Streszczenie
W artykule autorzy opisują potencjalne metody dokonania oszustw w sieci Inter-net, których ofiarą mogą paĞü przede wszystkim zwykli uĪytkownicy ale takĪe instytucje i korporacje. Tematyka artykuáu skupia siĊ na wykorzystaniu wspóáczesnych technik anonimizujących oraz narzĊdzi do wykonywania oszustw.
Sáowa kluczowe: tor, oszustwa internetowe, bitcoin, sieci anonimizujące, kryptowaluty 1. Wprowadzenie – wspóáczesne oszustwa internetowe
Ocenia siĊ, Īe tylko w samym roku 2011 oszustwa on-line spowodowaáy straty na poziomie 3,4 mld $ i to wyáącznie w samych USA (co stanowiáo ~1% wartoĞci caáego handlu w tym kraju) [1]. Co alarmujące – skala oszustw zwiĊksza siĊ z roku na rok. Przyczynia siĊ do tego przede wszystkim obserwowany w ostatnich latach, staáy wzrost sektora handlu elektronicznego oraz mnogoĞü ogól-nodostĊpnych narzĊdzi umoĪliwiających przeprowadzenie skutecznego oszustwa [17].
Analizując gáówne przyczyny wzrostu iloĞci oszustw w handlu elektronicznym w Internecie naleĪy od razu zaznaczyü jedną kwestiĊ – niemoĪliwym jest odwrócenie korelacji pomiĊdzy skalą handlu a iloĞcią oszustw. Dokonywanie oszustw jest po prostu nazbyt intratnym zajĊciem, dającym zyski nazbyt wielu osobom.
Bardzo istotną przyczyną umoĪliwiającą dokonywanie oszustw jest takĪe niedoskonaáoĞü za-bezpieczeĔ oraz niemoĪnoĞü zapobiegniĊcia báĊdom ludzkim. Mówiąc o niedoskonaáoĞci zabezpieczeĔ trzeba mieü na uwadze zabezpieczenia kont bankowych, kart debetowych/kredyto-wych oraz serwisów ogáoszeniowych i aukcyjnych. W wielu przypadkach, gáównym powodem wszelkiego rodzaju oszustw jest czynnik ludzki – duĪa czĊĞü wáamaĔ jest dokonywana dziĊki nie-frasobliwoĞci uĪytkownika pobierającego oprogramowanie z niepewnego Ĩródáa (czĊsto w celu unikniĊcia zapáaty), wątpliwa aktywnoĞü na portalach spoáecznoĞciowych oraz wielokrotne stoso-wanie tych samych haseá. Obecnie ocenia siĊ, Īe juĪ okoáo 1/5 uĪytkowników Internetu padáa ofiarą przestĊpców w zakresie choüby utraty wáasnego konta email, bądĨ konta na portalu spoáecznoĞcio-wym [10].
Kolejną przyczyną wzrostu skali przestĊpstw jest dostĊpnoĞü áatwych w uĪyciu narzĊdzi do anonimizacji aktywnoĞci w sieci (i poĞrednio w Ğwiecie rzeczywistym). Do pierwszej kategorii tych narzĊdzi naleĪy zaliczyü przede wszystkim narzĊdzia powiązane z technologią TOR (ang. The Onion Router). PojĊcie technologii TOR i jej zastosowanie bĊdzie objaĞniane i analizowane w dal-szej czĊĞci artykuáu. Do drugiej kategorii naleĪy zaliczyü nowoczesne produkty typu przedpáaconych kart debetowych, które umoĪliwiają wygodny odbiór gotówki przy minimalizacji moĪliwoĞci fizycznej identyfikacji.
Intencją podjĊcia niniejszego tematu jest poszerzenie i uporządkowanie wiedzy oraz uĞwiado-mienie odbiorców, co do technicznych moĪliwoĞci i umiejĊtnoĞci potencjalnych cyberprzestĊpców. 2. Technologie i narzĊdzia wykorzystywane przez przestĊpców
Podstawowym problemem przestĊpców internetowych (i paradoksalnie wielu aktywistów mo-nitorujących naduĪycia wáadzy) jest zachowanie anonimowoĞci. Wspóáczesna struktura sieci Internet wydaje siĊ zapewniaü anonimowoĞü obywateli, jednak nie jest to stwierdzenie w peáni praw-dziwe. Organy Ğcigania mogą w doĞü prosty sposób ustaliü toĪsamoĞü poszukiwanych osób na podstawie adresu IP. Istnieją jednak juĪ narzĊdzia informatyczne pozwalające w szerokim zakresie unikaü powiązania toĪsamoĞci danej osoby z danym adresem IP.
Do technologii i narzĊdzi pozwalających zwiĊkszyü anonimowoĞü dziaáaĔ moĪna zaliczyü: sieü TOR (oraz inne sieci anonimizujące), VPN, SOCKS/PROXY i podobne [11].
