Как ловят юзеров даркнета

Как ловят юзеров даркнета

D A R K N E T

Пользователи темной паутины защищены завесой технологической анонимности. Это дало большинству пользователей чувство безопасности и уверенности в том, что они находятся вне досягаемости сотрудников правоохранительных органов. Это было обратно доказано в большом количестве случаев, когда пользователи все равно были арестованы этими сотрудниками.


1) Почтовая система


Даже после сложной технологии, чтобы гарантировать пользователям анонимность, темные поставщики веб-рынка зависят от почтовой системы или обычных курьеров (дропов), чтобы доставить свои продукты, такие как ПАВ или оружие.


Даже после того, как таможенные органы проявят большую заботу о том, чтобы продукция не была изъята, сотрудники правоохранительных органов могут расследовать, откуда или куда отправляется посылка и по каким маршрутам.


В отдельных случаях почтовые отделения предоставляют федералам хорошую возможность для наблюдения.


Идеальный пример - Чуквуэмека Окпараке, который был дилером фентанила на Alphabay, в даркнете. Согласно заявлению министерства юстиции США (DOJ), Окпараке был замечен в нескольких почтовых отделениях в Мидтауне Нью-Йорке. Он также любил оплачивать приоритетные варианты доставки оптом (экспресс-доставки "навалом", прим. Pavluu), что вынуждало предоставлять его в почтовом отделении документы, где сотрудники просмотрели его водительские права. Его самой большой ошибкой, однако, было хранение большого количества посылок в почтовых отделениях США, а сам персонаж постоянно носил латексные перчатки, что привлекло внимание работников почты.


Правоохранительные органы проявили двойной интерес к этому: как к источнику фентанила, так и к работе самой почты. Полицейские просто разместили заказ на фентанил у Окпараке на Alphabay и после получения стафа смогли доказать связь нашего персонажа с данным товаром, имея все необходимые прямые и косвенные доказательства.


В ходе ареста у Окпараке был изъят телефон на котором было установлен платный VPN, приложение Orbot TOR proxy и биткоин-кошелек. Так же у него была не очищена история просмотров в других браузерах, где нашлись косвенные свидетельства его связи с продажей ПАВ.


Доставка продукции через почтовое отделение по-прежнему представляет серьезную проблему для большинства поставщиков на даркнет рынках.


комм. Pavluu: куда проще заказывать транспортные компаниями, но в этом случае надо позаботиться о грамотной упаковке и маскировке товара.


комм. Pavluu: проблема Окпараке была еще в том, что он не работал через дропов, чем мог бы обезопасить себя, но и нести определенные риски по движению товара в то же время. В любом случае. чаще всего нас выдает человеческий фактор - тупость или лишняя уверенность. Не очистил историю? Ай-яй-яй.


2) Копание в изъятых данных


Арест поставщика или захват рынка может обеспечить большое количество данных, в которых следователи находят различные связи с другими пользователями даркнет маркетов.


Благодаря операции "Онимус", направленной против даркнет рынков и других услуг, работающих в сети ТОР, такие рынки, как Шелковый путь 2.0 , Гидра (не наша!) и Облако 9, были захвачены и закрыты.


Проведенная операция позволила обнаружить различного рода информацию, которая привела к 17 арестам в разных странах. Одним из арестов, совершенных в ходе операции, была пара Дарем, которая работала в магазине по продаже марихуанны на Silk Road 2.0.




3) Открытая информация


Пользователи даркнет рынков могут оставлять цифровые следы в открытых форумах или публичных документах, которые в конечном итоге раскрывают свои личности следователям. (Прим.Pavluu: опять же, возвращаясь к человеческому фактору - могут использовать одинаковый ник или аватарку на теневом форуме и в социальной сети.. Один и тот же мэйл..Поверить в такое сложно, но таких персонажей хватает).


Классический пример такой ошибки - приём Росса Ульбрихта (Ужастного Пирата Роджера!), основателя Silk Road. Как его раскрыли? Агент уголовного розыска подразделения службы внутренних доходов США (IRS) Гэри Элфорд решил погуглить адреса Шелкового пути в клирнете и наткнулся на форум Bitcoin.org, где Росс под ником altoid (конфетка) размещал ссылку на свой даркмакрет и привлекал людей.


Сообщение от нескольких месяцев спустя на том же форуме показало личное письмо Ульбрихта rossulbricht@gmail.com в тексте сообщения, позже поиск по его электронной почте подтвердил, что он создал учетную запись на bitcoin.org под его личным адресом электронной почты.


Наличие его личной информации в значительной степени способствовало его аресту и осуждению, что привело к пожизненному заключению без условно-досрочного освобождения.


Простой поиск Google взял Росса Ульбрихта, который был основным игроком в развитии всех темных веб-рынков.


4) Операции под прикрытием


Из-за наличия инструментов, обеспечивающих анонимность пользователей, невозможно реально узнать, кто находится на другом конце разговора. Правоохранительные органы воспользовались этими инструментами анонимности и представляли себя поставщиками, покупателями или даже администраторами рынков без ведома других пользователей. Это позволило им закрыть некоторые рынки, а также поймать некоторых администраторов, покупателей и даже поставщиков.


Голландские правоохранительные органы взяли под контроль Hansa 20 июня этого года, после ареста двух ее администраторов в Германии. Они тайно запускали сайт во время мониторинга деятельности пользователей. Они смогли получить адреса и идентификационные данные большинства пользователей.


Операция под прикрытием привела к аресту ряда пользователей Hansa. В Нидерландах правоохранительные органы арестовали 28-летнего мужчину за якобы продажу каннабиса как внутри страны, так и на международном уровне через сайт Hansa с ником Quality Weeds.


Другие аресты, связанные с тайной операцией голландских властей в Хансе, были произведены в Австралии.


5) Хакерство


Власти пытались обойти ТОР, нападая на конечную точку (прим. Pavluu - на exit-node), которая, как правило, используют лица, посещающие даркнет маркеты. Взлом может быть наиболее эффективным способом идентификации пользователей, так как после его успеха, большое количество компьютеров может быть разоблачены и IP-адреса пользователей могут быть раскрыты.


Еще в ноябре 2015 года ФБР захватило даркнет сайт детской порнографии Playpen в ходе операции под названием "Соска" и запустило сайт из правительственного учреждения в Вирджинии в течение двух недель. За это время агентство создало инструмент взлома, который назвало "Техника Расследований в Сети" (ТРС). Это средство использовалось для раскрытия IP-адресов лиц, получающих доступ к сайту, исходя из предположения о том, что они либо пытаются распространять детскую порнографию, либо получают доступ к ней.


Используя ТРС, ФБР смогли получить данные более тысячи пользователей в США.


Ваш D A R K N E T