Monitorar agentes de ameaças individuais é um aspecto crítico da inteligência contra ameaças cibernéticas, exigindo um sistema semelhante a uma lista de vigilância de inteligência do mundo real.

Embora a nossa lista de vigilância seja mais simples do que as utilizadas por agências de inteligência ou empresas de segurança cibernética, os princípios subjacentes são idênticos.

Com base na minha experiência, os agentes de ameaças geralmente se enquadram em três categorias:

1. Aqueles que constroem uma reputação de longo prazo, usando um nome de utilizador consistente em vários fóruns para manter a sua marca, já que o seu negócio prospera com o reconhecimento.
2. Aqueles que operam vários nomes e contas, mas cujas atividades permanecem consistentes entre eles.
3. Aqueles que usam um novo nome para cada crime ou venda, priorizando o lucro em vez da fama, tornando-os mais difíceis de rastrear.

Neste módulo, desenvolveremos um sistema de monitoramento para rastrear continuamente a atividade do utilizador, como publicações, comentários ou ambos, em intervalos definidos. Embora ainda não cruzemos referências de atividades em outros fóruns, todos os dados dos agentes de ameaças são exportáveis como uma string JSON, permitindo o cruzamento manual com outras plataformas.

A referência cruzada apresenta desafios, pois rastrear um alvo usando o mesmo nome de utilizador em plataformas como darkforums.st, x.com e instagram.com pode exigir um mandado judicial para monitorização simultânea.

Embora as plataformas não possam impedir totalmente que pesquisadores determinados coletem seus dados, elas podem entrar com ações judiciais. Para evitar possíveis multas, desaconselho fortemente a monitorização entre plataformas sem a devida autorização.