TECHNIKI DOKONYWANIA OSZUSTW W HANDLU ELEKTRONICZNYM W INTERNECIE Z WYKORZYSTANIEM SIECI ANONIMIZUJĄCYCH
MARCIN KURZEJA, ŁUKASZ ZAKONNIK Uniwersytet Łódzki
Streszczenie
W artykule autorzy opisują potencjalne metody dokonania oszustw w sieci Inter- net, których ofiarą mogą paść przede wszystkim zwykli użytkownicy ale także instytucje i korporacje. Tematyka artykułu skupia się na wykorzystaniu współczesnych technik anonimizujących oraz narzędzi do wykonywania oszustw.
Słowa kluczowe: tor, oszustwa internetowe, bitcoin, sieci anonimizujące, kryptowaluty 1. Wprowadzenie – współczesne oszustwa internetowe
Ocenia się, że tylko w samym roku 2011 oszustwa on-line spowodowały straty na poziomie 3,4 mld $ i to wyłącznie w samych USA (co stanowiło ~1% wartości całego handlu w tym kraju) [1].
Co alarmujące – skala oszustw zwiększa się z roku na rok. Przyczynia się do tego przede wszystkim obserwowany w ostatnich latach, stały wzrost sektora handlu elektronicznego oraz mnogość ogól- nodostępnych narzędzi umożliwiających przeprowadzenie skutecznego oszustwa [17].
Analizując główne przyczyny wzrostu ilości oszustw w handlu elektronicznym w Internecie należy od razu zaznaczyć jedną kwestię – niemożliwym jest odwrócenie korelacji pomiędzy skalą handlu a ilością oszustw. Dokonywanie oszustw jest po prostu nazbyt intratnym zajęciem, dającym zyski nazbyt wielu osobom.
Bardzo istotną przyczyną umożliwiającą dokonywanie oszustw jest także niedoskonałość za- bezpieczeń oraz niemożność zapobiegnięcia błędom ludzkim. Mówiąc o niedoskonałości zabezpieczeń trzeba mieć na uwadze zabezpieczenia kont bankowych, kart debetowych/kredyto- wych oraz serwisów ogłoszeniowych i aukcyjnych. W wielu przypadkach, głównym powodem wszelkiego rodzaju oszustw jest czynnik ludzki – duża część włamań jest dokonywana dzięki nie- frasobliwości użytkownika pobierającego oprogramowanie z niepewnego źródła (często w celu uniknięcia zapłaty), wątpliwa aktywność na portalach społecznościowych oraz wielokrotne stoso- wanie tych samych haseł. Obecnie ocenia się, że już około 1/5 użytkowników Internetu padła ofiarą przestępców w zakresie choćby utraty własnego konta email, bądź konta na portalu społecznościo- wym [10].
Kolejną przyczyną wzrostu skali przestępstw jest dostępność łatwych w użyciu narzędzi do anonimizacji aktywności w sieci (i pośrednio w świecie rzeczywistym). Do pierwszej kategorii tych narzędzi należy zaliczyć przede wszystkim narzędzia powiązane z technologią TOR (ang. The Onion Router). Pojęcie technologii TOR i jej zastosowanie będzie objaśniane i analizowane w dal- szej części artykułu. Do drugiej kategorii należy zaliczyć nowoczesne produkty typu przedpłaconych kart debetowych, które umożliwiają wygodny odbiór gotówki przy minimalizacji możliwości fizycznej identyfikacji.
Intencją podjęcia niniejszego tematu jest poszerzenie i uporządkowanie wiedzy oraz uświado- mienie odbiorców, co do technicznych możliwości i umiejętności potencjalnych cyberprzestępców.
2. Technologie i narzędzia wykorzystywane przez przestępców
Podstawowym problemem przestępców internetowych (i paradoksalnie wielu aktywistów mo- nitorujących nadużycia władzy) jest zachowanie anonimowości. Współczesna struktura sieci Internet wydaje się zapewniać anonimowość obywateli, jednak nie jest to stwierdzenie w pełni praw- dziwe. Organy ścigania mogą w dość prosty sposób ustalić tożsamość poszukiwanych osób na podstawie adresu IP. Istnieją jednak już narzędzia informatyczne pozwalające w szerokim zakresie unikać powiązania tożsamości danej osoby z danym adresem IP.
