Administratorzy największego anglojęzycznego forum w TOR1 rozpoczęli nowy projekt dla Darknetowych przestępców. 2 marca uruchomili nową wyszukiwarkę R. (coś jak Google), która pozwala użytkownikom na wyszukiwanie nielegalnych towarów z wielu Darknet Markets jednocześnie. W rezultacie, nielegalne informacje będą o wiele łatwiejsze do znalezienia dla każdego cyberprzestępcy.
Krótkie wyjaśnienie dla początkujących użytkowników Darknetu: Darknet nie przypomina czystej sieci. Nie ma głównej strony jak Google czy Bing, która pozwala na przeszukiwanie całej przestrzeni darknetu. Aby dostać się do jakiejkolwiek strony, musisz znać dokładny link lub adres. Istnieją fora, które mogą cię poprowadzić przez darknet, ale żeby na nie wejść, musisz wiedzieć, że w ogóle istnieją. Dlatego też podjęto próby stworzenia odpowiedniej wyszukiwarki, która ułatwiłaby badanie nielegalnej działalności. Oczywiście porównywanie Google do wyszukiwarek R. jest dużym uproszczeniem. Za pomocą Google możemy przeszukać prawie cały Clearnet, natomiast za pomocą R. search możemy zbadać tylko darknetowe rynki (DNM) w TORze i to nawet nie wszystkie.
Niemal jak Google
Pomysł na wyszukiwarkę Darknet Market (DNM), w której można przeglądać oferty różnych sklepów nie jest nowy. Tym, co jest wyjątkowe tym razem, są ludzie, którzy za tym stoją. Jest to zespół administratorów i moderatorów „D. forum” – największego forum dyskusyjnego w anglojęzycznej sferze TOR, uruchomionego w lutym 2018 roku jako odpowiedź na kolejne banowanie tematów związanych z Darknetem na Reddicie. D. stało się jednym z głównych hubów informacyjnych na temat TORa. Ilekroć więc szukasz opinii na temat DNM, konkretnych sprzedawców DNM, nowych metod oszustwa lub po prostu nie wiesz, gdzie coś kupić, to forum jest pierwszym miejscem, do którego udaje się wielu użytkowników Darknetu. Dotyczy to również tych, którzy szukają poradników, jak popełniać oszustwa, nowych usług w DNM, najnowszych wydarzeń w Darknecie i wszystkiego, co z nim związane, oszustw, narkotyków lub innych nielegalnych działań. Na tym forum istnieje wiele działów, które wyraźnie traktują o nielegalnych działaniach, takich jak oszustwa, carding, Fraud Resources, Counterfeiting, Dark Markets, Fake ID, Fake Money, LSD, Drug Manufacture, Malware, Hacking, itp.
Każdy duży DNM i każdy popularny rodzaj oszustwa i narkotyku ma swoją własną sekcję. Istnieją również sekcje dla poszczególnych krajów, kryptowalut i popularnych stron TOR. Zabronione są jedynie tematy związane z pedofilią, pro-terroryzmem, truciznami, bronią i zamachami. Poza tym jest pełna wolność słowa.
Przykłady najpopularniejszych podforum na forum D. Oszustwa, carding, hacking należą do najpopularniejszych. Dream Market, Cryptonia i NightMare Market to już martwe DNMy.
Twórcy forum D. są już jednymi z najbardziej wpływowych sprzedawców w anglojęzycznej części TORa i cieszą się dobrą reputacją. Dlatego też otwarcie R. search może dać im nową rolę. Aby podkreślić związek między dobrze szanowanym forum, R. search wymaga logowania z D. forum, aby zarejestrować się na R. search. Jest to nawet obowiązkowe, jeśli jesteś sprzedawcą DNM i chcesz zaktualizować informacje o sobie w R. search. Nie podano informacji, czy wyszukiwarka R. search zbiera informacje o wyszukiwaniach użytkowników i ich preferencjach. Jak wszyscy wiemy, Google wykorzystuje historię wyszukiwania do profilowania internautów. Co jeśli zespół D. może zrobić to samo i sprofilować, którzy z jego użytkowników są zainteresowani jakimi nielegalnymi rzeczami? Mogłoby być wiele narzędzi do uzyskania więcej informacji o użytkownikach Darknetu, którzy chcą pozostać anonimowi.
