Как найти хакера на даркнет

Для многих даркнет заканчивается на наркоплощадках, но это лишь самая маленькая часть темной стороны другого интернета. В даркнете бывают и площадки, где за попытку нанять человека в наркобизнес пользователь получит пожизненный бан. Давайте посмотрим, какие есть самые большие хакерские и кардерские форумы в российском и зарубежном даркнете.

Еще по теме: Лучшие фильмы про хакеров

Русскоязычные хакерские форумы даркнета

WWH-CLUB

WWH — крупнейший из форумов русских кардеров. У него есть адрес и в клирнете, который до сих пор остается доступным даже с российского IP.

Одна из особенностей площадки — предоставление образовательных услуг. За определенную сумму (порядка тысячи долларов) «менторы» форума обещают обучить любого новичка искусству кардинга, помочь со всеми вопросами и наставить на «счастливую и богатую» жизнь.

Раньше регистрация на WWH позволяла найти тонну полезной информации, связанной с информационной безопасностью. В отдельных постах даже выкладывались лекции по кардингу, которые проводились в Jabber (а иногда и в Skype). Но открытая и бесплатная регистрация привела к засилью троллей и «школьников» — так тут называют неадекватных или ненадежных пользователей.

Потому с недавнего момента администрация закрыла от новых пользователей все «сливки». Доступ к закрытым разделам теперь стоит 20 долларов США. На WWH оставили пару открытых разделов, но полезной информации там обычно не бывает.

Кардерский форум WWH-CLUB

Verified

В среде российских кардеров «Вериф» — это один из самых уважаемых долгожителей. Он, как и WWH, стал неким учебником кардеров и местом для общения, поиска информации и нужных для теневой работы людей.

Регистрация на форуме стоит 50 долларов США, зарегистрироваться бесплатно невозможно. Но даже после оплаты доступа вести деятельность на «Верифе» проблематично, ведь к новичкам кардеры всегда относятся с опаской. Кто-то из старожилов сначала должен поручиться за новичка — только тогда он сможет начать что-то делать на форуме. То есть даже если пользователь приобрел полный доступ к форуму, вести дела без поручительства или депозита он не сможет.

Кардерский форум Verified

Exploit.in

Этот форум посвящен в основном хакерской тематике. В отличие от «Верифа», регистрация на «Эксплоите» пока бесплатная, но, чтобы получить доступ к форуму, пользователю необходимо предоставить администрации ссылку на свои аккаунты на других бордах. Аккаунты должны быть с репутацией и регистрацией от одного года, в противном случае администрация отказывает пользователям в предоставлении доступа.

Exploit.in уважают в российском даркнете, да и западные коллеги сюда иногда заглядывают. Основной контингент — это кардеры, которые предлагают свои услуги — от создания сайтов до предоставления ботнетов.

Ресурс доступен в клирнете, также у него есть сервер Jabber, почитаемый пользователями не меньше самого форума.

Хакерский форум Exploit.in

CrdClub

Это один из старейших форумов, посвященных кардерской тематике. Регистрация бесплатная, доступ предоставляется ко всем разделам. Форум, как и Exploit, можно поделить на две большие части: русскоговорящую и англоговорящую.

Здесь сотни статей, посвященных не только кардингу, но и скаму, взлому и методам социальной инженерии.

Кардерский форум CrdClub

Probiv

Если в постах на Exploit, WWH и Verified авторы часто пишут, что они «не работают по ру и СНГ» (что означает нежелание проворачивать темные дела на территории родного или близлежащего государства), то «Пробив» популярен именно среди мошенников, работающих в России и СНГ.

Отличительная черта форума — он почти полностью посвящен «пробивам», то есть за определенную сумму на форуме можно узнать информацию об определенном человеке: от кредитной истории до паспортных данных.

Тут же можно встретить и торговлю «схемами заработка»: человек предоставляет администрации документ с мануалом по заработку в Сети (или в офлайне), после проверки материала его публикуют в определенной ветке форума и продают пользователям. Разброс цен за такие «схемы заработка» — от пары тысяч рублей до нескольких миллионов. Все зависит от потенциального профита.

Форум пробивов Probiv

Англоязычные хакерские форумы даркнета

Англоязычных ресурсов посвещенных информационной безопасности и хакерству не так и много. Вот несколько достойных внимания.

DaMaGeLaB.IN

Среди англоязычных хакерских форумов даркнета примечателен DaMaGeLaB.IN — его пользователи занимаются исследованием и обсуждением хакинга, кодинга, малвари и прочих тем, связанных с ИБ.

Хакерский форум даркнета DaMaGeLaB.IN

Все перечисленные форумы с готовностью предлагают работу специалистам. Популярность разных видов вакансий варьируется в зависимости от направленности форума: на WWH ищут умелых кардеров, на «Экплоите» нужны кодеры, а «Пробив» в основном ищет дропов под ООО и микрозаймы.

