Surveillance du Dark Web / Dark Web Forums : le nouveau venu sur la scène du Dark Web

Dark Web Forums : le nouveau venu sur la scène du Dark Web

Dark Web Forums : le nouveau venu sur la scène du Dark Web
Photon Research Team
Read More From Photon Research Team
August 25, 2021 | 15 Min Read

Un nouveau venu a fait son entrée dans le club des forums clandestins : Dark Web Forums (DWF). Est-il là pour durer ? Seul le temps nous le dira. Les forums vont et viennent à un rythme rapide sur la scène cybercriminelle en langue anglaise, et de prime abord, DWF n’est pas un cas unique. Comme il est apparu voici moins d’un an, son niveau d’activité et son contenu sont encore assez limités. À l’instar de nombreux néophytes dans ce secteur, il a été confronté aux problèmes habituels d’un nouveau forum, notamment la concurrence féroce, des changements de propriétaires et la difficulté d’attirer de nouveaux membres.

Une chose cependant pourrait le distinguer des autres : DWF pourrait être lié à Altenen, un forum en langue anglaise que nous connaissons bien et qui est spécialisé dans le carding, c’est-à-dire l’échange de cartes bancaires volées. Cette relation unique pourrait permettre à DWF de se démarquer de ses concurrents et sera examinée plus avant dans cet article de blog. Mais commençons par nous intéresser aux sept premiers mois d’existence de DWF, car ils offrent un précieux éclairage sur les débuts du cycle de vie d’un forum. 

PRÉSENTATION DE DARK WEB FORUMS (DWF)

DWF est un forum cybercriminel en anglais mis en service le 30 janvier 2020. À ses débuts, DWF était un petit forum de carding mais, en mars 2020, il s’est enrichi de deux nouvelles sections : « Hacking & Cracking Zone » (Zone de piratage et craquage) et « Making Money & Cryptocurrency » (Profit et cryptomonnaie). Le contenu du site couvre un large éventail de thèmes, notamment le carding, les cryptomonnaies, le piratage, des discussions sur le Dark Web, les outils de craquage et le commerce de bases de données et de comptes. 

Dans notre article de blog sur la disparition du forum Torigon, nous nous sommes intéressés aux difficultés que rencontrent les nouveaux forums pour « décoller ». DWF semble confronté aux mêmes problèmes. 

En tant que nouveau venu sur la scène cybercriminelle en langue anglaise, DWF a dû, dès le départ, faire face à la concurrence féroce d’autres forums plus anciens proposant un contenu similaire, tels que RaidForums, Cracking King, Nulled et Cracked TO. Son but vaguement déclaré d’être un forum « dédié au profit, aux combines financières, aux problèmes informatiques et bien plus encore » s’applique à pratiquement tous les forums cybercriminels et n’a vraisemblablement pas contribué à le distinguer d’autres forums plus prolifiques. 

DWF ne compte à ce jour que 2 497 membres — un chiffre relativement faible pour une plateforme en activité depuis sept mois. En conséquence, le site n’est pas particulièrement actif et ne compte que 846 fils de discussion. Certaines sections du forum contiennent peu de fils de discussion, voire aucun.

La section la plus active du forum DWF est la « Carding Zone » (Zone de carding), qui inclut des sous-forums dédiés aux cartes de crédit et aux copies de bases de données, aux sites web cardables, aux outils et à des discussions générales sur les méthodes et activités de carding. Le sous-forum « Free fresh credit cards and Database Dumps » (Cartes vierges gratuites et copies de bases de données) de la section semble tout particulièrement populaire auprès de ses membres, avec plus de 220 fils de discussion proposant divers référentiels de cartes de crédit (mixtes ou par région) et différents comptes de sites de streaming et de livraison alimentaire. Certains membres du personnel du forum semblent tout particulièrement actifs dans cette section et ont créé une grande partie de ses fils de discussion.