Wygląd R. search
R. search wygląda naprawdę ładnie (w porównaniu do innych stron Darknetu) i jest przyjazny dla użytkownika. Posiada podstawowe funkcje filtrowania, w tym: minimalną i maksymalną cenę, kraj wysyłki, Darknet Markets. W chwili pisania tego artykułu wyszukiwarka R. search indeksuje 23,7 tys. sprzedawców, 61 tys. listingów (tak nazywamy oferty na DNM) oraz 1,3 mln opinii użytkowników DNM. Obecnie w R. search znajduje się tylko 6 aktywnych DNM plus dane archiwalne o DNM, których już nie ma. Kluczową kwestią jest sposób dodawania nowych DNM i kto o tym decyduje. Zespół forum D. chce stworzyć bazę danych zawierającą tylko sprawdzonych dostawców DNM, bez oszustów. Oczywiście to oni sami decydują o tym, które DNM są na tyle wiarygodne, aby dodać je do bazy, a które nie. Dzięki temu rola grupy w infosferze Darknetu staje się coraz bardziej znacząca.
Główna strona nowej wyszukiwarki R.
Ważna cecha: R. search posiada w swojej bazie danych również zarchiwizowane dane z zamkniętych już DNM-ów. Rynki w Darknecie powstają i upadają, a sprzedawcy często muszą migrować z jednego miejsca do drugiego. Ich statystyki rynkowe zazwyczaj nie pojawiają się w nowym miejscu, a kupujący muszą ufać słowom sprzedawców, że są godni zaufania, rzetelni itp. Dzięki R. search kupujący mogą sprawdzić reputację sprzedawców w starych DNM. R. search posiada bardzo ciekawy rodzaj wyszukiwarki, w której można znaleźć sprzedawców po ich PGP fingerprint lub Public PGP Key2. Dzięki temu, gdy ktoś twierdzi, że jest panem X i miał świetne wyniki na martwych już DNM-ach, można sprawdzić, czy pan X na tych martwych DNM-ach miał ten sam klucz PGP. Klucz PGP jest głównym sposobem uwierzytelniania się użytkowników Darknetu.
*Lista martwych DNM, które zostały dodane do bazy danych wyszukiwania R. *
Inne wyszukiwarki w Darknecie
Jak pisałem na początku, R. search nie jest pierwszą wyszukiwarką w TORze. Pierwszą dobrze rozpoznawalną był Grams. Działała ona od 2014 roku do końca 2017 roku. Grams był dobrze znany i ceniony przez społeczność TORa. Strona była powiązana z mikserem kryptowalutowym Helix i z tego powodu jej twórca został w ostatnim miesiącu oskarżony przez amerykański sąd o konspirację związaną z praniem brudnych pieniędzy.
Tak wyglądał Grams. Wygląda znajomo?
W listopadzie 2019 roku swoją nośność rozpoczęła nowa wyszukiwarka TOR o nazwie K. Jej nazwa i funkcje filtrów są podobne do Grams. Jej właściciele uruchomili również własny mieszalnik kryptowalut, który jeszcze bardziej przypomina modus operandi Grams. Główną przewagą K. nad R. search jest to, że K. indeksuje nie tylko DNM, ale także fora (556 tys. postów z 6 forów) w TOR. K. zaindeksował także więcej ofert niż R. (66,5 tys.), ale znacznie mniej sprzedawców (2,9 tys.) i recenzji (257 tys.). K. zaindeksował 7 DNM – o 1 więcej niż wyszukiwarka R.
*Statystyki, filtry wyszukiwania i aktualności na stronie wyszukiwarki K.. Wnikliwi obserwatorzy znajdą wiadomości do grupy „ludzi”, których oszuści z Darknetu nienawidzą najbardziej. To nie są policjanci. *
Co jeśli za tym wszystkim stoi Law Enforcement?
