كشف المستور: استخدم OSINT لفك شفرة أنشطة الويب المظلم
في 5 أبريل 2023 ، مكتب التحقيقات الفيدرالي والشرطة الوطنية الهولندية أعلنت عملية إزالة سوق سفر التكوين، واحدة من أكبر أسواق الويب المظلمة.أدت العملية ، التي يطلق عليها اسم "عملية ملفات تعريف الارتباط" ، إلى اعتقال 119 شخصًا وتوزع أكثر من مليون دولار في العملة المشفرة.
متابعه_مكسي نيوز
OSINT…في 5 أبريل 2023 ، مكتب التحقيقات الفيدرالي والشرطة الوطنية الهولندية أعلنت عملية إزالة سوق سفر التكوين، واحدة من أكبر أسواق الويب المظلمة.
أدت العملية ، التي يطلق عليها اسم “عملية ملفات تعريف الارتباط” ، إلى اعتقال 119 شخصًا وتوزع أكثر من مليون دولار في العملة المشفرة.
يمكنك قراءة أمر مكتب التحقيقات الفيدرالي هنا لمزيد من التفاصيل الخاصة بهذه الحالة.
في ضوء هذه الأحداث ، أود مناقشة كيف يمكن لـ Osint المساعدة في تحقيقات الويب المظلمة.
يجذب عدم الكشف عن هويته في Dark Web مجموعة متنوعة من المستخدمين ، من المبلغين عن المخالفات والناشطين السياسيين إلى مجرمي الإنترنت والإرهابيين.
هناك العديد من التقنيات التي يمكن استخدامها لمحاولة تحديد الأفراد وراء هذه المواقع والأشخاص.
نقاط الضعف الفنية
على الرغم من عدم النظر في Osint ، كانت هناك حالات عندما توجد نقاط الضعف التقنية في التكنولوجيا المستخدمة لاستضافة مواقع الويب المظلمة.
قد توجد نقاط الضعف هذه في البرنامج نفسه أو بسبب سوء التكوينات ، ولكن يمكن أن تكشف أحيانًا عن عنوان IP الحقيقي للموقع.
غالبًا ما تتطلب نقاط الضعف هذه لأدوات وتقنيات اختبار القلم مثل Suite Burp للحث على رسائل الخطأ التي تحتوي على عنوان IP الحقيقي للموقع. نقاط الضعف مثل هذه غير شائعة ونادرا ما تستخدم.
كانت هناك أيضًا حالات تستخدم فيها مشغلي موقع Dark Website Certs SSL أو مفاتيح SSH ، والتي يمكن ربطها بعنوان IP الحقيقي باستخدام خدمات مثل Shodan أو Censys.
تتبع العملة المشفرة
غالبًا ما تتضمن المعاملات على شبكة الويب المظلمة عملة مشفرة مقابل السلع والخدمات غير القانونية. هذا يفتح إمكانية تحديد الأفراد بمساعدة أدوات تحليل blockchain.
لا يمكنني الذهاب إلى أحد البنوك وفتح حساب باستخدام اسم “مجهول” بسبب القوانين المصممة لمنع غسل الأموال.
غالبًا ما يشار إلى هذه المتطلبات على أنها مكافحة غسل الأموال (AML) وتعرف على عميلك (KYC) وتتطلب من العملاء تقديم هوية صادرة عن الحكومة لإثبات الهوية.
العديد من البلدان لديها متطلبات مماثلة في تبادل العملة المشفرة.
لعدة سنوات ، قدمت الشركات أدوات تحليل blockchain التي تحاول ربط عناوين العملة المشفرة بتبادلات محددة ، مثل Coinbase أو Binance.
بمجرد ربط عنوان العملة المشفرة بتبادل محدد ، يمكن لإنفاذ القانون و/أو المحققين الماليين الذين يتمتعون بالسلطة القانونية أن يطلبوا أن يوفر لهم البورصة تحديد المعلومات لمالك هذا الحساب.
تاريخيا ، كانت خدمات تحليل blockchain هذه باهظة التكلفة للأفراد لشراء ، ومع ذلك ، مزود تحليلات blockchain فتات الخبز أطلقت مؤخرًا منصة تحليلات توفر أسعارًا أكثر تكلفة وخطة مجانية.
نقلهم إلى الإنترنت
نحن لا نناقش الويب المظلم حتى اليوم الخامس من بلدي SANS SEC497 دورة OSINT العملية، لماذا؟ من المهم أن تتعلم أولاً عن الخيارات المتوفرة بمجرد إعادة طريقة الاتصال التي تم الحصول عليها على شبكة الويب المظلمة إلى الإنترنت. اسمحوا لي أن أشرح.
تخيل أنك تدير شاحنة طعام مجبرة باستمرار على تغيير المواقع بسبب مرسوم المدينة بأنه لا يمكنك أبدًا أن تكون في نفس المكان أكثر من مرتين في الشهر.
كيف ستحاول بناء ولاء العلامة التجارية وإعلام العملاء المحتملين بمكان وجودك كل يوم؟
من المحتمل أن تحاول جعل العملاء يتواصلون معك على وسائل التواصل الاجتماعي أو زيارة موقع الويب الخاص بك ، وما إلى ذلك ، حتى يتمكنوا من معرفة مكان العثور عليك.
