Surveillance du Dark Web : le bon, la brute et le truand
Par : Équipe de recherche sur les photons
11 septembre 2019 | 20 minutes de lecture
Présentation de la surveillance du Dark Web
L'accès aux sources du dark web et du deep web peut être extrêmement puissant, si vous vous concentrez sur des cas d'utilisation pertinents. Les stratégies les plus efficaces que nous observons ont des exigences claires, telles que la détection des fraudes, la surveillance des menaces et la recherche des informations d'identification exposées.
Cependant, la surveillance de ces sources est difficile et peu de solutions ont une couverture sophistiquée. Le « Web profond et sombre » couvre une vaste gamme de sources potentielles ; marchés, forums fermés, applications de messagerie et sites de collage. Peu d'entreprises couvrent toutes ces sources ; moins encore ont des capacités pour aller au-delà du simple grattage de sites.
Malheureusement, il y a beaucoup d'oreille, d'incertitude et de doute (FUD) concernant le dark web. Les analogies avec les icebergs sont courantes depuis plusieurs années, démontrant ostensiblement que le Web profond et sombre est nettement plus grand que le Web ouvert. En vérité, le dark web ne contribue qu'à une petite partie de la cybercriminalité. Nous devons envisager des sources supplémentaires pour avoir une idée plus précise du paysage des menaces.
Qu'est-ce que le Dark Web ?
Le dark web est une zone d'Internet qui n'est accessible qu'avec un logiciel de navigation spécifique, tel que Tor ou I2P. Il s'agit d'un réseau d'anonymat où l'identité et l'emplacement des utilisateurs sont protégés par une technologie de cryptage qui achemine les données des utilisateurs via de nombreux serveurs à travers le monde, ce qui rend extrêmement difficile le suivi des utilisateurs.
L'anonymat du dark web en fait une technologie attrayante à des fins illégales.
Malheureusement, il est difficile d'obtenir une visibilité sur les emplacements criminels : cela nécessite des connaissances spécialisées, un accès à des sources fermées et une technologie capable de surveiller ces sources pour détecter les utilisations abusives de vos données.
Cependant, dissipons d'abord certaines idées fausses sur le dark web.
Hypothèse 1 :
Le dark web est synonyme d'Internet criminel. Alors que le dark web abrite de nombreux crimes, il héberge également de nombreuses entreprises légitimes comme le New York Times et Facebook qui proposent des services basés sur Tor, ainsi que du contenu généralement bénin. Le dark web n'est pas synonyme de cybercriminalité.
Hypothèse 2 :
Le dark web est la même chose que le deep web. Pour clarifier, le Web profond est défini au sens large comme tout ce qui n'est pas indexé par les moteurs de recherche traditionnels. Sans surprise, le Web profond abrite également la criminalité, mais le Web clair l'est aussi.
Le dark web ne monopolise pas la cybercriminalité.
Qu'est-ce que le dark web,car la Différences entre le web de surface, profond et sombre,
Tout simplement parce qu'il n'est pas accessible par un moteur de recherche traditionnel, cela ne veut pas dire que le deep web est forcément intéressant. La plupart des données sur le Web profond sont banales ou « normales » ; par exemple, les comptes de messagerie ou Facebook peuvent relever de cette définition car ils nécessitent une inscription pour voir le contenu. Bien que certains sites Web profonds et sombres soient des sources précieuses, vous devez savoir ce que vous recherchez, sinon il est facile de perdre du temps et des ressources.
La lutte contre les marchés du Web sombre
En juillet 2017, les forces de l'ordre américaines et néerlandaises ont lancé l'opération Bayonet, où elles ont saisi et désactivé deux des plus importants marchés du dark web, AlphaBay et Hansa.
Le procureur général des États-Unis, Jeff Sessions, a décrit l'opération comme suit :
« L'une des enquêtes criminelles les plus importantes de l'année… grâce à cette opération, le peuple américain est plus en sécurité – plus à l'abri de la menace de fraude d'identité et de logiciels malveillants, et plus à l'abri des drogues mortelles.
Avant l'opération Bayonet, les activités cybercriminelles anglophones se déroulaient principalement sur des marchés en ligne du dark web tels qu'Alpha Bay et Hansa, où des centaines de milliers de vendeurs et d'acheteurs effectuaient un commerce illégal estimé à plus d'un milliard de dollars.