Na szczególną uwagĊ zasáugują zwáaszcza wszystkie narzĊdzia oparte o technologiĊ sieci TOR, pozwala ona bowiem na anonimizacjĊ ruchu nie tylko wewnątrz samej sieci TOR ale takĪe w ko-munikacji do serwerów znajdujących siĊ w standardowym Internecie. Do narzĊdzi opartych o sieü TOR – poza dedykowaną przeglądarką – naleĪy zaliczyü: instalowany (jednak juĪ nie wspierany) plugin/dodatek; systemy oparte o Linux (takie jak Tails oraz Whonix [5]); róĪnego rodzaju typy serwerów/usáug poĞredniczących.
Sama sieü TOR jest wirtualną siecią komputerową implementującą wielokrotne szyfrowanie oraz przesyáanie danych poprzez szereg wĊzáów poĞredniczących. Technologia ta uĪywana jest w celu anonimizacji ruchu w sieci Internet i ma uniemoĪliwiü (lub choüby stanowczo utrudniü) Ğle-dzenie dziaáaĔ pojedynczego uĪytkownika. W praktyce dziaáanie TOR polega – w uproszczeniu – na przesyáaniu danych uĪytkownika poprzez inne komputery (wĊzáy) w sieci Internet. Komputery te są odpowiednio skonfigurowane do wspóápracy z siecią TOR. Proces ten umoĪliwia zamaskowa-nie danych identyfikujących konkretnego uĪytkownika (gáówzamaskowa-nie adresu IP, z którego korzysta) poprzez stosowanie losowego poáączenia z tzw. wĊzáami poĞredniczącymi.
Podstawowe wáasnoĞci sieci TOR są nastĊpujące:
– poáączenie jest co kilkanaĞcie minut odnawiane – zmieniana jest trasa pakietów poprzez zmianĊ wykorzystywanych wĊzáów (co swoją drogą utrudnia niektóre rodzaje aktywnoĞci);
– wspomniany proces maskowania wáaĞciwego adresu IP uĪytkownika polega na korzystaniu z wĊzáów znajdują siĊ w wielu krajach Ğwiata (co w razie podjĊcia próby Ğledzenia aktywnoĞci uĪyt-kownika, utrudnia bądĨ uniemoĪliwia ten proces);
Prosty schemat dziaáania sieci TOR przedstawiono na rysunku poniĪej.
Rysunek 1. Schemat dziaáania sieci TOR ħródáo: Opracowanie wáasne na podstawie [12].
Wykorzystanie narzĊdzi TOR znacząco utrudnia wyĞledzenie komputera bądĨ osoby je wyko-rzystującej – jak jednak juĪ wspomniano wyĞledzenie nie jest caákowicie niemoĪliwe. Obecnie operatorzy telekomunikacyjni są w stanie monitorowaü, kto jest podáączony do sieci TOR. W Polsce jest to statystycznie ~10 000 uĪytkowników [12] dziennie (przez dáugi czas Ğrednia liczba uĪytkow-ników TORa w Polsce wynosiáa 10 000 dziennie, nastĊpnie nastąpiá skokowy wzrost tej wartoĞci – sugeruje to BOTNET (czyli sieü komputerów kontrolowanych przez hakera lub grupĊ hakerów, wy-korzystywanych zgodnie z ich interesem i wbrew woli faktycznego uĪytkownika). 10 000 uĪytkowników to stosunkowo niewiele, co moĪe umoĪliwiü identyfikacjĊ poszczególnych osób w sieci TOR poprzez korelacjĊ czasu poáączenia uĪytkownika i jego aktywnoĞci (co jest moĪliwe z uwagi na ograniczoną liczbĊ faktycznych uĪytkowników) –a to zagraĪa anonimowoĞci.
W dziaáaniach na rzecz zachowania anonimowoĞci, zastosowanie znajdują takĪe sieci typu VPN znane gáównie z zastosowaĔ korporacyjnych. W normalnych warunkach wykorzystanie sieci typu VPN pozwala na poáączenie siĊ z macierzystą siecią fizyczną poprzez szyfrowany „tunel” i uzyska-nie dostĊpu do chronionych danych wraĪliwych.
Ostatnim wykorzystywanym narzĊdziem są serwery proxy (szczególnie SOCKS). Serwer proxy jest rodzajem serwera poĞredniczącego umoĪliwiającego komunikacjĊ pomiĊdzy komputerami bez bezpoĞredniego poáączenia. DziĊki serwerom proxy moĪliwe staje siĊ – bez wzbudzania podejrzeĔ – poáączenie z serwisami internetowymi zwracającymi szczególną uwagĊ na uĪytkowników áączą-cych siĊ poprzez sieü TOR.
OczywiĞcie w celu uzyskania jak najwiĊkszego stopnia anonimowoĞci swoich poczynaĔ, najle-piej jest wykorzystaü peáen zestaw dostĊpnych narzĊdzi i technologii. Co wiĊcej, istnieją technologie pozwalające wzglĊdnie bezproblemowo tunelowaü ruch kilkukrotnie przez sieü TOR.
