荷蘭警方的網路釣魚行動,摧毀了整個暗網毒品交易的信用體系。(圖片來源:Pixabay)
【看中國2018年3月18日訊】暗網顧名思義就是黑暗網路,又稱深層網路或隱形網路,通俗的講,就是我們用常規的搜索引擎(谷歌、百度、雅虎等)搜索不到的網站。暗網的特性就是絕對隱形,網站隱形,用戶身份隱形,IP地址隱形。
但如今的暗網上面遍佈著非法交易及眾多人類的惡的一面,尤其是當比特幣這種虛擬貨幣發明之後,和暗網的二者結合更是如虎添翼,現在暗網上幾乎所有的黑市交易都是使用比特幣。
據微信公眾號《英國那些事兒》報導了一篇荷蘭警方與多個國家警方聯手直接接管暗網網站,釣出幾十萬毒品買賣家信息,摧毀整個暗網毒品交易的平臺。
絲路倒了,另一撥人建立起了絲路2.0。
前幾年的「絲路」事件,一個建立在「暗網」上的線上毒品交易市場被警方搗毀。然而,絲路倒下之後的幾年裡,警方在暗網上的行動模式,似乎又是一樣的,每當警方搗毀一個平臺,這平台上的大小賣家和各種買家們,又蜂擁找到另一個交易的平臺。
絲路2.0的創始人又被警方抓到被搗毀,又有另一群人建立起了絲路3.0。又有人建立起了其他大大小小的平臺,只要還有平臺在,這些賣家和買家們總有存活的空間,警方雖然不斷的在搗毀,然而暗網上的非法交易,卻一直沒能阻止下來。
因此,2016年,當荷蘭警方追蹤到另一個暗網非法交易平臺Hansa的相關信息的時候,他們決定採取另一個不同的策略:不搗毀,而是把整個平臺完全接管下來!!
通過接管下整個網站,他們整個策劃了一起網路釣魚行動。最後不但徹底摧毀了這個平臺,繳獲了上千萬美元價值的比特幣。
更關鍵的是,通過接管網站,他們還得到了平台上上千賣家和上萬毒品買家的各種個人信息,讓數十位通過暗網交易毒品的頂級毒販落網!
這次行動,不但瓦解了Hansa這個平臺,更是從心理上摧毀了整個暗網的交易信用體系。當這整個網站都成了警方的釣魚網站,所有買家賣家的交易信息都進入了警方的資料庫。那下一個網站還可不可信,還敢不敢在下一個網站上買非法物品?一時間,暗網上草木皆兵。
曾經,Hansa是歐洲最著名的線上毒品交易網站之一,巔峰時期,Hansa有3,600名賣家,供應超過24,000種毒品,從可卡因到MDMA(亞甲二氧甲基苯丙胺,俗稱「搖頭丸」)再到海洛因,應有盡有。同時,Hansa還提供一些少量的,諸如造假工具和偽造文件的交易。
荷蘭警方一直知道網站,但是暗網匿名的特性,想要抓到幕後的建立者,不是一件容易的事情。
行動代號:刺刀
這一切行動的開端,來源於一個安全公司的調查員的一條線報,在這個安全人員的一次例行調查裡,他發現在荷蘭一個數據中心的一臺伺服器,很可能就是Hansa的伺服器。他很快把這一切通知給了荷蘭警方。
荷蘭警方初步調查發現,這個伺服器可能是Hansa的一個隱蔽的開發測試用的伺服器。也就是說,網站的創始人,會在這臺伺服器上,開發和測試網站的更新版本。
雖然網站的正式伺服器隱藏在暗網上,有著各種保護措施。但是這臺開發測試用伺服器,卻成了創始人的一個疏忽,放在了網際網路上每個人都訪問得到的地方。這才因為一個偶然,讓那個安全人員發現了,並把它的IP地址記錄了下來。
荷蘭警方很快聯繫了主機服務商,要求進入他們的數據中心,安裝網路監控設備以便他們監視所有進出這臺主機的信息。
他們很快發現了這臺開發測試伺服器,也恰恰連接著暗網上Hansa的主伺服器!主伺服器有三臺,其中一臺,恰恰也在這同一個機房裡,另外兩臺在德國。
很快,他們拷貝了每一個伺服器的所有硬碟。警方得到了Hansa歷史上的每一筆交易記錄,以及通過匿名通信系統發生的每一段對話。
然而,儘管他們獲得了這些記錄,可是意義卻不是很大。他們得到的,只是知道這個ID從那個ID那買了啥而已,因為一切交易都有暗網匿名性的保護,調查人員還是不知道,這一個個ID背後真實的人都是誰。
警察們只好繼續順籐摸瓜,逐個逐個的搜索硬碟中的數據和文件,終於,在仔細研究這些伺服器的內容之後,警方又找到了一個重要的線索!