Do technologii i narzędzi pozwalających zwiększyć anonimowość działań można zaliczyć: sieć TOR (oraz inne sieci anonimizujące), VPN, SOCKS/PROXY i podobne [11].
Na szczególną uwagę zasługują zwłaszcza wszystkie narzędzia oparte o technologię sieci TOR, pozwala ona bowiem na anonimizację ruchu nie tylko wewnątrz samej sieci TOR ale także w ko- munikacji do serwerów znajdujących się w standardowym Internecie. Do narzędzi opartych o sieć TOR – poza dedykowaną przeglądarką – należy zaliczyć: instalowany (jednak już nie wspierany) plugin/dodatek; systemy oparte o Linux (takie jak Tails oraz Whonix [5]); różnego rodzaju typy serwerów/usług pośredniczących.
Sama sieć TOR jest wirtualną siecią komputerową implementującą wielokrotne szyfrowanie oraz przesyłanie danych poprzez szereg węzłów pośredniczących. Technologia ta używana jest w celu anonimizacji ruchu w sieci Internet i ma uniemożliwić (lub choćby stanowczo utrudnić) śle- dzenie działań pojedynczego użytkownika. W praktyce działanie TOR polega – w uproszczeniu – na przesyłaniu danych użytkownika poprzez inne komputery (węzły) w sieci Internet. Komputery te są odpowiednio skonfigurowane do współpracy z siecią TOR. Proces ten umożliwia zamaskowa- nie danych identyfikujących konkretnego użytkownika (głównie adresu IP, z którego korzysta) poprzez stosowanie losowego połączenia z tzw. węzłami pośredniczącymi.
Podstawowe własności sieci TOR są następujące:
– połączenie jest co kilkanaście minut odnawiane – zmieniana jest trasa pakietów poprzez zmianę wykorzystywanych węzłów (co swoją drogą utrudnia niektóre rodzaje aktywności);
– wspomniany proces maskowania właściwego adresu IP użytkownika polega na korzystaniu z węzłów znajdują się w wielu krajach świata (co w razie podjęcia próby śledzenia aktywności użyt- kownika, utrudnia bądź uniemożliwia ten proces);
Prosty schemat działania sieci TOR przedstawiono na rysunku poniżej.
Rysunek 1. Schemat działania sieci TOR Źródło: Opracowanie własne na podstawie [12].
Wykorzystanie narzędzi TOR znacząco utrudnia wyśledzenie komputera bądź osoby je wyko- rzystującej – jak jednak już wspomniano wyśledzenie nie jest całkowicie niemożliwe. Obecnie operatorzy telekomunikacyjni są w stanie monitorować, kto jest podłączony do sieci TOR. W Polsce jest to statystycznie ~10 000 użytkowników [12] dziennie (przez długi czas średnia liczba użytkow- ników TORa w Polsce wynosiła 10 000 dziennie, następnie nastąpił skokowy wzrost tej wartości – sugeruje to BOTNET (czyli sieć komputerów kontrolowanych przez hakera lub grupę hakerów, wy- korzystywanych zgodnie z ich interesem i wbrew woli faktycznego użytkownika). 10 000 użytkowników to stosunkowo niewiele, co może umożliwić identyfikację poszczególnych osób w sieci TOR poprzez korelację czasu połączenia użytkownika i jego aktywności (co jest możliwe z uwagi na ograniczoną liczbę faktycznych użytkowników) –a to zagraża anonimowości.
W działaniach na rzecz zachowania anonimowości, zastosowanie znajdują także sieci typu VPN znane głównie z zastosowań korporacyjnych. W normalnych warunkach wykorzystanie sieci typu VPN pozwala na połączenie się z macierzystą siecią fizyczną poprzez szyfrowany „tunel” i uzyska- nie dostępu do chronionych danych wrażliwych.