L'action des forces de l'ordre ne s'est pas arrêtée là - le 7 mai 2019, une opération coordonnée au niveau international a conduit au retrait de deux autres marchés du dark web, Wall Street Marketplace et Valhalla Marketplace (Silkkitie). Au cours de la même opération, les forces de l'ordre ont simultanément désactivé une source d'actualités et une page de révision populaires sur le dark web, DeepDotWeb. DeepDotWeb ne vendait pas de contrebande ; au lieu de cela, les administrateurs ont profité de la promotion de sites criminels et de marchés via des liens d'affiliation.
Sa récente saisie a montré la volonté des forces de l'ordre de cibler davantage le réseau de commerce illégal au-delà des marchés, y compris les promoteurs et les blanchisseurs.
Marchés du dark web Hansa et AlphaBay
Notification du retrait des marchés Hans et AlpaBay
Dans notre rapport de recherche sur le dark web, Seize and Desist: The State of Cybercrime in the Post-AlphaBay and Hansa Age, nous avons exploré l'impact de ces saisies sur le marché du dark web.
Alors qu'une grande partie de la cybercriminalité (en particulier russophone) n'a pas été perturbée, un abus de confiance s'est produit dans le commerce criminel du dark web. Cet abus de confiance a causé des criminels à envisagez de nouvelles façons de générer la confiance dans l'underground.
Alors que les marchés du dark web, tels que Tochka et Empire, existent toujours, aucun marché n'a encore atteint l'importance de Silk Road, AlphaBay ou Hansa. De nouveaux marchés criminels continuent d'apparaître, mais ils ont du mal à se développer ou décident de faire preuve de légèreté face aux craintes croissantes de perturbations et de suppressions des forces de l'ordre.
Pour se développer, ces marchés criminels ont besoin d'une solide réputation, d'un financement à l'échelle, de la sécurité pour conserver les utilisateurs actuels et de la confiance pour gagner en popularité.
Il y a quand même des candidats intéressants. Market.ms Marketplace, dirigé par l'ancien administrateur du prestigieux forum de piratage Exploit[.]in, qui dirige désormais par coïncidence le nouveau forum XSS (anciennement Damagelab), est un nouveau venu sur le marché du dark web.
Centré uniquement sur la cybercriminalité ; MarketMS est presq
Les cybercriminels ne s'appuieront pas sur un seul site et seront présents sur plusieurs de ces sources, garantissant que leur nom est bien connu de tous les acheteurs potentiels.
Cependant, la présence de services d'entiercement sur les marchés crée une incitation compréhensible à négocier sur ces plateformes particulières. En conséquence, il est important de noter que ces nouveaux marchés du dark web existent aux côtés de Telegram et Jabber, qui coexistent pour obtenir des preuves, négocier des accords et convenir d'un prix final.
Cybercriminalité continue et innovation criminelle
Malgré les mesures d'application de la loi ciblant les marchés du dark web, la cyberactivité se poursuit à un rythme soutenu.
Par exemple, les chariots de vente automatisés (AVC) sont des pages criminelles qui échangent des cartes de crédit, des informations d'identification et des accès - leur commerce n'a pratiquement pas été affecté par les récentes saisies (à l'exception de la saisie de xDedic en janvier 2019). Joker's Stash, un AVC de premier plan utilisé pour acheter des cartes de crédit volées, continue de fonctionner tout en expérimentant de nouvelles technologies comme la blockchain DNS.
Un autre marché AVC, Enigma, gagne rapidement en notoriété parmi les cybercriminels car il a doublé ses listes depuis février 2019. Le fondateur, un acteur de bourrage d'informations d'identification sous l'alias Stackz420, a récemment fait la promotion de son AVC sur les forums criminels et les marchés et il a gagné traction. L'AVC offrait initialement 11 000 informations d'identification piratées et en répertorie maintenant environ 20 000 et ne montre aucun signe de ralentissement. Avec un nombre accru d'annonces et un administrateur notoire, cet AVC est prêt à croître en taille et en importance.
En savoir plus sur MarketMS prenant le trône après la disparition d'AlphaBay et de Hansa, Comment les cybercriminels utilisent le DNS blockchain pour sécuriser les sites du marché, et la couverture d'Enigma : le nouvel AVC sur le bloc.