2.1. Przykáad zastosowania
Maskowanie swojej obecnoĞci w sieci TOR, ma szczególne znaczenie dla aktywistów (oraz oczywiĞcie przestĊpców) z regionów, w których uĪywanie sieci TOR jest nielegalne.
Proces maskowania odbywa siĊ pierwotnie poprzez poáączenie siĊ z siecią VPN aby zaszyfro-waü ruch miĊdzy wáasnym komputerem a serwerem VPN, co uniemoĪliwi dostawcy usáug internetowych (ISP – ang. Internet Service Provider) odnotowanie rozpoczĊcia poáączenia z siecią TOR.
Kolejnym krokiem w celu zapewnienia w miarĊ peánej anonimowoĞci jest zalogowanie siĊ do sieci TOR. W tym momencie naleĪy rozwaĪyü dwie moĪliwoĞci.
Pierwszą z nich jest uĪycie dedykowanej dla aktualnego systemu operacyjnego przeglądarki – co niestety niesie za sobą ryzyko wycieku informacji o pierwotnym adresie IP (dzieje siĊ tak ponie-waĪ przeglądarka jest narzĊdziem wysoce zaleĪnym od systemu operacyjnego gospodarza i nie zabroni uĪytkownikowi otworzyü strony z odpowiednio spreparowanym JavaScript, bądĨ uĪycie protokoáu, który nie poáączy siĊ za poĞrednictwem sieci anonimizujacej).
Drugą moĪliwoĞcią jest uĪycie dedykowanych dla TORa systemów operacyjnych (wspomniany Tails lub Whonix). Tails jest systemem typu live-cd, który nie pozostawia Ğladów na komputerze-gospodarzu po swojej obecnoĞci (chyba, Īe uĪytkownicy sami celowo dokonają zapisu danych na dysku). Whonix jest natomiast systemem skáadającym siĊ, de facto, z 2 autonomicznych czĊĞci – Whonix Workstation oraz Whonix Gateway. Obie autonomiczne czĊĞci są rozprowadzane w postaci
gotowego obrazu systemu dla aplikacji umoĪliwiającej wirtualizacjĊ – VirtualBox. Whonix Gate-way to system Linux skonfigurowany w celu tunelowania przez TOR caáego ruchu, który zostanie dostarczony do odpowiedniej karty wirtualnej. Specyfika systemu sprawia, Īe wszystkie poáączenia zostaną nawiązane za poĞrednictwem sieci TOR albo nie zostaną nawiązane w ogóle. Whonix Workstation to system typu Linux skonfigurowany do áączenia siĊ wyáącznie poprzez Whonix Ga-teway, co uniemoĪliwia przedostanie siĊ pakietów do sieci Internet bez poĞrednictwa sieci TOR. DomyĞlna konfiguracja nie pozwala jednak na peáną swobodĊ, wymusza bowiem uĪywanie systemu Linux a ponadto serwer docelowy bĊdzie w stanie rozpoznaü uĪytkownika sieci TOR i uniemoĪliwiü mu normalne korzystanie z usáugi. W celu zapobieĪenia rozpoznaniu, zaleca siĊ tak skonfigurowaü system, aby áączenie nastąpiáo najpierw z serwerami proxy (SOCKS), których rozpoznanie jest znacznie utrudnione (a to umoĪliwia ukrycie sposobu poáączenia i ominiĊcie zabezpieczeĔ skiero-wanych na sieü TOR).
Logowanie do banku bądĨ na portal aukcyjny z egzotycznego adresu IP wzbudza uzasadnione podejrzenia. Dodatkowym problemem jest sposób funkcjonowania sieci TOR, która zmienia trasĊ routingu pakietów co kilkanaĞcie minut, co moĪe prowadziü do utraty poáączenia.
Konfiguracja poáączenia do korzystania z bramki SOCKS pozwala zachowaü staáe zewnĊtrzne IP oraz uniemoĪliwiü rozpoznanie uĪytkownika sieci TOR.
Jeszcze jednym problemem moĪe byü fakt, Īe nie kaĪde oprogramowanie ma dostĊpną odpo-wiednią wersjĊ lub odpowiednik pod systemem typu Linux. W wypadku, gdy dla wáasnej wygody lub z koniecznoĞci potrzebujemy korzystaü z systemu Windows (bądĨ innego moĪliwego do uru-chomienia na maszynie wirtualnej) wciąĪ istnieje moĪliwoĞü przeprowadzenia peánej konfiguracji w celu zabezpieczenia toĪsamoĞci.
Aby uruchomiü system Windows jednoczeĞnie anonimizując wszystkie poáączenia, naleĪy uru-chomiü go na maszynie wirtualnej i skonfigurowaü do korzystania z wewnĊtrznej, wirtualnej karty sieciowej systemu Whonix Gateway. Zgodnie z zaleceniami ze strony projektu Whonix, konfigura-cja prezentuje siĊ jak poniĪej:
Adres IP: 192.168.0.50
Maska podsieci: 255.255.255.0
Brama domyĞlna: 192.168.0.10
Preferowany serwer DNS: 192.168.0.10
DziĊki powyĪszej konfiguracji (dotyczącej zarówno systemu Linux jak i Windows) kaĪdy jest w stanie nawiązaü anonimowe poáączenie za pomocą oprogramowania normalnie do tego nieprzy-stosowanego. Dotyczy to wszelkich komunikatorów takich jak Skype, Jabber, korzystania z stron www (wraz z JavaScript), czy wysyáania maili bez obawy o ujawnienie prawdziwego adresu IP (opis moĪliwych konfiguracji przedstawiono w Tabeli 1).