Ostatnim wykorzystywanym narzędziem są serwery proxy (szczególnie SOCKS). Serwer proxy jest rodzajem serwera pośredniczącego umożliwiającego komunikację pomiędzy komputerami bez bezpośredniego połączenia. Dzięki serwerom proxy możliwe staje się – bez wzbudzania podejrzeń – połączenie z serwisami internetowymi zwracającymi szczególną uwagę na użytkowników łączą- cych się poprzez sieć TOR.
Oczywiście w celu uzyskania jak największego stopnia anonimowości swoich poczynań, najle- piej jest wykorzystać pełen zestaw dostępnych narzędzi i technologii. Co więcej, istnieją technologie pozwalające względnie bezproblemowo tunelować ruch kilkukrotnie przez sieć TOR.
2.1. Przykład zastosowania
Maskowanie swojej obecności w sieci TOR, ma szczególne znaczenie dla aktywistów (oraz oczywiście przestępców) z regionów, w których używanie sieci TOR jest nielegalne.
Proces maskowania odbywa się pierwotnie poprzez połączenie się z siecią VPN aby zaszyfro- wać ruch między własnym komputerem a serwerem VPN, co uniemożliwi dostawcy usług internetowych (ISP – ang. Internet Service Provider) odnotowanie rozpoczęcia połączenia z siecią TOR.
Kolejnym krokiem w celu zapewnienia w miarę pełnej anonimowości jest zalogowanie się do sieci TOR. W tym momencie należy rozważyć dwie możliwości.
Pierwszą z nich jest użycie dedykowanej dla aktualnego systemu operacyjnego przeglądarki – co niestety niesie za sobą ryzyko wycieku informacji o pierwotnym adresie IP (dzieje się tak ponie- waż przeglądarka jest narzędziem wysoce zależnym od systemu operacyjnego gospodarza i nie zabroni użytkownikowi otworzyć strony z odpowiednio spreparowanym JavaScript, bądź użycie protokołu, który nie połączy się za pośrednictwem sieci anonimizujacej).
Drugą możliwością jest użycie dedykowanych dla TORa systemów operacyjnych (wspomniany Tails lub Whonix). Tails jest systemem typu live-cd, który nie pozostawia śladów na komputerze- gospodarzu po swojej obecności (chyba, że użytkownicy sami celowo dokonają zapisu danych na dysku). Whonix jest natomiast systemem składającym się, de facto, z 2 autonomicznych części – Whonix Workstation oraz Whonix Gateway. Obie autonomiczne części są rozprowadzane w postaci
gotowego obrazu systemu dla aplikacji umożliwiającej wirtualizację – VirtualBox. Whonix Gate- way to system Linux skonfigurowany w celu tunelowania przez TOR całego ruchu, który zostanie dostarczony do odpowiedniej karty wirtualnej. Specyfika systemu sprawia, że wszystkie połączenia zostaną nawiązane za pośrednictwem sieci TOR albo nie zostaną nawiązane w ogóle. Whonix Workstation to system typu Linux skonfigurowany do łączenia się wyłącznie poprzez Whonix Ga- teway, co uniemożliwia przedostanie się pakietów do sieci Internet bez pośrednictwa sieci TOR.
Domyślna konfiguracja nie pozwala jednak na pełną swobodę, wymusza bowiem używanie systemu Linux a ponadto serwer docelowy będzie w stanie rozpoznać użytkownika sieci TOR i uniemożliwić mu normalne korzystanie z usługi. W celu zapobieżenia rozpoznaniu, zaleca się tak skonfigurować system, aby łączenie nastąpiło najpierw z serwerami proxy (SOCKS), których rozpoznanie jest znacznie utrudnione (a to umożliwia ukrycie sposobu połączenia i ominięcie zabezpieczeń skiero- wanych na sieć TOR).
Logowanie do banku bądź na portal aukcyjny z egzotycznego adresu IP wzbudza uzasadnione podejrzenia. Dodatkowym problemem jest sposób funkcjonowania sieci TOR, która zmienia trasę routingu pakietów co kilkanaście minut, co może prowadzić do utraty połączenia.
Konfiguracja połączenia do korzystania z bramki SOCKS pozwala zachować stałe zewnętrzne IP oraz uniemożliwić rozpoznanie użytkownika sieci TOR.