Może to wyglądać jak teoria spiskowa, ale od września 2019 roku wielu użytkowników TOR ograniczyło swoje zaufanie do forum D. i jego głównego administratora – HugBuntera. Od początku 2019 roku D. forum jest pod atakami DDoS3 i z tego powodu D. forum w niektórych momentach było niedostępne. We wrześniu forum D. było niedostępne z powodu konserwacji przez ponad tydzień, kiedy to aktywowany został deadman switch HugBuntera. Wyłącznik deadman to rodzaj systemu bezpieczeństwa, który każda osoba ustawia tak, aby powiadomić wybrane osoby po wyjątkowo długiej nieobecności. Na przykład w przeszłości Edward Snowden i WikiLeaks używali go, aby zapewnić, że pewne pliki zostaną wysłane na pewne e-maile, jeśli z jakiegoś powodu nie będą mogli czegoś zrobić (np. zalogować się do jakiegoś portalu)4. W przypadku HugBuntera nie komunikował się on z nikim przez 3 dni, podczas gdy w przeszłości milczał maksymalnie przez 1 dzień. Istotnym szczegółem jest fakt, że zniknął w tym samym czasie, kiedy padło forum D. i w TORze działo się wiele niepokojących rzeczy (więcej na ten temat poniżej). Według innych administratorów i moderatorów, był to pierwszy przypadek takiej sytuacji. Kilku oszustów i portali internetowych ogłosiło śmierć D. forum.
HugBunter powrócił i uruchomił D. forum 1 października i powiedział, że miał pewne problemy, ale teraz wszystko jest w porządku i forum wróciło z nowymi funkcjami. Wyraźnie zignorował zamieszanie, jakie wywołała jego zmiana Deadmana. Musimy podkreślić, że wszystko to działo się w ciężkim okresie dla społeczności Darknetu i było wiele powodów dla każdego oszusta, aby zachować czujność. Na początku września zniknął główny admin innego forum TOR, kiedy wrócił nie miał dostępu do swojego klucza PGP i nie mógł się autoryzować. 22 września Berlusconi Market, jeden z najstarszych anglojęzycznych DNM w tym czasie, został przejęty przez włoskie organy ścigania. W listopadzie zaginął administrator Samsara Market, DNM, który pojawił się kilka miesięcy wcześniej i twierdził, że jest następcą Dream Market. Dream Market był największym DNM do marca 2019 roku i prawie nikt nie wierzył, że Samsara jest z nimi powiązana. Również w listopadzie 2019 roku Cryptonia Market, DNM uważany za najbezpieczniejszy w użyciu ze względu na swoje zabezpieczenia, przestał działać z nieznanych powodów.
Pod koniec listopada administrator powszechnie szanowanego portalu stwierdził, że nie ufa już zespołowi forum D.. Jak napisał w kolejnej wiadomości: „Wiele osób wokół nas jest celami Law Enforcement (LE). Ale jest to bardzo niezwykłe, aby nadal ufać znanemu celowi LE po długotrwałym, nieplanowanym zniknięciu. Jeden, który uruchomił wcześniej niezapowiedziany „przełącznik martwego człowieka”, przekazując kontrolę nad serwerem do Paryża, którego nikt nie zna ani nie ma zdrowego powodu, by mu ufać. Potem znikają co najmniej trzy rynki, wszystkie pod koniec roku: Sezon polowań na kryptomarkety”. Późniejsze dyskusje w TOR uspokoiły się. Wielu oszustów nadal nie jest pewnych zespołu forum D.. Przyszłość pokaże, po której stronie „Mocy” się znajdują.