Tablica 1. Technologie – porównanie moĪliwoĞci Technologia i
narzĊdzia ISP Serwis koĔcowy Konsekwencje
BRAK Nie zauwaĪa
nie-typowego ruchu
Zna IP uĪytkownika Organy Ğcigania bez problemu ustalą toĪsamoĞü przestĊpcy.
VPN ZauwaĪa
poáą-czenie VPN
Zna IP dostawcy VPN Organy Ğcigania bĊdą musiaáy ustaliü IP VPN a nastĊpnie uĪytkownika
SOCKS/PROX Y
Nie zauwaĪa nie-typowego ruchu
Zna IP dostawcy
SOCKS/PROXY
Organy Ğcigania bĊdą musiaáy ustaliü adres IP do-stawcy usáugi SOCKS/PROXY a nastĊpnie uĪytkownika usáugi
TOR ZauwaĪa
poáą-czenie TOR
Zna IP wĊzáa koĔcowego (exit node) sieci TOR. W przypadku wiĊkszych firm bardzo prawdopodobna blokada dostĊpu.
Organy Ğcigania bĊdą mieü powaĪny problem z ustaleniem IP uĪytkownika. Istnieje jednak moĪ-liwoĞü ujawnienia prawdziwego IP w wyniku nieprawidáowej konfiguracji oprogramowania. Ponadto w razie innych, nietypowych báĊdów or-gany Ğcigania mogą wytypowaü podejrzanych áączących siĊ w niedáugim czasie z siecią TOR VPN + TOR ZauwaĪa
poáą-czenie VPN
Zna IP wĊzáa koĔcowego sieci TOR. W przypadku najwiĊkszych firm
e-Com-merence bardzo
prawdopodobna blokada dostĊpu.
Organy Ğcigania bĊdą mieü powaĪny problem z ustaleniem IP przestĊpcy. Istnieje jednak moĪli-woĞü ujawnienia prawdziwego IP w wyniku nieprawidáowej konfiguracji oprogramowania VPN + TOR + SOCKS/PROX Y ZauwaĪa poáą-czenie VPN Zna IP dostawcy SOCKS/PROXY
Organy Ğcigania bĊdą mieü powaĪny problem z ustaleniem IP przestĊpcy. Istnieje jednak moĪli-woĞü ujawnienia prawdziwego IP w wyniku nieprawidáowej konfiguracji oprogramowania
ħródáo: opracowanie wáasne.
3. Metody oszustw, ograniczenia techniczne i metody ochrony
Do podstawowych przestĊpstw dokonywanych przez cyberprzestĊpców moĪna przede wszyst-kim zaliczyü [17]:
– kradzieĪ Ğrodków z kart debetowych/kredytowych;
– tymczasowa kradzieĪ toĪsamoĞci w celu dokonania oszustwa; – wáamania na konta w organizacjach finansowych i parabankowych; – tworzenie sieci BOTNET [14].
Z punktu widzenia záodzieja, do najprostszych do zrealizowania (od strony technicznej) prze-stĊpstw naleĪy kradzieĪ Ğrodków z kart kredytowych i kont bankowych (czy para bankowych). W celu przejĊcie Ğrodków z kart kredytowych, naleĪy wejĞü w posiadanie numeru karty, czasu waĪ-noĞci karty oraz kodu CVC2/CVV2. Obecnie nie jest to problemem, poniewaĪ w sieci TOR z áatwoĞcią moĪna znaleĨü osoby oferujące udostĊpnienie kompletu danych i to po stosunkowo ni-skiej cenie. Jak są to kwoty przedstawiono na przykáadzie oferty dostĊpnej na jednej ze stron internetowych (rysunek poniĪej).
Rysunek 2. Ile kosztują usáugi hakera ħródáo: [16].
Praktycznie jedynym powaĪnym zmartwieniem przestĊpcy jest obecnie wyprowadzenie skra-dzionych Ğrodków na wáasne konto lub uzyskanie gotówki przy zachowaniu anonimowoĞci, w przypadku nawiązywania poáączenia ze sklepem lub instytucją finansową waĪne jest takĪe ano-nimowe poáączenie(tabela 1 na poprzedniej stronie). Jest to moĪliwe poprzez wykorzystanie kryptowalut, skorzystanie z usáug niektórych firm poĞredniczących w transakcjach internetowych oraz poprzez uĪycie przedpáaconych kart páatniczych.
