Administrators van het grootste Engelstalige forum in TOR1 zijn een nieuw project gestart voor Darknet-criminelen. Op 2 maart hebben zij een nieuwe R. zoekmachine (zoiets als Google) gelanceerd waarmee gebruikers in één keer kunnen zoeken naar illegale koopwaar van vele Darknet Markets. Als gevolg hiervan zal illegale informatie veel gemakkelijker te vinden zijn voor elke cybercrimineel.
Een korte uitleg voor Darknet-beginners: Het Darknet lijkt niet op het heldere web. Je hebt geen hoofdpagina zoals Google of Bing waarmee je het hele darknet kunt doorzoeken. Om een website te bereiken, moet je de exacte link of het adres weten. Er zijn forums die je door het darknet kunnen gidsen, maar om ze te betreden moet je in de eerste plaats weten dat ze bestaan. Daarom zijn er pogingen geweest om een goede zoekmachine te creëren om het onderzoek naar illegale activiteiten te vergemakkelijken. Google vergelijken met R. zoekmachines is natuurlijk een grote simplificatie. Met Google kunnen we bijna het hele Clearnet doorzoeken, terwijl we met R. search alleen darknet markets (DNM) in TOR kunnen onderzoeken en niet eens allemaal.
Bijna zoals Google
Het idee van een zoekmachine voor Darknet Market (DNM) waar men aanbiedingen van verschillende winkels kan doorzoeken is niet nieuw. Wat deze keer uniek is, zijn de mensen erachter. Het is een team van beheerders en moderators van “D. forum” – het grootste discussieforum in de Engelstalige sfeer van TOR, gelanceerd in februari 2018 als een reactie op het verder verbannen van Darknet gerelateerde onderwerpen op Reddit. D. werd een van de belangrijkste informatieve hubs over TOR. Dus wanneer je op zoek bent naar meningen over DNM, specifieke DNM-verkopers, nieuwe fraudemethoden of je weet gewoon niet waar je iets kunt kopen, is dat forum de eerste plek waar veel Darknet-gebruikers naartoe gaan. Het geldt ook voor degenen die op zoek zijn naar handleidingen over hoe je fraude moet plegen, nieuwe diensten in DNM, de laatste gebeurtenissen op het Darknet of alles wat daarmee te maken heeft, fraude, drugs of andere illegale activiteiten. Op dit forum zijn er veel secties, die duidelijk over een illegale activiteit gaan, zoals Fraude, Carding, Fraude Resources, Namaak, Dark Markets, Fake ID, Nepgeld, LSD, Drugs Fabricage, Malware, Hacking, etc.
Elke grote DNM en elke populaire vorm van fraude en drugs heeft zijn eigen sectie. Ook zijn er secties voor bepaalde landen, cryptocurrencies en populaire TOR websites. Alleen pedofilie, pro-terrorisme, vergif, wapens en moord gerelateerde onderwerpen zijn verboden. Voor de rest is er volledige vrijheid van meningsuiting.
Voorbeelden van de populairste subforums op het D. forum. Fraude, carding, hacking behoren tot de populairste. Dream Market, Cryptonia en NightMare Market zijn al dode DNM’s.
De makers van het D. Forum zijn al een van de meest invloedrijke verkopers in het Engels sprekende deel van TOR en hebben de reputatie. Daarom zou het openen van R. search hen een nieuwe rol kunnen geven. Om de connectie tussen het gerespecteerde forum te onderstrepen, vereist R. search een login van D. forum om je aan te melden op R. search. Dit is zelfs verplicht als je DNM-verkoper bent en je informatie over jezelf in R. search wilt updaten. Er is geen informatie gegeven of de R. search engine informatie verzamelt over de zoekopdrachten van gebruikers en hun voorkeuren. Zoals wij allen weten gebruikt Google de zoekgeschiedenis om websurfers te profileren. Wat als het D. team dezelfde functie kan maken, en kan profileren welke van zijn gebruikers geïnteresseerd zijn in welk type van illegale dingen? Er zouden veel tools kunnen zijn om meer informatie te krijgen over Darknet gebruikers die anoniem willen blijven.
