Ulubionym komunikatorem internetowego podziemia jest... Skype?

Cyberprzestępcy chętnie wykorzystują różne narzędzia pozwalające zachować im anonimowość. Jest to ważne nie tylko podczas przeprowadzania samych ataków, ale także w czasie ich przygotowywania. Współczesne komunikatory oferują na tyle skuteczną ochronę tożsamości, że członkowie organizacji przestępczych mogą bezpiecznie się za ich pomocą porozumiewać, co znakomicie ułatwia im działalność.

Grupa Flashpoint postanowiła przeanalizować strategie komunikacyjne cyberprzestępców. Przygotowała więc raport, w którym – korzystając z danych zebranych w latach 2012-2016 – opisuje użycie dziesięciu komunikatorów przez internetowych kryminalistów posługujących się językami rosyjskim, hiszpańskim, francuskim, arabskim, chińskim, farsi i angielskim. Analizowane komunikatory to ICQ, Skype, Jabber, PGP, AIM, Telegram, WeChat, QQ, WhatsApp oraz Kik. PGP samo w sobie nie jest komunikatorem, jednak włączono je do badań ze względu na popularność tego algorytmu w pewnych społecznościach.

Przygotowany przez Flashpoint raport Cybercrime economy. An analysis of criminal communications strategies daje nam wgląd w zmiany, jakie ciągle zachodzą wśród przestępców działających w internecie.

W 2012 roku osiem najpopularniejszych komunikatorów wśród rosyjskojęzycznych kryminalistów to ICQ (51,83%), Skype (25,98%), Jabber (18,7%), Quiet Internet Pager (1,55%), PGP (0,74%), Pidgin (0,41%), PSI (0,41%) oraz AIM (0,37%). Cztery lata później wyglądało to już zupełnie inaczej: Skype (38,72%), Jabber (24,77%), ICQ (21,09%), Telegram (7,26%), Viber (4,47%), WhatsApp (2,01%), Zephyr (0,85%) oraz PGP (0,81%). Zauważalny jest znaczący wzrost popularności Telegrama i Vibera oraz duże zwiększenie się częstotliwości korzystania ze Skype'a.

Sytuacja wygląda jeszcze bardziej interesująco, gdy przyjrzymy się liczbom wzmianek o komunikatorach na forach skupiających elitę rosyjskich hakerów. W 2012 roku uwagi dotyczące ICQ stanowiły 60,63% wszystkich wypowiedzi na temat komunikatorów, a odsetek wypowiedzi wymieniających Jabbera wynosił 17,93%. Następny był Skype (16,93%), a później, z wynikiem zaledwie 1,87% znajdujemy PGP. W ciągu czterech lat zaszły jednak znaczące zmiany. Na czoło popularności w rozmowach wysunął się Jabber (28,3%), za nim uplasował się Skype (24,26%), Później był ICQ (18,74%) i nowy na tej liście Telegram (16,39%).

W porównaniu z rosyjskojęzycznymi cyberprzestępcami ich koledzy posługujący się językiem hiszpańskim wydają się mniej zaawansowani technologicznie i mniej świadomi kwestii związanych z prywatnością i bezpieczeństwem. W 2012 roku najpopularniejsze używane przez nich komunikatory to Skype (48,76%), WhatsApp (13,64%), Pidgin (7,23%), ICQ (5,99%), Windows Live Messenger (5,58%), Jabber (6,4%), AIM (4,55%), Trillian (2,89%), PGP (2,89%) oraz Nimbuzz (2,07%).