Kolejnym teoretycznie prostym do wykonania przestĊpstwem jest przejĊcie czyjejĞ toĪsamoĞci w ramach portalu aukcyjnego (takiego jak Allegro lub Ebay). W tym wypadku konieczne jest po-znanie hasáa do portalu, przydatne (a czĊsto niezbĊdne) jest takĪe zdobycie dostĊpu do maila oraz rozpoznanie jaką aktywnoĞü przejawia na portalu ofiara. Zdobycie danych do logowania i przepro-wadzenia oszustwa jest zazwyczaj równie proste jak wczeĞniej opisywane – dane najczĊĞciej moĪna kupiü bezpoĞrednio u hakera ogáaszającego siĊ w sieci TOR lub zakupiü dostĊp do maili, których zawartoĞü bĊdzie naleĪaáo przeszukaü pod kątem potrzebnych informacji (naleĪy nadmieniü, Īe w skrajnym wypadku przestĊpca moĪe wejĞü w posiadanie informacji umoĪliwiających dokonanie szantaĪu lub wziĊcie kredytu/zobowiązania na koszt innej osoby) Po zdobyciu odpowiednich infor-macji i przejĊciu konta na portalu aukcyjnym najczĊĞciej dochodzi do szeregu faászywych transakcji, w wyniku których Ğrodki spáywają na podstawione konto.
Kolejnym typem oszustwa jest przejĊcie konta PayPal i wyprowadzenie z niego Ğrodków po-przez odpowiednie transakcje np. zakup dóbr wirtualnych, które moĪna póĨniej wygodnie upáynniü. Ostatnim rodzajem analizowanej aktywnoĞci przestĊpców w Internecie jest tworzenie oprogra-mowania [9], które poprzez swoje funkcjonowanie albo przynosi dochody z tzw. wykopywania kryptowalut (czyli wykorzystuje zasoby fizycznych zaraĪonej maszyny w celu pozyskania np. Bit-coinów) albo wykrada informacje moĪliwe póĨniej do sprzedania na czarnym rynku (np. kradzione
hasáa – albo juĪ zapisane albo aktualnie wpisywane na komputerze ofiary). Podstawową zaletą tego typu dziaáaĔ jest áatwoĞü ich przeprowadzenia w chwili, gdy posiadamy dedykowane oprogramo-wanie (do którego stworzenia wymagane jest jednak posiadanie eksperckiej wiedzy z zakresu bezpieczeĔstwa oraz tworzenia oprogramowania).
Jedną z czĊstszych dróg rozprowadzania szkodliwego oprogramowania są wiadomoĞci rozsy-áane drogą elektroniczną (czĊsto z juĪ zaraĪonych maszyn) oraz uĪywanie plików wykonywalnych áamiących (lub pozornie áamiących) zabezpieczenia róĪnego rodzaju licencjonowanego oprogramo-wania (tzw. „cracki”). Dodatkowo wiadomo teĪ, Īe jeĞli ktoĞ jest w stanie utworzyü „cracka”, to jego umiejĊtnoĞci pozwalają na znacznie wiĊcej w zakresie cyberprzestĊpczoĞci. Skutkuje to tym, Īe wiĊkszoĞü „cracków” jest rozprowadzana takĪe z jakimĞ rodzajem szkodliwego oprogramowania (zakáada siĊ, Īe ponad 50% „cracków” posiada dodatek w postaci záoĞliwego oprogramowania [13]).
W tym miejscu naleĪaáoby takĪe wspomnieü o wciąĪ popularnych sieciach wymiany plików typu Peer2Peer (np. Torrent). Sieci tego typu znacznie uáatwiają wymianĊ wszelkiego typu plików, takĪe tych o ograniczonej bądĨ wątpliwej legalnoĞci. Sieci te takĪe znacząco utrudniają proces we-ryfikacji pochodzenia pliku i uáatwiają dystrybucjĊ oprogramowania szkodliwego.
Dodatkowym wyzwaniem jest takĪe weryfikacja oprogramowania rozpowszechnianego po-przez róĪnego rodzaju fora tematyczne. JeĞli doáączone do docelowego programu záoĞliwe oprogramowanie bĊdzie w odpowiedni stopniu maáo rozpowszechnione, istnieje duĪa szansa, Īe Īadne oprogramowanie antywirusowe nie powiadomi ofiary o zagroĪeniu. Wynika to z uáomnoĞci oprogramowania antywirusowego, które dziaáa w oparciu o dwa gáówne mechanizmy. Pierwszym z nich jest rozpoznawanie sygnatury szkodliwego oprogramowania – udaje siĊ to tylko, jeĞli dany plik zawiera rozpoznane wczeĞniej szkodliwe oprogramowanie. Jest to jednak moĪliwe do ominiĊ-cia za pomocą oprogramowania szyfrującego pliki, w wyniku czego ich sygnatury są trudne do ustalenia przez oprogramowanie antywirusowe, jednoczeĞnie funkcjonalnoĞü tak przetworzonego programu bardzo czĊsto pozostaje niezmieniona. Drugą metodą stosowaną przez programy antywi-rusowe jest tzw. heurystyka. Metoda ta opiera siĊ na zaáoĪeniu, Īe kaĪde przyszáe szkodliwe oprogramowanie moĪe byü podobne do juĪ poznanych przypadków. Jest to jednak mechanizm bar-dzo zawodny – duĪa czĊĞü szkodliwych programów nie wykazuje szczególnych – z punktu widzenia obserwatora – cech i pozostaje niezauwaĪona podczas skanowania [2].
