Un uomo è stato incarcerato per aver rubato tramite tecniche di phishing e keylogger centinaia di bitcoin a utenti di black market nel dark web. Il delinquente s’impossessava delle credenziali delle vittime e monitorava i loro portafoglio nel black market, utilizzando le credenziali rubate per trasferire i fondi su suoi indirizzi/wallet e, da lì, versare il tutto su conti bancari dove poi prelevava le somme per comprare case e auto.
Stando a quanto descrive in dettaglio l’agente FBI che ha seguito l’indagine e viene riportato brevemente sul sito del Department of Justice, il soggetto è stato sottoposto a indagini nel 2013 per presunte attività illecite su marketplace nel dark web in ambito di narcotici, carte di credito rubate e altri traffici sospetti.
In seguito, è emerso che la sua attività principale in realtà era quella di predisporre siti di phishing nel dark web finalizzati a trarre in inganno gli utenti di diversi black market su hidden service con indirizzi .onion nel dark web che, tratti in inganno, cliccavano sui link da lui postati sui forum, convinti di accedere ai dark market reali e passando invece a lui le credenziali. Credenziali che lui parsimoniosamente raccoglieva e conservava, dopo essersi segnato quali erano gli indirizzi Bitcoin in possesso degli utenti così da poterli monitorare. Quando gli utenti caricavano i loro “conti” sui black market, l’indagato riceveva la notifica di transazione bitcoin avvenuta e non doveva fare altro che loggarsi con le credenziali rubate sui dark market, svuotando i wallet mediante trasferimenti su suoi conti bitcoin.
Dalle dichiarazioni dell’FBI, l’indagato era arrivato persino a creare dei link da pubblicare poi sui forum che, invece di condurre sui black market, stabilivano una connessione verso server da lui controllati che, tramite port forwarding, inoltravano poi i pacchetti verso il vero dark market, dove gli utenti inserivano le loro credenziali e operavano le loro attività illecite utilizzando come moneta il Bitcoin. Ovviamente, oltre a redirigere la connessione tra gli utenti e i black market, l’indagato “sniffava” il traffico creando una sorta di “keylogger” al fine di monitorare tutto ciò che veniva digitato dalle vittime, inclusi username e password o indirizzi bitcoin. Non viene specificato come venivano gestite eventuali connessioni SSL ma, per esperienza, possiamo osservare come sia raro nel dark web l’utilizzo di certificati SSL e, anche in quel caso, c’è sempre la possibilità di gestire il forward tramite tecniche di man-in-the-mail, o gestendo i due canali in modo distinto o modificando i certificati in transito.
Per rubare il credito che le malcapitate vittime depositavano sui loro conti, l’indagato faceva spesso uso di servizi di money laundering (tumbler o mixer) come Bitcoin Fog per poi convertire tramite LocalBitcoins i bitcoin in contanti mediante il suo conto bancari presso Bank of America, carte prepagate Green Dot o trasferimenti di denaro Western Union e Money Gram.
Gli agenti FBI che hanno operato il sequestro presso l’abitazione dell’indagato hanno eseguito un’analisi forense del contenuto degli hard disk ricostruendo le chat del soggetto che vengono riportate nel verbale e sono del seguente tenore: “vedi questi username e password? PIN, saldo e tutti indirizzi di deposito in bitcoin di siti privati illegali… quando rilevo dei pagamento in bitcoin mi connetto tramite login e password e prelievo… faccio 1.000 dollari al giorno con un sito di phishing che mi sono creato da solo” oppure “vivo in una casa sulla spiaggia, da solo, guido una Mercedes, tutto pagato… vorrei cambiare lavoro e passare ad altro ma qui c’è da fare mezzo milione di dollari all’anno, ne faccio 30.000 al mese, 5.000 alla settimana” o ancora “Ho 5.000 login e password di siti illegali dove si opera in bitcoin, scrivo scanner, che superano i captcha e faccio login con i dati degli utenti, monitorando gli indirizzi bitcoin e prelevando quando depositano… ho fatto anche 8.700 dollari in un minuto una volta“.