Administratörerna för det största engelsktalande forumet i TOR1 startade ett nytt projekt för Darknet-kriminella. Den 2 mars lanserade de en ny R. sökmotor (något som liknar Google) som gör det möjligt för användare att leta efter olagliga varor från många Darknet-marknader på en gång. Som ett resultat av detta kommer olaglig information att bli mycket lättare att hitta för alla cyberkriminella.
En kort förklaring för Darknet- nybörjare: Darknet liknar inte den tydliga webben. Du har inte en huvudsida som Google eller Bing som gör att du kan söka i hela Darknet-området. För att nå en webbplats måste du känna till den exakta länken eller adressen. Det finns forum som kan guida dig genom darknet, men för att komma in i dem måste du veta att de finns överhuvudtaget. Det är därför det har gjorts försök att skapa en riktig sökmotor för att underlätta forskningen om olaglig verksamhet. Att jämföra Google med R. sökmotorer är naturligtvis en stor förenkling. Med Google kan vi söka i nästan hela Clearnet medan vi med R. search endast kan utforska darknet markets (DNM) i TOR och inte ens alla.
Nästan som Google
Tanken på en sökmotor för Darknet Market (DNM) där man kan bläddra bland erbjudanden från olika butiker är inte ny. Det som är unikt den här gången är personerna bakom. Det är ett team av administratörer och moderatorer från ”D. forum” – det största diskussionsforumet i den engelskspråkiga sfären av TOR, som lanserades i februari 2018 som ett svar på det fortsatta förbudet mot Darknet-relaterade ämnen på Reddit. D. blev en av de viktigaste informationshubbarna på TOR. Så närhelst du letar efter åsikter om DNM, specifika DNM-försäljare, nya bedrägerimetoder eller om du bara inte vet var du ska köpa något, är detta forum det första stället som många Darknet-användare går till. Det gäller även dem som jagar handledning om hur man begår bedrägerier, nya tjänster i DNM, de senaste händelserna på Darknet eller något som är kopplat till det, bedrägerier, droger eller någon annan olaglig verksamhet. På det här forumet finns det många avsnitt som helt klart handlar om en olaglig verksamhet som bedrägeri, carding, bedrägeriresurser, förfalskning, Dark Markets, falska ID, falska pengar, LSD, drogtillverkning, malware, hackning osv.
Varje stor DNM och varje populär typ av bedrägeri och narkotika har sitt eget avsnitt. Det finns också sektioner för särskilda länder, kryptovalutor och populära TOR-webbplatser. Endast ämnen med anknytning till pedofili, proterrorism, gifter, vapen och lönnmord är förbjudna. Bortsett från det är det full yttrandefrihet.
Exempel på de mest populära underforumen på D. forum. Bedrägeri, carding, hackning är bland de mest populära. Dream Market, Cryptonia och NightMare Market är redan döda DNM.
Skaparna av D. Forum är redan en av de mest inflytelserika försäljarna i den engelskspråkiga delen av TOR och har ett gott rykte. Därför kan öppnandet av R. search ge dem en ny roll. För att understryka kopplingen mellan det välrenommerade forumet kräver R. search inloggning från D. forum för att registrera sig på R. search. Detta är till och med obligatoriskt om du är en DNM-leverantör och vill uppdatera information om dig i R. search. Det finns ingen information om huruvida R. search-motorn samlar in information om användarnas sökningar och deras preferenser. Som vi alla vet använder Google sökhistorik för att profilera webbsurfare. Tänk om D-teamet kan göra samma sak och profilera vilka av dess användare som är intresserade av vilken typ av olagliga saker? Det skulle kunna finnas många verktyg för att få mer information om Darknet-användare som vill vara anonyma.
Utseendet på R. search
R. search ser riktigt bra ut (i jämförelse med andra Darknet-webbplatser) och är användarvänligt. Den har grundläggande filterfunktioner, bland annat: lägsta och högsta pris, fraktland, Darknet Markets. När den här artikeln skrevs indexerade R. search engine 23,7 tusen säljare, 61 tusen listningar (det är vad vi kallar erbjudanden på DNM) och 1,3 miljoner recensioner från DNM-användare. För närvarande innehåller R. search endast 6 aktiva DNM plus arkivdata om DNM som redan är borta. Det avgörande är hur nya DNM läggs till och vem som beslutar om det. D. forum teamet vill skapa en databas med endast pålitliga DNM-leverantörer, utan bedragare. Naturligtvis är det deras eget beslut vilka DNM som är tillräckligt pålitliga för att läggas till i databasen och vilka som inte är det. Tack vare detta blir gruppens roll i Darknet-infosfären allt viktigare.
Huvudsida för den nya sökmotorn R.