4. Kryptowaluty – wykorzystanie w gospodarce elektronicznej i cyberprzestĊpczoĞci
Bez wątpienia bardzo istotnym elementem w handlu elektronicznym (a z perspektywy tego ar-tykuáu w cyberprzestĊpczoĞci) jest proces przeprowadzania róĪnego rodzaju transferów Ğrodków pieniĊĪnych. W przypadku tych transferów problem stanowią granice paĔstw, róĪnice walutowe oraz czas przesáania Ğrodków. W związku z powyĪszym nieodzownym wspomnienia wydaje siĊ byü sprawa popularyzacji „kryptowalut” [15],[3]. Z punktu widzenia artykuáu jest to o tyle istotne, Īe kryptowaluty czĊsto – bezpoĞrednio lub poĞrednio – wspomagają proces utrzymywania anonimo-woĞci w Internecie.
Tzw. kryptowaluty są rodzajem systemu walutowego opartego o kryptografiĊ i dziaáającego w sposób wirtualny (bez fizycznej reprezentacji). Wymiana poszczególnych „monet” kryptowaluty przebiega w wewnĊtrznych jednostkach a sama kryptowaluta nie jest najczĊĞciej uznawana jako prawnie funkcjonujący Ğrodek páatniczy w konkretnych paĔstwach.
Najpopularniejsze z kryptowalut to Bitcoin (BTC), oraz Litecoin (LTC) [6]. Gáówną motywacją do stworzenia i uĪywania wyĪej wymienionych krytowalut, byáo zdecentralizowanie obrotów bez-gotówkowych, zwiĊkszenie anonimowoĞci oraz unikniĊcie páacenia prowizji przy przesyáaniu pieniĊdzy (prowizji pobieranych przez banki). W efekcie powstaá system wymiany oparty o „punkty” (odpowiednio zwanymi Bitcoin lub Litecoin zaleĪnie od systemu) generowane poprzez pracĊ komputerów. System ten dziaáa w oparciu o zaawansowany mechanizm kryptograficzny i zde-centralizowany system potwierdzeĔ w sieci Peer2Peer.
Transakcje w systemie opierają siĊ na áatwo generowanych (i dostĊpnych dla kaĪdego) adresach (bĊdących kluczami publicznymi) stanowiących rodzaj odpowiednika numeru konta bankowego [8]. Podczas dokonywania transakcji przesáania Ğrodków, oprogramowanie uĪytkownika tworzy komu-nikat rozsyáany do pozostaáych uĪytkowników kryptowaluty, zawierający podpis (klucz publiczny/adres) dotychczasowego posiadacza kryptowaluty oraz klucz publiczny(adres) odbiorcy. Po odpowiednim rozpropagowaniu danego komunikatu, monety pojawiają siĊ na koncie odbiorcy. Dla unikniĊcia oszustw polegających na wysáaniu nieistniejących monet, wymogiem dla skutecz-nego dokonania transakcji jest otrzymanie odpowiedniej iloĞci potwierdzeĔ autentycznoĞci od pozostaáych uĪytkowników. Dzieje siĊ to poprzez sprawdzenie historii operacji, która jest archiwi-zowana przez kaĪdy wĊzeá sieci, który zostaá odpowiednio skonfigurowany. JeĞli nie ma nieprawidáowoĞci i dany uĪytkownik posiadaá monety w momencie dokonania transakcji, to gene-rowane są potwierdzenia koĔczące transakcjĊ.
Dwie wspomniane juĪ najpopularniejsze kryptowaluty – Bitcoin oraz Litecoin – są na tyle roz-poznawane i uznawane na Ğwiecie, Īe coraz áatwiej znaleĨü sklep internetowy lub inną instytucjĊ, która umoĪliwi bezpoĞrednią wymianĊ posiadanych Ğrodków krytowaluty na towary. Funkcjonują teĪ internetowe gieády kryptowalut, umoĪliwiające inwestowanie i spekulowanie na kursie danej kryptowaluty wzglĊdem innych walut.
Podstawowymi cechami kryptowalut które sprawiają, Īe są uĪyteczne dla cyberprzestĊpców są: –brak koniecznoĞci wizyty w banku (lub podobnej instytucji) w celu dokonania obrotu tą wa-lutą;
– moĪliwoĞü zachowania peánej anonimowoĞci zarówno przy kupnie jak i sprzedaĪy Ğrodków wyraĪanych w kryptowalutach;
Ostatnia z wymienionych cech – áatwoĞü zakupu oraz sprzedaĪy kryptowalut – ma niebagatelne znaczenie dla przestĊpców internetowych. UmoĪliwia to bowiem áatwe i szybkie wyprowadzenie Ğrodków pieniĊĪnych z przejĊtych kont bankowych lub kart kredytowych.
