Die Kriminalwettbewerbe haben ihre eigenen Regeln, um das Betrugsrisiko zu verringern, sagt Budd. Bei Exploit besagen die Regeln, dass die Einträge „nicht an anderer Stelle veröffentlicht worden sein dürfen“, „aussagekräftig und umfangreich“ sein sollten, technische Details wie Code oder Algorithmen enthalten und „mindestens 5.000 Zeichen (ohne Leerzeichen)“ sein sollten. Das entspricht rund 1.000 Wörteroder die ungefähre Länge dieses WIRED-Artikels. Die Regeln für XSS sind ähnlich – „Kopieren-Einfügen = Ausschluss aus dem Wettbewerb, in Ungnade“ – aber sie verlangen, dass die Artikel länger sind (mindestens 7.000 Zeichen) und dass „richtige Formatierung, Rechtschreibung und Zeichensetzung“ vorhanden sein sollten.
Betrüger werden jedoch betrügen. Bei den letzten Wettbewerben hatte Exploit 35 Einsendungen und XSS 38 Einsendungen. Aber XSS disqualifizierte 10 von ihnen. Die Gewinner der Wettbewerbe werden durch die Abstimmung der Forumsmitglieder über die Beiträge ermittelt, aber auch die Administratoren der Websites können die Gewinner auswählen, und laut Sophos gab es Beschwerden über Wahlmanipulationen.
Diese Wettbewerbe haben sich im Laufe der Zeit weiterentwickelt und sind gewachsen, sagt Budd. Frühere Untersuchungen des Cybersicherheitsunternehmens Digital Shadows, das Folgendes getan hat wurde inzwischen von ReliaQuest übernommen, zeigt, dass Wettbewerbe in Foren zur Cyberkriminalität etwa im Jahr 2006 begannen. Roman Faithfull, ein Cyber-Bedrohungs-Intelligence-Analyst bei ReliaQuest, sagt, dass diese ersten Wettbewerbe sehr einfach waren. „Am Anfang waren sie recht zurückhaltend“, sagt Faithfull. „Sie wurden nicht immer von Forumadministratoren organisiert.“
Bei einigen der ersten Wettbewerbe, sagt er, wurden Forumsmitglieder gebeten, Logos zu entwerfen, oder es wurde sogar ein kleiner Geldpreis für den Kommentator eines Forenthreads ausgelobt, der über die längste Kontohistorie auf der Website verfügte. „Je anspruchsvoller die Foren wurden, desto anspruchsvoller wurden auch die Wettbewerbe im Allgemeinen“, sagt Faithfull.
Seit etwa 2015 konzentrieren sich die Wettbewerbe, die größtenteils jährlich stattfinden, auf das Schreiben und Einreichen von Artikeln und Code, sagt der ReliaQuest-Forscher. „Der Fokus liegt stark auf Dingen, mit denen die Leute Geld verdienen“, fügt er hinzu. Seitdem ist auch der Preistopf gestiegen: Bei XSS betrug der Gesamtpreistopf im Jahr 2018 1.000 US-Dollar und stieg auf 40.000 US-Dollar, wobei der Gewinner im Jahr 2021 14.000 US-Dollar erhielt. „Niemand wird hier sein Bestes geben, es sei denn Sie sind in einer wirklich schwierigen Lage und brauchen schnelles Geld“, sagt Faithfull. „Es ist unwahrscheinlich, dass Sie eine Ransomware-Gruppe sehen, oder eigentlich jemanden, der wirklich hoch oben steht.“
Der Inhalt der Beiträge zu den letzten beiden Wettbewerben ist recht umfangreich, wie die Untersuchung von Sophos ergab. Einige waren innovativer, während andere im Wesentlichen Informationen wiederholten, die anderswo gefunden wurden. Der Gewinnerbeitrag im Krypto-Wettbewerb 2021 von Exploit war die Erstellung der geklonten Website Blockchain.com, die laut Sophos insgesamt „relativ simpel“ sei. „Eine geklonte Site wie diese würde normalerweise wie jede andere Phishing- oder Anmeldedaten-Sammel-Site verwendet werden“, heißt es in der Studie.
Andere Gewinnerbeiträge oder diejenigen, die im Exploit-Wettbewerb lobende Erwähnungen erhielten, konzentrierten sich auf die gezielte Bekämpfung von Initial Coin Offerings, einen Leitfaden zum Erstellen einer Phishing-Site zum Diebstahl der Kryptowährungskontodaten von Personen und ein Tutorial zum Erstellen einer Kryptowährung von Grund auf. Es ist jedoch erwähnenswert, dass es seit mehreren Jahren kostenlose und öffentlich zugängliche Tutorials dazu gibt“, heißt es in der Sophos-Studie.