Gli amministratori del più grande forum di lingua inglese in TOR1 hanno iniziato un nuovo progetto per i criminali Darknet. Il 2 marzo hanno lanciato un nuovo motore di ricerca R. (qualcosa di simile a Google) che permette agli utenti di cercare merce illegale da molti mercati Darknet in una sola volta. Di conseguenza, le informazioni illecite saranno molto più facili da trovare per qualsiasi criminale informatico.
Una breve spiegazione per i principianti di Darknet: La Darknet non assomiglia al web chiaro. Non hai una pagina principale come Google o Bing che ti permette di cercare in tutto lo spazio darknet. Per raggiungere qualsiasi sito web, è necessario conoscere il link esatto o l’indirizzo. Ci sono forum che possono guidarti attraverso la darknet, ma per entrarci devi innanzitutto sapere che esistono. Ecco perché ci sono stati tentativi di creare un vero e proprio motore di ricerca per facilitare la ricerca di attività illegali. Naturalmente, paragonare Google ai motori di ricerca R. è una grande semplificazione. Con Google possiamo cercare in quasi tutto Clearnet mentre con la ricerca R. possiamo esplorare solo i mercati darknet (DNM) in TOR e nemmeno tutti.
Quasi come Google
L’idea di un motore di ricerca Darknet Market (DNM) dove si possono consultare le offerte di vari negozi non è nuova. Ciò che è unico questa volta sono le persone dietro di esso. Si tratta di un team di amministratori e moderatori di “D. forum” – il più grande forum di discussione nella sfera di lingua inglese di TOR, lanciato nel febbraio 2018 come risposta all’ulteriore divieto di argomenti relativi a Darknet su Reddit. D. è diventato uno dei principali hub informativi su TOR. Quindi, ogni volta che si cercano opinioni su DNM, venditori specifici di DNM, nuovi metodi di frode o semplicemente non si sa dove acquistare qualcosa, quel forum è il primo posto dove molti utenti Darknet vanno. Questo vale anche per coloro che vanno a caccia di tutorial su come commettere frodi, nuovi servizi in DNM, ultimi eventi sulla Darknet o qualsiasi cosa collegata ad essa, frodi, droghe o qualsiasi altra attività illecita. Su questo forum, ci sono molte sezioni, che riguardano chiaramente un’attività illegale come Frode, Carding, Risorse per la Frode, Contraffazione, Mercati Oscuri, Fake ID, Soldi Finti, LSD, Produzione di droga, Malware, Hacking, ecc.
Ogni grande DNM e ogni tipo popolare di frode e droga ha la propria sezione. Inoltre, ci sono sezioni per paesi particolari, criptovalute e siti TOR popolari. Solo gli argomenti relativi a pedofilia, pro-terrorismo, veleni, armi e assassinii sono proibiti. A parte questo, c’è piena libertà di parola.
Esempi dei subforum più popolari sul forum D. Frode, carding, hacking sono tra i più popolari. Dream Market, Cryptonia e NightMare Market sono DNM già morti.
I creatori del D. Forum sono già uno dei venditori più influenti nella parte di lingua inglese di TOR e hanno la reputazione. Ecco perché l’apertura della ricerca R. potrebbe dare loro un nuovo ruolo. Per sottolineare la connessione tra il forum ben rispettato, R. search richiede il login da D. forum per iscriversi su R. search. Questo è addirittura obbligatorio se siete un venditore DNM e volete aggiornare le informazioni su di voi in R. search. Non è dato sapere se il motore di ricerca R. raccoglie informazioni sulle ricerche degli utenti e sulle loro preferenze. Come tutti sappiamo Google usa la cronologia delle ricerche per profilare i navigatori. E se il team di D. può fare la stessa funzione, e profilare quali dei suoi utenti sono interessati a quale tipo di cose illegali? Ci potrebbero essere molti strumenti per ottenere maggiori informazioni sugli utenti di Darknet che desiderano rimanere anonimi.
L’aspetto di R. search
R. search sembra davvero bello (in confronto ad altri siti Darknet) ed è facile da usare. Ha funzioni di filtro di base, tra cui: prezzo minimo e massimo, paese di spedizione, Darknet Markets. Al momento della scrittura di questo articolo, il motore di ricerca R. ha indicizzato 23,7 mila venditori, 61 mila inserzioni (che è quello che chiamiamo offerte su DNM) e 1,3 milioni di recensioni da parte degli utenti DNM. Attualmente, la ricerca R. contiene solo 6 DNM attivi più i dati di archivio su DNM che sono già andati. La cosa cruciale è come vengono aggiunti i nuovi DNM e chi decide in merito. Il team del forum di D. vuole creare un database con solo venditori di DNM affidabili, senza truffatori. Naturalmente, sono loro a decidere quali DNM sono abbastanza affidabili da essere aggiunti al database e quali no. Grazie a questo, il ruolo del gruppo nell’infosfera Darknet sta diventando sempre più significativo.
Sito principale del nuovo motore di ricerca R.