Het uiterlijk van R. search
R. search ziet er erg mooi uit (in vergelijking met andere Darknet websites) en is gebruikersvriendelijk. Het heeft basis filter functies, inclusief: minimum en maximum prijs, land van verzending, Darknet Markten. Op het moment van schrijven van dit artikel heeft R. search 23,7 duizend verkopers geïndexeerd, 61 duizend listings (zo noemen we aanbiedingen op DNM) en 1,3 miljoen beoordelingen van DNM gebruikers. Op dit moment bevat R. search slechts 6 actieve DNM plus archiefgegevens over DNM die al verdwenen zijn. Cruciaal is hoe nieuwe DNM’s worden toegevoegd en wie daarover beslist. Het D. forum team wil een database creëren met alleen betrouwbare DNM verkopers, zonder oplichters. Natuurlijk is het hun eigen beslissing welke DNM betrouwbaar genoeg zijn om aan de database te worden toegevoegd en welke niet. Hierdoor wordt de rol van de groep in de Darknet-infosfeer steeds belangrijker.
Hoofdsite van nieuwe R. zoekmachine.
Een belangrijk kenmerk: R. search heeft in zijn database ook gearchiveerde gegevens van reeds gesloten DNM’s. Markten op het Darknet komen en gaan, en verkopers moeten vaak migreren van de ene plaats naar de andere. Hun marktstatistieken verschijnen gewoonlijk niet op de nieuwe plaats en kopers moeten vertrouwen op de woorden van verkopers dat zij betrouwbaar zijn, enz. Dankzij R. search kunnen kopers de reputatie van verkopers in de oude DNM’s controleren. R. search heeft een zeer interessante zoekmachine waarmee je verkopers kunt vinden op basis van hun PGP-vingerafdruk of openbare PGP-sleutel2. Dankzij dat, wanneer iemand beweert dat hij Mr. X is en hij geweldige scores had op DNM’s die al dood zijn, kan men controleren of Mr. X op deze dode DNM dezelfde PGP Sleutel had. PGP Key is de belangrijkste manier voor Darknet gebruikers om zichzelf te authenticeren.
*Lijst van dode DNM die is toegevoegd aan R. search database. *
Andere zoekmachines in het Darknet
Zoals ik in het begin al schreef, is R. search niet de eerste zoekmachine in TOR. De eerste goed herkenbare was Grams. Deze werkte van 2014 tot eind 2017. Grams was goed bekend en werd gewaardeerd door de TOR-gemeenschap. De website was gelinkt aan de cryptocurrency mixer Helix, en daardoor werd de maker ervan vorige maand door een Amerikaanse rechtbank aangeklaagd voor samenzwering om geld wit te wassen.
Zo zag Grams eruit. Komt het je bekend voor?
In november 2019 begon een nieuwe TOR-zoekmachine genaamd K. zijn drager. Zijn naam en filterfuncties zijn vergelijkbaar met Grams. De eigenaren ervan begonnen ook hun eigen cryptocurrency-mixer, die nog meer doet denken aan de modus operandi van Grams. Het belangrijkste voordeel dat K. heeft ten opzichte van R. search is dat K. niet alleen DNM indexeert, maar ook fora (556 duizend forumberichten van 6 fora) in TOR. K. heeft ook meer listings geïndexeerd dan R. (66,5 duizend), maar veel minder verkopers (2,9 duizend) en reviews (257 duizend). K. heeft 7 DNM geïndexeerd – 1 meer dan R. search.
*Statistieken, zoekfilters en nieuws op K. zoekmachine website. Oplettende waarnemers vinden berichten over groep “mensen” die Darknet-oplichters het meest haten. Het zijn geen agenten. *
Wat als Wetshandhaving achter dit alles zit?