Najczęściej w rozmowach przewija się Skype, natomiast niezwykle popularne wśród Rosjan Jabber i ICQ są wspominane znacznie rzadziej. Mimo to również i wśród hiszpańskojęzycznych cyberprzestępców zachodzą znaczące zmiany. Po czterech latach najpopularniejszym komunikatorem staje się ICQ (51,5%), który spycha na drugie miejsce Skype'a (15,11%), na wysokiej trzeciej pozycji pojawia się Kik (13,44%), a następnie są Jabber (8,21%), WhatsApp (7,07%), Telegram (2,11%), PGP (0,98%), AIM (0,86%), Threema (0,56%) i Pidgin (0,5%). Eksperci z Flashpointa przypuszczają, że gwałtowny awans ICQ to efekt wzorowania się grup hiszpańskojęzycznych na rosyjskojęzycznych. Specjaliści obserwowali bowiem liczne przepływy informacji z rosyjsko- i angielskojęzycznych społeczności cyberprzestępców do społeczności hiszpańskojęzycznych. Podobnie zresztą obserwowano, że szkodliwy kod, który najpierw pojawiał się wśród rosyjskojęzycznych hakerów po kilku miesiącach był używany przez osoby posługujące się językiem Cervantesa.

Wiele francuskojęzycznych grup analizowanych przez Flashpoint wykazywało się daleko idącym konserwatyzmem odnośnie wyboru komunikatorów. Zwykle nie ufają oni komunikatorom i wolą wykorzystywać e-maile oraz podziemne fora, a przesyłane wiadomości szyfrować za pomocą PGP. Jeszcze w 2012 roku PGP było zdecydowanym liderem, z udziałem sięgającym 58,62%. Na kolejnym miejscu plasował się Skype (16,55%), później były Jabber (14,48%) i Pidgin (10,34%).

Cztery lata później zaszły poważne zmiany. Najpopularniejszy stał się Jabber (45,84%), PGP z udziałem 40,11% spadło na drugie miejsce, pojawiło się ICQ (8,49%), a na czwartą pozycję został zepchnięty Skype (2,18%). Mimo, że na część francuskojęzycznych cyberprzestępców gorąco optuje za PGP jako jedynym bezpiecznym systemem komunikacji, wielu członków tej społeczności zaczęło używać Jabbera do komunikacji poza forami. Z analiz grupy Flashpoint wynika, że fracuskojęzyczne środowisko cyfrowych przestępców jest najbardziej uświadomione w kwestii bezpieczeństwa. Nawet nowicjusze są błyskawicznie instruowani przez innych członków, w jaki sposób powinni dbać o swoją prywatność, bezpieczeństwo i anonimowość. Ci, którzy nie stosują się do niepisanych zasad są często wyśmiewani i odmawia im się dostępu do bardziej elitarnych społeczności.

Posługujący się językiem arabskim przestępcy w 2012 roku najchętniej korzystali ze Skype'a (32,82%), Windows Live Messengera (18,45%), Jabbera (15,73%) oraz Yahoo Messengera (9,45%). Trudno tutaj zauważyć jakiś wyraźny trend w kierunku dbałości o bezpieczeństwo czy anonimowość. Po kilku latach jedyną wyraźną zmianą w kierunku bezpieczeństwa jest wzrost popularności WhatsApp. Zaraz za tą aplikacją na drugim miejscu znalazł się Skype, później są AIM, ICQ i Yahoo Messenger. Co prawda WhatsApp wprowadził szyfrowanie wiadomości, ale nie jest jasne, czy miało to wpływ na jego popularność.

Badacze Flashpointa nie wykluczają, że brak dbałości o bezpieczeństwo i anonimowość może wynikać z faktu, że analizowane arabskojęzyczne grupy były izolowane przez co nie były świadome, że istnieją znacznie lepsze rozwiązania niż przez nie wybierane. Niewykluczone też, że nie czują one potrzeby zbytniego ukrywania się, gdyż władze i organa ścigania nie przeszkadzają im w ich działaniach.

Chińskojęzyczne podziemie cyberkryminalne jest całkowicie zdominowane przez komunikatory firmy Tencent. Najpopularniejszy jest QQ, którego w 2012 roku używało aż 88,39% grup cyberprzestępczych. Na drugim miejscu znajdziemy inny produkt Tencenta, WeChat (8,62%). Niewielkie udziały ma Skype (1,03%) i PGP (0,62%). Przez kolejne cztery lata sytuacja o tyle uległa zmianie, że komunikatory Tencenta jeszcze bardziej zdominowały rynek, a WeChat wyraźnie zyskał na popularności. Obecnie z QQ korzysta 63,33% chińskich przestępców internetowych, a udziały WeChata wzrosły do 35,58%.

