这些使用暗网的人是如何被抓到的?

  • 很多情况下,你只有一次犯错的机会。所以,应该非常小心

如今暗网对当局来说已经不再是深不可测了。他们已经多次成功从暗网抓捕目标人。

本文即将讨论的不是技术问题,而是人的问题 —— 是基本操作安全方面的错误导致的追踪和逮捕。

暗网依旧是活动家和记者躲避当局监控的途径;如果敏感人士犯了类似的错误,任何反追踪技术都会失败。

于是本文认为有必要梳理一下他人的教训,以帮助更多人提高警惕性。

以下是一些比较著名的案例。

Emil Babadjov

(又名 Blime-Sub 和 BTH-Overdose)

Babadjov 的职业生涯相当短暂,并且他犯了一些令人惊讶的低端错误,其中许多错误就是导致他被捕并随后被监禁的原因。

通过 Alphabay 上的 Blime-Sub 和 BTH-Overdose 帐户,Babadjov 出售芬太尼、海洛因和甲基苯丙胺。记录显示,Babadjov 仅在 Alphabay 就完成了近2,000次销售。

2016年1月,缉毒局(DEA)的一个工作组将他的账户确定为破解和逮捕暗网供应商的潜在目标。

根据DEA特工 John Brown 的一份刑事诉讼:多个讨论暗网市场的论坛中用户发布的信息都显示了 Babadjov 运送包裹的大致位置。

客户注意到 Blime-Sub 和 BTH-Overdose 这两个账户都从大约相同的区域运送包裹:西海岸,“可能在加利福尼亚的某个地方”。

Alphabay 上的 Blime-sub 列表

特工 Rabaut 检查了与 Alphabay 供应商账户 BTH-Overdose 相关的PGP密钥的用户身份信息。

虽然 Babadjov 没有使用他的真实姓名,但他使用了一个致命的电子邮件地址[email protected]

简单的开源情报收集就让DEA特工找到了登记为 “Lime Vojdabab” 的 Facebook 帐户。

一个假名,而且显然是 Emil Babadjov 倒着拼的结果。这种方法太傻了

SA Rabaut 向数字货币兑换商 Coinbase 发送了传票,要求他们提供有关 [email protected] 的任何信息。

Coinbase 提供的数据显示,Emil Babadjov 于2015年11月13日使用相同的电子邮件地址注册了一个帐户。

DEA特工提交的第二次搜索也取得了积极成果。他以被告的名义搜索了用户信息。

Coinbase 的记录表明,Emil Babadjov 曾试图在2016年3月18日创建一个新的 Coinbase 帐户。

他提供了一个电子邮件地址,将账户 BTH-Overdose(PGP密钥和电子邮件地址的来源)与 Alphabay 供应商帐户 Blime-Sub:[email protected] 联系起来了。

调查人员在逮捕前收集到了更多的证据,突出的一个要素是 Babadjov 的身份证明。

执法部门假扮买主,从 BTH-Overdose 账户订购了一揽子药物,邮寄地址是位于加利福尼亚州旧金山的自助服务亭(SSK)。于是这些间谍与美国邮政检查局合作,追踪了特定的SSK以及某人支付邮资的具体时间。

由于SSK交易不是面对面交易,因此SSK系统会拍摄进行交易的人的照片。

检查员把嫌疑人的照片给了间谍,⚠️间谍根据对嫌疑人的加州驾驶执照照片和社交媒体照片的对比,将嫌疑人识别为 Emil Babadjov。

Babadjov 目前正在加利福尼亚州 Lompoc 的低安全性联邦惩教所服刑。

总结 Babadjov 的低端错误

千万不要使用与你的真实身份存在任何联系的注册信息(见《完美隐身:技术增值部分》);千万不要使用谷歌服务(见教训《他们是如何抓捕说真话的人?》)

  • 低端的假名

这是最愚蠢的部分,但可以说很多人都会在此犯错 —— ⚠️当人们尝试给自己换一个名字时,他们往往非常缺乏创意,因为他们会下意识的感觉“那个名字是不是合适我”。

这是致命的错误!⚠️越是“合适你”的名字,说明越容易与你的真实身份发生联系。就像现实中的乔装,你必须选择*非常不合适你*的服饰,正常情况下你永远都不会碰的衣服,那才是最好的乔装。

