Ransomware.

20. Jukes, E. Encyclopedia of Cybercrime. Reference Reviews. Vol. 23 Issue: 6.

21. Kaspersky Lab Virus News. From Crypto Currency Mining to DDoS Attacks: The New Multi-featured Mobile Trojan Loapi Discovered.

22. Kaspersky Labs Virus News. Kaspersky Lab sheds light on “Darkhotels”, where busi- ness executives fall prey to an elite spying crew.

23. Kaspersky Lab Virus News. Stuxnet Patient Zero: First Victims of the Infamous Worm Revealed.

24. Klein, A. The Most Dangerous Malware Trends.

25. Kushner, D. The real story of Stuxnet. IEEE Spectrum, 2013.

26. L'Huillier, G., Alvarez, H., Riмos, S. A., and F. Aguilera. Topic-Based Social Network Analysis for Virtual. ISI-KDD '10 ACM SIGKDD Workshop on Intelligence and Security Informatics. Washington, D.C., 2010.

27. Langner, R. Stuxnet: Dissecting a Cyberwarfare weapon. IEEE Security & Privacy.

28. Levitt, S., and Stephen J. Dubner. Freakonomics: A Rogue Economist Explores the Hidden Side of Everything. New York: William Morrow, 2005.

29. Levitt, S., and Stephen J. Dubner. Freakonomics: A Rogue Economist Explores the Hidden Side of Everything. New York: William Morrow, 2005.

30. Magnuson, S. Growing Black Market for Cyber-Attack Tools Scares Senior DoD Official.

31. Malenkovich, S. Boo! Five Computer Viruses that were as Scary as Their Names Suggested.

32. Martin, J. Lost On The Silk Road: Online Drug Distribution And The `Cryptomarket'. Criminology & Criminal Justice: An International Journal, 2014.

33. McAfee. Rootkits Part 1 of 3: The Growing Threat.

34. McAfee. Virus Information.

35. McAfee Threats Report: Second Quarter 2013. Santa Clara, Calif. McAfee, Inc., 2013.

36. McQuade, S. Encyclopedia of Cybercrime. Westport. CT: Greenwood Press, 2008.

37. McQuade, S. Understanding and Managing Cybercrime.

38. Mises, L. Human Action: A Treatise on Economics. Chicago: Henry Regnery, 1966.

39. Monge P., and N. Contractor. Theories of Communication Networks. Oxford university press, 2003.

40. Nate, L. Common Malware Types: Cybersecurity.

41. Owen, G., and N. Savage. Empirical analysis of Tor Hidden Services. IET Information Security , vol. 10, no. 3, pp. 113 - 118, 2016.

42. Paganini, P., and R. Amores. Project Artemis - OSINT activities on Deep Web.

43. Paget, F. Cybercrime and Hacktivism, Sunnyvale. Calif.: McAfee Labs, 2010.

44. Ramzan, Z. The Vulnerability and Exploit Market.

45. Riмos, S., and R. MunЮoz. Dark Web portal overlapping community detection based on topic models. Proceedings of the ACM SIGKDD Workshop on Intelligence and Security Informatics. Beijing, China, 2012.

46. Shim, W., Allodi L., and F. Massacci. Crime Pays if You Are Just an Average Hacker, conference proceedings. IEEE/ASE Cyber Security Conference.

47. Shin, S., Gu, S., Gu, G. Conficker and beyond: a large-scale empirical study. In: ACM Proceedings of the 26th Annual Computer Security Applications Conference, 2010.

48. Silver, J. Governments disrupt botnet “Gameover ZeuS” and ransomware “Cryptolocker”.

49. Skaperdas, S. The Political Economy Of Organized Crime: Providing Protection When The State Does Not. In Economics Of Governance, 2001.

50. Stone-Gross, B., Abman, R., Kemmerer, RA., Kruegel, C., Steigerwald, DG., Vigna, G. The underground economy of fake antivirus software. In: Schneier B (ed) Economics of Information Security and Privacy III, Springer, New York.

51. Timpanaro, J.P., Chrisment, I., and О. Festor. I2P's usage characterization. In proc. TMA'12, Springer-Verlag, 2012.

52. Weaver, N., Paxson, V., Staniford, S., Cunningham, R. A taxonomy of computer worms. In: Proceedings of the 2003 ACM Workshop on Rapid Malcode, WORM'03, NY, USA.

53. Wilhoit, K and Dawda, U. Your Locker of Information for Cryptolocker Decryption.

54. Wilson, T. Necurs Rootkit Spreading Quickly, Microsoft Warns.

55. Vaibhav, G., Afroz, S., Overdorf, R., and R. Greenstadt. Computer-Supported Cooperative Crime. In Financial Cryptography and Data Security, 2015.

56. Van Hout, M.C., and T. Bingham. Responsible vendors, intelligent consumers: Silk Road, the online revolution in drug trading. International Journal of Drug Policy, 2013.

57. Varese F. General Introduction. What Is Organized Crime? Organized Crime, Vol. 1. London And New York: Routledge, 2010.

58. Varese, F. Mafias on the Move: How Organized Crime Conquers New Territories. Princeton University Press, 2011.

59. Venkatesh, S.A., and Levitt, S.D. Theory and Society, 2000.

60. Viney, Steven. What is the dark net and how will it shape the future of the digital age? ABC. June, 2017.

61. Zuckerman, E. W. Speaking with One Voice: A `Stanford School' Approach to Organizational Hierarchy. Stanford's Organization Theory Renaissance, 2010.

Приложение 1

Глоссарий.

