¿Los 'chicos malos' crean honeypots?

Los 'chicos buenos' tienen que limitar sus acciones a cosas que son 'buenas' para que sigan siendo 'chicos buenos'.

Los 'malos' no tienen tal restricción. Pueden salirse con la suya creando honeypots, diciendo la verdad de vez en cuando e incluso salvando cachorros, y mientras sigan haciendo al menos algunas cosas "malas" de vez en cuando, siguen siendo "chicos malos".

Eso es un poco sarcástico, pero hay algo de verdad en ello. Creo que los 'malos' hacen casi todo. Es un título menos restrictivo. Además, los 'chicos malos' no persiguen exclusivamente a los 'chicos buenos'. Los honeypots se pueden utilizar para recopilar información con el fin de explotar a otros "tipos malos".

  

Sé que las empresas, los gobiernos y otras organizaciones crean honeypots (por ejemplo, páginas SQLi, Open Access Points, Open Ports, etc.) para atraer a los malos ... ¿Hay ejemplos de los malos que crean los honeypots?

Lo que constituye un honeypot malicioso será una definición nebulosa.

Es ilegal explorar los sistemas de otras personas. Para que nadie en la categoría "bueno" permanezca allí, no realizará el tipo de actividades que los llevaría a un honeypot.

Dicho esto, no veo que los delincuentes comunes se metan en problemas, pero los actores de la APT definitivamente están haciendo mucha contrainteligencia utilizando técnicas similares.

Tengo que seguir gritándole a los analistas que no investiguen puntos finales sospechosos de nuestra red corporativa: si un atacante nos envía algún malware y luego, durante la investigación, ven una serie de consultas a su infraestructura desde una IP directamente atribuible a nosotros, sepa quiénes somos, que el malware nos alcanzó y que este ataque en particular no funcionó ... así que repiten e intentan nuevamente hasta que lo perfeccionan hasta el punto en que no detectamos la intrusión.

En virtud del hecho de que los reconocimos directamente y de su ataque, hemos llegado a un honeypot de procedimientos.