(在这里选假名《少数派玩家》)

  • 数字货币兑换商和自助服务亭提供的信息

这似乎很难根本性避免,但你完全可以采取我们在“完美隐身”系列中介绍的狡兔三窟游戏,让追踪者撞墙。在这里回顾(链接内有本系列前半部分内容汇总)。

  • 更加令人哭笑不得的是社交媒体照片

社交媒体晒照片有多致命就不用说了。如果您曾经在互联网上任何地方发布过自己的照片,并且无法彻底删除,那就请彻底放弃相关身份,彻底分身,否则不要参与任何敏感的对话和行动,⚠️否则会连累其他队友。

Abudullah Almashwali 和 Chaudhry Farooq

(又名“Area51” 和 “DarkApollo”)

Almashwali 和 Farooq 在 Alphabay 暗网市场上销售阿片类药物。他们使用供应商帐户 Area51 和 DarkApollo 作为用户名。

不出所料,Babadjov 被捕背后的缉毒局(DEA)工作组也调查了Almashwali 和 Farooq。

DEA特工 John Babaut 是 Babadjov 案的首席调查员,就是他领导了对 Almashwali 和 Farooq 的调查。他在两次调查中都采用了相同的策略

或者说,⚠️两个案子中的被追踪对象犯有类似的错误 —— 没能完全隔离真实身份。

来自 Area51 的海洛因 Alphabay 列表

Alphabay 上的 Area51 和 DarkApollo 供应商帐户的用户ID包含链接到其他服务的电子邮件地址:[email protected]

⚠️而“其他服务”直接将被告确定为帐户所有者了。

在社交媒体上简单地搜索 “Adashc31”和“Adashc” 就能发现 Twitter、lnstagram 和 Facebook 帐户,属于被识别为 Ahmed 的人,名字是 Farooq 或 Ch. Ahmed Farooq,这是写在刑事诉状中的。

Farooq 的推特账号

根据来自论坛的有关暗网市场和供应商的信息(可能是/ r / darknetmarkets),特工知道 Area51 和 DarkApollo 的邮寄包裹来自纽约布鲁克林的邮局。

同时与“Adashc31”搜索相关的 Facebook 个人资料显示”Farooq”居住在纽约。

SA Rabaut 传唤了 Facebook 以获取与该帐户相关的所有信息。Facebook 提供了有关 Farooq 的信息。

值得注意的是,根据起诉书,间谍收到的电话号码是“针对在纽约布鲁克林销售海洛因的毒品贩运组织(DTO)正在进行的调查的一部分。”

执法部门与 Area51 和 DarkApollo 进行了秘密交易(在起诉书中称为UC Parcels)。这些包裹包含执法部门订购的海洛因以及 Almashwali 的指纹

邮政检查员发现了 Almashwali 经常使用的自助服务亭(SSK);DEA 特工确认了SSK拍摄的相关照片。

Farooq 的脸似乎避开了监视相机,Almashwali 作为他的托运人,使 Farooq 不受调查人员的影响。

但是,⚠️Almashwali 在支付 SSK 邮资时使用了 Farooq 的信用卡。该卡与 Farooq 的真实姓名和地址相关联。

2017年7月24日,一名联邦法官判处 Almashwali 在监狱服刑6.5年。2018年1月23日,Farooq 被判处入狱23个月。

总结他俩的低端错误

  • 使用真实身份信息标注 Facebook 个人资料是史上最愚蠢的行为

如果你必须使用 Facebook(对于活动家来说的确如此)那么请使用这里的方法缓解危险《如何建立一个匿名 Facebook 账户以保护个人数据的私密性?》;以及这里的方法应对所有社交媒体的危险《注意事项》。

  •  信用卡是致命之源。信用卡和任何在线支付都是你的完整生活全景图

Jose Robert Porras III

(又名 “Canna_Bars” 和 “TheFastPlug”)