Jeszcze jednym problemem może być fakt, że nie każde oprogramowanie ma dostępną odpo- wiednią wersję lub odpowiednik pod systemem typu Linux. W wypadku, gdy dla własnej wygody lub z konieczności potrzebujemy korzystać z systemu Windows (bądź innego możliwego do uru- chomienia na maszynie wirtualnej) wciąż istnieje możliwość przeprowadzenia pełnej konfiguracji w celu zabezpieczenia tożsamości.
Aby uruchomić system Windows jednocześnie anonimizując wszystkie połączenia, należy uru- chomić go na maszynie wirtualnej i skonfigurować do korzystania z wewnętrznej, wirtualnej karty sieciowej systemu Whonix Gateway. Zgodnie z zaleceniami ze strony projektu Whonix, konfigura- cja prezentuje się jak poniżej:
Adres IP: 192.168.0.50 Maska podsieci: 255.255.255.0 Brama domyślna: 192.168.0.10 Preferowany serwer DNS: 192.168.0.10
Dzięki powyższej konfiguracji (dotyczącej zarówno systemu Linux jak i Windows) każdy jest w stanie nawiązać anonimowe połączenie za pomocą oprogramowania normalnie do tego nieprzy- stosowanego. Dotyczy to wszelkich komunikatorów takich jak Skype, Jabber, korzystania z stron www (wraz z JavaScript), czy wysyłania maili bez obawy o ujawnienie prawdziwego adresu IP (opis możliwych konfiguracji przedstawiono w Tabeli 1).
Tablica 1. Technologie – porównanie możliwości Technologia i
narzędzia ISP Serwis końcowy Konsekwencje
BRAK Nie zauważa nie-
typowego ruchu Zna IP użytkownika Organy ścigania bez problemu ustalą tożsamość przestępcy.
VPN Zauważa połą-
czenie VPN Zna IP dostawcy VPN Organy ścigania będą musiały ustalić IP VPN a następnie użytkownika
SOCKS/PROX Y
Nie zauważa nie- typowego ruchu
Zna IP dostawcy SOCKS/PROXY
Organy ścigania będą musiały ustalić adres IP do- stawcy usługi SOCKS/PROXY a następnie użytkownika usługi
TOR Zauważa połą-
czenie TOR Zna IP węzła końcowego (exit node) sieci TOR. W przypadku większych firm bardzo prawdopodobna blokada dostępu.
Organy ścigania będą mieć poważny problem z ustaleniem IP użytkownika. Istnieje jednak moż- liwość ujawnienia prawdziwego IP w wyniku nieprawidłowej konfiguracji oprogramowania.
Ponadto w razie innych, nietypowych błędów or- gany ścigania mogą wytypować podejrzanych łączących się w niedługim czasie z siecią TOR VPN + TOR Zauważa połą-
czenie VPN
Zna IP węzła końcowego sieci TOR. W przypadku największych firm e-Com-
merence bardzo prawdopodobna blokada dostępu.
Organy ścigania będą mieć poważny problem z ustaleniem IP przestępcy. Istnieje jednak możli- wość ujawnienia prawdziwego IP w wyniku nieprawidłowej konfiguracji oprogramowania
VPN + TOR + SOCKS/PROX Y
Zauważa połą- czenie VPN
Zna IP dostawcy SOCKS/PROXY
Organy ścigania będą mieć poważny problem z ustaleniem IP przestępcy. Istnieje jednak możli- wość ujawnienia prawdziwego IP w wyniku nieprawidłowej konfiguracji oprogramowania Źródło: opracowanie własne.
3. Metody oszustw, ograniczenia techniczne i metody ochrony
Do podstawowych przestępstw dokonywanych przez cyberprzestępców można przede wszyst- kim zaliczyć [17]:
– kradzież środków z kart debetowych/kredytowych;
– tymczasowa kradzież tożsamości w celu dokonania oszustwa;
– włamania na konta w organizacjach finansowych i parabankowych;
– tworzenie sieci BOTNET [14].
Z punktu widzenia złodzieja, do najprostszych do zrealizowania (od strony technicznej) prze- stępstw należy kradzież środków z kart kredytowych i kont bankowych (czy para bankowych).
