Die Überwachung einzelner Bedrohungsakteure ist ein wichtiger Aspekt der Cyber-Bedrohungsaufklärung und erfordert ein System, das einer realen Beobachtungsliste ähnelt.
Unsere Beobachtungsliste ist zwar einfacher als die von Geheimdiensten oder Cybersicherheitsfirmen verwendeten Listen, aber die zugrunde liegenden Prinzipien sind identisch.
Meiner Erfahrung nach lassen sich Bedrohungsakteure in der Regel in drei Kategorien einteilen:
- Akteure, die sich eine langfristige Reputation aufbauen und in mehreren Foren einen einheitlichen Benutzernamen verwenden, um ihre Marke zu pflegen, da ihr Geschäft von ihrer Bekanntheit lebt.
- Akteure, die mehrere Benutzernamen und Konten verwenden, deren Aktivitäten jedoch über alle Konten hinweg konsistent bleiben.
- Diejenigen, die für jedes Verbrechen oder jeden Verkauf einen neuen Nutzernamen verwenden, Profit über Ruhm stellen und dadurch schwerer aufzuspüren sind.
In diesem Modul entwickeln wir ein Überwachungssystem, um Nutzeraktivitäten wie Beiträge, Kommentare oder beides in festgelegten Intervallen kontinuierlich zu verfolgen. Wir werden zwar noch keine Querverweise zu Aktivitäten in anderen Foren herstellen, aber alle Daten zu Bedrohungsakteuren können als JSON-Zeichenfolge exportiert werden, was eine manuelle Querverweisung mit anderen Plattformen ermöglicht.
Querverweise stellen eine Herausforderung dar, da die Verfolgung eines Ziels unter Verwendung desselben Benutzernamens auf Plattformen wie darkforums.st, x.com und instagram.com möglicherweise eine gerichtliche Genehmigung für die gleichzeitige Überwachung erfordert.
Obwohl Plattformen entschlossene Forscher nicht vollständig daran hindern können, ihre Daten zu scrapen, können sie rechtliche Schritte einleiten. Um mögliche Geldstrafen zu vermeiden, rate ich dringend davon ab, ohne entsprechende Genehmigung plattformübergreifende Überwachungen durchzuführen.