Warto tutaj zwrócić uwagę na pewną specyfikę chińskiego podziemia. Cyberprzestępcy z innych obszarów językowych wyraźnie starają się unikać komunikatorów, które podejrzewają o to, że ich twórcy współpracują z lokalnymi rządami. Tymczasem Chińczycy stawiają na lokalny patriotyzm i stosują chińskie komunikatory. Jakby jeszcze tego było mało, rozmawiając ze sobą raczej nie używają żargonu. Grupy posługujące się innymi językami wypracowały sobie własne zasady językowe, które utrudniają zrozumienie konwersacji osobie postronnej. Wśród chińskich cyberprzestępców zjawisko takie praktycznie nie występuje. Analizy Flashpointa sugerują też, że Chińczycy są odizolowani od reszty społeczności. Zauważono ograniczony przepływ informacji pomiędzy rosyjsko- i chińskojęzycznymi grupami cyberprzestępców. Kontakty z innymi obszarami językowymi są jeszcze bardziej ograniczone.

Wśród Persów najpopularniejszymi komunikatorami były w 2012 roku Yahoo Messenger (51,28%) oraz Nimbuzz (17,15%). Znacznie mniejszą popularnością cieszyły się Skype (7,37%) oraz ICQ (5,45%). Nieco zaskakująca jest silna pozycja Nimbuzza, który jest bardzo popularnych w Indiach, ale nie w Iranie. Być może wpływają na nią zamieszkujący Indie użytkownicy farsi.

W 2016 roku niezwykłą popularność w Iranie zyskał komunikator Telegram. Używa go 20% irańskich internautów. Raport Flashpointa wymienia dwie przyczyny takiego stanu rzeczy. Po pierwsze, wiele innych usług, które były wcześniej popularne, zostało zablokowanych przez rząd w Teheranie. Wielokrotnie dyskutowano też zablokowanie Telegrama i naciskano na oferującą go firmę, by przeniosła serwery do Iranu, by rząd mógł mieć nad nimi kontrolę. Na razie jednak nie zapadły żadne ostateczne decyzje. Zresztą wiele irańskich gazet, agend rządowych i polityków korzysta z Telegrama. Drugim powodem popularności tego komunikatora jest położenie w nim silnego nacisku na szyfrowanie. Nic więc dziwnego, że i miejscowi cyberprzestępcy go pokochali. Obecnie udziały Telegrama w irańskim cyberpodziemiu wynoszą aż 88,5%. Odległe kolejne miejsca zajmują Line 4,54%, Skype 2,9% oraz Yahoo Messenger 0,96%.

Z kolei w anglojęzycznej części cyberprzestępczego świata liderem pozostaje Skype. W 2012 roku korzystało z niego 80,29% grup przestępczych, obecnie udział ten spadł do 62,94%. Przed pięciu laty drugi pod względem popularności był AIM (11,57%), a trzeci ICQ (3,25%). W roku 2016 na drugim miejscu znajdziemy Jabbera (11,75%), a ICQ umocniło się na trzeciej pozycji z udziałem 9,81%.

Całościowa analiza światowego cyberpodziemia wskazuje, że najpopularniejszym komunikatorem jest Skype. W każdym z analizowanych obszarów językowych znajdował się on w pierwszej piątce, a jedynie w obszarach chińsko-, francusko- i perskojęzycznych nie miał znaczących udziałów w rynku. Na popularność Skype'a prawdopodobnie wpłynęło dołączenie go przez Microsoft do systemu operacyjnego.

W ostatnich latach widoczny jest wzrost popularności Jabbera, Telegrama i WhatsApp. Prawdopodobne przyczyny to ujawnienie szeroko zakrojonych programów inwigilacji prowadzonych przez NSA, związany z tym wzrost świadomości i popularności szyfrowanej komunikacji oraz lepszy przepływ informacji pomiędzy grupami cyberprzestępczymi, dzięki czemu mniej zaawansowane grupy mogą uczyć się od bardziej zaawansowanych.