И конечно, везде процветает торговля: на WWH можно купить данные чужой кредитной карты, на «Эксплоите» — ботнет или сайт, а «Пробив» предоставит паспортные данные, взломанные аккаунты и много чего другого для теневой деятельности.

Еще по теме: Лучшие хакерские программы для смартфона

Услуги хакеров в темном интернете

Предисловие

За последние годы роль хакеров изменилась, в прошлом эти профессионалы рассматривались как опасные преступники, которых нужно было держать на расстоянии вытянутой руки; между тем сегодня они пользуются большим спросом у частных компаний, спецслужб и преступных группировок.

«Службы» взлома являются одними из самых привлекательных товаров на подземном рынке, можно нанять хакера, чтобы запросить «реалистичный» тест на проникновение или заплатить за взлом учетной записи Gmail или Facebook для целей кибер-шпионажа. Недавно журналисты Business Insider опубликовали сообщение, в котором описаны цены на основные хакерские услуги, которые можно приобрести в Интернете. По словам Business Insider, человек, который хочет взломать чей-то аккаунт Gmail, должен будет заплатить около 90 долларов. Например, хакеров можно нанять, чтобы взломать учетную запись в социальных сетях, стоимость взлома Facebook-аккаунта составляет 350 долларов. Расследование, проведенное журналистами, показало, что хакер может украсть чьи-то Hilton Honor (вознаграждение за бронирование отелей) очки за 15 долларов США или поставить под угрозу учетную запись NetFlix всего за 1,25 доллара. Другими распространенными товарами в взломе в DeepWeb являются курсы хакера, которые продаются за 20 долларов. В них рассказывается про поиск основных уязвимостей сайтов, DDoS или повреждение веб-сайта.

Существуют различные способы купить хакерские услуги и, возможно, самое интересное место, где можно встретить членов основных хакерских сообществ – DeepWeb.

Число хакерских сообществ в DeepWeb очень велико, о чем сообщают многие исследования, опубликованные компаниями по безопасности и кибер-экспертами: hackforum, Trojanforge, Mazafaka, dark0de.

Большинство хакерских сообществ закрыты для общественности, и требуется приглашение для того, чтобы присоединиться к обсуждениям. Во многих случаях эти группы специализируют свою деятельность по конкретным темам и задачам (например, взлом в социальных сетях, кража данных, вредоносное ПО и эксплойты, а также атаки и т. д. (то есть DDoS, взлом веб-сайта).
Среди сообществ, доступных только по приглашению, есть несколько флоумов, примером является популярный Trojanforge, который специализируется на вредоносном ПО и изменении кода.
По результатам исследования, проведенного экспертами в подразделении Dell Trust Works Counter Threat Unit (CTU), мы узнаем, как меняется динамика и тенденция развития хакерских сообществ в глубокой паутине. В 2013 году эксперты подразделения Dell Protect Threat Unit (CTU) опубликовали очень интересный отчет под названием «The Underground Hacking Economy is Alive and Well», в котором исследовался онлайн-рынок «ворованных данных» и хакерских услуг. В исследовании перечислены товары, проданные на черных рынках и связанные с ними расходы. Спустя год эта же команда исследователей Dell SecureWorks выпустила обновление для изучения черных рынков под названием «Underground Hacker Markets», в котором сообщается о ряде примечательных тенденций.

Исследователи наблюдали растущий интерес к персональным данным, в частности, к любой документации, которая могла бы использоваться в качестве второй формы аутентификации, включая паспорта, водительские права, номера социального страхования и даже счета за коммунальные услуги. Еще одним отличительным элементом эволюции подземных рынков в прошлом году является предложение «Hacker Tutorials», поскольку этот вид продукта по-прежнему представляет собой элемент притяжения в хакерском сообществе.

Учебные пособия предоставляют инструкции преступникам и хакерам, которые хотят войти в бизнес «кардинга», информацию о запуске наборов эксплойтов, руководства по организации спама и фишинговых кампаний, а также учебные пособия о том, как организовать атаки с использованием DDoS и их запуск. Другие учебные пособия, предлагаемые в сообществах хакеров, включают в себя инструкции по взлому банкоматов и обналичиванию «грязных» денег.
Результаты исследования, проведенного экспертами Dell, подтверждают итоги еще одного интересного отчета, опубликованного TrendMicro о деятельности в бразильском Deep Web, которая характеризуется наличием значительного количества подобных продуктов и услуг. Хакерские сообщества очень активно занимаются продажей украденных кредитных карт, чтобы охватить более широкую аудиторию и предоставлять специализированные услуги по более высоким ценам. В следующей таблице, которую я нашел, перечислены службы и продукты с соответствующими ценами, выраженные как в биткойне, так и в евро.