Dodatkową istotną cechą kryptowalut jest moĪliwoĞü istnienia tzw. „pralni brudnych pieniĊ-dzy” w sieciach anonimizujących typu TOR. PoniewaĪ kaĪda transakcja jest moĪliwa do wyĞledzenia poprzez analizĊ historii transakcji (archiwizowanej na potrzeby generowania potwier-dzeĔ), podstawowym celem istnienia „pralni” jest wymiana kryptowalut w sposób anonimowy, uniemoĪliwiający wyĞledzenie dotychczasowego uĪytkownika. Polega to na przyjĊciu danej kwoty przez „pralniĊ” a nastĊpnie dokonanie wymiany na inny zestaw monet po potrąceniu odpowiedniej prowizji. W opinii autorów wiĊksza czĊĞü „pralni” dziaáa w oparciu o operacje na gieádach krypto-walut, poprzez które dokonuje siĊ wielokrotnej wymiany danej kryptowaluty w celu zatarcia powiązaĔ pomiĊdzy przestĊpcą a transakcjami. ĝwieĪo pozyskane Ğrodki są przesyáane z jednego adresu na inny adres (nieuĪywany wczeĞniej). Proces ten potencjalnie uniemoĪliwi powiązanie tej transakcji z dokonanymi wczeĞniej [7]. Tak przygotowane Ğrodki przestĊpca moĪe stosunkowo bez-piecznie sprzedaü otrzymując zapáatĊ na wáasne konto bankowe lub rachunek powiązany z przedpáaconą kartą páatniczą.
5. Wnioski
Przedstawione w powyĪszym artykule narzĊdzia wraz z podstawowym opisem ich wykorzysta-nia, dają w opinii autorów jedynie ogólny pogląd na zjawiska, które dziĞ juĪ zachodzą. Upowszechnienie Internetu i rozwój e-handlu sugeruje wzrost iloĞci zjawisk niepoĪądanych w przy-száoĞci. JednoczeĞnie pojawienie siĊ narzĊdzi pozwalających w stosunkowo áatwy sposób caákowicie ukryü swą toĪsamoĞü, pozwala przestĊpcom poczuü siĊ pewniej niĪ kiedykolwiek. Roz-wój czarnego rynku ukrytego za zasáoną oprogramowania do anonimizacji (a mającego pierwotnie sáuĪyü do walki z cenzurą) wydaje siĊ wymykaü wszelkiej kontroli. Nieliczne, acz gáoĞne przypadki záapania cyberprzestĊpców sugerują związek z báĊdami ludzkimi a nie báĊdami w samym oprogra-mowaniu lub metodzie. Analizując przyczyny, które spowodowaáy zamkniĊcie najwiĊkszego sklepu z nielegalnym towarem – Silkroad – oficjalne informacje wspominają o báĊdach formalnych popeá-nionych kilka lat wczeĞniej przez zaáoĪyciela strony, nie zaĞ o technicznej sáaboĞci rozwiązania. Globalne infekcje oprogramowania do wykradania danych jak Conficker (od 9 do 15 mln zaraĪo-nych komputerów) udowadniają, Īe zagroĪenie jest realne a sáuĪby mają ograniczone moĪliwoĞci dziaáania (przykáadowo producent systemu Windows, firma Microsoft, wyznaczyáa 250 000$ za informacje o twórcy wirusa – bezskutecznie).
Autorzy artykuáu uwaĪają, Īe ewentualne straty z tytuáu oszustw internetowych wciąĪ bĊdą ro-sáy. PoniewaĪ cyberprzestĊpcy potrafią siĊ Ğwietnie zorganizowaü oraz są w stanie przeáamywaü praktycznie wszelkie zabezpieczenia. JednoczeĞnie áatwe do uĪycia nowoczesne narzĊdzia anoni-mizujące pozwalają czuü siĊ przestĊpcom praktycznie bezkarnie. Wszelką potrzebną wiedzĊ moĪna znaleĨü w popularnych wyszukiwarkach. Jedyną moĪliwoĞcią ograniczenia strat po stronie uczci-wych uĪytkowników Internetu jest samoedukacja w zakresie bezpieczeĔstwa komputerowego (np. unikanie korzystania z jednego systemu/urządzenia tak do rozrywki jak i pracy i finansów) oraz wzmoĪona czujnoĞü w momencie dokonywania ewentualnych páatnoĞci za poĞrednictwem Inter-netu.
Bibliografia
[1] CyberSource, 13th Annual 2012 Online Fraud Report, [Online]. DostĊpne:
https://www.jpmorgan.com/cm/BlobServer/13th_Annual_2012_Online_Fraud_Re-port.pdf?blobkey=id&blobwhere=1320571432216&blobheader=application/pdf&blobhead ername1=Cache-Control&blobheadervalue1=private&blobcol=urldata&blobtable=Mun-goBlobs (22.05.2013).