Una caratteristica importante: R. search ha nel suo database anche dati archiviati da DNM già chiusi. I mercati sulla Darknet aumentano e diminuiscono, e i venditori spesso devono migrare da un posto all’altro. Le loro statistiche di mercato di solito non appaiono nel nuovo posto e gli acquirenti devono fidarsi delle parole dei venditori che sono degni di fiducia, affidabili ecc. Grazie a R. search gli acquirenti possono controllare la reputazione dei venditori nei vecchi DNM. R. search ha un tipo di motore di ricerca molto interessante in cui è possibile trovare i venditori in base alla loro impronta digitale PGP o chiave pubblica PGP2. Grazie a questo, quando qualcuno afferma di essere il signor X e di aver ottenuto ottimi punteggi su DNM che sono già morti, si può controllare se il signor X su questi DNM morti aveva la stessa PGP Key. La PGP Key è il modo principale per gli utenti di Darknet di autenticarsi.
*Lista dei DNM morti che è stata aggiunta al database di ricerca R. *
Altri motori di ricerca nella Darknet
Come ho scritto all’inizio, R. search non è il primo motore di ricerca in TOR. Il primo ben riconoscibile è stato Grams. Ha operato dal 2014 fino alla fine del 2017. Grams era ben noto e apprezzato dalla comunità TOR. Il sito web era collegato al mixer di criptovalute Helix, e per questo il suo creatore è stato accusato di cospirazione per riciclaggio di denaro da un tribunale statunitense il mese scorso.
Ecco come appariva Grams. Vi sembra familiare?
Nel novembre 2019, un nuovo motore di ricerca TOR chiamato K. ha iniziato il suo vettore. Il suo nome e le sue caratteristiche di filtro sono simili a Grams. I suoi proprietari hanno anche avviato il proprio mixer di criptovalute, che ancora di più ricorda il modus operandi di Grams. Il vantaggio principale che K. ha rispetto a R. search è che K. indicizza non solo DNM, ma anche i forum (556 mila post di 6 forum) in TOR. K. ha anche indicizzato più annunci di R. (66,5 mila), ma molto meno venditori (2,9 mila) e recensioni (257 mila). K. ha indicizzato 7 DNM – 1 in più della ricerca di R.
*Statistiche, filtri di ricerca e notizie sul sito del motore di ricerca K. Gli osservatori perspicaci troveranno i messaggi al gruppo di “persone” che i truffatori di Darknet odiano di più. Non sono poliziotti. *
E se dietro tutto questo ci fossero le forze dell’ordine?
Può sembrare una teoria del complotto, ma da settembre 2019 molti utenti TOR hanno limitato la loro fiducia nel forum D. e nel suo amministratore principale – HugBunter. Dall’inizio del 2019 D. forum è sotto attacchi DDoS3 e a causa di ciò, D. forum a volte non era disponibile. Durante il mese di settembre, il forum D. è stato giù a causa della manutenzione per più di una settimana, quando il deadman switch di HugBunter è stato attivato. Un interruttore deadman è un tipo di sistema di sicurezza impostato da ogni individuo per avvisare persone scelte dopo un’assenza insolitamente lunga. Per esempio, in passato, Edward Snowden e la roba di Wikileaks lo hanno usato per garantire che certi file saranno inviati a certe email se, per qualche motivo, non saranno in grado di fare qualcosa (come il login a qualche portale)4. Nel caso di HugBunter non ha comunicato con nessuno per 3 giorni, mentre in passato è rimasto in silenzio per 1 giorno al massimo. Un dettaglio cruciale qui è il fatto che è scomparso nello stesso periodo in cui il forum di D. era giù e molte cose allarmanti sono accadute in TOR (più avanti). Secondo altri amministratori e moderatori, quello è stato il primo caso di una situazione simile. Alcuni truffatori e portali internet annunciarono la morte di D. forum.
HugBunter è tornato e ha lanciato D. forum il 1 ottobre e ha detto che ha avuto alcuni problemi, ma tutto è ok ora e il forum è tornato con nuove caratteristiche. Ha chiaramente ignorato il trambusto che il suo cambio di Deadman aveva causato. Dobbiamo sottolineare che tutto ciò è accaduto durante il periodo più duro per la società Darknet e c’erano un sacco di ragioni per ogni truffatore per stare all’erta. All’inizio di settembre l’amministratore principale di un altro forum TOR è scomparso, quando è tornato non aveva accesso alla sua PGP Key e non poteva autorizzarsi. Il 22 settembre il Berlusconi Market, uno dei più vecchi DNM in lingua inglese dell’epoca, è stato sequestrato dalle forze dell’ordine italiane. A novembre l’amministratore di Samsara Market, un DNM apparso qualche mese prima e che sosteneva di essere un successore di Dream Market, è scomparso. Dream Market è stato il più grande DNM fino a marzo 2019 e quasi nessuno credeva che Samsara fosse collegato a loro. Inoltre, nel novembre 2019 Cryptonia Market, DNM considerato il più sicuro da usare per le sue caratteristiche di sicurezza, ha smesso di funzionare per motivi sconosciuti.