W celu przejęcie środków z kart kredytowych, należy wejść w posiadanie numeru karty, czasu waż- ności karty oraz kodu CVC2/CVV2. Obecnie nie jest to problemem, ponieważ w sieci TOR z łatwością można znaleźć osoby oferujące udostępnienie kompletu danych i to po stosunkowo ni- skiej cenie. Jak są to kwoty przedstawiono na przykładzie oferty dostępnej na jednej ze stron internetowych (rysunek poniżej).
Rysunek 2. Ile kosztują usługi hakera Źródło: [16].
Praktycznie jedynym poważnym zmartwieniem przestępcy jest obecnie wyprowadzenie skra- dzionych środków na własne konto lub uzyskanie gotówki przy zachowaniu anonimowości, w przypadku nawiązywania połączenia ze sklepem lub instytucją finansową ważne jest także ano- nimowe połączenie(tabela 1 na poprzedniej stronie). Jest to możliwe poprzez wykorzystanie kryptowalut, skorzystanie z usług niektórych firm pośredniczących w transakcjach internetowych oraz poprzez użycie przedpłaconych kart płatniczych.
Kolejnym teoretycznie prostym do wykonania przestępstwem jest przejęcie czyjejś tożsamości w ramach portalu aukcyjnego (takiego jak Allegro lub Ebay). W tym wypadku konieczne jest po- znanie hasła do portalu, przydatne (a często niezbędne) jest także zdobycie dostępu do maila oraz rozpoznanie jaką aktywność przejawia na portalu ofiara. Zdobycie danych do logowania i przepro- wadzenia oszustwa jest zazwyczaj równie proste jak wcześniej opisywane – dane najczęściej można kupić bezpośrednio u hakera ogłaszającego się w sieci TOR lub zakupić dostęp do maili, których zawartość będzie należało przeszukać pod kątem potrzebnych informacji (należy nadmienić, że w skrajnym wypadku przestępca może wejść w posiadanie informacji umożliwiających dokonanie szantażu lub wzięcie kredytu/zobowiązania na koszt innej osoby) Po zdobyciu odpowiednich infor- macji i przejęciu konta na portalu aukcyjnym najczęściej dochodzi do szeregu fałszywych transakcji, w wyniku których środki spływają na podstawione konto.
Kolejnym typem oszustwa jest przejęcie konta PayPal i wyprowadzenie z niego środków po- przez odpowiednie transakcje np. zakup dóbr wirtualnych, które można później wygodnie upłynnić.
Ostatnim rodzajem analizowanej aktywności przestępców w Internecie jest tworzenie oprogra- mowania [9], które poprzez swoje funkcjonowanie albo przynosi dochody z tzw. wykopywania kryptowalut (czyli wykorzystuje zasoby fizycznych zarażonej maszyny w celu pozyskania np. Bit- coinów) albo wykrada informacje możliwe później do sprzedania na czarnym rynku (np. kradzione
hasła – albo już zapisane albo aktualnie wpisywane na komputerze ofiary). Podstawową zaletą tego typu działań jest łatwość ich przeprowadzenia w chwili, gdy posiadamy dedykowane oprogramo- wanie (do którego stworzenia wymagane jest jednak posiadanie eksperckiej wiedzy z zakresu bezpieczeństwa oraz tworzenia oprogramowania).
Jedną z częstszych dróg rozprowadzania szkodliwego oprogramowania są wiadomości rozsy- łane drogą elektroniczną (często z już zarażonych maszyn) oraz używanie plików wykonywalnych łamiących (lub pozornie łamiących) zabezpieczenia różnego rodzaju licencjonowanego oprogramo- wania (tzw. „cracki”). Dodatkowo wiadomo też, że jeśli ktoś jest w stanie utworzyć „cracka”, to jego umiejętności pozwalają na znacznie więcej w zakresie cyberprzestępczości. Skutkuje to tym, że większość „cracków” jest rozprowadzana także z jakimś rodzajem szkodliwego oprogramowania (zakłada się, że ponad 50% „cracków” posiada dodatek w postaci złośliwego oprogramowania [13]).