Section Carding Zone sur DWF

Bien qu’elles ne soient pas aussi actives, d’autres sections du forum offrent néanmoins des informations utiles sur la communauté DWF et le type d’informations demandées par ses membres. Les sections suivantes sont tout particulièrement intéressantes :

  • General Discussions : plateforme où les membres discutent de (pratiquement) tous les sujets qui leur tiennent à cœur. Les utilisateurs ont utilisé cette section pour demander de l’aide et des conseils (par exemple, pour monétiser les données des cartes de crédit achetées à des vendeurs sur le forum), partager divers outils et méthodes et offrir des services de piratage.
  • Premium Accounts : les membres partagent des comptes très recherchés de services de streaming, de sites d’alimentation, de services cloud et de paiement, et de sites de jeu. 
  • Leaked database : cette section est dédiée au partage et à l’offre de bases de données compromises. À l’heure de la rédaction de cet article, la section ne compte que 19 fils de discussion et n’est pas souvent actualisée. Toutefois, les utilisateurs ont fourni un large choix d’ensembles de données, y compris des « listes combinées » mixtes, des bases de données appartenant à des sites ou sociétés spécifiques, ainsi que des fichiers propres à certaines régions géographiques.
  • Dark Web Zone : cette zone, à l’instar de Dread, un forum clandestin de type Reddit, permet aux membres d’avoir des discussions générales à propos du Dark Web. Les utilisateurs peuvent notamment échanger des liens vers d’autres forums clandestins, proposer des biens et services illicites et publier des évaluations de places de marché. Les forums dédiés au craquage ou au carding n’ont généralement pas de section entièrement consacrée aux discussions sur le Dark Web. Il s’agit donc d’une nouveauté.

MISES À JOUR CONCERNANT DARK WEB FORUMS (DWF)

En dépit du nombre limité de discussions et de membres, le forum DWF a connu certaines évolutions intéressantes au cours de ses sept mois d’existence. 

Propriétaires du forum

DWF ne possède apparemment pas de liste dédiée des membres de l’équipe et de leur rôle. Toutefois, les administrateurs du forum affichent la mention « Membre vérifié » dans la bannière de leur profil, tandis que les modérateurs possèdent le titre de « Super modérateur », ce qui permet d’identifier facilement ces deux rôles.

Il semble aussi que la hiérarchie de DWF ait changé au cours des deux premiers mois. « Professor », l’administrateur de la plateforme, a été le premier membre de l’équipe du forum à publier un message de bienvenue sur le site le 30 janvier 2020. Il s’agissait sans doute d’un des principaux membres du forum à l’époque. Depuis, l’utilisateur « t0r » semble avoir endossé ce rôle après avoir rejoint le site le 29 février 2020. 

Quant à savoir qui est le propriétaire du forum, la réponse reste vague, dès lors qu’aucun membre de l’équipe n’a réellement été désigné comme tel. Le membre qui s’en rapproche le plus est t0r, car il utilise le titre « fondateur du forum » et assume fondamentalement le rôle de propriétaire de celui-ci (même si cela n’a pas été confirmé de manière officielle). Il fait régulièrement le point sur le développement de DWF et il lui est également arrivé d’avertir les utilisateurs à propos d’escrocs potentiels usurpant l’identité de vendeurs validés du forum sur Telegram. t0r ne semble pas être anglophone dans la mesure où ses messages présentent souvent des fautes d’orthographe et de grammaire.

Message comportant des fautes d’orthographe publié par t0r

Comptes et mises à niveau payantes

Les comptes des nouveaux utilisateurs de DWF doivent être vérifiés par l’équipe du forum avant que ces membres puissent accéder pleinement au forum ou voir le contenu des fils de discussion. Par ailleurs, si les utilisateurs souhaitent acheter l’une des deux mises à niveau disponibles, à savoir « VIP » ou « Verified Seller », ils doivent contacter l’un des administrateurs du forum directement sur Telegram pour obtenir la confirmation de leur achat et l’activation de leur compte mis à niveau.

Bien qu’il ne soit pas rare de voir les équipes des forums demander aux utilisateurs de les contacter directement lors de l’achat d’une mise à niveau, les communications passent généralement par le propre système de messagerie interne d’un site. C’est la première fois sur des sites cybercriminels en russe et en anglais que nous voyons l’équipe d’un forum demander aux membres de les contacter sur Telegram. La communauté cybercriminelle – tout particulièrement les forums clandestins russophones – a souvent critiqué Telegram pour son manque de sécurité et d’anonymat par rapport à d’autres services de messagerie instantanée, tels que Discord, Wickr et Jabber. Jusqu’ici, aucun utilisateur de DWF n’a commenté ni remis en cause l’utilisation de Telegram par le forum.

