Vào ngày 5 tháng 4 năm 2023, FBI và Cảnh sát Quốc gia Hà Lan đã thông báo về việc triệt phá Genesis Market, một trong những thị trường dark web lớn nhất. Chiến dịch có tên là “Chiến dịch quái vật bánh quy” đã dẫn đến việc bắt giữ 119 người và thu giữ hơn 1 triệu đô la tiền điện tử. Bạn có thể đọc lệnh của FBI tại đây để biết chi tiết cụ thể về trường hợp này. Trước những sự kiện này, tôi muốn thảo luận về cách OSINT có thể hỗ trợ điều tra web đen.
Tính ẩn danh của Dark Web thu hút nhiều người dùng khác nhau, từ những người tố cáo và các nhà hoạt động chính trị đến tội phạm mạng và khủng bố. Có một số kỹ thuật có thể được sử dụng để thử và xác định các cá nhân đằng sau các trang web và cá nhân này.
lỗ hổng kỹ thuật
Mặc dù không được coi là OSINT, nhưng đã có những trường hợp lỗ hổng kỹ thuật tồn tại trong công nghệ được sử dụng để lưu trữ các trang web tối. Những lỗ hổng này có thể tồn tại trong chính phần mềm hoặc do cấu hình sai, nhưng đôi khi chúng có thể tiết lộ địa chỉ IP thực của trang web. Thông thường, các lỗ hổng phần mềm này yêu cầu các công cụ và kỹ thuật kiểm tra bút như Burp Suite để tạo ra các thông báo lỗi chứa địa chỉ IP thực của trang web. Các lỗ hổng như thế này là không phổ biến và hiếm khi được sử dụng.
Cũng có những trường hợp khi các nhà điều hành trang web tối đã sử dụng chứng chỉ SSL hoặc khóa SSH, có thể được liên kết với địa chỉ IP thực của họ bằng các dịch vụ như Shodan hoặc Censys.
Truy tìm tiền điện tử
Các giao dịch trên dark web thường liên quan đến tiền điện tử để đổi lấy hàng hóa và dịch vụ bất hợp pháp. Điều này mở ra khả năng xác định các cá nhân với sự trợ giúp của các công cụ phân tích chuỗi khối.
Tôi không thể đến ngân hàng và mở tài khoản bằng tên “ẩn danh” do luật được thiết kế để ngăn chặn rửa tiền. Các yêu cầu này thường được gọi là Chống rửa tiền (AML) và Biết khách hàng của bạn (KYC) và yêu cầu khách hàng cung cấp giấy tờ tùy thân do chính phủ cấp để làm bằng chứng nhận dạng. Nhiều quốc gia có yêu cầu tương tự về trao đổi tiền điện tử.
Trong vài năm, các công ty đã cung cấp các công cụ phân tích chuỗi khối cố gắng liên kết các địa chỉ tiền điện tử với các sàn giao dịch cụ thể, chẳng hạn như Coinbase hoặc Binance. Sau khi địa chỉ tiền điện tử được liên kết với một sàn giao dịch cụ thể, cơ quan thực thi pháp luật và/hoặc các nhà điều tra tài chính có thẩm quyền pháp lý có thể yêu cầu sàn giao dịch đó cung cấp cho họ thông tin nhận dạng của chủ sở hữu tài khoản đó.
Trong lịch sử, các dịch vụ phân tích chuỗi khối này có chi phí cao đối với các cá nhân mua hàng, tuy nhiên, nhà cung cấp phân tích chuỗi khối Breadcrumbs gần đây đã tung ra một nền tảng phân tích cung cấp giá cả phải chăng hơn nhiều và một gói miễn phí.
Đưa chúng xuống Internet
Chúng tôi không thảo luận về dark web cho đến ngày thứ năm của khóa học OSINT thực hành SANS SEC497 của tôi, Tại sao? Điều quan trọng là trước tiên bạn phải tìm hiểu về các tùy chọn khả dụng sau khi phương thức liên hệ có được trên web đen được đưa trở lại internet. Hãy để tôi giải thích.
Hãy tưởng tượng bạn điều hành một chiếc xe bán đồ ăn liên tục bị buộc phải thay đổi địa điểm do quy định của thành phố rằng bạn không bao giờ được ở cùng một chỗ quá hai lần một tháng. Bạn sẽ cố gắng xây dựng lòng trung thành với thương hiệu như thế nào và cho khách hàng tiềm năng biết bạn đang ở đâu mỗi ngày?
Bạn có thể sẽ cố gắng để khách hàng kết nối với bạn trên mạng xã hội hoặc truy cập trang web của bạn, v.v., để họ có thể biết tìm bạn ở đâu. Dù bạn có tin hay không, có một động lực rất giống nhau trên dark web.
Những gì dark web cung cấp dưới dạng ẩn danh và những gì nó thiếu là tính ổn định và bảo mật. Các thị trường lớn như Silk Road, AlphaBay, Hansa, Wall Street và giờ là Genesis đều đã bị cơ quan thực thi pháp luật gỡ xuống. Các cuộc tấn công từ chối dịch vụ đã trở thành một vấn đề lớn trên mạng Tor, bằng chứng là diễn đàn nổi tiếng “Dread” gần đây đã ngừng hoạt động trong vài tháng do các cuộc tấn công như vậy. Bạn có thể tưởng tượng việc cố gắng điều hành một doanh nghiệp và đạt được thu nhập ổn định trong môi trường đó không?
Một cách mà người bán cố gắng đạt được sự ổn định và khả năng phục hồi là bán trên nhiều thị trường và cung cấp các phương thức liên hệ trực tiếp với họ. Nỗ lực mang lại sự ổn định này rất có ý nghĩa và cực kỳ hữu ích cho những người thực hành OSINT vì nó cung cấp các phương thức liên hệ hoặc “bộ chọn” mà chúng ta có thể sử dụng để tìm chúng trên internet và mang theo tất cả kiến thức, kinh nghiệm và tài nguyên của mình. Hãy xem ví dụ bên dưới nơi chúng tôi có thể lấy một địa chỉ email từ một trang web tối và liên kết nó với một trang web trên internet bằng Google.
Sau khi chúng tôi liên kết (các) cá nhân với các tài nguyên trên internet, chúng tôi có nhiều tùy chọn để hủy đặt tên cho họ. Một số tùy chọn yêu thích của tôi bao gồm:
Tra cứu WHOIS lịch sử
Thông tin đăng ký tên miền như bản ghi WHOIS có thể cung cấp thông tin hữu ích về chủ sở hữu hoặc nhà điều hành trang web. Trong một số trường hợp, bọn tội phạm có thể vô tình tiết lộ danh tính hoặc vị trí của chúng bằng cách sử dụng các biện pháp bảo vệ quyền riêng tư không chính xác hoặc không đầy đủ. Ngay cả khi thông tin WHOIS cho một trang web hiện đang ẩn danh, đôi khi, đã có thời điểm trong quá khứ nó không được ẩn danh. Tôi đã thấy những khoảng trống nhỏ như bốn ngày khi một trang web được đăng ký riêng tư trước và sau khi tiết lộ danh tính thực của chủ sở hữu.
OSINT trên Diễn đàn
Các cá nhân trên web tối thường tham gia các diễn đàn để giao tiếp, trả lời câu hỏi, v.v. Họ có thể vô tình tiết lộ thông tin có thể giúp các học viên OSINT tìm hiểu thêm về danh tính thực sự của họ. Ngôn ngữ họ sử dụng và những câu nói độc đáo của họ có thể cực kỳ hữu ích.
Dữ liệu vi phạm
Ngay cả khi một email được liên kết với một dịch vụ ẩn danh, người dùng có thể đã sử dụng nó trên các trang web khác, bao gồm các diễn đàn và phương tiện truyền thông xã hội. Nếu bạn có thể sử dụng dữ liệu vi phạm về mặt pháp lý và đạo đức trong các cuộc điều tra của mình, thì bạn có thể liên kết một nhân vật trực tuyến với tên thật, địa chỉ thực, v.v.
Một ví dụ về vụ rò rỉ đã được chứng minh là hữu ích đối với một số nhà điều tra là vụ rò rỉ 10GB dữ liệu vào năm 2021/2022 từ một số nhà cung cấp VPN, bao gồm SuperVPN, GeckoVPN và ChatVPN. Dữ liệu này chứa tên đầy đủ, chi tiết thanh toán và số nhận dạng duy nhất có thể có về các thiết bị được sử dụng, bao gồm cả số nhận dạng thuê bao di động quốc tế (IMSI) của thiết bị di động.
Xu hướng và phát triển trong tương lai
Các cuộc triệt phá thị trường dark web trong tương lai sẽ sử dụng các phương pháp được thảo luận ở đây và chắc chắn sẽ kết hợp các công nghệ mới nổi. Sự phát triển rõ ràng nhất là sử dụng Trí tuệ nhân tạo (AI) và Học máy (ML) trong OSINT. Ví dụ: AI có thể giúp xây dựng các công cụ quét web có thể nhanh chóng thu thập và phân tích dữ liệu từ nhiều nguồn, trong khi các thuật toán ML có thể được đào tạo để xác định các mẫu và mối quan hệ trong dữ liệu. Những tiến bộ này có khả năng tiết kiệm thời gian và nguồn lực đáng kể cho các nhà điều tra, cho phép họ tập trung vào các khía cạnh khác của cuộc điều tra.
Để tìm hiểu thêm về Viện SANS, đào tạo an ninh mạng, chứng chỉ và tài nguyên MIỄN PHÍ, hãy nhấp vào đây ngay bây giờ!
Lưu ý: Bài viết này được viết và đóng góp một cách chuyên nghiệp bởi Matt Edmondson, Giảng viên chính của SANS.