W tym miejscu należałoby także wspomnieć o wciąż popularnych sieciach wymiany plików typu Peer2Peer (np. Torrent). Sieci tego typu znacznie ułatwiają wymianę wszelkiego typu plików, także tych o ograniczonej bądź wątpliwej legalności. Sieci te także znacząco utrudniają proces we- ryfikacji pochodzenia pliku i ułatwiają dystrybucję oprogramowania szkodliwego.
Dodatkowym wyzwaniem jest także weryfikacja oprogramowania rozpowszechnianego po- przez różnego rodzaju fora tematyczne. Jeśli dołączone do docelowego programu złośliwe oprogramowanie będzie w odpowiedni stopniu mało rozpowszechnione, istnieje duża szansa, że żadne oprogramowanie antywirusowe nie powiadomi ofiary o zagrożeniu. Wynika to z ułomności oprogramowania antywirusowego, które działa w oparciu o dwa główne mechanizmy. Pierwszym z nich jest rozpoznawanie sygnatury szkodliwego oprogramowania – udaje się to tylko, jeśli dany plik zawiera rozpoznane wcześniej szkodliwe oprogramowanie. Jest to jednak możliwe do ominię- cia za pomocą oprogramowania szyfrującego pliki, w wyniku czego ich sygnatury są trudne do ustalenia przez oprogramowanie antywirusowe, jednocześnie funkcjonalność tak przetworzonego programu bardzo często pozostaje niezmieniona. Drugą metodą stosowaną przez programy antywi- rusowe jest tzw. heurystyka. Metoda ta opiera się na założeniu, że każde przyszłe szkodliwe oprogramowanie może być podobne do już poznanych przypadków. Jest to jednak mechanizm bar- dzo zawodny – duża część szkodliwych programów nie wykazuje szczególnych – z punktu widzenia obserwatora – cech i pozostaje niezauważona podczas skanowania [2].
4. Kryptowaluty – wykorzystanie w gospodarce elektronicznej i cyberprzestępczości
Bez wątpienia bardzo istotnym elementem w handlu elektronicznym (a z perspektywy tego ar- tykułu w cyberprzestępczości) jest proces przeprowadzania różnego rodzaju transferów środków pieniężnych. W przypadku tych transferów problem stanowią granice państw, różnice walutowe oraz czas przesłania środków. W związku z powyższym nieodzownym wspomnienia wydaje się być sprawa popularyzacji „kryptowalut” [15],[3]. Z punktu widzenia artykułu jest to o tyle istotne, że kryptowaluty często – bezpośrednio lub pośrednio – wspomagają proces utrzymywania anonimo- wości w Internecie.
Tzw. kryptowaluty są rodzajem systemu walutowego opartego o kryptografię i działającego w sposób wirtualny (bez fizycznej reprezentacji). Wymiana poszczególnych „monet” kryptowaluty przebiega w wewnętrznych jednostkach a sama kryptowaluta nie jest najczęściej uznawana jako prawnie funkcjonujący środek płatniczy w konkretnych państwach.
Najpopularniejsze z kryptowalut to Bitcoin (BTC), oraz Litecoin (LTC) [6]. Główną motywacją do stworzenia i używania wyżej wymienionych krytowalut, było zdecentralizowanie obrotów bez- gotówkowych, zwiększenie anonimowości oraz uniknięcie płacenia prowizji przy przesyłaniu pieniędzy (prowizji pobieranych przez banki). W efekcie powstał system wymiany oparty o „punkty” (odpowiednio zwanymi Bitcoin lub Litecoin zależnie od systemu) generowane poprzez pracę komputerów. System ten działa w oparciu o zaawansowany mechanizm kryptograficzny i zde- centralizowany system potwierdzeń w sieci Peer2Peer.
Transakcje w systemie opierają się na łatwo generowanych (i dostępnych dla każdego) adresach (będących kluczami publicznymi) stanowiących rodzaj odpowiednika numeru konta bankowego [8].
Podczas dokonywania transakcji przesłania środków, oprogramowanie użytkownika tworzy komu- nikat rozsyłany do pozostałych użytkowników kryptowaluty, zawierający podpis (klucz publiczny/adres) dotychczasowego posiadacza kryptowaluty oraz klucz publiczny(adres) odbiorcy.