Difficulté du forum à attirer des nouveaux membres

Depuis sa création, DWF semble avoir éprouvé des difficultés à attirer de nouveaux utilisateurs. C’est souvent le cas des tout nouveaux forums, surtout sur la scène anglaise, où la concurrence est rude et où les utilisateurs migrent régulièrement d’une plateforme à une autre. Dès mars 2020, un utilisateur déclarait que DWF était déjà « mort » et « ennuyeux », ajoutant que les utilisateurs devraient partager davantage de connaissances et de compétences pour redynamiser le forum.  

Dans une mise à jour publiée le 1er avril 2020, t0r invitait les utilisateurs expérimentés à suggérer des moyens d’attirer plus de membres. En réponse, certains utilisateurs ont émis différentes propositions, de l’achat de publicités bon marché à la mention du forum par des vendeurs de rang élevé sur leurs autres plateformes. 

DWF affiche plusieurs publicités dirigeant vers d’autres plateformes, ce qui indique que d’autres sites ont payé DWF pour obtenir un espace publicitaire. En revanche, nous n’avons pas encore observé de plateformes faisant la promotion de DWF…

t0r sollicitant l’aide d’utilisateurs chevronnés

Annonce d’une version Web en clair du forum

Au départ, DWF était uniquement accessible via Tor, mais le 8 avril 2020, t0r a annoncé qu’ils avaient lancé une nouvelle version Web en clair du forum. Ainsi, les utilisateurs peuvent accéder au site à l’aide de leur navigateur Web standard de prédilection. Il se peut que la création d’une version Web en clair du forum, bien que moins anonyme, facilite son accès et encourage davantage d’utilisateurs à le rejoindre. DWF fait donc pareil que plusieurs de ses concurrents, notamment RaidForums, Nulled et Cracked TO, en proposant une version en clair du site. Toutefois, il est important de noter qu’aucun de ces forums n’est accessible via Tor, et qu’il a toujours été facile d’y accéder depuis leur création, ce qui a vraisemblablement contribué à une augmentation régulière de leurs membres au fil du temps. Depuis le lancement de la version Web en clair, DWF n’a jamais mentionné une quelconque croissance du nombre de ses membres et les sites de classement du trafic, comme Alexa, n’affichent actuellement aucune donnée sur les visiteurs pour le forum DWF. 

LIEN POSSIBLE AVEC ALTENEN

L’un des aspects les plus intéressants de DWF est son lien possible avec le forum cybercriminel en langue anglaise Altenen (également appelé Alboraaq). 

Altenen était au départ un forum cybercriminel en arabe, dont les utilisateurs étaient issus des pays arabophones. Par la suite, Altenen a changé de concept et est devenu un forum en langue anglaise dédié au carding. Les enregistrements WHOIS laissent penser que la première version en anglais d’Altenen a été créée le 13 juin 2013. Il semble qu’Altenen ait subi plusieurs attaques depuis ses débuts. Sa base de données aurait été compromise en 2014 et, à la fin de l’année 2016 ou 2017 (la date exacte n’est pas connue), le forum est resté hors service pendant une assez longue période. En juin 2018, l’administrateur d’Altenen, « T3eS », a redonné vie au site. Depuis sa « renaissance », la plateforme semble avoir attiré des utilisateurs du monde entier et enregistré une augmentation régulière du nombre de ses membres. 

Mais revenons au lien avec DWF. Certes, les deux forums se sont spécialisés dans le piratage des cartes bancaires avant de s’intéresser à d’autres sujets. Mais il existe d’autres similitudes et relations directes, encore plus frappantes, entre Altenen et DWF qui suggèrent l’existence d’un lien étroit entre les deux.

La description du sous-forum « Free fresh cards and Database Dumps » de DWF mentionne Altenen/Alboraaq, ce qui laisse penser qu’Altenen pourrait être une source de données liées au carding pour DWF :

« Fresh Credit Cards, Fresh Fullz, Fresh Cardable websites, Fresh Carding methods, Altenen Cards, Altenen Carding, premium accounts netflix spotify etc., Alboraaq Carding. »

Logo d’Altenen (à gauche) et logo de DWF (à droite)

Les logos des deux forums, bien que différents, présentent des similitudes, notamment la figure du diable rouge à cornes. Nous n’avons pas relevé ce type d’imagerie sur d’autres forums cybercriminels anglophones. Par ailleurs, d’autres éléments semblent relier directement certains des membres de l’équipe DWF à Altenen. 

  • t0r, le propriétaire du forum, a publié des messages avec la signature « ATN Team », laquelle a été précédemment utilisée par l’équipe du forum Altenen. 
  • DWF présente une interface utilisateur similaire à celle d’Altenen, comme le montrent les fonctions de filtrage identiques dans toutes les sections des deux forums. Cela laisse penser que DWF a été développé à l’aide du même script qu’Altenen. 
  • Les deux forums ont exactement le même descriptif, que nous avons choisi ici de traduire en français : 

« [Nom du Forum] est un forum dédié aux gains sur Internet, à diverses combines financières, aux problèmes informatiques et à bien plus encore. C’est un forum qui explique comment gagner de l’argent sur Internet. Nous partageons aussi des connaissances sur le carding, la modification des malwares, le piratage, la sécurité, la programmation et le craquage, entre autres sujets. Et, bien sûr, tous les outils liés à ce qui précède. Si vous êtes intéressé et que vous avez envie d’apprendre, n’hésitez pas à vous inscrire pour faire partie de notre communauté. Si vous venez de nous rejoindre, nous ferons tout notre possible pour vous aider. »

  • Au moins deux des membres de l’équipe du forum DWF, « Professor », l’administrateur du forum, et Richman, le modérateur, ont un profil de rang élevé sur Altenen.
    • Août 2018 — Richman rejoint Altenen. Il reçoit le rang de « Legendary Member » sur le forum et plus de 5 000 vues de son profil. 
    • Novembre 2018 — Professor rejoint Altenen, avec le rang « Respected Member », et publie essentiellement des messages en rapport avec le partage de listes de serveurs proxy Socks4 et Socks5, divers cours gratuits sur la cybersécurité et plusieurs méthodes pour cibler les services de streaming (plus particulièrement Netflix). 

PRÉVISIONS CONCERNANT DARK WEB FORUMS (DWF)

Comme DWF est toujours dans sa phase de lancement, il sera intéressant de voir si le forum parviendra à conquérir de nouveaux adhérents dans un avenir proche. Dans nos récents articles sur Torigon et Nulled, nous avons mentionné les trois principaux facteurs dont les forums ont besoin pour assurer leur longévité : différenciation, mise en place d’une équipe d’administration compétente et motivée, et accessibilité et disponibilité élevées de la plateforme. Avant de disparaître, Torigon a tenté de s’entendre avec des plateformes mieux établies telles qu’Envoy et Dread pour résoudre ses problèmes de croissance. Il se peut que DWF s’appuie sur sa relation avec Altenen pour les mêmes raisons. Toutefois, à l’instar de Torigon, DWF risque de rencontrer des difficultés pour attirer de nouveaux membres s’il ne gagne pas en visibilité et si son équipe d’administration n’entreprend pas une promotion proactive de DWF sur d’autres forums similaires. 

Bien que DWF semble avoir une équipe d’administrateurs et de modérateurs motivée et impliquée, qui non seulement assure la modération du forum mais alimente aussi diverses sections avec son propre contenu, DWF doit s’efforcer de développer sa communauté et de se positionner parmi les forums concurrents tout en se protégeant contre des attaques potentielles. Il sera également intéressant de voir si la collaboration apparente avec Altenen va s’intensifier et s’apparenter à la relation qui existe entre Nulled et Cracked TO. Ces sites ont récemment connu une évolution similaire en termes de croissance du nombre de membres et de nouvelles recrues au sein de l’équipe.

Si vous souhaitez en savoir davantage sur les forums cybercriminels, vous pouvez lire notre rapport The Modern Cybercriminal Forum: an enduring model (Le forum cybercriminel moderne : un modèle résilient).

Si vous vous intéressez à la surveillance du Dark Web, la solution SearchLight de Digital Shadows surveille toutes les sources présentant une activité cybercriminelle, que celle-ci soit observée sur le Web public, le Deep Web ou le Dark Web. SearchLight surveille et indexe en permanence des centaines de millions de pages, de sites d’échange de code et de forums cybercriminels du Dark Web, ainsi que les messages Telegram et IRC et les pages I2P. Si vous souhaitez connaître l’exposition de votre entreprise sur le Dark Web, vous pouvez vous inscrire pour une version d’essai gratuite de SearchLight ici.

Related Blog Posts