En viktig funktion: R. search har i sin databas även arkiverade uppgifter från redan stängda DNM:er. Marknaderna på Darknet växer och faller, och säljarna måste ofta flytta från en plats till en annan. Deras marknadsstatistik visas vanligtvis inte på den nya platsen och köparna måste lita på säljarnas ord om att de är pålitliga, tillförlitliga osv. Tack vare R. search kan köparna kontrollera säljarnas rykte i de gamla DNM:erna. R. search har en mycket intressant typ av sökmotor där man kan hitta leverantörer genom deras PGP-fingeravtryck eller offentliga PGP-nyckel2. Tack vare detta kan man, när någon påstår att han är Mr X och att han hade bra resultat på DNM som redan är döda, kontrollera om Mr X på dessa döda DNM hade samma PGP-nyckel. PGP-nyckeln är det viktigaste sättet för Darknet-användare att autentisera sig själva.
*Lista över döda DNM som lagts till i R. search database. *
Andra sökmotorer i Darknet
Som jag skrev i början är R. search inte den första sökmotorn i TOR. Den första välkända var Grams. Den fungerade från 2014 till slutet av 2017. Grams var välkänd och uppskattad av TOR-gemenskapen. Webbplatsen var kopplad till kryptovalutablandaren Helix, och på grund av detta anklagades dess skapare för penningtvättskonspiration av en amerikansk domstol i förra månaden.
Så såg Grams ut. Ser det bekant ut?
I november 2019 startade en ny TOR-sökmotor kallad K. sin bärare. Dess namn och filterfunktioner liknar Grams. Dess ägare startade också sin egen kryptovalutablandare, som ännu mer påminner om Grams modus operandi. Den största fördelen K. har jämfört med R. search är att K. indexerar inte bara DNM utan även forum (556 tusen foruminlägg från 6 forum) i TOR. K. har också indexerat fler listor än R. (66,5 tusen), men mycket färre försäljare (2,9 tusen) och recensioner (257 tusen). K. har indexerat 7 DNM – 1 mer än R. search.
*Statistik, sökfilter och nyheter på webbplatsen för K:s sökmotor. Insiktsfulla observatörer hittar meddelanden till gruppen ”människor” som Darknet-skurkarna hatar mest. Det är inte poliser. *
Tänk om polisen ligger bakom allt?
Det kan se ut som en konspirationsteori, men sedan september 2019 har många TOR-användare begränsat sitt förtroende för forumet D. och dess huvudadministratör – HugBunter. Sedan början av 2019 är D. forum under DDoS-attacker3 och på grund av detta var D. forum ibland inte tillgängligt. Under september var D. forum nere på grund av underhåll i mer än en vecka, då HugBunter’s deadman switch aktiverades. En deadman switch är en typ av säkerhetssystem som inrättas av varje enskild person för att meddela utvalda personer efter en ovanligt lång frånvaro. Tidigare har t.ex. Edward Snowden och Wikileaks’ stuff använt den för att se till att vissa filer skickas till vissa e-postmeddelanden om de av någon anledning inte kommer att kunna göra något (t.ex. logga in på någon portal)4. I HugBunters fall kommunicerade han inte med någon på tre dagar, medan han tidigare höll tyst i högst en dag. En avgörande detalj här är det faktum att han försvann samtidigt som D. forum var nere och många alarmerande saker hände i TOR (mer om det nedan). Enligt andra administratörer och moderatorer var detta det allra första fallet av en sådan situation. Vissa skurkar och internetportaler tillkännagav D. forumets död.
HugBunter kom tillbaka och lanserade D. forum den 1 oktober och sa att han hade haft vissa problem, men att allt är okej nu och att forumet kom tillbaka med nya funktioner. Han ignorerade uppenbarligen den uppståndelse som hans Deadman-byte hade orsakat. Vi måste betona att allt detta hände under en tuff tid för Darknet-samhället och det fanns många skäl för varje skurk att vara uppmärksam. I början av september försvann huvudadministratören för ett annat TOR-forum, när han kom tillbaka hade han inte tillgång till sin egen PGP-nyckel och han kunde inte auktorisera sig själv. Den 22 september beslagtogs Berlusconi Market, ett av de äldsta engelskspråkiga DNM vid den tiden, av Italiens brottsbekämpande myndigheter. I november försvann administratören för Samsara Market, en DNM som dök upp några månader tidigare och som hävdade att den var en efterföljare till Dream Market. Dream Market var den största DNM fram till mars 2019 och nästan ingen trodde att Samsara är kopplat till dem. I november 2019 slutade också Cryptonia Market, DNM som anses vara den säkraste att använda på grund av sina säkerhetsfunktioner, att fungera av okänd anledning.