在德國的其中一個伺服器上,一份老舊的IRC聊天歷史中,竟然找到了兩個創始人的談話記錄!
這些談話記錄都很有些年頭了,讓人驚訝的是,在這份古老的聊天記錄裡,竟然還包括了兩位管理員的全名,其中一個竟然還有家庭住址!
很快,荷蘭警方鎖定Hansa那兩個可疑的管理員,他們現在正住在德國。其中一個叫Siegen,一個30歲的男子,另一個是在Cologne的31歲男子。
但是,當荷蘭警方聯繫德國官方,要求協助逮捕和引渡他們時,他們卻發現,另外一個情況。原來,這兩人早就被德國警方盯上了!
德國警方發現兩人創建了一個名為Lul.to的網站,專門販賣盜版電子書和音頻書籍。已經盯了他們很久,也打算要抓捕他們了。
這突如其來的情況,給了荷蘭警方一個無比巧妙的靈感:我們可以利用德國警方的這個抓捕行動,作為自己暗網抓捕行動的掩護!
讓德國警方以打擊盜版電子書網站的名義逮捕他們,這樣暗網Hansa上的用戶就不會被驚動。就算不小心走漏風聲,暗網上的人也會認為他們是被那個盜版書網站被抓的,跟Hansa沒關係,Hansa還是安全的。
這樣,警察就可以在不驚動暗網用戶的情況下,秘密佔領Hansa!把Hansa老大抓了,自己做Hansa的老大!
荷蘭警方的Gert Ras表示:「我們帶著這個計畫行動,明查盜版,暗地佔領Hansa。我們要搞定真正的Hansa管理員,把管理員變成我們自己。」
然而,計畫趕不上變化!當荷蘭警方的計謀正在一步步清晰起來時,就在這個節骨眼上,整個案子崩了,Hansa的荷蘭伺服器突然沒了動靜!
沒有了流量,不再有人訪問,彷彿一瞬間有人把Hansa的網站徹底搬家,留下的只有一個不再有人來的空殼。
主導調查的警探表示,他們懷疑,可能是他們拷貝伺服器硬碟的動作,驚擾了網站管理員。管理員覺得這臺伺服器不再安全,於是換到了其他的地方。
果然,不久之後,黑市被挪到另一個暗網上的另一個地址上去,埋入了全球那浩如煙海的暗網伺服器和匿名機器中去了,警察表示:「當時看來,這無疑是個重大挫折」。
那時候,荷蘭警方做了一個更大局的決定,在線索斷了之後,他們沒有簡單粗暴地讓德國警方直接抓人,而決定不抓,繼續放長線釣大魚!他們依舊想繼續進行他們的隱秘接手計畫,現在的問題就是:「伺服器,被他們轉移到哪裡去了?」
接下來的幾個月,荷蘭警方耐心的繼續尋找線索。他們從2016年的秋天一直等到了2017年的4月,終於,線索來了!
Hansa的兩個管理員從一個地址發起了一筆比特幣支付,而這個地址同樣包括在之前查獲的聊天記錄裡!