与许多其他供应商一样,Jose Robert 栽在将比特币兑换成美元上

尽管只要有一个错误就足以致命了,但这个错误依旧是相当独特的。

纽约的卧底特工假扮洗钱服务以接近暗网供应商。供应商将比特币和其他加密货币交给洗钱者,以兑换美元(是的,这是真事)。

Porras 和数十家不相关的供应商从联邦特工那里收到了现金,该特工控制了一家由暗网洗钱者经营的账户。

请注意 4072 11th Avenue,Sacramento California 地址。

当然,这些信息在 Porras 被捕时就被密封了,而且所有细节 — 即使在整个行动中被捕的所有供应商都被定罪后 — 仍然是密封的。

也许其他案例能提醒一些相关的侦查策略,见《VPN?入侵?比特币?俄罗斯攻击者究竟是怎么被发现的?》。

目前联邦特工很可能继续在暗网操作被扣押的洗钱者帐户。当局随后在 Porras 案中提出了一项替代起诉书,增加了十几个洗钱指控。

卧底特工拿到的第一个地址

这项调查中最独特的部分来自一张广告照片 —— Porras 在 Canna_Bars 别名下发布的大麻广告。

为了证明大麻的质量,Porras 在大麻的照片共享服务 Imgur 上发布了几张照片。就是下面这样 —— ⚠️灾难之源。

Canna_Bars 展示他的产品质量的照片

你能看到他居然没有戴手套! ……一名临时吸毒者也许没有什么可担心的,但是作为供应商,应该明白自己一直在与执法部门进行持续的猫鼠游戏。

供应商非常多,但是被抓住的只有那几个,为什么?因为只有那几个太不擅长匿名了。就如类似 Porras 这种低端错误

2018年3月19日,特工在 Imgur.com 网站上下载了最高分辨率的上述广告照片,并将照片提交给了HSI法医文件实验室,以便与已知指纹进行比较 —— 指纹,逮捕的证据。

Porras 的高清指纹

⚠️这就如带着面具却摆出剪刀手的拍照效果……

我们提醒过不要在互联网上晒剪刀手照片。⚠️拍照时,如果你在距离摄像头三米内摆出剪刀手的手势,通过照片放大和人工智能增强技术,就能将你的指纹信息还原出来 —— 不仅会导致你的身份被识别,并且,你家里的指纹锁、IPhone手机等一切指纹密码保护都将被破解

以下是 Imgur 的存档版本:imgur.com/a/uy7PY。

这场大抓捕行动中还有很多其他人被捕,以下是不完整名单:

Nicholas Powell and Michael Gonzalez

  • “TheSource,” “BonnienClyde,” BnC,” “BCPHARMA,” and “Money TS.

Daniel Boyd McMonegal

  • “Sawgrass,” “Ross4Less,” and “ChristmasTree”

Antonio Tirado and Jeffrey Morales

  • “TrapGod”

Jeremy Achey

(EtiKing & Brohemoth)

Achey 案放在最后,它是一个很独特的案例。但本文不得不放弃其中一些细节,以便适应其他案例的水平。

这个伯利恒人(巴勒斯坦南部城市)不仅经营着相当多产的暗网供应商账户“EtiKing”,他还 — 以各种假名 — 积极参与“合法”的化学研究。

⚠️虽然有无数种匿名方面的操作错误导致 Achey 被捕,但其中一些错误肯定比其他错误更加突出。

根据刑事诉讼,2017年2月在佛罗里达州发生的致命药物过量引发了对 Achey 的调查。

验尸官的报告是这样写的:

结论:24岁的白人女性[受害者]的死亡是由于四氢呋喃芬太尼和依替唑仑的联合毒性导致的。死亡方式被归类为事故。

地方当局通知了缉毒局。 DEA分析了四氢呋喃芬太尼和依替唑仑,并确认了验尸官的报告。(此案发生时四氢呋喃芬太尼在美国还不是受控物质)

3月,DEA特工 Mark Bruso 和其他人联系了死者的家属,并了解到这对夫妇经常从 Alphabay 的一家名为 EtiKing 的暗网供应商那里购买产品。