Наем хакеров в сети Tor

Я очень удивлен от количества предложений от хакеров, которые рекламируют свои услуги на разных форумах хакеров в Deepweb. Эксперты, которых вы найдете во многих сообществах хакеров, могут помочь вам пройти тест на проникновение на ваш сайт или использовать известные недостатки на уязвимых сайтах, которые вы хотите «проверить».

Начнем наш тур с сайта «Rent-A-Hacker»; кажется, управляется одним хакером, который пишет про себя следующее:

«Опытный хакер предлагает свои услуги! (Незаконный) Взлом и социальная инженерия — это мое дело, так как я начал заниматься этим с 16 лет и у меня никогда не было настоящей работы, поэтому у меня было время отлично поработать над хакерством, и я сделал хорошую сумму денег на +20 лет вперед. Раньше я работал с другими людьми, теперь я также предлагаю свои услуги для всех, у кого достаточно денег. Каждому с достаточным количеством денег.»

Хакер объясняет, что он профессионал в своем деле, специализирующийся на незаконных хакерских услугах; предлагает «уничтожить бизнес или жизнь людей». Читая его описание, он, похоже, специализируется на взломе сайтов и, вероятно, управляет ботнетом, который он предлагает для DDoS-атак. Хакер объясняет также, что он может вести кампанию по шпионажу и отслеживать активность в Интернете. Среди предлагаемых им услуг есть также сбор для личной информации любого человека, так или иначе, каждый шаг может быть совершен с оплатой почасовой ставки, которая составляет около 100 долларов. Цены зависят от многих факторов, включая сложность назначенной задачи эксперту. Конечно, платежи анонимны и сделаны через криптовалюты.

Следующий сайт – heLL. Веб-портал содержит несколько разделов, связанных с инструментами взлома, учебными пособиями и, конечно же, он заполнен хакерами, предлагающими свои услуги.

Что мы можем найти в Deep Web?

DeepWeb — это «скрытая реальность», где можно найти все виды незаконных продуктов и услуг. Черными рынками являются места в DeepWeb, продавцы предлагают свои незаконные товары и услуги, включая наркотики, оружие, контрафакт, украденные товары, кредитные карты, доступ к банковским счетам, поддельные удостоверения личности и связанные с ними документы, различные счета, торговлю людьми, органы, хакерские услуги.

Рынок хакеров внутри глубокой сети процветает благодаря анонимности, предлагаемой протоколами связи, реализованными в этой части Интернета.

Как мы видим, не так сложно нанять хакера на многочисленных черных рынках, доступных в Deep Web, особенно когда кому-то нужны простые задачи. Ситуация совсем другая, когда вы ищете профессиональную команду взлома; эти группы обычно используют разные каналы для связи с ограниченным числом клиентов. Еще одно соображение заключается в том, что большинство услуг, предлагаемых через несколько скрытых сервисов, — это мошенничество, и во многих случаях хакеры могут не выполнить свои задачи.

По этой причине пользователи, которые намереваются нанять хакера, обычно ссылаются на черные рынки из-за механизмов репутации, которые они реализуют. Еще одно отражение заключается в том, что цены на различные хакерские услуги довольно схожи между различными форумами или хакерскими сообществами, что позволяет нам отслеживать эволюцию и тенденции в Deepweb. Например, колебания цен могут быть вызваны внезапной доступностью продукта в преступной экосистеме. Эта информация чрезвычайно ценна для правоохранительных органов и для тех, кто постоянно следит за преступными группами и их деятельностью.

Что такое даркнет

Даркнет (англ. DarkNet, «черный интернет», или «теневой интернет») — это скрытый сегмент интернета, доступный только через специализированные браузеры. Для безопасности пользователей сети даркнет полностью анонимен — для доступа к нему используется зашифрованное соединение между участниками.

В «теневом интернете» есть собственные адреса ресурсов в сети .onion. Эти сайты не индексируются, поэтому их нельзя найти в стандартном поисковике — вместо них используются их аналоги (TorCH, Seeks). Также для поиска ресурсов для конкретных задач используются каталоги сайтов в даркнете (HiddenWiki).

Как правило, выделяют три вида сети — это «видимый интернет» (обычные общедоступные сайты), «глубинный/глубокий интернет» (ресурсы с частным доступом, обычно корпоративные) и даркнет. Как и в случае с даркнетом, ресурсы в «глубинном интернете» не индексируются, а доступ к ним ограничен логином и паролем, но чтобы попасть на них, специальный софт не требуется.

Как попасть в даркнет

Самый простой и распространенный способ зайти в даркнет — это скачать браузер Tor, поскольку именно в его сети находится больше всего теневых ресурсов. Tor разрабатывался в конце 90-х годов в Научно-исследовательской лаборатории ВМС США для защищенных переговоров спецслужб, однако затем проект стал открытым, и сейчас за его разработку отвечает команда Tor Project.