Het lijkt misschien een complottheorie, maar sinds september 2019 hebben veel TOR-gebruikers hun vertrouwen in het D. forum en de belangrijkste beheerder – HugBunter – beperkt. Sinds begin 2019 ligt D. forum onder DDoS-aanvallen3 en daardoor was D. forum bij tijd en wijle niet beschikbaar. In september lag D. forum meer dan een week plat wegens onderhoud, toen HugBunter’s deadman switch werd geactiveerd. Een dodemansknop is een soort beveiligingssysteem dat door elk individu wordt ingesteld om gekozen personen te verwittigen na een ongewoon lange afwezigheid. In het verleden gebruikten Edward Snowden en Wikileaks het bijvoorbeeld om ervoor te zorgen dat bepaalde bestanden naar bepaalde emails worden gestuurd als ze om een of andere reden niet in staat zijn om iets te doen (zoals inloggen op een portaal)4. In het geval van HugBunter heeft hij 3 dagen met niemand gecommuniceerd, terwijl hij in het verleden maximaal 1 dag heeft gezwegen. Een cruciaal detail hier is het feit dat hij verdween op hetzelfde moment als toen D. forum down was en er veel alarmerende dingen gebeurden in TOR (meer hierover hieronder). Volgens andere beheerders en moderatoren was dat het allereerste geval van een dergelijke situatie. Sommige oplichters en Internet portals kondigden de dood van D. forum aan.
HugBunter kwam terug en lanceerde D. forum op 1 oktober en zei dat hij wat problemen had, maar dat alles nu ok is en dat het forum terug kwam met nieuwe features. Hij negeerde duidelijk de ophef die zijn Deadman switch had veroorzaakt. We moeten benadrukken dat dit alles gebeurde tijdens de harde tijd voor de Darknet samenleving en er was veel reden voor elke boef om alert te blijven. Begin september verdween de hoofdadmin van een ander TOR forum, toen hij terugkwam had hij geen toegang meer tot zijn eigen PGP Key en kon hij zichzelf niet autoriseren. Op 22 september werd Berlusconi Market, op dat moment een van de oudste Engelstalige DNM, in beslag genomen door de Italiaanse wetshandhaving. In november is de beheerder van Samsara Market, een DNM die een paar maanden eerder verscheen en beweerde een opvolger van Dream Market te zijn, vermist geraakt. Dream Market was tot maart 2019 de grootste DNM en bijna niemand geloofde dat Samsara met hen verbonden is. Ook stopte in november 2019 Cryptonia Market, DNM die beschouwd werd als de veiligste om te gebruiken vanwege zijn beveiligingsfuncties, om onbekende redenen met werken.
Aan het einde van november verklaarde de beheerder van het alom gerespecteerde portaal dat hij het team van het D. forum niet meer vertrouwde. Zoals hij in het volgende bericht schreef: “Veel mensen hier zijn doelwitten van de rechtshandhaving (LE). Maar het is hoogst ongebruikelijk om een bekend LE doelwit te blijven vertrouwen na een langdurige, ongeplande verdwijning. Eén die een eerder onaangekondigde “dodemansknop” activeerde, waardoor de servercontrole werd overgedragen aan een Parijs dat niemand kent of een verstandige reden heeft om te vertrouwen. Dan verdwijnen er minstens drie markten, allemaal aan het eind van het jaar: Jachtseizoen op de Cryptomarkt.” Later kalmeerde de discussie in TOR. Veel oplichters zijn nog steeds niet zeker van het D. forum team. De toekomst zal uitwijzen aan welke kant van “de Kracht” ze staan.
