Um usuário do BreachForums, que se identifica como “notwj”, fez uma publicação que chamou a atenção dos cibercriminosos, conforme relato do pesquisador “CodeAIntel”: ele estava ofertando acesso a contas do site XSS.is, o que incluía acesso aos e-mails associados.
É relevante notar que contas do XSS nunca antes haviam sido postas à venda, visto que esse fórum adota um rigoroso sistema de verificação.
Tal sistema requer que potenciais membros não apenas demonstrem suas “proezas” técnicas, mas também tenham um histórico de atividades maliciosas e sejam recomendados por membros já existentes.
A comercialização dessas contas no BreachForums é considerada um marco significativo na evolução do crime cibernético, conforme a análise de “CodeAIntel”: “Isso representa não apenas a intrusão em uma comunidade exclusiva, mas também pode provocar uma potencial reestruturação da hierarquia do crime cibernético.
Com as fronteiras entre hackers amadores e os de elite se atenuando, as organizações precisam ajustar suas estratégias de segurança para enfrentar um panorama de ameaças que está se tornando cada vez mais complexo e acessível."
O artigo detalha por quê:
- Barreiras técnicas: normalmente, o fórum exige que os participantes solucionem desafios complicados de programação ou demonstrem habilidade em técnicas específicas de hacking como parte do processo de admissão.
- Barreira linguística: sendo um fórum majoritariamente russo, o XSS.is naturalmente deixa de fora uma grande parte da comunidade global de cibercriminosos.
- Sistema de reputação: No XSS.is, a reputação dos membros é baseada em um sistema rigoroso, em que a confiança é arduamente conquistada e pode ser facilmente perdida.
A venda dessas contas, portanto, acaba por contornar essas proteções, possibilitando a invasão do fórum exclusivo por cibercriminosos menos experientes, mas igualmente determinados.
O surgimento de indivíduos como “notwj” evidencia a importância de uma abordagem dinâmica e fundamentada em inteligência para a segurança cibernética.
Ao compreender os aspectos técnicos dessas transações e as motivações dos atores envolvidos, os profissionais de defesa podem se antecipar e neutralizar de forma mais eficiente as ameaças cibernéticas emergentes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...