特工检索了死者使用的账户,发现了死者曾经与 EtiKing 的通信信息,并确认了交易历史记录。

第一条信息就足以结束 Achey 的职业生涯了。这对夫妇在佛罗里达州收到的四氢呋喃芬太尼和依替唑仑包裹的包装上手写有以下寄回地址:USDTO#6088 1321 Upland Drive,Houston TX 77043。

联邦特工重复使用钓鱼方法假扮买主,并证实了来自 EtiKing 的大部分包裹都有相同的退货地址。

U.S. Drug Testing Organization

USDTO代表美国药物检测组织。

Achey 使用用户名 jeremysdemo,垃圾邮件链接到/ r / researchmarkets 和 / r / RCsources subreddits 上的网站。

使用用户名 jeremysdemo 和至少一个另外的类似用户名,Achey 主持了多个研究化学品的评价版。他甚至张贴了化学品研究网站用作他的 EtiKing 操作的一部分。

jeremysdemo,Jeremy Achey 拥有的一个帐户,向USDTO发送垃圾邮件

EtiKing 的包装上的标记是支持比特币支付运费的公司 Stampnik。 Stampnik 需要支付运费的人提供有效的电子邮件地址

无疑 Stampnik 公司收到了传票,要求提供有关USDTO地址的所有信息,该公司提供的信息显示,EtiKing 已使用过至少九个电子邮件地址为其客户支付运费。

许多电子邮件地址可以将 EtiKing(和之前的 Achey)与研究化学领域的其他犯罪企业联系起来:

政府间谍联系了一个秘密消息来源,该消息来源被描述为研究化学品、暗网市场和 Alphabay 的“精通”人士。

起诉书上写着,该机密消息来源最初创建并运营了 EtiKing 供应商账户。然后该消息来源以400美元的价格将该账户卖给了某人。该消息来源为当局提供了与$400交易相关的多个比特币地址

⚠️几乎在所有暗网调查中当局的特工都会做同样的事 —— 他们转向求助于 Coinbase。有相关的比特币地址、物理地址和六个电子邮件地址,当局传唤了 Coinbase

2017年6月,Coinbase 根据传票确认帐户所有者为 Jeremy Achey。

Coinbase 的执法请求页面

Coinbase.com 为政府间谍提供了关于 Jeremy Achey 的以下证据:

  • Achey 将其公司列为 “USDTO”,其网站为 USDTO.org,作为“慈善机构”和“独资企业”。
  • Coinbase.com 记录显示,Achey 将 “[email protected]” 和 “[email protected]” 列为其个人电子邮件地址。[email protected] 是 EtiKing 用于从 Stampnik 支付运费所使用的电子邮件地址之一。
  • Coinbase 还对与调查相关的四个不同账户的数据进行了分析。

目前 Achey 被监禁在佛罗里达州萨姆特维尔的 USP Coleman I。无期徒刑

结尾

以上这些错误都很常见。⚠️人们经常会同时使用多个网站、论坛上的账户,其中任何一个账户的错误操作都将是致命的。

尤其是本文中记录的错误,几乎可以说是大多数人都会犯的错误 —— 继续强调我们在“完美隐身”系列中所分析的技巧和陷阱:

⚠️请注意,我们对毒贩没有兴趣;本文想要说的是,当局能用这些方法抓住毒贩,他们就能抓住任何他们不喜欢的人 —— 包括政治异议和所有说出真相的人。在这里看到《他们如何逮捕说出真相的人》。

我们希望您永远不要做坏事。但什么是好什么是坏,往往由当权者决定。如果你不幸被当局瞄准了,请尽可能不要犯低端错误 —— 哪怕你能让追踪者晕头转向足够长的时间,也很有可能成功消耗他们的金钱和精力;如果你幸运,追踪者会因此被耗尽,从而放弃你。

⚠️前车之鉴比安全知识更刺激,但前车之鉴必须落在对安全知识的强调上。

再一次,我们不关心毒贩,我们关心的是那些对抗权力的勇士,他们一直处于最危险的境地。

反追踪是一种心智的斗争。所以,请保持冷静,以便能令您的智慧充分发挥。⚪️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据