Bâtir la confiance dans le métro : freins et contrepoids
L'application de la loi n'est pas la seule force qui cherche à perturber la communauté criminelle; leurs pairs peuvent être tout aussi antagonistes.
Olympus Marketplace, un marché émergent du dark web, a cessé ses activités car les administrateurs auraient mené une escroquerie de sortie – en volant les fonds des utilisateurs dans le processus. Lorsque AlphaBay et Hansa ont été saisis, Olympus était un marché anglophone réputé qui était attendu par beaucoup pour combler le vide, mais être le marché principal a un prix élevé. Le temps, l'argent et la peur d'être pris sont trop importants pour les fournisseurs et les administrateurs qui choisissent continuellement la sécurité plutôt que la cupidité.
Dream Market, un des principaux concurrents d'AlphaBay et de Hansa, a également cessé ses activités après des attaques DDoS répétées. Les attaquants ont pris le contrôle des comptes en raison de la réutilisation courante des mots de passe parmi les utilisateurs du marché. Il est largement admis que ces attaques de compte ont été menées par Bien que la police n'ait pas pris le contrôle total du site, la violation des comptes des utilisateurs était suffisante pour amener les administrateurs à abandonner complètement les opérations.
Cette récente chute des marchés réputés a exacerbé la fraude entre criminels sur le dark web.
Les cybercriminels créent des kits de phishing de véritables marchés du Web sombre pour voler d'autres utilisateurs du Web sombre qui cherchent à échanger et à tirer profit du commerce illicite. Étant donné que les liens Tor ont tendance à être plus longs et plus complexes que les liens Web clairs, les cybercriminels utilisent des squats de faute de frappe - en remplaçant "m" par "rn" ou en réorganisant des chaînes de caractères complexes dans le lien - pour hameçonner et escroquer d'autres utilisateurs du dark web qui parcourent les marchés.
Ces fraudeurs spécifiques qui ciblent d'autres cybercriminels sont étiquetés dans le cybermonde comme des « rippers ». (Est-ce que l'état profond,est profondément impliqué ?)
Par exemple, des services ont vu le jour au sein des communautés russophones pour protéger leurs sites contre ces rippers comme Ripper[.]cc – une base de données complète de tous les rippers connus ciblant les marketplaces. Il est important de se rappeler que les cybercriminels n'agissent pas seuls et ont besoin de services pour assurer la sécurité et la sûreté de leur écosystème.
En savoir plus sur les retombées du marché d'Olympus, le typosquattage du Dark Web : les cybercriminels s'escroquent les uns les autres et la réduction des risques liés aux « rippers »
Un écosystème riche : les services d'assistance pénale
Ripper[.]cc n'est qu'un exemple d'un vaste écosystème des services d'assistance aux cybercriminels qui existent sur le deep et le dark web.
La vérité est que les cybercriminels n'agissent pas seuls – il leur est tout simplement impossible de le faire. Ils sont pris en charge par une gamme riche et développée de services d'assistance, notamment le blanchiment d'argent, les logiciels malveillants et l'infrastructure.
L'externalisation de leur blanchiment d'argent permet aux cybercriminels de traiter et de générer des profits financiers. Les services dans ce domaine comprennent les devises électroniques, les échangeurs, les spécialistes des transferts et les mules. AlphaBay avait un mixeur (un service de blanchiment en ligne) inclus dans le site, mais de nos jours, les cybercriminels et les fraudeurs peuvent se tourner vers des services externes pour nettoyer leur argent.
Les cybercriminels doivent également avoir accès à des logiciels malveillants. Cela inclut son développement et son déploiement, mais aussi les services de cryptage et les kits d'exploit. Alors qu'ils étaient à leur zénith en 2016, les kits d'exploit ont perdu en popularité plus récemment. Néanmoins, ils sont toujours utilisés pour diffuser certains types de logiciels malveillants – plus récemment, la diffusion du ransomware Nemty via le kit d'exploitation RIG.
Enfin, des infrastructures sont nécessaires pour protéger leurs opérations. Les services typiques incluent l'hébergement à toute épreuve, les services de contre-AV et les services d'anonymat. Ces services sont extrêmement populaires car ils réduisent le risque de saisie de sites criminels et permettent aux cybercriminels de continuer à fuir les forces de l'ordre.