Cel nr 1 do przechwycenia
Z punktu widzenia organów ścigania, D. forum powinno być celem numer 1 do przechwycenia. W chwili obecnej, jego rola jako głównego centrum informacji jest o wiele ważniejsza dla użytkowników Darknetu niż rola jakiegokolwiek DNM, szczególnie dla użytkowników o niskim i średnim poziomie doświadczenia. Czas życia każdego DNM jest ograniczony i ze względu na ten biznesowy charakter każdy z nich w końcu dokona oszustwa lub zostanie przejęty przez organy ścigania. Szczególnie w ostatnim roku wzrosła rotacja DNM. W przeciwieństwie do tego, D. forum wygląda na bardziej stabilne, niezawodne i bezpieczne. Co więcej, pracownicy forum D. oficjalnie nie sprzedają żadnych nielegalnych towarów, więc mogą być postrzegani jako mniej atrakcyjny cel dla organów ścigania. Sprzedają jednak reklamy sprzedawcom z Darknetu, a to może być podstawą do oskarżenia o pranie brudnych pieniędzy. W rzeczywistości, podobny przypadek miał miejsce w sprawie deepdotweb.com, gdzie właściciele portalu zostali oskarżeni o pranie brudnych pieniędzy za takie reklamy.
Reguły dotyczące reklam na forum D. Płatność tylko w Bitcoinach.
Dla organów ścigania przechwycenie i uruchomienie takiego węzła informacyjnego połączonego z wyszukiwarką DNM miałoby wiele zalet: decydowanie o tym, kto jest wiarygodny, która metoda oszustwa działa, nadzór nad użytkownikami i ich komunikacją, wyszukiwanie najbardziej aktywnych oszustów, fałszywe kreowanie trendów, rozpowszechnianie dezinformacji i wiele innych. Nie ma twardych dowodów na to, że takie przechwycenie miało miejsce, ale z pewnością forum D. i wyszukiwarka R. znajdują się na liście celów organów ścigania. Dopóki takie dowody się nie pojawią lub nie zostaną przejęte przez organy ścigania, coraz więcej użytkowników TOR-a będzie korzystać z tych usług i kierować się nimi.
Aby zapoznać się z moim najnowszym artykułem na temat stanu darknetu, proszę sprawdzić mój artykuł na temat „Will Instability in English Language Darknet Markets Open the Door for Hydra?” na about-fraud.com.
-
The Onion Router (TOR) jest bezpiecznym, szyfrowanym protokołem zapewniającym prywatność danych i komunikacji w sieci. Wykorzystuje on szereg warstwowych węzłów do ukrywania adresu IP, danych online i historii przeglądania. Pierwotnie opracowany przez rząd Stanów Zjednoczonych, jest obecnie postrzegany jako niebezpieczny system, który często jest wykorzystywany do nielegalnych lub nieetycznych celów. Istnieją inne sieci szyfrowane podobne do TOR-a, które razem tworzą Darknet.
-
Pretty Good Privacy (PGP) to popularny program używany do szyfrowania i odszyfrowywania poczty elektronicznej przez Internet, a także do uwierzytelniania wiadomości za pomocą podpisów cyfrowych i zaszyfrowanych przechowywanych plików.
-
Atak DDoS (ang. Distributed Denial of Service) to próba uczynienia usługi internetowej niedostępną poprzez przytłoczenie jej ruchem z wielu źródeł. Źródło: www.digitalattackmap.com/understanding-ddos/
-
Szczegółowy opis deadman switcha HugBuntera: „HugBunter zakupił tani serwer, wprowadzono skrypt, który wysyłał e-mail do każdego moderatora forum D., jeśli w ciągu X dni na tym serwerze nie dokonano żadnego logowania. Hug poinstruował (w czasie, gdy nie był zagrożony) swoich pracowników, aby opublikowali tę wiadomość bezbłędnie, jeśli kiedykolwiek otrzymają ten email/alert, to był ich obowiązek i Paris (inny administrator forum D.) go wypełnił. Wiele tego typu systemów mogło zostać wprowadzonych w życie, ale prosty proces polega na tym, że jeśli jakiś krok nie zostanie podjęty w określonym czasie, wyłącznik się wyłączy. Nie ma sposobu, aby aktywować przełącznik deadman. Wszystko jest predefiniowane z jakimikolwiek zmiennymi, jedynym sposobem na zapobieżenie wyłączeniu wyłącznika byłoby usunięcie systemu lub spełnienie wymogu ustawionego w celu opóźnienia lub zapobieżenia wyłączeniu.”