Namierzali sprzedawców narkotyków, korzystając ze sztuczki opisanej na sekuraku

Organom ścigania udało się ostatnio przejąć dwa bazary narkotykowe, działające w przyciemnionym Internecie, przy czym jeden z nich – Hansa Market – mimo przejęcia był pozostawiony przez miesiąc jako podpucha. Klienci nie wiedzieli, że coś jest nie tak…

W między czasie policja umieściła do pobrania logi transakcji, które okresowo są ściągane i analizowane przez dostawców:

Under normal circumstances a locktime file is a simple log of a vendor’s market transaction, containing details about the sold product, the buyer, the time of the sale, the price, and Hansa’s signature. The files are used as authentication by vendors to request the release of Bitcoin funds after a sale’s conclusion, or if the market was down due to technical reasons.

Lewy log był w tym przypadku plikiem Excela, z dołączonym zewnętrznym obrazkiem (hostowanym dla niepoznaki na przejętym już serwisie Hansa). Można tak zrobić z każdym dokumentem MS Word, a szczegóły opisywaliśmy w artykule: „Śledzenie otwierania dokumentów MS Office”:

Śledzenie otwarcia dokumentu MS Office

Jeśli tylko ktoś nie używał Tora, proxy czy innego VPN-a policja zgarniała jego publiczny adres IP, skąd już nie tak daleko do ustalenia personaliów samego sprzedawcy.

Zainteresowanych odsyłamy do udoskonalonej techniki tego typu – umożliwiającej wyciąganie haseł od ofiar:

Dokument wygenerowany narzędziem Phishery

–ms