L'un des principaux services sur lesquels les criminels s'appuient sont les services d'hébergement à l'épreuve des balles.
L'hébergement à l'épreuve des balles est sans doute plus important qu'un navigateur Tor pour effectuer du commerce illégal en ligne. L'hébergement à l'épreuve des balles fournit une structure Internet protégée pour les personnes ou les groupes qui est généralement utilisée à des fins illicites. Cette infrastructure est hébergée sur des serveurs dans des pays où la cyber-surveillance est difficile et l'accès des forces de l'ordre occidentales est limité, ce qui permet aux utilisateurs de contourner les lois sur le contenu et les services Internet qui restreignent certains contenus et leur distribution.
Certains plaident en faveur d'un hébergement à l'épreuve des balles pour les droits civils, car il promeut la liberté d'expression, la presse, l'anonymat et la vie privée. En réalité, ces services sont un aspect vital de la cybercriminalité car ils offrent une protection contre les forces de l'ordre. Nous voyons deux côtés criminels des opérations d'hébergement à l'épreuve des balles – les fournisseurs qui fournissent des services à l'épreuve des balles et les clients qui achètent leurs services pour héberger des pages illégales.
Du côté des fournisseurs, nous voyons des utilisateurs mettre en place un hébergement à toute épreuve sur leurs serveurs dans des pays comme la Chine, la Russie et des pays qui faisaient partie de l'ex-Union soviétique. Le plus grand fournisseur mondial de pare-balles opère sous le pseudonyme de « Yalishanda », ce qui signifie Alexander en mandarin. Les responsables de la sécurité ont pu retrouver sa véritable identité et ses allées et venues, mais ne sont pas en mesure de l'appréhender car il est protégé par sa résidence en Russie.
Du côté de l'hébergement, nous voyons des utilisateurs acheter ou louer ces serveurs auprès de fournisseurs en amont partout dans le monde. Les hôtes utilisent couramment un hébergement à l'épreuve des balles pour héberger des services criminels tels que le phishing, les logiciels malveillants, les forums et les informations d'identification exposées.
Par exemple, les groupes Magecart – des voleurs d'informations bancaires – utilisent des serveurs ukrainiens pour gérer leur commerce d'identifiants.
hébergement pare-balles dark web
VPS à l'épreuve des balles vu dans ShadowSearch
Bien que difficile, les forces de l'ordre cherchent toujours à cibler ces fournisseurs d'hébergement à toute épreuve.
Dans une affaire historique, les forces de l'ordre américaines ont collaboré avec les forces de l'ordre roumaines pour arrêter un homme pour son rôle dans l'hébergement pare-balles du malware bancaire Gozi.
Comme le montre cette affaire, les retraits du dark web s'étendent au-delà des gros titres des sites criminels. Les forces de l'ordre procèdent à des suppressions tactiques de sites antivirus, de fournisseurs d'hébergement à toute épreuve et d'autres services essentiels à l'écosystème criminel.
Alors que l'écosystème criminel évolue autour des stratégies et des tactiques des forces de l'ordre, les criminels évoluent également, car ils trouvent continuellement de nouvelles façons innovantes de tirer profit de leur expertise, y compris l'enseignement. D'anciens fraudeurs et commerçants d'informations d'identification ont mis en place leurs propres cours sur la cybercriminalité où ils enseignent à d'autres cybercriminels toutes les compétences des techniques de base des cartes, du blanchiment de devises, des programmes de retrait d'argent, de l'ingénierie sociale, de la création de botnets et de l'utilisation d'exploits.
Ils publient gratuitement des conférences d'introduction sur les réseaux peer-to-peer du dark web comme Telegram ou Jabber qui annoncent leur classe et des marchés spécifiques du dark web et des AVC pour le trading. Les jeunes cybercriminels peuvent acheter ces conférences 75 000 roubles (1 100 USD), payables en bitcoin, ce qui leur donne accès à de nombreux autres cours, conférences et ressources, y compris des tuteurs. Il s'agit d'une évolution dangereuse pour les organisations et les consommateurs, car les acteurs amateurs disposent désormais des ressources et de la formation nécessaires pour se lancer dans une carrière de cybercriminel.