Po odpowiednim rozpropagowaniu danego komunikatu, monety pojawiają się na koncie odbiorcy.
Dla uniknięcia oszustw polegających na wysłaniu nieistniejących monet, wymogiem dla skutecz- nego dokonania transakcji jest otrzymanie odpowiedniej ilości potwierdzeń autentyczności od pozostałych użytkowników. Dzieje się to poprzez sprawdzenie historii operacji, która jest archiwi- zowana przez każdy węzeł sieci, który został odpowiednio skonfigurowany. Jeśli nie ma nieprawidłowości i dany użytkownik posiadał monety w momencie dokonania transakcji, to gene- rowane są potwierdzenia kończące transakcję.
Dwie wspomniane już najpopularniejsze kryptowaluty – Bitcoin oraz Litecoin – są na tyle roz- poznawane i uznawane na świecie, że coraz łatwiej znaleźć sklep internetowy lub inną instytucję, która umożliwi bezpośrednią wymianę posiadanych środków krytowaluty na towary. Funkcjonują też internetowe giełdy kryptowalut, umożliwiające inwestowanie i spekulowanie na kursie danej kryptowaluty względem innych walut.
Podstawowymi cechami kryptowalut które sprawiają, że są użyteczne dla cyberprzestępców są:
–brak konieczności wizyty w banku (lub podobnej instytucji) w celu dokonania obrotu tą wa- lutą;
– możliwość zachowania pełnej anonimowości zarówno przy kupnie jak i sprzedaży środków wyrażanych w kryptowalutach;
– łatwość wymiany na waluty lokalne oraz łatwość całego procesu zakupu.
Ostatnia z wymienionych cech – łatwość zakupu oraz sprzedaży kryptowalut – ma niebagatelne znaczenie dla przestępców internetowych. Umożliwia to bowiem łatwe i szybkie wyprowadzenie środków pieniężnych z przejętych kont bankowych lub kart kredytowych.
Dodatkową istotną cechą kryptowalut jest możliwość istnienia tzw. „pralni brudnych pienię- dzy” w sieciach anonimizujących typu TOR. Ponieważ każda transakcja jest możliwa do wyśledzenia poprzez analizę historii transakcji (archiwizowanej na potrzeby generowania potwier- dzeń), podstawowym celem istnienia „pralni” jest wymiana kryptowalut w sposób anonimowy, uniemożliwiający wyśledzenie dotychczasowego użytkownika. Polega to na przyjęciu danej kwoty przez „pralnię” a następnie dokonanie wymiany na inny zestaw monet po potrąceniu odpowiedniej prowizji. W opinii autorów większa część „pralni” działa w oparciu o operacje na giełdach krypto- walut, poprzez które dokonuje się wielokrotnej wymiany danej kryptowaluty w celu zatarcia powiązań pomiędzy przestępcą a transakcjami. Świeżo pozyskane środki są przesyłane z jednego adresu na inny adres (nieużywany wcześniej). Proces ten potencjalnie uniemożliwi powiązanie tej transakcji z dokonanymi wcześniej [7]. Tak przygotowane środki przestępca może stosunkowo bez- piecznie sprzedać otrzymując zapłatę na własne konto bankowe lub rachunek powiązany z przedpłaconą kartą płatniczą.
5. Wnioski
Przedstawione w powyższym artykule narzędzia wraz z podstawowym opisem ich wykorzysta- nia, dają w opinii autorów jedynie ogólny pogląd na zjawiska, które dziś już zachodzą.
Upowszechnienie Internetu i rozwój e-handlu sugeruje wzrost ilości zjawisk niepożądanych w przy- szłości. Jednocześnie pojawienie się narzędzi pozwalających w stosunkowo łatwy sposób całkowicie ukryć swą tożsamość, pozwala przestępcom poczuć się pewniej niż kiedykolwiek. Roz- wój czarnego rynku ukrytego za zasłoną oprogramowania do anonimizacji (a mającego pierwotnie służyć do walki z cenzurą) wydaje się wymykać wszelkiej kontroli. Nieliczne, acz głośne przypadki złapania cyberprzestępców sugerują związek z błędami ludzkimi a nie błędami w samym oprogra- mowaniu lub metodzie. Analizując przyczyny, które spowodowały zamknięcie największego sklepu z nielegalnym towarem – Silkroad – oficjalne informacje wspominają o błędach formalnych popeł- nionych kilka lat wcześniej przez założyciela strony, nie zaś o technicznej słabości rozwiązania.
