Как ловят преступников в Deep Web

imageКриптографические технологии сетевой анонимности и онлайн-расчётов позволили преступникам создать чёрный рынок, где продают и покупают наркотики, краденые и контрафактные товары, и не только. Полиция и другие органы правопорядка в ответ совершенствуют свои технологии, перенося свои облавы и другие операции в сетевое пространство.

Термин «даркнет» появился задолго до возникновения Tor и криптовалют, ещё в 70-х годах. Он относится к связи узлов между собой с помощью нестандартных протоколов и портов, что позволяет обеспечить высокую степень анонимности. Его не следует путать с «Deep Web», теми веб-страницами, которые не индексируются поисковыми машинами. Сочетание этих двух технологий даст нам ещё один интернет, для доступа к которому нужны специальные программы или хотя бы расширения браузера. Здесь мы не будем писать о том, как именно это делать, информации в Сети об этом более чем достаточно — статья посвящена кейсам и методам противодействия незаконной торговле через интернет.

Полицейские операции в Европе


У двоих продавцов в декабре 2015 года немецкие полицейские из Лейпцига конфисковали крупную партию наркотиков общим весом более 210 килограммов. Эксперты оценили поставку в 4,25 миллиона долларов США. На сегодняшний день это самая большая партия наркотиков, конфискованная у дилеров Deep Web.

24 декабря 2016 года полиция Мальты арестовала восьмерых пользователей за продажу через интернет поддельных купюр евро. При этом осталось подозрение, что большая часть сети фальшивомонетчиков осталась на свободе. Банкноты по 20, 50 и 100 евро продавались за 30% от их номинальной стоимости, а оплату можно было произвести в биткоинах. Конфисковали 160 000 евро, полученные от мальтийской биржи цифровой валюты. Заместитель директора Европола Вил ван Гемерт сказал, что «анонимность дала преступникам ложное чувство безопасности». Операция по поиску фальшивомонетчиков началась в январе 2015 года, и в ней принимали участие полицейские из таких стран, как Италия, Австрия, Германия, Португалия, Франция, Испания, Литва, Швеция и Нидерланды.

18 февраля 2017 года полиция финской столицы Хельсинки арестовала сразу 16 наркодилеров. Как сказали представители правопорядка, помогло «интенсивное расследование в рамках секретной операции», причём шифрование Tor их не остановило.

Ирландским полицейским удалось обнаружить и раскрыть контрабандиста, торговавшего оружием. 15 марта 2017 года правоохранители сообщили, что американец Майкл Эндрю Райан продал в общей сложности 18 «беретт», «глоков» и револьверов покупателям из Ирландии, Англии, Шотландии и Австралии. Его задержали в результате совместной операции ФБР и ирландской таможни.

28 марта 2017 года полиция Дании сообщила, о разработке собственной системы под названием EC3, которая сопоставляет активность в Deep Web с криптовалютной активностью пользователя. Следователь Аэренструп сказала, что «следы всегда остаются, и преступники не могут удалить их». Результатом работы системы стал арест 150 пользователей, приобретающих запрещённые товары и два судебных приговора. 22-летнего молодого человека приговорили к 4 годам тюрьмы, а 23-летнего — к 8 годам. Датские полицейские провели международную конференцию по своему методу, заинтересовав полицейских из других стран Европы, а также США.

Международная полицейская операция «Гиперион»


С 22 октября по 28 октября 2016 года проходила масштабная полицейская облава, которая получила название «операция Гиперион». В ней принимали участие правоохранители из США, Британии, ЕС, Канады, Австралии, Новой Зеландии. В результате только в одной Швеции было идентифицировано и задержано 3000 покупателей наркотиков, шесть продавцов были арестованы и получили десятилетние тюремные сроки. В Новой Зеландии по итогам операции допросили 160 человек. В США более 150 человек были вызваны на допросы в ФБР, в Канаде арестовали одного наркодилера. В ходе операции не только раскрыли многие случаи незаконной торговли. Правоохранители также узнали много нового о путях контрабанды и способах шифрования данных.

Действия полицейских в Северной Америке


Канадские правоохранители в августе 2015 года заказали разработку поискового робота, который изучает глубины Deep Web. Он ищет предложения незаконных товаров и услуг. Финансирование разработки обеспечивает правительство Канады. Королевская Канадская Конная Полиция (Royal Canadian Mounted Police, RCMP) заявила: «Мы собираемся исследовать самые глубокие и темные закоулки Интернета, чтобы определять всё, представляющее угрозу национальной безопасности». Программную часть подготовила компания Mercur IT Solutions, которая уже сотрудничала с полицией раньше. Также в Канаде 30 августа 2016 года произошло задержание женщины, которая купила через Интернет смертельно радиоактивный элемент, полоний-210.

Полицейский департамент в американском городе Бостон в начале января 2017 года начал новую программу, которая сопоставляет данные из Deep Web и социальных сетей. Согласно плану, разработка программы будет стоить $1.4 миллиона. Комиссар Эванс сказал в интервью для Бостонского радио, что это «необходимый инструмент законности, который поможет хранить наши районы от насилия и терроризма, предотвратит случаи торговли людьми и защитит детей от педофилов». Документы, полученные Boston Globe, показали, что программное обеспечение покажет полиции геолокацию возможных правонарушений в реальном времени. Ранее американские полицейские уже успешно закрыли Silk Road, Silk Road 2, Black Market Reloaded и многие другие подпольные рынки.

Как именно ищут преступников в Deep Web


В настоящее время полицейские используют сразу несколько методов поиска преступников. Исследовательский институт RAND Europe подготовил по этой теме небольшой обзор:

1. Машины не заменят старое доброе полицейское расследование

Как только следователи обнаружат активность, связанную с наркотиками в реальном мире, они заинтересуются тем, что делается онлайн. Наблюдение и тайные операции позволяют определить те точки, где встречаются реальный и виртуальный мир. Например, арест Росса Ульбрихта в 2013 году произошёл, когда он воспользовался общедоступной сетью Wi-Fi, что совпало с появлением администратора Silk Road в виртуальном пространстве.

2. Получение данных с открытых веб-сайтов

Торговцы наркотиками используют свои глубоко законспирированные сайты только как магазины, занимаясь поиском клиентов в общедоступных сетях. Это делает дилеров намного более уязвимыми. По закону, владельцы общедоступных сайтов должны передавать полиции любую интересующую информацию. Например, пять пользователей форума Reddit, обсуждавшие покупку и продажу запрещённых товаров на r/darknetmarkets, были задержаны после того, как администрация Reddit выдала их контактные данные. А тот же Ульбрихт кое-где оставил в связи с Silk Road свой электронный адрес.

3. Перехват почтовых отправлений

Органы правопорядка работают с компаниями доставки и почтовыми отделениями, чтобы исследовать подозрительные пакеты. Полицейские могут также взять номер подозрительного отправления, чтобы отследить получателя.

4. Big data и самообучение машин

Используя большие объемы данных, полицейские определяют связи, которые было бы невозможно установить другими способами. Они учитывают IP-адреса и размещённую онлайн информацию, делая выводы и постепенно обучая на них искусственный интеллект. Это дорогая и сложная система, однако её использование окупается.

5. Отслеживание денежных потоков

Хотя криптовалюта биткоин обладает высокой степенью анонимности, слабым местом является покупка или продажа цифровой валюты. Полиция может затребовать данные от бирж биткоина, кто и когда совершал сделки с криптовалютой. Правоохранители также сотрудничают с этой целью с банками.

Одно из наиболее известных решений в сфере мониторинга незаконного оборота биткоина — Elliptic, о котором мы писали еще в августе. Проект сотрудничает с финансовыми институтами и правоохранительными органами. С Elliptic взаимодействует и наш платежный блокчейн-сервис Wirex.

6. Работа под прикрытием

Нередко полицейские агенты входят в доверие к администраторам запрещённых сайтов, а также изображают продавцов, розничных и оптовых покупателей.

7. Взлом

Модифицированное по заказу полицейских или ФБР программное обеспечение широко используется, чтобы определять пользователей Deep Web. Например, именно таким образом был раскрыт большой нелегальный форум — служащие ФБР внедрили в него уязвимость, которая пересылала «куда нужно» IP-адреса пользователей.

Как показывает практика, анонимность пользователей «темной стороны» интернета бывает переоценена. Злоумышленники из Deep Web остаются безнаказанными лишь до тех пор, пока правоохранительные органы не начинают принимать контрмеры, которые зачастую бывают основаны не на новейших технологиях машинного обучения, а на классических методах расследования.

© Geektimes