Comment créer une capacité de surveillance du Dark Web
Construire une capacité de surveillance efficace du dark web est extrêmement difficile. Cela nécessite une connaissance du paysage criminel, l'accès à des sources fermées et une technologie capable de surveiller ces sources.
La couverture de la source peut être un problème très difficile avec la surveillance du dark web. Vous devez diagnostiquer les sites Tor et I2P qui présentent un intérêt
– et constituent une menace
– ainsi que les discussions sur les canaux IRC et Telegram, les forums criminels et les sites de collage qui ne se limitent pas aux sites Web sombres.
Il existe plusieurs technologies qui offrent cette visibilité sur le dark web. OnionScan offre cette visibilité pour aider les chercheurs et les enquêteurs à identifier et suivre tous ces sites Web sombres. Chez Digital Shadows, nous offrons un accès gratuit de 7 jours à la recherche sur ces sources(on peut en douter pour la sécurité).
Cependant, la visibilité ne suffit pas à elle seule.
Pour surveiller efficacement le dark web, vous devez filtrer les sources non pertinentes qui ne constituent pas une menace imminente pour votre entreprise. Avec les sources restantes, en fonction de votre modèle de menace, vous devez surveiller et trouver les contrefaçons spécifiques, les mentions de vos actifs et les informations d'identification exposées.
Cela peut nécessiter un travail humain intensif ou une technologie capable d'automatiser le processus.
De plus, pour accéder à des forums criminels de plus grande valeur, les organisations peuvent avoir besoin d'une expertise supplémentaire pour comprendre les nuances des différentes langues, comment accéder à certains emplacements et lancer une enquête pour trouver vos données exposées.
Certains sites nécessitent même un métier spécifique pour entrer, ce qui peut concerner l'IP, la liste blanche / liste noire du service de messagerie Web et d'autres exigences. Faire tout cela demande beaucoup d'efforts, d'expertise, de temps et d'argent. Si cela n'est pas fait efficacement, il peut être difficile d'en tirer de la valeur pour votre organisation.
Dans notre travail avec les organisations, nous constatons qu'il existe trois cas d'utilisation clés lorsque nous parlons de surveillance du dark web :
Suivi des menaces
Identification des informations d'identification exposées
Détecter la fraude
En se concentrant sur ceux-ci, cela aide à rendre la surveillance du dark web plus rapide et plus pertinente pour vous.
Surveillance du Dark Web pour les entreprises
Même avec une bonne couverture, les organisations ont du mal avec leurs capacités de surveillance du dark web, car elles peuvent être bruyantes et non pertinentes.
Cependant, la surveillance du dark web peut être extrêmement précieuse pour une entreprise lorsque vous savez où chercher et quoi chercher. Nous avons identifié trois cas d'utilisation - les acteurs de la menace, les informations d'identification et la fraude - qui rendent la surveillance du dark web plus basée sur les risques, efficiente et efficace.
Cas d'utilisation 1 : Suivi des menaces
Le premier cas d'utilisation consiste à comprendre les acteurs de la menace qui ciblent votre entreprise, vos VIP et votre marque. Une enquête efficace sur ces sources peut apporter un éclairage sur les outils, les tactiques, les techniques, les procédures et les motivations des adversaires - que vous pouvez ensuite appliquer à votre stratégie de sécurité.
Plus précisément, vous devez comprendre ces personnages et à quel point ces acteurs de la menace sont établis et réputés - ce qui nécessite une compréhension de leurs poignées de forum, de leur réputation, de ce qu'ils font, de la façon dont ils commercialisent, où ils opèrent et de leur MO global. La collecte et le suivi continus de ces données aident à appliquer le contexte à ces acteurs et à mieux prévoir et détecter les attaques, permettant aux organisations de préparer des stratégies de défense.
De même, les initiés disposant de données précieuses ou d'un accès privilégié peuvent utiliser des forums et des marchés en ligne pour vendre vos données précieuses. Ces menaces internes sont difficiles à corriger rapidement et représentent un défi majeur pour toute équipe de sécurité.
Une « menace » n'est pas seulement un acteur, elle peut également s'appliquer à un outil ou à un malware.