警方知道這個比特幣地址。他們一直追蹤著這個地址可能進行的交易。從全球比特幣交易記錄分析裡,他們發現,這個比特幣地址,給另一個位於荷蘭的比特幣支付商轉了一筆帳。
很快,警方給這個支付商發去了執法信,要求他們公開這筆交易的收款方。
支付商回覆了所有信息,表示這筆款,是打給立陶宛的一個伺服器數據中心的。而這個數據中心,就很可能是新的Hansa伺服器的所在地!
一石二鳥
第二次找到這些伺服器後,荷蘭警方很快推進著他們的行動計畫。然而,就在這時,他們又得到了一個更意外的消息!
美國FBI聯繫了他們,並告訴他們,FBI鎖定了暗網上另一個著名暗網毒品交易網站AlphaBay的伺服器,這臺伺服器幣比Hansa那臺規模更大,而且,就坐落在荷蘭境內!
FBI的調查員希望荷蘭警方能夠配合,關閉這臺伺服器,讓它停止運作。
這兩者之間能有什麼關係??還記得開頭說過的麼?當一個平臺被警方搗毀,平台上所有的買家和賣家都會蜂擁而至跑去下一個大的可信的平臺。
而也是這個節骨眼上,荷蘭警方又正在進行接管Hansa的伺服器的釣魚計畫,一個更大的設想出現了:如果我們先接管下Hansa,然後再去關閉掉最大的那個AlphaBay,那AlphaBay上大量的毒品賣家和買家就會想盡辦法,尋找新的「暗網黑市」。
不出意外,AlphaBay的用戶一定會跑到Hansa上來,那Hansa就會成為暗網上最大的交易平臺。
如果那時他們正接管著Hansa,豈不是能把這網路上的大小賣家一鍋端!
很快,荷蘭警方向立陶宛的數據中心派出了特工,荷蘭和立陶宛之間簽有互惠法律行動的條約,這讓荷蘭警方的行動變得容易很多。
6月20日,德國警方迅速行動,突襲了兩名管理員嫌犯在德國的家,迅速抓人,並以迅雷不及掩耳之勢控制了他們還沒來得及加密鎖定的電腦。
逮捕之後,荷蘭警方順利控制立陶宛的Hansa伺服器,把Hansa伺服器上的所有數據都遷入荷蘭境內,遷入到了警方控制的一組全新的伺服器裡!
而此時此刻,暗網上Hansa所有用戶,在這一刻都全然不知,他們熱火朝天買賣毒品的網站,已經落入了警方的手,他們的一舉一動,都被警方完全掌握並記錄在案。
兩名Hansa的前管理員在德國接受審訊,兩人供出了自己所有的賬戶,伺服器密碼,社交密碼,email密碼。包括Tox的點對點聊天系統的密碼。
這是一個在Hansa上,兩名管理員用於和另幾個分管業務的「四大長老」溝通的系統。
只要警方繼續模擬他們的口吻在這個平台上繼續跟幾大管理員保持溝通,幾大管理員根本不知道這背後,已經從他們的老大,變成了警察,幾大管理員也完全不知道,他們的老大被抓了。
三天之後,Hansa的數據已經被全面遷移到荷蘭境內,在荷蘭警方的全盤控制之下。
所有的用戶,包括那些「長老」們,都完全沒有注意到他們每天登陸的Hansa,其實已經發生的驚天劇變。
完全掌控,好了,現在Hansa這個暗網上歐洲最大的非法物品交易平臺,已經完全到了警方的掌控下,警方掌控了就可以為所欲為了麼?
是的,還真就可以為所欲為了!接下來警方的一波操作,簡直完美!