Еще один сервис, чтобы войти в даркнет, — сеть I2P. В этом сегменте значительно меньше ресурсов, чем в сети Tor, однако она более безопасна и анонимна, поскольку изначально проектировалась для доступа к скрытым сайтам. Однако развивается этот проект медленнее, поскольку средств на его разработку гораздо меньше: он разрабатывался и по-прежнему поддерживается командой энтузиастов.

Кто пользуется даркнетом

Само по себе использование даркнета не обязательно и не всегда означает принадлежность к чему-то незаконному, там есть нейтральные по своей сути аналоги социальных сетей или форумы для общения, говорит эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. «Все зависит от того, с какой целью туда заходит человек, что он там делает», — отметил он. Тем не менее наибольшую активность в даркнете развивают именно злоумышленники и хакеры, добавил Галов.

Злоумышленники используют даркнет как средство коммуникации, а рядовые пользователи — как вариант обхода законодательных ограничений, отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. «Но чтобы получить доступ к глубоко чувствительной информации, необходимо иметь учетную запись, подтвержденную другими участниками хакерского сообщества», — рассказал он.

Какие сайты есть в даркнете

Наиболее распространены в даркнете онлайн-магазины с запрещенными товарами для торговли наркотиками, оружием, фальшивыми деньгами и т. д. Также в даркнете развит рынок противоправных услуг, вплоть до заказных убийств. В «теневом интернете» также можно найти ресурсы, специализирующиеся на утечках баз данных (ведомств, банков, сотовых операторов и т. д.) и продаже инсайдерской информации. Кроме того, в даркнете есть и относительно «мирные» сервисы: например, анонимные почтовые сервисы, аналоги социальных сетей и онлайн-библиотеки, а также форумы для общения и обсуждения любых тем. 

Свои сервисы также размещают в даркнете и легальные ресурсы, чтобы помочь пользователям обойти блокировки и обеспечить доступ из любой точки мира. Например, с 2014 года своя версия сайта в сети Tor есть у соцсети Facebook (головная компания Meta признана экстремистской организацией и запрещена в России) и некоторых СМИ, например The New York Times, BBC и Deutsche Welle.

Что можно купить в даркнете

По словам директора по специальным проектам Angara Security Александра Дворянского, в даркнете есть несколько типов наиболее часто встречающихся предложений:

• продажа и покупка баз данных;
• запросы и предложения о взломе аккаунтов (почты, социальных сетей, мессенджеров);
• продажа и покупка банковских карт, оформленных на подставных лиц, открытие и продажа расчетных счетов в банках, оформление документов и д. р.;
• услуги по «пробиву»;
• сервисы по обналичиванию и отмыванию денежных средств (чаще всего преступных) за процент;
• отрисовка фальшивых документов, в том числе медицинских справок;
• покупка и продажа анонимных прокси-серверов;
• поиск сотрудников и инсайдеров.

Оборот физических товаров ограничен банковскими и SIM-картами, наркотиками и прекурсорами, поддельными документами, фальшивыми купюрами, специфическими устройствами (скиммеры, отмычки, глушители радиосигнала и т. д.) и оружием, говорит руководитель Департамента исследований высокотехнологичных преступлений компании Group-IB Андрей Колмаков. Услуги вне интернета сводятся к операциям по обналичиванию похищенных денежных средств и распространению наркотиков, обороту приобретенных за счет похищенных средств товаров, подбору дропов (подставных лиц), пояснил он.

Откуда в даркнете берутся базы данных

Данные у злоумышленников чаще всего появляются в результате взлома баз данных либо действий инсайдеров (например, слив от сотрудников банков или операторов связи), рассуждает Галов из «Лаборатории Касперского». Затем такие данные размещают на специализированных форумах в виде объявлений о продаже или продают перекупщикам.

Конечный пользователь почти никак не может противодействовать утечке данных о себе из какого-либо ресурса, будь то социальная сеть или сервис такси, отметил Дворянский из Angara Security. «Поэтому можно исходить из предположения, что данные уже утекли, и периодически проверять свои аккаунты в общедоступных базах утечек», — предлагает он.

Анонимность и безопасность в даркнете

Само по себе посещение даркнета не считается правонарушением, однако, например, при покупке запрещенных товаров пользователь будет нести ответственность по закону. Участники сохраняют анонимность благодаря организации работы площадок (они не хранят логи, не отвечают на запросы правоохранительных органов, усложняют собственную инфраструктуру из соображений конспирации) и осторожности пользователей, которые включают VPN, не указывают личные данные и т. п., говорит Колмаков из Group-IB.