Le suivi des développements ici peut être très précieux. Il peut s'agir d'un nouveau malware exploitant un nouveau CVE ou d'une variante de ransomware mise à jour (comme indiqué ci-dessous).
suivi des menaces du dark web
Alerte de variante de ransomware mise à jour dans ShadowSearch
L'application de ce contexte d'acteurs de la menace et de la connaissance du paysage du dark web au suivi peut vous permettre de découvrir de manière proactive les acteurs de la menace ciblant votre entreprise, votre VIP et votre marque.
Lisez notre présentation et notre contribution à Forrester’s Defend Your Data As Insiders Monetize Their Access.
Cas d'utilisation 2 : informations d'identification
Un autre cas d'utilisation courant de la surveillance du dark web est la protection contre les données exposées et le bourrage d'informations d'identification. Étant donné que la réutilisation des mots de passe est si courante, le bourrage d'informations d'identification est devenu une tactique populaire pour accéder aux sites et aux données sensibles. Les informations d'identification issues de violations de données sont vendues en masse sur le dark web à d'autres acteurs de la menace.
Ces acteurs malveillants prennent les noms d'utilisateur et les mots de passe et automatisent une connexion de révision dans le but d'obtenir des actifs précieux. Notre propre outil et service, SearchLight, a détecté 14 milliards de ces informations d'identification exposées en ligne pour vous aider, ainsi que ceux de votre empreinte numérique, à être exposés à des attaques ciblées.
Récemment, nous avons vu plus que de simples informations d'identification exposées être compilées et vendues. Un marché fermé, Genesis Store, vend des robots qui contournent les contrôles d'empreintes digitales - fournissant aux clients des empreintes digitales, des cookies, des journaux, des mots de passe enregistrés et d'autres informations personnelles pour émuler les utilisateurs et contourner les systèmes de sécurité. Il s'agit d'une évolution intéressante, permettant aux cybercriminels de contourner les contrôles anti-fraude traditionnels. Cette tendance tel que développé à partir du marché Genesis, avec un autre service - Richlogs - récemment apparu pour concurrencer les utilisateurs.
Web sombre du botnet Genesis
Une capture d'écran du botnet Genesis
En savoir plus sur le botnet Genesis.
Cas d'utilisation 3 :
Fraude
Une application de ces informations d'identification volées consiste à commettre une fraude, qu'il s'agisse d'échanger des informations de carte de paiement, de vendre des produits contrefaits ou de phishing.
L'un des avantages de l'adoption par le marché de Genesis de cette approche pour collecter les informations d'identification est qu'il peut disposer d'un moyen plus nouveau et plus efficace d'usurper l'identité des utilisateurs en ligne à des fins frauduleuses.
L'hameçonnage et d'autres techniques frauduleuses sont utilisées par les acteurs pour inciter les victimes à partager leurs données sensibles.
Les kits d'hameçonnage ressemblent aux sites Web d'origine(facebook: https://l1x.eu/scZ9q0OXVU) et ont la capacité de bloquer certaines adresses IP de sociétés de sécurité connues pour empêcher une correction rapide. L'identification de sites, produits ou activités frauduleux favorise de meilleures pratiques de sécurité.
La fraude par carte-cadeau est une autre activité courante menée par les fraudeurs en ligne.
Au cours des six derniers mois, des milliers de cartes-cadeaux ont été échangées sur des forums criminels, des marchés du Web sombre, des pages Web sombres, IRC et Telegram.
carte-cadeau fraude dark web
Activité de fraude par carte-cadeau sur le dark web de mars à septembre 2019
Les approches de la fraude s'adaptent, par exemple, un marché de télégrammes tendance appelé "OL1MP" utilise un bot pour automatiser la recherche d'articles - vacances, hôtels, taxis, permis de conduire et documents. OL1MP utilise la confidentialité et le cryptage du chat par télégramme, mais est un marché automatisé permettant aux acheteurs de discuter avec un revendeur réputé sans courir le risque de se faire arnaquer.
Cependant, OL1MP est un exemple unique des nombreuses plateformes de chat criminelles utilisées pour le commerce de contrebande.
Les services de discussion cryptés comme Telegram et Discord hébergent de nombreux canaux de discussion qui encouragent les pratiques illicites. Nous avons identifié environ 5 000 mentions ou publicités sur les pages Telegram après les suppressions d'AlphaBay et de Hansa. La criminalité sur le Web sombre s'adapte à la chute d'AlphaBay et de Hansa et continue de menacer les entreprises et les personnes légitimes.
