Η Ολλανδική Αστυνομία προχωράει επιθετικά σε συλλήψεις αλλά και σε νέες έρευνες για πωλητές του Dark Web χρησιμοποιώντας τα δεδομένα που συγκέντρωσε από το κλείσιμο της ναρκοαγοράς Hansa.
Επί του παρόντος, διάφοροι ερευνητές ασφαλείας και πρώην πωλητές της Hansa έχουν εντοπίσει δύο τρόπους με τους οποίους οι Ολλανδικές αρχές προχωρούν κατά των μετά πρώην πωλητών της Hansa.
Η αστυνομία φέρεται να αποκτά πρόσβαση σε λογαριασμούς του Dream Market μέσω επαναχρησιμοποιημένων κωδικών πρόσβασης.
Στην πρώτη περίπτωση, οι Ολλανδικές αρχές κατάφεραν να αποκρυπτογραφήσουν τους κωδικούς πρόσβασης των πωλητών που είχαν τα ίδια ονόματα χρηστών στην ναρκοαγορά Hansa και στην Dream Market, που είναι η σημερινή κορυφαία αγορά του Dark Web μετά το κλείσιμο των Hansa και AlphaBay.
Εάν οι πωλητές φέρεται να επαναχρησιμοποιήσουν κωδικούς πρόσβασης και δεν είχαν ενεργοποιήσει το 2FA στους λογαριασμούς τους στο Dream Market. Έτσι οι αρχές αναλαμβάνουν τον έλεγχο των προφίλ τους, αλλάζουν τους κωδικούς πρόσβασης πετώντας ουσιαστικά έξω τους πωλητές.
Το Dream Market και η κοινότητα του Dark Web έχουν εντοπίσει 14 λογαριασμούς προμηθευτών που τους άλλαξαν τα PGP κλειδιά: 00DRGREEN00, BoulderMedical, cannab1z, cocaMG, dutchcandyshop, DrPoseidon, GlazzyEyez, Gridlockdope, guessguess, ibulk, iCoke, MarcoPolo420, μανιτάρια, wolfydutch
Ένας από τους προαναφερθέντες πωλητές επιβεβαίωσε στο Reddit ότι έχασε την πρόσβαση στον λογαριασμό του στο Dream Market επειδή χρησιμοποιούσε τον ίδιο κωδικό πρόσβασης στη Hansa.
Το αρχείο locktime
Η δεύτερη μέθοδος που χρησιμοποιεί η Ολλανδική Αστυνομία και εντοπίστηκε από την κοινότητα του Dark Web περιλαμβάνει τα λεγόμενα αρχεία “locktime” τα οποία υπήρχαν στην αγορά Hansa, που έκλεισε στις 20 Ιουλίου.
Υπό κανονικές συνθήκες, ένα αρχείο χρόνου κλειδώματος είναι ένα απλό ημερολόγιο συναλλαγής αγοράς ενός πωλητή, το οποίο περιέχει λεπτομέρειες για το πωληθέν προϊόν, τον αγοραστή, τον χρόνο πώλησης, την τιμή και την υπογραφή της Hansa. Τα αρχεία χρησιμοποιούνται σαν έλεγχος ταυτότητας από τους πωλητές για να ζητήσουν την αποδέσμευση κεφαλαίων Bitcoin μετά από την ολοκλήρωση μιας πώλησης ή αν η αγορά έπεφτε για τεχνικούς λόγους.
Σύμφωνα με άτομα που είναι εξοικειωμένα με τις εσωτερικές λειτουργίες της Hansa, τα αρχεία locktime της Hansa ήταν συνήθως απλά ένα αρχείο κειμένου.
Πριν λοιπόν κλείσουν το site, αυτά τα αρχεία κλειδώματος αντικαταστάθηκαν με αρχεία Excel που περιείχαν μια κρυφή εικόνα. Όταν κάποιος προμηθευτής ανοίξει το αρχείο για να δει τις λεπτομέρειες των συναλλαγών, η εικόνα επικάθεται στον υπολογιστή του πωλητή.
Μόλις φορτωθεί η εικόνα, ο διακομιστής του Hansa καταγράφει τη διεύθυνση IP του χρήστη. Εάν ο χρήστης δεν χρησιμοποιούσε κάποιο VPN, proxy ή επισκεπτόταν τη σελίδα μόνο μέσω Tor, ο διακομιστής καταγράφει την πραγματική διεύθυνση IP του.
Ακόμα και μετά το κλείσιμο του Hansa μειώθηκε, ορισμένοι πωλητές ενδέχεται να έχουν ακόμα τα αρχεία στους υπολογιστές τους. Μετά δε το κλείσιμο του Hansa, οι πωλητές ενδέχεται να άνοιξαν τα αποθηκευμένα αρχεία αναζητώντας τρόπους να ανακτήσουν τα χρήματά τους που είναι κλειδωμένα στους λογαριασμούς της Hansa.
Η Ολλανδική αστυνομία κατέσχεσε τους διακομιστές της Hansa στις 20 Ιουνίου και συγκέντρωνε κρυφά δεδομένα από τους πωλητές μέχρι τις 20 Ιουλίου που ανακοίνωσε επίσημα το κλείσιμο της αγοράς.
Όταν η Europol ανακοίνωσε την κατάσχεση των εξυπηρετητών της αγοράς Hansa, παρείχε το παρακάτω ηχητικό μήνυμα, που σήμερα φαίνεται να έχει μεγαλύτερη σημασία από ποτέ.
Τις τελευταίες εβδομάδες, η Ολλανδική Αστυνομία συγκέντρωσε πολύτιμες πληροφορίες σχετικά από στόχους υψηλής αξίας και διευθύνσεις παράδοσης για μεγάλο αριθμό παραγγελιών. Περίπου 10.000 ξένες διευθύνσεις αγοραστών της αγοράς Hansa διαβιβάστηκαν στην Europol.