Внутри даркнета не действуют законы каких-либо стран. Однако на каждой площадке администрация устанавливает собственные внутренние правила поведения и взаимодействия участников: за их соблюдением следят модераторы (как и на обычных форумах), добавил Колмаков. Для того чтобы сохранить анонимность участников какой-либо сделки, на площадках действует институт гарантов (третье лицо, авторитетный представитель площадки), споры в даркнете разрешаются в рамках арбитражных разбирательств, сказал Колмаков.

Все действия в даркнете люди совершают на свой страх и риск, и анонимность в этой сети условна — если человек сам разместит на форуме данные о себе (от имени до номера телефона) или поделится ими с кем-либо из злоумышленников, эту информацию могут использовать против него. «В даркнете владельцы своих ресурсов не особо заботятся о безопасности пользователей, в отличие от обычного интернета, поэтому пользователи даркнета более уязвимы перед фишинговым софтом, программами-вымогателями и различными шифровальщиками, которыми наполнены ресурсы даркнета», — предупреждает Дворянский.

Злоумышленники всегда реагируют на новостную повестку — например, в марте 2021 года в «Лаборатории Касперского» обнаружили на теневых ресурсах объявления о продаже трех видов запатентованных вакцин от коронавируса: Pfizer/BioNTech, AstraZeneca и Moderna, их цены на дозу в среднем держались на отметке $500, вспоминает Галов. «Однако получить гарантию, что все условия правильного хранения вакцины соблюдались, разумеется, вряд ли получится. Нет гарантии и в том, что в ампулах действительно продавалась вакцина», — сомневается он. В ноябре 2021 года мошенники стали предлагать якобы европейские сертификаты вакцинированного в среднем за $300. «Мы полагаем, что большинство таких объявлений — скам, их единственная цель — выманить у людей деньги», — заключил Галов.

Можно ли заблокировать даркнет

Регуляторы пытаются ограничить доступ к сети Tor, но адресно заблокировать конкретный сайт в даркнете технически невозможно, рассуждает директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»  Владимир Дрюков. Российские власти начали ограничивать доступ к сайту проекта Tor и самому сервису с 1 декабря 2021 года, однако уже 9 декабря власти сняли блокировку самой сети. В Tor есть пути обхода подобных блокировок, однако задача властей состоит в том, чтобы усложнить использование браузера и вызвать проблемы у пользователей, рассказывал ранее руководитель глобальной штаб-квартиры Group-IB в Сингапуре Сергей Никитин. Председатель IТ-комитета Госдумы Александр Хинштейн написал 8 декабря в своем Telegram-канале, что ограничение доступа к сайту Tor «даст возможность эффективнее противостоять криминалу».

Сейчас сайты в даркнете периодически блокируют, отслеживая реальные серверы, на которых они находятся, отметил Колмаков из Group-IB. Например, 5 апреля Немецкая федеральная уголовная полиция объявила о закрытии Hydra — крупнейшего русскоязычного даркнет-ресурса по продаже наркотиков, фальшивых документов и т. д. Власти конфисковали серверную инфраструктуру сайта в Германии. Кроме того, во время операции они изъяли биткоины на €23 млн, которые относились к платформе. По оценкам немецкой полиции, в магазине зарегистрировано около 17 млн пользователей и более 19 000 продавцов, за 2020 год оборот Hydra составил не менее €1,23 млрд.

Скачать полную версию отчета (PDF)

Даркнет — это общее название для различных ресурсов и площадок, которые объединяют людей, готовых к противозаконной работе или работе в юридически серых зонах. На теневых форумах можно встретить самые разные предложения: о нелегальной продаже и покупке украденных данных, об оказании услуг по написанию вредоносных программ и взлому различных сервисов, о поиске единомышленников для реализации атак на различные компании и многое другое.

Киберпреступному бизнесу, как и любому другому, необходимы работники. Сотрудников для участия в кибератаках и иной преступной деятельности ищут там же, где ведут бизнес, — в даркнете. Мы изучили объявления о вакансиях и поиске работы, размещенные на 155 теневых форумах с января 2020 года по июнь 2022 года, и проанализировали те из них, которые содержали информацию о продолжительной или постоянной работе.

В этом посте мы расскажем об особенностях такого трудоустройства, условиях работы, требованиях по отбору соискателей и уровне зарплат, а больше информации и анализ наиболее востребованных в даркнете IT-профессий можно найти в полной версии отчета.