他們修改了網站代碼,直接記錄下了每一位用戶的登錄密碼。
(出於安全的考慮,正常網站是不記錄用戶密碼的,只是把用戶設置的密碼轉換成一個加密的編碼。資料庫裡只保存這個加密編碼。用戶登錄的時候只是比較一下這個轉換過的加密編碼是否一致。單單只靠這個編碼,是反推不出用戶真正的密碼的。這樣的話,就算網站資料庫被攻破,用戶密碼也不會泄露。
警方接管後:密碼?可以啊,我給你繼續加密編碼存著。但是存之前我先把你的原始密碼記錄另存一份。)
他們修改了網站的用戶通信系統,直接記錄下用戶之間的聊天通信。
(正常情況下,Hansa網站上2個用戶的聊天是要經過PGP加密的。一方的信息,網站經過公匙加密後,發給另一方,別人看到也只能是加密的信息,只有對方用自己的私匙解密之後才能看到具體的信息是啥。也是通過這種加密的溝通方式,買賣家之間才敢發一些諸如收貨地址之類的個人信息。
警方接管之後:加密?可以啊!反正我是網站,你通過我發信息,我先直接另存一份你發消息的原文。然後在加密之後發給另一方。)
這樣,通過跟蹤買賣家之間的各種交易交流,警方得到了買家賣家的各種個人信息。
警方又進一步修改了網站上傳圖自動移除照片元數據的機制。
(我們的各種圖片裡其實都有圖片的一些相關信息,包括拍攝的時間,拍攝的相機類型,甚至拍攝的地理位置等。
Hansa網站為了安全起見,會幫賣家自動移出他們上傳的商品圖裡的所有的這些相關信息。這樣別人就算看到你的圖片,也不會暴露自己。)
警方接管後:好啊,我還是幫你繼續移除。不過移除之前,我先自己另存一份原圖。
因為Hansa網站一直很安全,所以很多賣家也很大條。知道網站會幫自己移除,所以上傳圖之前就懶得自己移除了。他們上傳的很多手機拍攝的產品圖裡,其實都有自己的地理位置信息。這就又泄露給了警察。這就夠了麼?還不夠!
警方又偽造了一個伺服器故障,跟所有賣家表示,哎呀,圖片伺服器故障了,你們所有的圖片都丟失了。實在不好意思,只能麻煩你們再傳一次了啊!
於是所有賣家又把自己賣的毒品的商品圖又傳了一次,其中很多都沒有移除地理位置信息。(反正他們知道網站會幫他們移除的嘛)
這下好了,警方把這些圖全部複製了一份。就這一個操作,警方又得到了超過50個大賣家的地理位置信息。
這就完了麼?還不夠啊!
警方又通過網站給賣家們發了個通告,
「這是我們網站的一個備份密匙。如果我們網站因為各種意外被關閉,90天之內你們賣家們依舊可以通過這個備份密匙,把你們放在我們網站上的比特幣全都轉出來」
一看Hansa網站對自己如此細心,這些賣家都高興壞了。
他們之中的很多人都打開過這個(警方)管理員發來的文件。而這個文件,卻是警方的一個經過巧妙構建的Excel文檔。
表面看來只是一串密匙信息。實際上,當賣家把這個打開後,會暗暗連接警方的一個網路地址。賣家的IP地址立刻會暴露給警方。
這一切,就像一個燈塔一樣,給警方指示著打開這個文件的人的位置。也就是這些毒品賣家們的位置。
這一波操作之後,又有64名賣家掉入了警方的圈套。
通過這一系列計策,Hansa在荷蘭警方的秘密控制下開始活躍起來,假扮管理員的臥底們通過研究前管理員的談話日誌,學會了和「各大長老」以及用戶溝通,足以以假亂真,讓電腦那頭的使用者們信服。
事實上,在背後冒充Hansa兩位管理員的,有整整一隊警隊的人馬,人多力量大,辦事效率也高。
一旦賣家買家以及「長老」之間有了矛盾,這些臥底警察們便立刻出手,乾淨利落處理買賣雙方矛盾,解決糾紛,
一時間,在警方管理下的Hansa,買賣家們都覺得,Hansa客服的效率比之前好多了!而越規範,服務越好,就有越來越多的人願意來這裡交易!