Comment Digital Shadows assure la surveillance du Dark Web
Digital Shadows fournit une technologie de surveillance du dark web avec SearchLight, afin que vous puissiez protéger vos données exposées lorsqu'elles apparaissent sur le deep et le dark web. SearchLight surveille et indexe en permanence des centaines de millions de pages Web sombres, de collages, de forums criminels, de pages Telegram, IRC et I2P et est programmé pour rechercher des risques spécifiques pour votre organisation.
Pages Web sombres : plus de 50 millions de pages Tor et I2P indexées
Notre araignée propriétaire explore les pages Tor et I2P, identifiant le nouveau contenu et les sources de valeur.
Canaux IRC et Telegram—
Plus de 30 millions de conversations
Notre technologie surveille les services utilisés par les groupes et les individus pour discuter sur des thèmes allant des campagnes de menaces, de la fraude, des tactiques et techniques et des sujets techniques.
Forums criminels—
Plus de 23 millions de forums indexés
Nous avons concentré et automatisé la collecte personnalisée sur des forums de grande valeur où nous identifions une grande variété d'activités
- des kits d'exploit à la vente de données violées.
Certains d'entre eux sont hébergés sur Tor ou I2P, mais beaucoup ne le sont pas. Notre équipe de sources fermées fournit la direction et le développement de personnalité pour accéder à de nouveaux forums.
Sites de pâte —
Environ 60 millions de pâtes indexées
Une autre source qui n'est pas strictement limitée au dark web - il existe de nombreux types de sites de collage qui existent sur le clear et le dark web.
Des acteurs malveillants utilisent ces sites pour partager des données violées et créer des listes de cibles.
Marchés du dark web : environ 1 million de listes de marchés indexées
Collection spécifique pour les places de marché hébergées sur le dark web. Depuis la disparition d'AlphaBay et de Hansa, il y a eu une prolifération de marchés.
Alors que leur longévité a été entamée par le succès de LEA, de nouveaux marchés continuent d'émerger, tels que MarketMS : commercialisé par des personnalités respectées de la scène russe.
En plus de la technologie de pointe du secteur (ne nous croyez pas sur parole – Forrester nous a nommé un leader dans son rapport), notre équipe de sources fermées s'efforce d'obtenir de nouveaux accès, de développer des personas et de produire des rapports de renseignement sur les dernières tendances en matière de cybercriminalité. .
Nos capacités de Shadow Search mettent également le pouvoir entre vos mains en vous permettant de rechercher dans nos données indexées pour suivre les acteurs de la menace, les campagnes et les cas de fraude.
Vérifiez par vous-même.
Faites un tour du Dark Web dans Test Drive maintenant.
outil de surveillance du dark web
Rendre la surveillance du Dark Web capable et pertinente
La surveillance du dark web peut être intimidante pour les organisations
- pour voir si vos données sont exposées sur des sites criminels et pour les trouver et les corriger
- mais ce n'est pas obligatoire.
Une « bonne » surveillance du dark web implique d'accéder constamment à de nouvelles sources. La technologie fait le gros du travail dans la collecte en se concentrant sur les cas d'utilisation clés et sous Les experts en sécurité de rcover développent continuellement des personas, socialisent avec des criminels et accèdent à ces endroits plus délicats pour fournir une couverture de source et une visibilité appropriées dans les zones les plus sombres du paysage criminel. Cette couverture à double source vous permet de détecter rapidement les menaces internes, d'identifier les fraudes, de trouver les contrefaçons et de détecter instantanément les informations d'identification exposées qui ne sont pas facilement visibles pour vous.
La surveillance du dark web peut avoir un réel impact commercial ; il peut vous protéger des problèmes de conformité, des implications financières et des impacts sur la réputation qui peuvent survenir si vos actifs ne sont pas correctement surveillés.
Chez Digital Shadows, nous travaillons avec vous pour développer un plan pour nous assurer que vos données ne sont pas exploitées sur le Web ouvert, profond ou sombre et nous assurer que vous gardez une longueur d'avance sur le jeu du chat et de la souris.
Notre aperçu de la surveillance du Dark Web pour en savoir plus :
REF.:
