Киберпреступность: эволюция или революция? (1/2)
IOCTA ( Internet Organised Crime Threat Assessment) – это ежегодный стратегический продукт Европола, который обеспечивает ориентированную на правоохранительные органы оценку возникающих угроз и ключевых событий в области киберпреступности. Сочетание аналитических данных правоохранительных органов и частного сектора позволяет представить всеобъемлющий обзор ландшафта угроз.
Европол продолжает реализовывать инновации в правоохранительной сфере и предлагает различные решения для правоохранительных органов в отношении шифрования, криптовалют и других проблем.
Европол продолжает оказывать поддержку крупным трансграничным операциям по борьбе с киберугрозами, число операций увеличилось с 57 в 2013 году до 430 в 2020 году.
https://ic.pics.livejournal.com/ss69100/44650003/3119339/3119339_600.jpg
Ключевые выводы
Главной темой прошлогодней конференции IOCTA было то, что киберпреступность – это эволюция, а не революция. Хотя это всё ещё верно, последний год стал свидетельством того факта, что исключительные обстоятельства ускоряют эту эволюцию.
Новая реальность, вызванная глобальной пандемией, требует быстрой адаптации, и вполне вероятно, что темп и организация личной и профессиональной жизни навсегда изменились.
Неизбежно эти события также стимулировали инновации среди киберпреступников, которые стремились извлечь выгоду из новых возможностей.
Оцифровка затрагивает все формы преступности. Методы и инструменты, используемые киберпреступниками, все чаще применяются в других областях преступности, а цифровая криминальная экосистема продолжает развиваться тревожными темпами. Конфиденциальность и удобство, предлагаемые платформами связи, распространения и криптовалюты, выгодны при любой незаконной деятельности.
Операторы вредоносных программ для мобильных устройств воспользовались ростом онлайн-покупок, используя службы доставки в качестве фишинговых приманок, чтобы обманом заставить своих жертв загрузить свой вредоносный код, крадут их учетные данные или совершают различные формы мошенничества с доставкой.
Трояны мобильного банкинга стали особенно серьезной угрозой из-за возросшей популярности мобильного банкинга.
Преступники продолжают использовать нарративы COVID-19 для онлайн-продажи поддельной медицинской продукции и стремятся украсть учётные данные.
Хотя Биткойн в настоящее время остается предпочтительной криптовалютой для пользователей и поставщиков Dark Web, популярность Monero и других монет конфиденциальности растет. Преступники всё чаще конвертируют свои незаконные доходы, полученные в биткойнах.
Материалы о сексуальном насилии над детьми (CSAM) активно продаются в одноранговых (P2P) сетях и Dark Web, где криптовалюты также используются для платежей, при этом правоохранительные органы сообщают об увеличении коммерческого распространения.
Анонимность в Интернете усугубляется широким распространением технологий шифрования, которые могут принести пользу и законным пользователям, и преступникам одновременно. Помимо законных услуг, международные правоохранительные органы пристально следят за поставщиками VPN и криптографических телефонов, которые обслуживают криминальные элементы нашего общества.
Преступность как услуга продолжает распространяться
Модель «Преступление как услуга» (CaaS) остается важной чертой киберпреступного подполья и является сквозным фактором во всех подобластях киберпреступности. Доступность наборов эксплойтов и других услуг не только обслуживает преступников с низким уровнем технических навыков, но также делает операции зрелых и организованных злоумышленников более эффективными.
За последний год европейские правоохранительные органы сообщили об увеличении предложения MaaS в Dark Web, из которых партнёрские программы по вымогательству кажутся наиболее заметными. Эти программы представляют собой эволюцию модели Ransomware-as-aService (RaaS), в которой операторы делятся прибылью с партнёрами, которые могут взломать целевую сеть, либо собирать всю информацию, необходимую для запуска атаки, либо самостоятельно развертывать вредоносное ПО.
Это расширило рынок продажи доступа к взломанной инфраструктуре и утечкам данных. Связанный с деятельностью операторов программ-вымогателей и мобильных вредоносных программ, доступ как услуга (AaaS) также пользуется большим спросом, поскольку он помогает как опытным командам вредоносных программ, так и преступникам низкого уровня, арендующим инструменты для доступа к корпоративным сетям.
Побочным продуктом роста многоуровневых схем вымогательства и широкомасштабных кампаний по воровству мобильной информации является приток личной информации на нелегальные рынки. Этот тип данных востребован широким кругом злоумышленников, поскольку он может значительно повысить вероятность успеха социальной инженерии, применяемой при любой форме атаки. В нынешнем виде пользователь часто остаётся самым слабым звеном в системе ИТ-безопасности.
Это означает, что социальная инженерия остается важным вектором для получения доступа к информационной системе или, в случае мошенничества, к банковскому счёту жертвы.
Широкое использование серой инфраструктуры повышает операционную безопасность преступников
Помимо CaaS, различные другие услуги, инструменты и технологии продолжают способствовать облегчению киберпреступности. Некоторые из них являются законными сферами, которые широко используются, но непреднамеренно полезны для достижения целей киберпреступников: безопасное общение, анонимность, сокрытие и отмывание преступных доходов и многое другое. Остальные услуги можно отнести к «серой» зоне.
Такие службы часто находятся в странах с очень строгими законами о конфиденциальности. Они используются преступниками и рекламируются на криминальных форумах.
Услуги серой инфраструктуры включают в себя мошеннические обмены криптовалютой и виртуальные частные сети, которые обеспечивают безопасное убежище для преступников. Легальные услуги, которыми злоупотребляют киберпреступники, – обычное дело. Самая известная особенность таких сервисов – надёжное сквозное шифрование.
К другим законным инструментам и методам, которыми злоупотребляют киберпреступники, относятся криптовалюты и VPN. Киберпреступники скрывают и отмывают незаконно полученные средства с помощью криптовалют.
Многие законные криптовалютные биржи ужесточили свои правила «знай своего клиента» (KYC) с момента введения руководящих принципов и директив на различных уровнях. К сожалению, отмывание криптовалюты остаётся возможным из-за постоянства миксеров, сервисов обмена и бирж, работающих в серых зонах.
Киберпреступники также могут использовать законных провайдеров VPN, поскольку они обеспечат им безопасный и надежный просмотр веб-страниц. Эти компании по-прежнему будут выполнять законные запросы о предоставлении информации, когда их услуги используются для киберпреступной деятельности.
Европейские правоохранительные органы, однако, всё больше сосредотачиваются на сервисах, которые не просто работают для обеспечения безопасности пользователей, но, скорее, оптимально защищают киберпреступников от захвата правоохранительных органов.
Хотя не все пользователи таких услуг обязательно являются преступниками, уровень преступности, связанный с такими услугами, часто настолько высок, что национальные правоохранительные органы, обнаружив достаточно доказательств преступных злоупотреблений, могут рассматривать их как преступные предприятия.
В течение прошлого года Европол – вместе со своими партнерами – скоординировал демонтаж различных сервисов, работающих в серых зонах, таких как уничтожение двух VPN, которые обеспечивали безопасное убежище для киберпреступников: DoubleVPN8 и Safe-Inet9. Провайдеры зашифрованной связи (также известные как «криптофоны») привели к арестам сотен преступников и конфискации тонн запрещенных наркотиков, огнестрельного оружия и миллионов евро.
Однако, что более важно, эти операции предоставили глобальным правоохранительным органам бесценную информацию о действиях преступников и их сетях.
Операторы вредоносных программ, особенно те, которые связаны с партнёрскими программами вымогателей, улучшили свои методы атак и функциональные возможности вредоносных программ. Мобильные банковские трояны совершили прорыв благодаря растущему числу пользователей, предпочитающих вести свою финансовую деятельность через мобильные устройства.
DDoS-атаки с целью выкупа возвращаются, поскольку преступники используют имена хорошо известных групп повышенной постоянной угрозы, чтобы запугать свои цели и заставить их выполнить требования выкупа.
Злоумышленники также осознали возросшее влияние DDoS-атак на системы их целей при отсутствии физических альтернатив, что привело к возрождению финансово мотивированных DDoS-атак.
Программы-вымогатели продолжают доминировать и распространяться
Несмотря на то, что мир радикально изменился за последний год, одна константа, которая осталась неизменной, – это угроза, которую программы-вымогатели представляют для нашей финансовой, общественной и даже физической безопасности. Большинство респондентов из правоохранительных органов отметили, что за отчётный период увеличилось количество сообщений о программах-вымогателях.
Тенденции сосредоточения внимания на крупных корпорациях и государственных учреждениях, использования уязвимостей в цифровой цепочке поставок и многоуровневого вымогательства, которые мы наблюдали в прошлом году, усилились и стали более заметными, что свидетельствует о возросшей сложности и зрелости задействованных партнерских программ – вымогателей.
Распределенные атаки типа «отказ в обслуживании» (DDoS) с целью выкупа могут вернуться из-за растущей зависимости от онлайн-сервисов.
Киберпреступники продолжают двигаться к более продуманному выбору целей, и растёт число партнёрских программ по вымогательству, стремящихся к сотрудничеству с хакерами и другими разработчиками вредоносных программ.
Операции с программами-вымогателями все больше сосредотачиваются на атаках на крупные организации и их цепочки поставок.
Эти тенденции были отмечены в предыдущем IOCTA, но переход произошел быстрее, чем многие могли ожидать, за последний год обнаружились многочисленные крупномасштабные вторжения.
Преступники продолжают действовать всё более безжалостно и методично. Европол писал о росте числа бригад вымогателей, использующих методы двойного вымогательства путём извлечения данных жертв и угроз их публикации.
Многие из самых известных партнёрских программ по вымогательству развёртывают DDoS-атаки против своих жертв, чтобы заставить их выполнить требование выкупа. Эти методы работы становятся все более популярными среди преступников, занимающихся мошенничеством с инвестициями, что, по мнению правоохранительных органов Европы, является одной из основных угроз.
Те, кто организует эти схемы, создают местные центры обработки вызовов, чтобы повысить доверие к ним среди пострадавших, говорящих на разных языках, а также перенацеливать своих «клиентов». Как только человек осознаёт, что его инвестиции были украдены, мошенники снова связываются с ним под предлогом, что представляют юридические фирмы или правоохранительные органы, предлагая помочь вернуть их средства.
В свете этих событий рынок криминальных товаров и услуг переживает бум. Личная информация и учётные данные пользуются большим спросом, поскольку они играют важную роль в повышении успешности всех типов атак социальной инженерии. К сожалению, рынок личной информации процветает, поскольку программы-вымогатели и мобильные кражи информации производят множество материалов для продажи в качестве побочного продукта первичной атаки.
Злоумышленники сосредоточены на особо важных целях. Использование традиционных массовых программ-вымогателей, похоже, сокращается, и злоумышленники переходят к программам-вымогателям, управляемым человеком, нацеленным на частные компании, секторы здравоохранения и образования, критически важную инфраструктуру и государственные учреждения.
Изменение парадигмы атаки указывает на то, что операторы программ-вымогателей выбирают свои цели на основе своих финансовых возможностей, чтобы соответствовать более высоким требованиям к выкупу, и их потребности в возможности как можно быстрее возобновить свои операции.
Уделять больше времени крупным корпорациям и государственным учреждениям – это эффективный подход для киберпреступников с точки зрения окупаемости инвестиций. Однако злоумышленники начали рассматривать внимание правоохранительных органов, привлекаемое к их деятельности, как важный критерий в своем внутреннем анализе затрат и выгод.
Увеличение возможностей и изощрённость
С начала пандемии киберпреступники воспользовались тем фактом, что большинству компаний пришлось хотя бы частично прибегнуть к дистанционной работе, что означало, что политики ИТ-безопасности стали более мягкими, а общее количество уязвимостей и поверхности атаки увеличились.
Злоумышленники продолжали проникать в сети организаций через подключения по протоколу удаленного рабочего стола (RDP) и эксплуатировать уязвимости в службах VPN.
Преступники осознали, насколько велик потенциал компрометации цифровых цепочек поставок – организациям необходимо предоставить доступ к сети дистрибьюторам обновлений, что делает этих сторонних поставщиков услуг идеальной целью. После проникновения в клиентскую сеть поставщика программного обеспечения операторы программ-вымогателей могут выбрать наиболее подходящие цели, далее проходят через свою сеть под видом законных пользователей, а затем развертывают свой вредоносный код в наиболее подходящий момент.
Кроме того, ИТ-инфраструктуры чрезвычайно взаимосвязаны, поэтому успешное вторжение не только подвергает риску клиентов одной компании, но потенциально также открывает двери для компрометации других поставщиков услуг, обеспечивая еще большую масштабируемость атаки.
Атаки программ-вымогателей стали более изощрёнными, поскольку преступники проводят больше времени внутри сети, исследуя цель, чтобы ещё больше скомпрометировать инфраструктуру и получить больше данных.
Злоумышленники начали более широко использовать бесфайловые вредоносные программы (с использованием собственных средств системы для выполнения кибератак), чтобы избежать распространенных методов обнаружения, которые сканируют вложения вредоносных файлов или создание новых файлов.
Безфайловые атаки программ-вымогателей используют собственные языки сценариев для записи вредоносного кода непосредственно в память целевой системы или захватывают встроенные инструменты для шифрования файлов.
Команды программ-вымогателей начали использовать службы передачи голоса по Интернет-протоколу (VoIP), чтобы вызывать журналистов, клиентов организации и деловых партнеров для дальнейшего принуждения.
В некоторых случаях операторы программ-вымогателей также угрожают своим жертвам DDoS-атаками и публикацией личной информации своих сотрудников, если они не выполнят требование выкупа.
Частные партнёры сообщают о резком росте количества выплаченных выкупов (увеличение более чем на 300%) в период с 2019 по 2020 год из-за большего времени, затрачиваемого на выполнение атак, и многоуровневых методов вымогательства.
Устранение EMOTET
В январе 2021 г. правоохранительные и судебные органы по всему миру отключили ботнет Emotet. Emotet был доставлен на компьютеры жертв через электронные письма, содержащие вредоносную ссылку или заражённый документ. Если жертвы открывали вложение или ссылку, вредоносное ПО устанавливалось. Компьютер становился уязвимым и предлагался в аренду другим преступникам для установки других типов вредоносных программ.
Как работал Emotet? Заманивание жертв Установка инфекции Trickbot, QakBot и Ryuk были среди семейств вредоносных программ, которые использовали Emotet для проникновения в машину. Emotet открыл двери для: троянских программ-вымогателей, похитителей информации об известных транзакциях на общую сумму более 400 миллионов долларов США. Кроме того, средняя сумма выплачиваемого выкупа увеличилась со 115 123 долларов США в 2019 году до 312 493 долларов США в 2020 году (увеличение более чем на 170%).
Рост числа партнёрских усилий по программам-вымогателям
Всё дополнительное время и усилия, затрачиваемые на атаки программ-вымогателей для получения более крупных выплат, обеспечиваются постоянным развитием и специализацией экосистемы криминальных структур (модель «Преступление как услуга»).
За последний год был отмечен рост партнёрских усилий по программам-вымогателям, независимо от того, продаются ли они публично широкому кругу потенциальных пользователей или предлагаются частным образом небольшой группе хакеров.
Общедоступные партнёрские программы вымогателей – не совсем новое явление, поскольку субъекты, взламывающие систему жертвы и затем платящие оператору за использование своего вредоносного ПО, уже довольно давно наблюдаются в экосистеме киберпреступников. Больше поводов для беспокойства вызывает рост частных партнерских программ, которыми обычно управляют более известные преступные группы вымогателей.
Эти злоумышленники ищут разработчиков и хакеров, чтобы улучшить функциональность вредоносного ПО или получить доступ к инфраструктуре важных целей. Команды программ-вымогателей также сотрудничают с другими разработчиками вредоносных программ.
Угроза мобильного вредоносного ПО становится реальностью
Мобильное вредоносное ПО уже долгое время представляет собой надвигающуюся угрозу в Европе, но так и не материализовалось в ожидаемой степени из-за отсутствия масштабируемости как устойчивой бизнес-модели. К сожалению, в этом году киберпреступники совершили прорыв, и количество сообщений о вредоносном ПО для мобильных устройств в правоохранительные органы значительно увеличилось. Улучшены мобильные банковские трояны.
Ландшафт угроз для банковских троянов Android теперь включает новые тактики и методы кражи учётных данных. В ряде семейств вредоносных программ для мобильного банкинга реализованы новые возможности на устройстве для совершения мошенничества путем манипулирования банковскими приложениями на устройстве пользователя с помощью модулей автоматизированной системы переводов (ATS) на базе Android Accessibility Service.
Банковские трояны, такие как Cerberus и TeaBot, также способны перехватывать текстовые сообщения, содержащие одноразовые коды доступа (OTP), отправленные финансовыми учреждениями и приложениями двухфакторной аутентификации (2FA), такими как Google Authenticator. FluBot быстро распространяется.
В настоящее время FluBot является одним из самых распространенных мобильных банковских троянов, сеющих хаос в Европе и США. Ключевой частью функциональности вредоносного ПО является его способность устанавливать оверлеи для отображения для проверки в Google Play и различных банковских приложений, что позволяет кражу учетных данных жертв (банковских, кредитных карт и криптокошельков).
FluBot использует алгоритм генерации доменов (DGA) для подключения к своему серверу C2, генерируя список доменов, которые нужно попробовать, пока не найдет тот, с которым сможет связаться. Используя этот метод, злоумышленники могут быстро переключать домены, которые они используют для связи C2, когда они блокируются или отключаются. FluBot распространяется путем самораспространения, отправляя фишинговые текстовые сообщения с зараженного устройства в его список контактов.
Возобновление денежно-мотивированных DDoS-атак
Правоохранительные органы и частные партнеры сообщают о повторном появлении DDoS-атак, сопровождаемых требованиями выкупа, а также об увеличении массовых атак по сравнению с предыдущим годом. Киберпреступники нацелены на поставщиков интернет-услуг (ISP), финансовые учреждения, а также малый и средний бизнес (SMB).
Обычно небольшая демонстрационная атака на услуги целевых организаций предшествует требованию выкупа. Злоумышленники начали утверждать, что они связаны с хорошо известными группами продвинутых постоянных угроз (APT), такими как Fancy Bear и Lazarus, чтобы запугать жертву и заставить ее заплатить выкуп.
Имеются смешанные сообщения о последствиях несоблюдения требований, когда в некоторых случаях угроза крупномасштабной атаки не материализовалась, в то время как в других, таких как атака на Новозеландскую фондовую биржу, злоумышленники выполнили свое обещание.
Сексуальное насилие над детьми в Интернете
Основные тенденции и угрозы, связанные с сексуальной эксплуатацией детей в Интернете, в течение отчетного периода оставались относительно стабильными. Хотя на развитие этой преступной деятельности повлиял ряд факторов, правоохранительные органы не обнаружили значительных изменений.
На производство и распространение материалов о сексуальном насилии над детьми (CSAM) повлияло растущее бесконтрольное присутствие детей в Интернете. Распространение приложений для обмена зашифрованными сообщениями и платформ социальных сетей влияет на методы обработки и распространение CSAM среди правонарушителей.
В социальных сетях и на игровых онлайн-платформах наблюдается резкий рост активности по уходу за собой в Интернете. Ключевой угрозой является производство самогенерируемого материала. Этот материал все чаще демонстрируют дети младшего возраста.Общая активность, связанная с распространением CSAM в P2P-сетях, значительно возросла.
Dark Web остается важной платформой для обмена материалами о сексуальном насилии над детьми (CSAM).
Производство и распространение материалов о сексуальных надругательствах над детьми остается серьезной проблемой
Производство и распространение CSAM в Интернете было серьезной проблемой с момента появления Интернета. Правоохранительные органы и некоммерческие организации, занимающиеся защитой детей, ежегодно обнаруживают огромное количество материалов. Во многих случаях преступники производят CSAM в домашней среде жертвы, чаще всего создаваемой теми, кто находится в кругу доверия ребенка.
Дети выходят в Интернет без присмотра в очень раннем возрасте и проводят долгие часы за электронными устройствами. Это подвергает их серьёзным угрозам. Пандемия COVID-19 оказала значительное влияние на присутствие детей в Интернете.
Национальные ограничения вынудили к дистанционному и виртуальному обучению, в то время как неспособность участвовать в социальной деятельности привела к тому, что значительно больше времени проводилось в онлайн-играх и на платформах социальных сетей.
Кроме того, растущая нормализация сексуального поведения в Интернете меняет отношение молодых людей к обмену откровенным контентом друг с другом. Эти социальные изменения предоставили правонарушителям более широкую группу потенциальных жертв.
Производство самогенерируемых материалов – ключевая угроза
В течение отчётного периода правоохранительные органы сообщали о резком росте обнаружения самогенерируемых материалов, которыми обмениваются в социальных сетях, в том числе с изображением детей младшего возраста. Неправительственные организации, занимавшиеся обнаружением и удалением онлайн-сообщений CSAM, сообщают, что почти две трети подтвержденных отчетов содержали самодельные материалы, часто созданные в собственной спальне жертвы.
Злоумышленники используют уязвимости, чтобы войти в контакт и завоевать доверие несовершеннолетних в Интернете, прежде чем приступить к злоупотреблениям, ведущим к самопроизвольной деятельности жертв.
Правоохранительные органы сообщают о пике случаев онлайн-груминга за последний год, особенно в социальных сетях и на игровых платформах. В других случаях несовершеннолетние вступают в сексуальные отношения в сети с обидчиками, которые завоевывают их доверие, выдавая себя за их сверстников.
Преступники, использующие вымышленные личности, часто получают самодельные материалы с помощью манипуляций или шантажа. Некоторые исследования указывают на создание подростками сексуальных образов и обмен ими как на исследование своей сексуальности.
Несовершеннолетние также создают материалы как для финансовой выгоды, так и для повышения своего онлайн-статуса на определенных платформах, собирая лайки и другие индикаторы одобрения.
Некоторые правонарушители переходят из сети в оффлайн. В некоторых случаях злоумышленники убедили жертв встречаться в реальной жизни, превратив онлайн-насилие в физическое, которое также может продолжаться в течение долгого времени посредством принуждения или вымогательства.
Случаи жестокого обращения с детьми на расстоянии (LDCA) продолжают увеличиваться.
Ограничения на поездки и контакты, вызванные пандемией COVID-19, вероятно, повлияли на угрозу LDCA, что сделало их жизнеспособной альтернативой для тех, кто обычно является транснациональными преступниками на сексуальной почве в отношении детей. LDCA может быть дополнительным источником производства CSAM.
Некоторые правонарушители записывают или захватывают жертв, совершающих в их интересах сексуальные действия в прямом эфире без ведома жертв. Правоохранительные органы наблюдали за обменом новыми «закрытыми» материалами на форумах Dark Web.
Одноранговые (P2P) сети обмена файлами остаются важными каналами для распространения CSAM
CSAM обычно хранится в сети или локально на защищенных паролем дисках. Преступники часто используют сквозные зашифрованные каналы связи, платформы социальных сетей и доски изображений для распространения незаконного контента. Частные группы, посвященные обмену CSAM, продолжают расти в приложениях для обмена сообщениями.
Одноранговые (P2P) сети обмена файлами остаются важным каналом для обмена CSAM от пользователя к пользователю или в небольших группах. Некоторые страны сообщили о значительном общем увеличении использования распределительных сетей P2P. Эта тенденция согласуется с пиком, зарегистрированным на ранних стадиях пандемии COVID-1919, и позже подтвержденным при сравнении данных за 2019 и 2020 годы. Однако в отчете IOCTA 2020 сообщалось о снижении активности P2P.
Dark Web остается важной платформой для обмена CSAM
Несмотря на успешные действия правоохранительных органов по закрытию платформ, ориентированных на сексуальное насилие над детьми, группы, способствующие обмену CSAM в Dark Web, продолжают расти и представляют собой постоянную угрозу.
Преступники часто обмениваются незаконным контентом в этих группах через прямые ссылки на хосты изображений в Clearnet и Dark Web, где хранится CSAM. В некоторых случаях они также используют сайты киберблокировщиков, где пользователи платят поставщикам контента за каждую регистрацию и последующую загрузку своего контента.
Европейская комиссия работает над предложением о создании центра ЕС по предотвращению и противодействию сексуальному насилию над детьми. Его цель – обеспечить эффективный и скоординированный подход к сексуальному насилию над детьми в ЕС. Он будет охватывать профилактику, поддержку LE и поставщиков услуг, и поддержка пострадавших.
Центральная роль Европола, как это предусмотрено Комиссией ЕС, в предлагаемом центре ЕС по предотвращению сексуального насилия над детьми и борьбе с ним, будет гарантировать, что он продолжит предоставлять высококачественные услуги государствам-членам ЕС и партнёрам, заключившим рабочие соглашения.
Ориентированный на жертв подход Европола в области сексуального насилия над детьми в Интернете, о чём свидетельствует деятельность Целевой группы по идентификации жертв и таких инициатив, как «Отследить объект – спасение ребенка», наряду с превентивными инициативами, такими как #SayNo, позволяет организации хорошо выполнять такую роль.
Материалы о сексуальном насилии в детстве Форумы хорошо структурированы, а пользователи организованы иерархически в зависимости от их ролей. Пользователи берут на себя роли в зависимости от их вклада в сообщество и могут быть администраторами, модераторами или пользователями.
В некоторых случаях пользователи берут на себя роль модераторов на нескольких платформах, облегчая распространение CSAM среди более широкой аудитории. Использование этих специализированных платформ не ограничивается распространением материалов, но открывает форум для обмена мнениями для единомышленников, где правонарушители могут поделиться опытом, методами совершения злоупотреблений и успешными контрмерами для уклонения от обнаружения или предотвращения его обнаружения.
Эти сети хорошо структурированы, управляемы и достаточно сплочены. Новые пользователи должны завоевать доверие сообщества, чтобы быть принятыми в группу, например, путем участия в недавно созданном или опубликованном CSAM. Отсутствие в сети одного из участников может вызывать беспокойство в сообществе.
Фактически правила присоединения обычно предусматривают активное участие в сообществе, а бездействие может привести к потере членства. В некоторых случаях, сообщества не ограничиваются онлайн-измерением, высокопоставленные члены группы также встречаются в реальной жизни.
CSAM с целью получения прибыли продолжает представлять растущую угрозу
За исключением LDCA, преступления, связанные с сексуальным насилием над детьми, обычно не совершаются с целью получения финансовой выгоды. Однако монетизация CSAM представляет собой растущую угрозу. Годовой доход сайтов CSAM, по оценкам, увеличился более чем в три раза в период с 2017 по 2020 год.
Криптовалюты являются предпочтительной валютой для этих типов транзакций. В некоторых случаях правонарушители платят несовершеннолетним напрямую за обмен собственноручно созданным контентом.
Правоохранительные органы заметили изменения в использовании онлайн-платформ, которые должны использоваться взрослыми только для обмена откровенным контентом для взрослых в этом смысле. Некоторые из этих платформ не в состоянии предотвратить доступ несовершеннолетних, которые регистрируются с поддельной идентификацией и продают или появляются в откровенных видео.
BOYSTOWN TAKEDOWN
Платформа Dark Web, известная как Boystown, была заблокирована международной целевой группой, созданной Федеральной уголовной полицией Германии (Bundeskriminalamt), в которую входили Европол и правоохранительные органы из Австралии, Канады, Нидерландов, Швеции и США.
Этот сайт был посвящен сексуальному насилию над детьми, и на момент его закрытия у него было 400 000 зарегистрированных пользователей. В то же время были арестованы несколько других чатов в Dark Web, используемых несовершеннолетними преступниками, совершившими сексуальные преступления.
Этот случай показывает, что Европол видит в преступлениях, связанных с сексуальным насилием над детьми: онлайн-сообщества несовершеннолетних правонарушителей в Dark Web демонстрируют значительную устойчивость в ответ на действия правоохранительных органов, направленные на них. Их реакция включает возрождение старых сообществ, создание новых сообществ и принятие решительных мер по их организации и управлению.
Юрий Жданов
***
Окончание следует.
Источник.
.
Мне кажется это неизбежно. Всегда были люди, которые вместе с прогрессом развивались в теневом направлении. Есть очень хорошее видео на эту тему, рекомендую: https://youtu.be/KDKeF6oAtrQ