Hansa是個好平臺啊!來的人越來越多,警方也就有了越來越多買賣家的信息。在暗網用戶中的威望值也迅速提升…
收網捕魚
好了,警方現在已經完全控制Hansa了。我們再來說世界最大的那個,FBI端掉的AlphaBay的事情。
時機成熟,警方端掉AlphaBay。因為Hansa服務完善的名聲開始在外傳播。正如警方預測的那樣,越來越多離開AlphaBay的用戶,選擇來到Hansa。
一時間,新用戶註冊率直線攀升,竟然達到了過去日常註冊量的8倍。多的時候,一天有多達5000人湧入Hansa,而這些新湧入的用戶,從註冊的那一刻起,便落入了荷蘭警方的全盤監控中。
隨著Alphabay被端掉的消息傳遍各大媒體,Hansa被湧入的新用戶擠得水泄不通,為了進一步滿足新用戶,NHTCU不得不另外開闢新的伺服器。
開了伺服器還承受不住。不得已,警方只能暫停Hansa的新用戶註冊10天。
(每天註冊的人數,第一個波峰是因為AlphaBay被端掉。之後10天停止註冊,開放註冊之後又迎來高峰,最高每天註冊超過7000人。)
10天之後,警方再次開放註冊,新用戶再次蜂擁而至,Hansa上的交易數字令人咂舌,粗略統計,差不多每天有將近1000筆非法交易!荷蘭警方立案的手續工作都快跟不上了。
就這麼放任下去麼?也沒辦法。在接管Hansa,臥底當起管理員的這段時間,荷蘭管理的網站只禁止一種產品的在線交易:阿片類藥物芬太尼,這種藥物致死性極強,極其危險。
而其他所有的交易一切照舊,暢通無阻,對此,荷蘭警方也表示:「這些交易不在Hansa上發生,就會在其他地方發生,無論如何是阻止不了的。」
與其這樣,不如讓他們在這裡發生,這樣我還能追查到他們。
短短27天,27,000筆瘋狂的交易之後,NHTCU終於開始拉網收魚了。
他們關停了網站服務,取而代之的是一個醒目的告示和一個鏈接到荷蘭高技術犯罪部NHTCU的鏈接,展示了一長串即將被逮捕的買家,賣家的個人信息。
「如果你看到這條信息,你的所有信息已經被我們掌握了」
嗯,刺刀行動,捅了暗網的毒品交易最大的一刀!
整個行動下來,荷蘭警方掌握了42萬註冊用戶的資料。追查到了這些用戶的至少1萬個家庭住址。這些參與過非法交易的用戶和地址,之後他們會提交歐洲刑警組織,分配給歐洲各國以及世界各地的相關警方處理。
從關停網站起,他們抓獲了數十位Hansa上的最大的賣家。還查獲了1200枚比特幣,按現在的匯率,相當於價值1千2百萬美元。
荷蘭警方逮捕了荷蘭境內那些購買量特別大的買家。還實地走訪了荷蘭當地的很多買家的地址,上門告訴他們,你們在暗網上買違禁毒品的事實我們已經查到了。
「我們想讓這些買家知道,他們的一切我們都記錄在案,沒有一個人能躲掉法律的制裁。」
在事後的總結上,警方表示:
這次Hansa的搗毀行動,跟之前的暗網搗毀行動都不一樣。之前都只是搗毀而已,然而在暗網上並不奏效。這就像打地鼠一樣。你們打了這個,很快又會有另一個冒頭。
然而這次通過偷偷接管Hansa,截獲買賣雙方的信息,相當於警方主動出擊……是一場顛覆性的行動。
最關鍵的,這次行動摧毀了暗網上買賣家們對平臺的信任。說好的加密呢??
說好的保障我們安全呢?結果成了警察的了?
那我們怎麼知道接下來還有那個平臺是安全的?哪個平臺是警方釣魚的?哪個平臺被警方接管了?
在AlphaBay和Hansa行動公開後的一段時間裏,暗網界人心惶惶。他們瘋狂的互相提醒修改密碼,瘋狂懷疑任何交易平臺都可能有警方後
門。
「看來我只能戒掉(毒品)一段時間了。」「現在死都不相信任何平臺。」
在暗網的論壇上,一個個用戶這麼說道。
這一波行動的意義是深遠的,販毒與緝毒,這場貓與鼠的戰爭還會繼續下去,然而這一波刺刀行動,荷蘭警方,簡直贏得無比精彩!