A fine novembre, l’amministratore del portale ampiamente rispettato ha dichiarato di non fidarsi più del team del forum D. Come ha scritto nel messaggio successivo: “Molte persone qui intorno sono obiettivi delle forze dell’ordine (LE). Ma è altamente insolito continuare a fidarsi di un noto obiettivo delle FO dopo una prolungata e non pianificata scomparsa. Uno che ha innescato un “interruttore dell’uomo morto” precedentemente non annunciato, consegnando il controllo del server a un Paris che nessuno conosce o ha ragione di fidarsi. Poi almeno tre mercati spariscono, tutti alla fine dell’anno: Stagione di caccia ai criptomercati”. Più tardi la discussione in TOR si è calmata. Molti truffatori non sono ancora sicuri della squadra del forum D. Il futuro mostrerà da che parte della “Forza” si trovano.
Obiettivo n.1 da intercettare
Dal punto di vista delle forze dell’ordine, D. forum dovrebbe essere l’obiettivo numero 1 da intercettare. Al momento, il suo ruolo di principale hub informativo è molto più importante per gli utenti di Darknet rispetto al ruolo di qualsiasi DNM, in particolare per gli utenti di bassa e media esperienza. La vita di ogni DNM è limitata e a causa di questo carattere commerciale ognuno di loro alla fine farà una truffa di uscita o sarà sequestrato dalle forze dell’ordine. Soprattutto nell’ultimo anno la rotazione dei DNM è aumentata. Al contrario, D. forum sembra più stabile, affidabile e sicuro. Inoltre, lo staff di D. forum ufficialmente non vende beni illeciti, quindi possono essere visti come obiettivi meno attraenti per le forze dell’ordine. Ma vendono pubblicità a venditori di Darknet e questo può essere il terreno per un’accusa di riciclaggio di denaro. Infatti, un caso simile si è verificato nel caso deepdotweb.com, dove i proprietari del portale sono stati accusati di cospirazione per riciclaggio di denaro per tali pubblicità.
Regole per le pubblicità sul forum D. Pagamento solo in Bitcoin.
Per le forze dell’ordine intercettare e gestire un tale hub informativo collegato a un motore di ricerca DNM avrebbe molti vantaggi: decidere chi è affidabile, quale metodo di frode funziona, sorveglianza degli utenti e delle loro comunicazioni, trovare i truffatori più attivi, falsa creazione di tendenze, diffusione di disinformazione e molti altri. Non ci sono prove concrete che tale intercettazione sia avvenuta, ma di sicuro il forum D. e il motore di ricerca R. sono nella lista dei bersagli delle forze dell’ordine. Fino a quando tali prove non appariranno o le forze dell’ordine li sequestreranno, sempre più utenti TOR useranno questi servizi e saranno guidati da esso.
Per vedere il mio ultimo articolo sullo stato della darknet, controlla il mio articolo “Will Instability in English Language Darknet Markets Open the Door for Hydra?” su about-fraud.com.
-
The Onion Router (TOR) è un protocollo sicuro e criptato per garantire la privacy dei dati e delle comunicazioni sul web. Utilizza una serie di nodi stratificati per nascondere l’indirizzo IP, i dati online e la cronologia di navigazione. Originariamente sviluppato dal governo degli Stati Uniti, è ora visto come un sistema pericoloso che spesso viene utilizzato per scopi illegali o non etici. Ci sono altre reti criptate simili a TOR e tutte insieme formano Darknet.
-
Pretty Good Privacy (PGP) è un programma popolare usato per criptare e decriptare le e-mail su Internet, così come per autenticare i messaggi con firme digitali e file memorizzati criptati.
-
L’attacco DDoS (Distributed Denial of Service) è un tentativo di rendere un servizio online non disponibile sommergendolo con traffico da fonti multiple. Fonte: www.digitalattackmap.com/understanding-ddos/
-
Descrizione più dettagliata del deadman switch di HugBunter: “HugBunter ha acquistato un server a buon mercato, uno script è stato messo in atto per inviare una e-mail ad ogni moderatore del forum D. se nessun login è stato fatto su quel server entro X quantità di giorni. Hug ha istruito (durante un periodo in cui non era compromesso) il suo staff a pubblicare questo messaggio senza fallire se mai avessero ricevuto questa email/allarme, questo era il loro dovere e Paris (un altro amministratore del forum di D.) lo ha adempiuto. Molti di questi tipi di sistemi avrebbero potuto essere messi in atto, ma il processo semplice è; se un passo non viene fatto entro un certo periodo di tempo l’interruttore si spegne. Non c’è modo di attivare un interruttore a uomo morto. È tutto predefinito con tutte le variabili che ci sono, l’unico modo per evitare che il suddetto interruttore si spenga sarebbe quello di eliminare il sistema o soddisfare il requisito impostato per ritardare o impedire che si spenga.”