صدق أو لا تصدق ، هناك ديناميكية متشابهة للغاية على الشبكة المظلمة.
ما يوفره الشبكة المظلمة في عدم الكشف عن هويته ، وما يفتقر إليه هو الاستقرار والأمان.
الأسواق الرئيسية مثل طريق الحرير ، ألفاباي ، هانسا ، وول ستريت ، والآن تم إسقاط كل من سفر التكوين من قبل إنفاذ القانون.
أصبحت هجمات الحرمان من الخدمة مشكلة كبيرة على شبكة TOR ، كما يتضح من منتدى “الرهبة” الشهير الذي انخفض مؤخرًا لعدة أشهر بسبب هذه الهجمات.
هل يمكنك أن تتخيل محاولة إدارة عمل وتحقيق دخل مستقر في تلك البيئة؟
تتمثل إحدى الطرق التي يحاول البائعون في تحقيق الاستقرار والمرونة في البيع على أسواق متعددة وتوفير طرق للاتصال بهم مباشرة.
هذه المحاولة لتوفير الاستقرار لها معنى كبير وهي مفيدة بشكل لا يصدق لممارسي OSINT لأنها توفر أساليب الاتصال ، أو “المختارين” ، والتي يمكننا استخدامها للعثور عليهم على الإنترنت وجلب جميع معرفتنا وتجربتنا ومواردنا .
انظر إلى المثال أدناه حيث تمكنا من أخذ عنوان بريد إلكتروني من موقع ويب مظلم وربطه بموقع على الإنترنت باستخدام Google.
بمجرد ربط الفرد (الأفراد) بالموارد على الإنترنت ، لدينا العديد من الخيارات لإلغاء تمييزها. بعض الخيارات المفضلة لدي تشمل:
البحث عن Whois التاريخية
يمكن أن توفر معلومات تسجيل المجال مثل Whois Records معلومات مفيدة حول مالك أو مشغل موقع الويب.
في بعض الحالات ، يجوز للمجرمين فضح هويتهم أو موقعهم عن غير قصد باستخدام تدابير حماية الخصوصية غير الدقيقة أو غير المكتملة.
حتى لو كانت معلومات WHOIS لموقع ما مجهولًا حاليًا ، في كثير من الأحيان ، كانت هناك نقطة في الماضي عندما لم يكن الأمر كذلك.
لقد رأيت فجوات صغيرة مثل أربعة أيام حيث تم تسجيل موقع خاص قبل وبعد هوية مالكها الحقيقية.
Osint في المنتديات
غالبًا ما يشارك الأفراد على شبكة الإنترنت المظلمة في المنتديات للتواصل والإجابة على الأسئلة وما إلى ذلك.
قد يكشفون عن غير قصد عن المعلومات التي يمكن أن تساعد ممارسي Osint على معرفة المزيد عن هوياتهم الحقيقية.
اللغة التي يستخدمونها وأقوالهم الفريدة يمكن أن تكون مفيدة للغاية.
اختراق البيانات
حتى إذا تم ربط البريد الإلكتروني بخدمة مجهولة ، فقد يكون المستخدم قد استخدمه في مواقع أخرى ، بما في ذلك المنتديات ووسائل التواصل الاجتماعي.
إذا كنت قادرًا من الناحية القانونية والأخلاقية على استخدام بيانات الخرق في تحقيقاتك ، فقد تتمكن من ربط شخصية عبر الإنترنت بالاسم الحقيقي أو العنوان الفعلي ، إلخ.
مثال على التسرب الذي أثبت أنه مفيد لبعض المحققين هو تسرب 2021/2022 من 10 جيجابايت من البيانات من العديد من مزودي VPN ، بما في ذلك Superpn و GeckovPN و ChatVPN.
تحتوي هذه البيانات على أسماء كاملة وتفاصيل الفواتير ومعرفات فريدة من نوعها حول الأجهزة المستخدمة ، بما في ذلك هوية المشترك الدولي للمشترك (IMSI) للأجهزة المحمولة.
التطورات والاتجاهات المستقبلية
ستستخدم عمليات الإزالة في سوق الويب المظلمة في المستقبل طرقًا تمت مناقشتها هنا وسوف تتضمن بلا شك التقنيات الناشئة.
التطور الأكثر وضوحًا هو استخدام الذكاء الاصطناعي (AI) والتعلم الآلي (ML) في Osint.
على سبيل المثال ، يمكن أن تساعد الذكاء الاصطناعي في بناء أدوات تجريف الويب التي يمكنها جمع البيانات وتحليلها بسرعة من مصادر متعددة ، في حين يمكن تدريب خوارزميات ML على تحديد الأنماط والعلاقات في البيانات.
هذه التطورات لديها القدرة على إنقاذ المحققين وقت وموارد كبيرة ، مما يسمح لهم بالتركيز على جوانب أخرى من تحقيقاتهم.
لمعرفة المزيد حول معهد SANS ، التدريب على الأمن السيبراني ، الشهادات ، والموارد المجانية ، انقر هنا الآن!
ملاحظة: تم كتابة هذه المقالة بخبرة وساهمت بها مات إدموندسون، بلا مدرب.