Ключевые результаты

В результате анализа рынка труда в даркнете мы выяснили:

• Больше всего объявлений было опубликовано в марте 2020 года, что вероятно связано с началом пандемии COVID-19 и последовавшими изменениями на рынке труда.
• Основной работодатель в даркнете — команды хакеров и APT-группировки, которые ищут людей, способных заниматься разработкой вредоносного кода, его распространением, создавать и поддерживать IT-инфраструктуру и прочее.
• Чаще других в даркнете ищут разработчиков — 61% объявлений.
• Разработчики возглавили список самых оплачиваемых профессий среди IT-специалистов в даркнете: самая высокая заработная плата, которую мы видели в объявлении о поиске разработчика, составила 20 000 USD в месяц.
• Медианные зарплаты, предлагаемые IT-специалистам, составили 1300–4000$.
• Самая высокая медианная зарплата (4000 USD) — в объявлениях о поиске специалистов по реверс-инжинирингу.

Теневая биржа труда

Работодатели на теневом рынке чаще всего предлагают соискателям серые и черные схемы заработка, однако можно встретить и предложения, предусматривающие официальную, белую работу, не противоречащую законам страны. Пример: создание IT-курсов для образовательных площадок.

Работа по серым схемам уже граничит с нелегальностью, а иногда и нарушает закон. Примером серой работы может стать получение прибыли от продажи сомнительных препаратов на мошеннических сайтах.

Работа «по-черному» запрещена законом и чаще всего связана с криминалом. Против специалиста, работающего по таким схемам, могут возбудить уголовное дело и в случае поимки лишить его свободы. К черной работе относятся различные мошеннические схемы, взломы сайтов, социальных сетей или IT-инфраструктуры компаний.

Черную работу предлагают, например, хакерские группировки. Чтобы проникнуть в инфраструктуру организации, похитить конфиденциальные данные или пошифровать систему для дальнейшего шантажа, злоумышленникам нужен свой штат специалистов, владеющих определенными навыками.

Схема координации в команде атакующих

Причин поиска работы на теневых ресурсах может быть несколько. Многих на теневые ресурсы приводит ожидание легкого заработка и высокой финансовой выгоды. Однако в большинстве случаев оно расходится с реальностью. Далеко не всегда предлагаемые в даркнете оклады оказываются значительно выше тех, которые можно получить на белом рынке, к тому же заработок зависит от опыта, способностей и готовности вкладываться в работу. Тем не менее нередко бывает так, что уровень текущей официальной заработной платы не устраивает сотрудника и он покидает свое место работы в пользу теневого рынка без смены специализации. Изменения на рынке труда, сокращения рабочих мест и зарплат также побуждают к поиску работы на киберпреступных ресурсах.

Среди других причин можно выделить отсутствие некоторых обязательных требований к соискателям, таких как наличие высшего образования, военного билета, отсутствие судимости и т. д. Основное требование, которое можно встретить в объявлениях, — чтобы кандидат достиг совершеннолетнего возраста. Вакансии на теневом рынке также интересуют фрилансеров и удаленщиков, поскольку не предполагают необходимости посещать офис и позволяют быть «цифровым кочевником» — работать из любой точки земного шара. Также кандидатов привлекает высокий уровень свободы, который предлагают в даркнете: нет ограничений по количеству отпускных дней, графику работы, внешнему виду и т. д., есть возможность самостоятельно выбирать задачи и сферу применения своих навыков.

Еще одна причина поиска работы в даркнете — неосведомленность либо недостаточно серьезное отношение к последствиям. Между тем сотрудничество с подпольными командами, и тем более киберпреступными группировками, несет серьезные риски: участников могут раскрыть и привлечь к ответственности, не говоря уже о том, что им могут попросту не заплатить за выполненную работу.

Пример объявления о поиске работы

Статистика рынка труда в даркнете

Для анализа рынка труда в даркнете с января 2020 года по июнь 2022 года мы собрали статистику по сообщениям с упоминаниями работы, опубликованным на 155 форумах в даркнете. Отбор сообщений проводился на основе разделов форумов, посвященных любой работе, не только IT-профессиям.

Всего за анализируемый период на теневых форумах было размещено порядка 200 тысяч объявлений, связанных с работой. Больше всего сообщений было опубликовано в 2020 году (41% от общего числа). Пик активности пришелся на март 2020 года, что, предположительно, может быть связано с резким сокращением уровня дохода части населения из-за пандемии.

Распределение объявлений по дате публикации (скачать)

Статистика публикации объявлений (скачать)

Особенно заметное влияние на рынок пандемия оказала в странах СНГ.

Резюме соискателя, оказавшегося в затруднительной ситуации

Так, в марте 2020 года из-за кризиса часть жителей этого региона потеряла привычный доход, ушла на вынужденные выходные или вовсе осталась без работы, что впоследствии привело к росту безработицы.

Теги из объявления, предлагающего работу во время кризиса

Некоторые соискатели, отчаявшись найти белую работу со стабильным заработком, начали искать ее на теневых форумах, что привело к резкому увеличению количества резюме в даркнете. В результате в марте 2020 года мы наблюдали самые высокие показатели среди объявлений, как от работодателей, так и от соискателей (6% объявлений).

