Недавно специалисты компании Digital Shadows обратили внимание, что операторы англоязычного кардерского форума Altenen хватаются количеством посетителей своего сайта, а также доходами, основываясь на данных, полученных от аналитического сервиса HypeStat. Администраторы Altenen явно поделились этой информацией в надежде прорекламировать себя и привлечь больше посетителей. Глядя на это,  исследователи решили самостоятельно изучить трафик других популярных ресурсов для киберпреступников и сравнить полученную информацию с собственным впечатлением от этих сайтов.

Помимо Altenen, исследователи проанализировали данные таких англоязычных форумов, как RaidForums, Nulled, Cracked TO и Cracking King, немецкоязычный форум Crimenetwork, а также русскоязычные ресурсы Exploit и XSS. Данные для анализа были взяты из открытых источников (из HypeStat и Alexa) и включали в себя рейтинг ресурса, количество уникальных посетителей за день, географию посещений, источники трафика, а также оценку ежедневного дохода. Разумеется, собранная статистика не включает в себя посещения .onion-доменов, поэтому данные нельзя назвать исчерпывающими.

Оказалось, что такие сайты, как Altenen, Nulled, Exploit и XSS демонстрируют существенный прирост трафика за последние 90 дней, причем администраторы некоторых из этих ресурсов используют статистику для продвижения своих услуг. По мнению исследователей Digital Shadows, сайты явно использовали ботов и накрутки для манипулирования количеством посетителей и повышения рейтинга.

«В частности, резкое повышение рейтинга Altenen выглядит слишком хорошо, чтобы быть правдой, так как ни один другой форум, которые мы считаем популярными, например RaidForums, не показал подобного роста за аналогичный период времени», — пишут эксперты.

Собранные данные о трафике показывают, что среднее время, проведенное пользователями на хакерских форумах, колеблется от 6 до 22 минут. Однако эксперты Digital Shadows считают, что эти цифры тоже могут быть не слишком точным. Дело в том, что пользователи, к примеру, в среднем проводят менее 8 минут на Exploit, однако это полностью закрытый форум, его не посещают случайные люди, и на самом деле они, вероятно, проводят на сайте куда больше времени.

Что касается доходов от рекламы, исследователи полагают, что аналитические сервисы вообще не отражают фактическую экономику форумов, так как хакерские сайты могут зарабатывать деньги на платном членстве, а некоторые получают комиссионные за каждую транзакцию.

Эксперты резюмируют, что ключевой вывод, который можно сделать из этого анализа, заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые хакерские платформы используют статистические данные, чтобы привлечь к себе внимание. Более того, составить реальную картину происходящего, опираясь на такие цифры, вряд ли возможно.

«При оценке форумов контекст имеет решающее значение. Цифры сами по себе не дают полной картины и представления о содержимом форума и его пользователях, а также о реальной экономике ресурса и не объясняют колебания количества посетителей.

Чтобы получить глубокое представление о киберпреступном подполье, нужно много ручного труда и длительное время. Нельзя составить картину, опираясь лишь на показатели посещаемости сайта. Подобные исследования в очередной раз подчеркивают необходимость постоянного участия человека в процессе, важность сочетания ручного и автоматического подхода. Анализ big data может дать общее представление о том, что происходит, однако без агентурной работы многие важные детали и нюансы будут упущены», — подытоживает эксперт Digital Shadows Кейси Кларк (Kacey Clark).

Оставить мнение