[2] Harley D., Lee A., Heuristic Analysis— Detecting Unknown Viruses, [Online]. DostĊpne: http://www.eset.com/us/resources/white-papers/Heuristic_Analysis.pdf, (22.05.2013) [Online].
[3] Interia NT Nowe Technologie, Bitcoin – gorączka cyfrowej waluty, Interia online, 24.02.2014, http://nt.interia.pl/internet/news-bitcoin-goraczka-cyfrowej-kryptowaluty,nId, 1108575 (22.05.2013).
[4] Komenda Gáówna Policji, CyberprzestĊpczoĞü – raporty 2014, [Online]. DostĊpne: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/2960,Cyberprze-stepczosc.html (22.05.2013).
[5] Loshin P., Practical Anonymity. Hiding in Plain Sight Online, Publisher: Elsevier, 2013. [6] Morris L., Anonymity Analysis of Crypto- currencies, Master’s Thesis Proposal, Department
of Computer Science, Rochester Institute of Techology, 25.03.2014, [Online]. DostĊpne: http://www.liammorris.com/thesis/proposal.pdf (22.05.2013).
[7] Moser M., Anonymity of Bitcoin Transactions. An Analysis of Mixing Services, Munster Bitcoin Conference (MBC), 17–18 July ’13, Munster, Germany, [Online]. DostĊpne:
https://www.wi.uni-muenster.de/sites/default/files/public/department/itsecu-rity/mbc13/mbc13-moeser-paper.pdf (22.05.2013).
[8] Nakamoto S., Bitcoin: A Peer-to-Peer Electronic Cash System, [Online]. DostĊpne: https://bitcoin.org/bitcoin.pdf, (22.05.2013).
[9] Plohmann D., Gerhards-Padilla E., Case Study of the Miner Botnet, 4th International Con-ference on Cyber Conflict, Tallinn 2012, http://www.ccdcoe.org/publications/ 2012proceedings/5_7_Plohmann%26Gerhards-Padilla_ACaseStudyOnTheMinerBotnet.pdf (22.05.2013).
[10] Rainie L. (red.), Anonymity, Privacy, and Security Online, PawReserach Center, 5.09.2013, [Online]. DostĊpne: http://www.pewinternet.org/files/old-media/Files/Reports/2013/PIP_ AnonymityOnline_090513.pdf, (22.05.2013).
[11] Roberts H., Zuckerman E., York J., Faris R., Palfrey J., Circumvention Tool Usage Report, The Berkman Center for Internet & Society, October 2010, [Online]. DostĊpne: http://cy-ber.law.harvard.edu/sites/cyber.law.harvard.edu/files/2010_Circumvention_Tool_Usage_R eport.pdf (22.05.2013).
[12] TopProject.org, Statystyki związane z projektem TOR, [Online]. DostĊpne:https://metrics .torproject.org/userstats-relay-country.png?start=2012-01-30&events=off&end=2014-04-30&country=pl, (22.05.2013) oraz opis projektu TOR, [Online]. DostĊpne: https://www.tor-project.org/about/overview.html.en (22.05.2013).
[13] UC San Diego Academic Computing and Media Services, [Online]. DostĊpne: Piracy is as-sociated with malware, http://acms.ucsd.edu/students/resnet/malware_filesharing.html, (22.05.2013).
[14] Vacca J. R., Computer and Information Security Handbook, Publisher: Elsevier, 2009 [15] WĊglewski M., BitCoin - zamiana psa na dwa koty, Newsweek online 21.08.2013, [Online].
DostĊpne: http://opinie.newsweek.pl/bitcoin--zamiana-psa-na-dwa-koty,107731,1,1.html (22.05.2013).
[16] Witryna [Online]. DostĊpne: http://3dbr5t4pygahedms.onion (22.05.2013).
[17] yStat.com, GLOBAL B2C E-commerce market report 2013, [Online]. DostĊpne: http://www.ystats.com/uploads/report_abstracts/1021.pdf (22.05.2013).
FRAUD TECHNIQUES IN E-COMMERCE IN THE INTERNET WITH USING ANONYMIZING NETWORKS
Summary
In this article authors describe potential methods realizations of frauds on the internet network. Victims are usually normal users but also institutions and corpora-tions. The subject of article focuses on the use of modern techniques, anonymizing tools and financial products to perform fraud.
Keywords: tor, internet frauds, bitcoin, anonymizing networks, cryptocurrency
Marcin Kurzeja
Studenckie Koáo Naukowe Technologii Internetowych i Multimedialnych Wydziaá Ekonomiczno-Socjologiczny
Uniwersytet àódzki
ul. Polskiej Organizacji Wojskowej nr 3/5, 90-255 àódĨ e-mail:marcin.kurzeja@gmail.com
àukasz Zakonnik
Katedra Informatyki Ekonomicznej Wydziaá Ekonomiczno-Socjologiczny Uniwersytet àódzki
ul. Polskiej Organizacji Wojskowej nr 3/5, 90-255 àódĨ e-mail: lzakonnik@wzmail.uni.lodz.pl