Динамика количества публикаций в тематических разделах даркнет-форумов за период 2020–2022 гг. (скачать)

Сообщений о поиске работы значительно меньше, чем самих вакансий. Так, из всех найденных объявлений, только 17% были связаны с поиском работы. Судя по статистике, заинтересованные в работе пользователи чаще откликаются на вакансии, уже опубликованные работодателями, чем сами пишут объявления.

Согласно опубликованным на теневых форумах резюме, соискатели ищут работу в разных сферах и претендуют на должности, обязанности которых могут варьироваться, — от ведения телеграм-каналов, до компрометации инфраструктуры различных компаний. В рамках данного исследования мы рассматривали объявления, связанные непосредственно с IT-сферой. Мы проанализировали 867 объявлений, отобранных по ключевым словам, из которых 638 — это сообщения о поиске работников (вакансии), а 229 — это сообщения о поиске работы (резюме).

Наиболее востребованными в даркнете специалистами оказались разработчики — на них пришелся 61% от всех объявлений. На втором месте — специалисты по проведению атак, то есть пентестеры (16%), на третьем — дизайнеры (10%).

Распределение объявлений о работе в даркнете по специальностям (скачать)

Условия отбора

Методы отбора IT-специалистов на теневом рынке во многом совпадают с методами отбора в легитимных компаниях. Работодатели точно так же заинтересованы в высококвалифицированных кадрах и поэтому пытаются отобрать наиболее сильных кандидатов.

Условия отбора из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия отбора (скачать)

В объявлениях нередко упоминаются тестовые задания, в том числе оплачиваемые; также можно встретить упоминания собеседований, испытательных сроков и прочих схем отбора.

Вакансия, предполагающая отбор кандидатов с помощью тестового задания

Так, в одном из объявлений приводилась подробная схема отбора потенциальных сотрудников. Соискатель работы должен был пройти несколько этапов проверки, в том числе тестовые задания, связанные с шифрованием исполняемых вредоносных файлов и обходом средств защиты, и испытательный срок.

Пример схемы отбора потенциальных работников

Из особенностей найма сотрудников в даркнет-пространстве можно выделить требования об отсутствии зависимостей, в том числе алкогольной и наркотической.

Вакансия с требованиями об отсутствии вредных привычек

Условия труда

Работодатели даркнета пытаются заинтересовать кандидатов, в частности предлагая им выгодные условия труда. В основном среди преимуществ работы явно указывают удаленную работу (45%), полную занятость (34%) и гибкий график (33%). При этом стоит отметить, что в случае даркнета удаленная работа — это скорее необходимость, а не выгодное предложение, поскольку в киберпреступном мире важную роль играет анонимность. Также среди условий труда встречаются оплачиваемые отпуска, больничные и даже дружный коллектив.

Условия труда из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия труда (скачать)

Самые комфортные условия, в том числе возможности карьерного роста и поощрительные бонусные планы, предлагают киберпреступные группировки, заинтересованные в наиболее квалифицированных работниках.

Условия труда из вакансии в даркнете

Такие группировки могут также оценивать производительность сотрудников, как это делали Conti. По результатам оценки работник может получить премию либо финансовый штраф из-за неэффективности работы. Более того, у некоторых подпольных «организаций» существуют целые реферальные программы для сотрудников, которые предоставляют бонусы тем, кто смог успешно привлечь других к работе.

Как и на белом рынке, работодатели предлагают разные виды занятости: полная, неполная занятость, стажировки, сотрудничество, партнерство или прием в команду.

Объявление о работе с прохождением стажировки

Основное отличие даркнета от белого рынка труда — отсутствие оформления по трудовому кодексу. При этом в даркнете все же встречаются объявления, связанные с наймом сотрудников на официальную работу. Например, мы обнаружили несколько объявлений о поиске программиста в известный российский банк, в условиях которых упоминалось официальное трудоустройство и ДМС.

Найденное в даркнете объявление об официальном трудоустройстве

Заработные платы

Мы проанализировали более 160 IT-вакансий, в которых явно указывались размеры компенсаций[1]. При рассмотрении полученной статистики стоит понимать, что в объявлениях в даркнете чаще всего называют приблизительный оклад. Многие работодатели пишут либо диапазоны зарплат, либо их начальные уровни.

Объявление с указанием примерной оплаты труда

Со временем зарплата может вырасти в зависимости от приложенных усилий, вклада в работу, профессионального роста и в целом от того, насколько развился «бизнес». В объявлениях зарплаты, как правило, указываются в долларах, однако на практике работу часто оплачивают в криптовалюте.

На диаграмме ниже представлена информация о минимальных и максимальных зарплатах для отдельных IT-специальностей.