Актант - одушевленный участник сети, коллективное или физическое лицо, которое может ассоциировать или отделять других акторов.

Актор - любой участник сети, влияющий на ее развитие.

Антивирус - программное обеспечение, предназначенное для обнаружения и удаления вредоносных программ.

Атака нулевого дня - наиболее опасная уязвимость, о которой поставщик программного обеспечения не знает и для которой не создано защитное решение.

Ботнет - коллекция уязвимых компьютеров, удаленно контролируемых центральным органом. Может использоваться для проведения различных вредоносных мероприятий, включая отправку спама, распространение вредоносного ПО, запуск DDoS-атак и поддержку незаконных сайтов.

Вектор атаки - путь или средство, с помощью которого злоумышленник может получить доступ к компьютеру или сетевому серверу для доставки полезной нагрузки или вредоносного результата. Векторы атаки позволяют злоумышленникам использовать уязвимости системы.

«Витрины» площадок Даркнет - визуальные представления с объектами продаж.

Вредоносное программное обеспечение (ПО) - широкая категория, применяющийся к спектру вредоносных программ, целью которых является нанесение ущерба компьютерам, мобильным устройствам или их пользователям. Такие программы могут установить опасное ПО без разрешения пользователя или заразить устройство компьютерным вирусом.

Дампы - данные, похищенные с магнитной полосы на оборотах кредитной и дебетовой карт.

Даркнет (черный рынок) - технически другой сегмент Интернета, который не индексируется и не видим из обычных поисковых систем (Яндекс, Google и других). Доступ к Даркнет можно получить только через определенные средства и службы анонимности, такие как браузер TOR.

Канал (на черном рынке) - программа, через которую акторы общаются и совершают транзакции.

Кардеры - мошенники, собирающие информацию о банковских аккаунтах и платежных системах незаконным путем.

Киберхакинг (хакерская кампания) - несанкционированное вторжение в компьютер или сеть пользователя - человеком, занимающимся хакерской деятельностью. Целью хакерской кампании является получение денег или информации при помощи изменения системных или защитных функций операционной системы пользователя.

Криптовалюта - цифровая валюта, которая включает криптографию. Многие криптоконверсии децентрализованы, т. е. ни одно учреждение не контролирует валюту.

Криптор - программное обеспечение, которое может шифровать исполняемые файлы, чтобы их было невозможно обнаружить для антивирусных систем.

Нагрузка - компонент вредоносного ПО, который выполняет вредоносную активность.

Пользователь (юзер) - актор или актант в сети; пользователь компьютера или сети.

Сеть - гетерогенная группа , состоящая из множества объединенных вместе элементов: людей, технических средств, форумов и др.

Спам - нежелательные сообщения, отправленные в Интернете большому количеству получателей. Спам может содержать вредоносное ПО или вредоносные ссылки.

Торговые площадки Даркнет - закрытые онлайн-магазины Даркнет.

Форум - Интернет-площадка, где люди могут вступать в разговоры, вести транзакций или предоставлять информацию в виде сообщений.

Фишинг - попытка получения информации через вредоносный контент в электронных сообщениях, - такой как имена пользователей, пароли и финансовая информации, - с помощью маскировки под надежное лицо.

Adware - программное обеспечение, которое отображает рекламные объявления, баннеры или всплывающие объявления.

CAPTCHA - программа, которая защищает веб-сайты от ботов, создавая и оценивая тесты, которые могут пройти только люди, но не компьютерные программы. Акроним «Полностью автоматизированного публичного теста Тьюринга, чтобы рассказать о компьютерах и людях».

DDoS - тип атаки, используемый для предотвращения доступа законных пользователей к Интернет-услугам или ресурсам. Как правило, сеть сбрасывается путем наводнения ресурса незаконным трафиком.

eCommerce - тип отрасли, в которой продаваемые товары или услуги

проводятся по электронным системам, таким как PayPal, Amazon и другие.

Exploit kit - инструмент, который можно использовать для создания, распространения и управления вредоносными программами и полезной нагрузкой, контролировать пользовательский веб-трафик, заражать пользователей через веб-атаки или управлять сетями зараженных машин.

Fraudware - вредоносная программа на компьютере, маскирующаяся под легальное приложение.

Invisible Internet Project (I2P) - пример темной сети. Используется в качестве слоя анонимизации для подключения к другим веб-сайтам.

Malware - программное обеспечение, предназначенное для повреждения или отключения компьютеров или компьютерных систем. Тип вредоносного ПО включает вирусы, черви и трояны.

PIN - термин, используемый для обозначения кредитных карт со встроенным компьютерным чипом и традиционной магнитной полосой. PIN-код используется для завершения покупки вместо подписи.

Ransomware - класс вредоносного ПО, который ограничивает доступ к компьютерной системе, которую он заражает, и требует выкуп для удаления вредоносной программы.

Spyware - программное обеспечение, которое скрытно собирает информацию пользователя (например, пароли, финансовые и учетные данные) без ведома пользователя.

Tor (The Onion Browser) - свободное и открытое программное обеспечение, защищающее пользователя от просмотра его поисковой истории другими пользователями браузера Tor, а также анонимизируя его личность и геолокацию, и предоставляющее доступ к скрытым сайтам Даркнет.

VPN - программа, расширяющая частную сеть через общедоступную сеть, такую как Интернет. Позволяет компьютеру отправлять и получать данные через общие или общедоступные сети, как если бы они были напрямую связаны с частной сетью.

Приложение 2

Рис. 19

Приложение 3.

Рис. 20

Размещено на Allbest.ru

...