导语:最近几年比较火的暗网黑市纷纷遭受打击,Alphabay、Dream Market、Hansa、丝绸之路3.1等都没有逃过警察之手。
前言
最近几年比较火的暗网黑市纷纷遭受打击,Alphabay、Dream Market、Hansa、丝绸之路3.1等都没有逃过警察之手。
7月4日AlphaBay被关闭,创办者自杀身亡。
7月19日,“丝绸之路3.1”破产,原因是遭受不知名黑客攻击,平台的资金被洗劫一空。
7月20日,欧洲刑警组织和美国联邦调查局、美国缉毒署以及荷兰国家警察局携手关闭了Hansa暗网市场。
而Dream Market在8月7日,其平台的12个供应商账号被荷兰警方控制。
6月,德国执法人员逮捕了三名男子,原因是这三个人经营了一个非法电子书文件共享网站。据荷兰警方介绍,其中两名男子管理着汉莎的非法市场。那这三名男子是怎样被警方盯上的,他们的犯罪证据又是如何被警察得到了?
荷兰警方顺藤摸瓜找到Dream market的犯罪账号
荷兰警方在打掉Hansa市场上的时候,“钓鱼执法”收集了大量供应商和买家的身份、登录和交易信息,并掌握了暗网黑市中很多相关的情报。荷兰警方利用收集到数据,继续追踪暗网上的供应商,以及疑犯名单上的嫌疑人。而Dream market无疑成了重灾区。
据说Dream Market是目前全球第二大暗网黑市,比Hansa更大。然而目前,部分用户表达了对 Dream Market 的担忧,有用户表示实际上Dream Market已经遭遇入侵,并且已经在警方控制下。还有一名用户则宣称发现Dream Market源码未加密的IP地址,这个真实IP地址服务器的暴露可能已经给了执法机构机会去控制主机服务提供商和服务器。
看来这个担心不无道理,荷兰警方就巧妙地控制了Dream market。就在7月20日荷兰警方表示他们将使用Dream market和Hansa上相同的登录帐号和密码来访问其他Dream market的供应商账户来收集罪证。该方法就是利用了密码重用的漏洞,荷兰警方调查Dream市场和Hansa市场上具有相同名字的账号,分析这些重合的账号是否使用了相同的密码。
如果供应商在Dream上使用了与Hansa平台一样的用户名和密码,同时又没有激活2FA(双因子认证)的话,警方就会接管的这些账号,修改密码并锁定他们的店铺。
目前,他们控制了至少12个Dream Market的供应商账户。而根据Reddit的统计被控制的账户应该是16个。通过使用PGP加密软件,这些供应商都确认有人控制了他们的帐户并更改了他们的PGP密钥,如下图所示,PGP密钥的用户ID为“荷兰国家警察局”。
下一步需要使用Grams,Grams作为第一个搜索黑市的引擎(http://grams7enufi7jmdl.onion ),可以让任何人都可以轻而易举地在线找到非法毒品和其他违禁产品,它的体验能像Google搜索一样快捷!。 Grams的搜索服务允许使用PGP密钥进行用户名搜索和反向搜索。将荷兰警察的密钥插入搜索字段,Grams返回Dream Market供应商列表。
Key-ID为6682AB28,key fingerprint为25A7 8CC4 EA76 D2A4 D018 F3C0 E162 0751 6682 AB28。
截至7月25日,/r/darknetmarkets的账户已经确认被警方控制。在 /r/DNMUK 论坛上,供应商“iCoke”证实执法人员也控制了他的帐户。
iCoke对他的账户的描述如下:
“利用iCoke账号,我无法访问我的Dream Market供应商帐户,因为2fa已被禁用。任何人都知道这是账号被盗的现象,等到账户恢复正常访问之后,我看了下登录日期,帐户上次在20日。但事实上,我并没有。”
目前荷兰警察通过破解PGP加密,已经控制了14个Dream Market的供应商帐户:00DRGREEN00,BoulderMedical, cannab1z; cocaMG,dutchcandyshop, DrPoseidon,GlazzyEyez,Gridlockdope,guessguess,ibulk, iCoke, MarcoPolo420,mushroomgod, wolfydutch。还有另外两个,medicalzNL和rxchemist的供应商帐户在搜索DNP密钥时也出现在了Grams的搜索结果中,但是警方目前还没有列出这两个个人资料上的DNP密钥。由于某些原因,执法部门访问了这些帐户,在Grams搜索Dream Market后,将PGP密钥改为DNP密钥。
这代表什么意思?荷兰警方可能是唯一了解此账户的人。如果在德国被捕的那三个人就是荷兰警方进行控制的用户,那暗网的交易还有什么秘密可言?
警察传播带有跟踪功能的Excel文件
警方追踪Dream market犯罪账号的另一个办法与一个 “locktime”文件有关,在被警方打掉之前,该文件可以从Hansa下载到。正常情况下“locktime”文件是一个记录供应商市场交易的简单的日志,其中记录了销售的产品、买家、价格、交易时间和Hansa的签名等细节。供应商可以利用这些文件换取比特币。
在Hansa市场被打掉之前,这些“locktime”文件被警察替换成了包含有隐藏图像的Excel文件。当供应商打开文件查看交易详细信息时,图像将加载到供应商的计算机上。这些图像被保存在在Hansa,一旦被加载,服务器会记录用户的IP地址。如果用户没有使用VPN、代理或Tor,Hansa服务器会记录这些受感染用户的真实IP地址。
即使Hansa市场被关停了,一些供应商电脑上可能仍然留存着这些带有跟踪功能的Excel文件。