Диапазоны заработных плат IT-специалистов из объявлений в даркнете (скачать)

На момент исследования самой высокооплачиваемой профессией являлись разработчики, максимальный оклад которых мог достигать 20 000 USD. Однако им же предлагали и самую маленькую стартовую зарплату, которая составляла всего 200 USD.

Помимо разработчиков выделились также реверс-инженеры, у которых наблюдалась самая высокая медианная оплата труда — 4000 USD.

Специальность	Медианная заработная плата
Специалисты по проведению атак	2500 USD
Разработчики	2000 USD
Реверс-инженеры	4000 USD
Аналитики	1750 USD
Администраторы	1500 USD
Тестировщики	1500 USD
Дизайнеры	1300 USD

Медианы заработных плат IT-специалистов в даркнете

Также в даркнете встречаются вакансии, обещающие специалистам оклад намного выше приведенных цифр, но достигаться он будет, как правило, за счет различных бонусов и процентов, пришедших от удачно реализованных проектов вроде получения прибыли путем шантажа скомпрометированной организации.

Стоит сказать, что не все вакансии вошли в статистику по заработным платам, так как среди них были подозрительные, а порой и вовсе мошеннические предложения работы.

Так, в одном из доступных в даркнете объявлений о поиске пентестера сайтов обещали платить вплоть до 100 000 долларов в месяц. Интересно то, что в описании вакансии говорится о «белой работе».

Объявление с вакансией на темном форуме, предлагающее завышенный оклад

Помимо стандартного месячного и иных видов оклада (почасового, ежедневного, еженедельного) существуют также и другие способы оплаты труда, которые либо сами по себе являются основными, либо добавляются к основному. В частности, встречается проектная работа со сдельной заработной платой, выплачиваемой по факту выполнения работы. Это может быть оплата за взломанный сайт или разработанную фишинговую страницу.

В качестве дополнительной оплаты труда работодатели нередко обещают к фиксированному окладу различные проценты, зависящие от результата работы. К примеру, пентестеру обещают оклад 10 000 USD в месяц, а также процент от прибыли за скомпрометированные сети различных организаций, полученной в результате продажи доступов, конфиденциальных данных, шантажа и с помощью других способов монетизации взлома.

Пример вакансии с окладом и процентами за работу

Нередко специалисту могут предложить работать только на процентном окладе. Кроме того, иногда попадаются вакансии, в которых не предусмотрено никакой оплаты труда. Работодатели либо предлагают работать за идею, либо обещают возможность получения процентов или прибыли в будущем.

Пример вакансии с отсутствием оплаты труда

Выводы

Даркнет — это многофункциональная площадка, которая используется не только для проведения сделок между злоумышленниками и распространения противозаконной информации, но и для найма участников в те или иные команды и группировки.

Из данных, приведенных в этом отчете, видно, что спрос на IT-специалистов на киберкриминальных ресурсах довольно высок. При этом часто новые участники нанимаются как сотрудники с фиксированным окладом. Также интересно отметить, что для привлечения новых работников киберпреступные сообщества используют те же способы, что и легитимные организации, а сами объявления часто похожи на те, что публикуются на обычных рекрутинговых площадках.

Также, судя по проанализированным объявлениям, достаточно много людей готовы заниматься нелегальной или полулегальной деятельностью, несмотря на связанные с этим риски. В частности, многие начинают активно искать возможность дополнительного заработка на теневом рынке в кризисных ситуациях. Так, в марте 2020 года во время коронавирусной пандемии на теневых ресурсах резко возросло количество объявлений о поиске работы.

Хотя можно было ожидать, что заработки в даркнете выше, чем в легитимных компаниях, мы не выявили значительной разницы в медианном уровне зарплат IT-специалистов в киберкриминальной среде и на легальном рынке труда. Самыми востребованными специалистами оказались разработчики (с их поиском связан 61% всех объявлений). Это косвенно может говорить о том, что кибератаки усложняются. Так, большую востребованность разработчиков можно объяснить необходимостью настраивать и разрабатывать новые, более сложные инструменты.

Стоит отметить, что риски работы на темном рынке все еще превышают выгоды. Отсутствие оформления по трудовому кодексу снимает с работодателей всю ответственность. Соискателя могут обмануть с зарплатой, подставить или вовлечь в мошенническую схему. Ну и конечно, не стоит забывать про уголовную ответственность, суды и лишение свободы за деятельность, противоречащую законодательству. Особенно высоки риски при работе с группировками, так как деанонимизация их участников — приоритетная задача для команд, занимающихся расследованием киберпреступлений. Поэтому рано или поздно группу могут раскрыть, а ее членам будет грозить тюремное заключение.

---

[1] Зарплаты, указанные в рублях, переводились в доллары по курсу, действительному на начало исследования, — 75 рублей за доллар.

• #1