Doelwit nr.1 om te onderscheppen
Vanuit het oogpunt van rechtshandhaving zou D. forum doelwit nr.1 moeten zijn om te onderscheppen. Op dit moment is zijn rol als belangrijkste informatieknooppunt veel belangrijker voor Darknet-gebruikers dan de rol van welke DNM dan ook, met name voor gebruikers met weinig of weinig ervaring. De levensduur van elke DNM is beperkt en vanwege dit zakelijke karakter zal elke DNM uiteindelijk een exit scam maken of in beslag worden genomen door de rechtshandhaving. Vooral in het laatste jaar is de rotatie van DNM’s toegenomen. In tegenstelling tot deze achtergrond lijkt D. forum stabieler, betrouwbaarder en veiliger. Bovendien verkoopt het personeel van D. forum officieel geen illegale goederen, zodat ze kunnen worden gezien als minder aantrekkelijke doelwitten voor wetshandhavers. Maar zij verkopen wel advertenties aan Darknet verkopers en dit kan de grond zijn voor een aanklacht van witwassen. Een soortgelijk geval deed zich voor in de zaak deepdotweb.com, waar de eigenaars van het portaal werden beschuldigd van samenzwering voor het witwassen van geld voor dergelijke advertenties.
Regels voor advertenties op D. forum. Betaling alleen in Bitcoins.
Als rechtshandhavingsinstanties zo’n informatieknooppunt zouden onderscheppen en beheren dat is verbonden met een DNM-zoekmachine, zou dat veel voordelen hebben: bepalen wie betrouwbaar is, welke fraudemethode werkt, toezicht houden op gebruikers en hun communicatie, de meest actieve oplichters opsporen, ten onrechte trends creëren, desinformatie verspreiden en nog veel meer. Er zijn geen harde bewijzen dat een dergelijke interceptie heeft plaatsgevonden, maar zeker is dat D. forum en R. zoekmachine op de toplijst van doelwitten van rechtshandhavingsinstanties staan. Totdat dergelijk bewijs opduikt of de rechtshandhaving ze in beslag neemt, zullen meer en meer TOR-gebruikers deze diensten gebruiken en zich erdoor laten leiden.
Om mijn laatste artikel over de toestand van het darknet te lezen, bekijk mijn artikel “Will Instability in English Language Darknet Markets Open the Door for Hydra?” op about-fraud.com.
-
The Onion Router (TOR) is een veilig, versleuteld protocol om de privacy van gegevens en communicatie op het web te waarborgen. Het maakt gebruik van een reeks gelaagde nodes om het IP-adres, onlinegegevens en de browsegeschiedenis te verbergen. Oorspronkelijk ontwikkeld door de Amerikaanse overheid, wordt het nu gezien als een gevaarlijk systeem dat vaak wordt gebruikt voor illegale of onethische doeleinden. Er zijn andere versleutelde netwerken die vergelijkbaar zijn met TOR en samen vormen ze Darknet.
-
Pretty Good Privacy (PGP) is een populair programma dat wordt gebruikt om e-mail via internet te versleutelen en te ontsleutelen, maar ook om berichten te authenticeren met digitale handtekeningen en versleutelde opgeslagen bestanden.
-
Distributed Denial of Service (DDoS)-aanval is een poging om een onlinedienst onbeschikbaar te maken door deze te overstelpen met verkeer uit meerdere bronnen. Bron: www.digitalattackmap.com/understanding-ddos/
-
Meer gedetailleerde beschrijving van HugBunter deadman switch: “HugBunter kocht een goedkope server, er werd een script opgezet om een e-mail te sturen naar elke moderator van het D. forum als er binnen X aantal dagen niet werd ingelogd op die server. Hug instrueerde (gedurende een tijd dat hij niet gecompromitteerd was) zijn personeel om dit bericht zonder mankeren te publiceren als ze ooit deze email/alert ontvingen, dat was hun plicht en Paris (een andere D. forum administrator) volbracht die. Er hadden meerdere van dit soort systemen kunnen worden opgezet, maar het eenvoudige proces is; als een stap niet binnen een bepaalde tijd wordt gezet, gaat de schakelaar uit. Er is geen manier om een dodemansknop te activeren. De enige manier om te voorkomen dat de schakelaar afgaat, is door het systeem te verwijderen of door te voldoen aan de eisen die zijn gesteld om het afgaan te vertragen of te voorkomen.