I slutet av november uppgav administratören för den allmänt respekterade portalen att han inte längre litade på D. forumteamet. Som han skrev i nästa meddelande: ”Många människor här är måltavlor för brottsbekämpning (LE). Men det är mycket ovanligt att fortsätta att lita på en känd LE-måltavla efter ett långvarigt, oplanerat försvinnande. En som utlöste en tidigare oannonserad ”deadman’s switch”, som överlämnar serverkontrollen till en Paris som ingen känner till eller har en vettig anledning att lita på. Sedan försvinner minst tre marknader, alla i slutet av året: Kryptomarknadens jaktsäsong.” Senare lugnade sig diskussionen i TOR. Många skurkar är fortfarande osäkra på D. Forum-teamet. Framtiden kommer att visa på vilken sida av ”the Force” de befinner sig.
Mål nr 1 att avlyssna
Från en brottsbekämpande synvinkel borde D. forum vara mål nr 1 att avlyssna. För närvarande är dess roll som huvudsaklig informationshubb mycket viktigare för Darknet-användare än någon DNM:s roll, särskilt för användare med låg och medelhög erfarenhet. Varje DNM:s livstid är begränsad och på grund av denna affärskaraktär kommer var och en av dem så småningom att göra en exit scam eller beslagtas av brottsbekämpande myndigheter. Särskilt under det senaste året har rotationen av DNM ökat. I motsats till denna bakgrund ser D. forum mer stabilt, pålitligt och säkert ut. Dessutom säljer D. forumets personal officiellt inga olagliga varor, så de kan ses som mindre attraktiva måltavlor för eventuella brottsbekämpande myndigheter. Men de säljer annonser till försäljare på Darknet och detta kan utgöra grunden för en anklagelse om penningtvätt. Ett liknande fall inträffade faktiskt i fallet deepdotweb.com, där portalägare anklagades för penningtvättskonspiration för sådana annonser.
Regler för annonser på D. forum. Betalning endast i bitcoins.
För brottsbekämpande myndigheter att avlyssna och driva en sådan informationshubb kopplad till en DNM-sökmotor skulle ha många fördelar: avgöra vem som är pålitlig, vilken bedrägerimetod som fungerar, övervakning av användare och deras kommunikation, hitta de mest aktiva skurkarna, falskt skapande av trender, spridning av desinformation och många fler. Det finns inga konkreta bevis för att en sådan avlyssning har ägt rum, men det är säkert att D. forum och R. sökmotor finns på de brottsbekämpande myndigheternas topplista. Tills sådana bevis dyker upp eller brottsbekämpande myndigheter beslagtar dem kommer fler och fler TOR-användare att använda dessa tjänster och låta sig styras av dem.
För att se min senaste artikel om läget på darknet, se min artikel ”Will Instability in English Language Darknet Markets Open the Door for Hydra?” på about-fraud.com.
-
The Onion Router (TOR) är ett säkert, krypterat protokoll som säkerställer sekretessen för data och kommunikation på webben. Det använder en serie skiktade noder för att dölja IP-adresser, onlinedata och webbläsarhistorik. Det utvecklades ursprungligen av den amerikanska regeringen, men ses nu som ett farligt system som ofta används för olagliga eller oetiska syften. Det finns andra krypterade nätverk som liknar TOR och de utgör tillsammans Darknet.
-
Pretty Good Privacy (PGP) är ett populärt program som används för att kryptera och dekryptera e-post över Internet, samt för att autentisera meddelanden med digitala signaturer och krypterade lagrade filer.
-
Distributed Denial of Service (DDoS) attack är ett försök att göra en onlinetjänst otillgänglig genom att överösta den med trafik från flera källor. Källa: www.digitalattackmap.com/understanding-ddos/
-
En mer detaljerad beskrivning av HugBunter deadman switch: ”HugBunter köpte en billig server, ett skript sattes in för att skicka ett e-postmeddelande till varje D. forum moderator om ingen inloggning gjordes på den servern inom X antal dagar. Hug instruerade (under en tid då han inte var komprometterad) sin personal att publicera detta meddelande utan undantag om de någonsin fick detta e-postmeddelande/varning, det var deras plikt och Paris (en annan D. forumadministratör) uppfyllde den. Flera av dessa typer av system kunde ha införts, men den enkla processen är att om ett steg inte tas inom en viss tidsperiod skulle strömbrytaren stängas av. Det finns inget sätt att aktivera en dödmansbrytare. Allt är fördefinierat med de variabler som finns, och det enda sättet att förhindra att brytaren slås av är att radera systemet eller uppfylla det krav som ställts upp för att fördröja eller förhindra att den slås av.”