Globalne infekcje oprogramowania do wykradania danych jak Conficker (od 9 do 15 mln zarażo- nych komputerów) udowadniają, że zagrożenie jest realne a służby mają ograniczone możliwości działania (przykładowo producent systemu Windows, firma Microsoft, wyznaczyła 250 000$ za informacje o twórcy wirusa – bezskutecznie).
Autorzy artykułu uważają, że ewentualne straty z tytułu oszustw internetowych wciąż będą ro- sły. Ponieważ cyberprzestępcy potrafią się świetnie zorganizować oraz są w stanie przełamywać praktycznie wszelkie zabezpieczenia. Jednocześnie łatwe do użycia nowoczesne narzędzia anoni- mizujące pozwalają czuć się przestępcom praktycznie bezkarnie. Wszelką potrzebną wiedzę można znaleźć w popularnych wyszukiwarkach. Jedyną możliwością ograniczenia strat po stronie uczci- wych użytkowników Internetu jest samoedukacja w zakresie bezpieczeństwa komputerowego (np.
unikanie korzystania z jednego systemu/urządzenia tak do rozrywki jak i pracy i finansów) oraz wzmożona czujność w momencie dokonywania ewentualnych płatności za pośrednictwem Inter- netu.
Bibliografia
[1] CyberSource, 13th Annual 2012 Online Fraud Report, [Online]. Dostępne:
https://www.jpmorgan.com/cm/BlobServer/13th_Annual_2012_Online_Fraud_Re- port.pdf?blobkey=id&blobwhere=1320571432216&blobheader=application/pdf&blobhead ername1=Cache-Control&blobheadervalue1=private&blobcol=urldata&blobtable=Mun- goBlobs (22.05.2013).
[2] Harley D., Lee A., Heuristic Analysis— Detecting Unknown Viruses, [Online]. Dostępne:
http://www.eset.com/us/resources/white-papers/Heuristic_Analysis.pdf, (22.05.2013) [Online].
[3] Interia NT Nowe Technologie, Bitcoin – gorączka cyfrowej waluty, Interia online, 24.02.2014, http://nt.interia.pl/internet/news-bitcoin-goraczka-cyfrowej-kryptowaluty,nId, 1108575 (22.05.2013).
[4] Komenda Główna Policji, Cyberprzestępczość – raporty 2014, [Online]. Dostępne:
http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/2960,Cyberprze- stepczosc.html (22.05.2013).
[5] Loshin P., Practical Anonymity. Hiding in Plain Sight Online, Publisher: Elsevier, 2013.
[6] Morris L., Anonymity Analysis of Crypto- currencies, Master’s Thesis Proposal, Department of Computer Science, Rochester Institute of Techology, 25.03.2014, [Online]. Dostępne:
http://www.liammorris.com/thesis/proposal.pdf (22.05.2013).
[7] Moser M., Anonymity of Bitcoin Transactions. An Analysis of Mixing Services, Munster Bitcoin Conference (MBC), 17–18 July ’13, Munster, Germany, [Online]. Dostępne:
https://www.wi.uni-muenster.de/sites/default/files/public/department/itsecu- rity/mbc13/mbc13-moeser-paper.pdf (22.05.2013).
[8] Nakamoto S., Bitcoin: A Peer-to-Peer Electronic Cash System, [Online]. Dostępne:
https://bitcoin.org/bitcoin.pdf, (22.05.2013).
[9] Plohmann D., Gerhards-Padilla E., Case Study of the Miner Botnet, 4th International Con- ference on Cyber Conflict, Tallinn 2012, http://www.ccdcoe.org/publications/
2012proceedings/5_7_Plohmann%26Gerhards-Padilla_ACaseStudyOnTheMinerBotnet.pdf (22.05.2013).
[10] Rainie L. (red.), Anonymity, Privacy, and Security Online, PawReserach Center, 5.09.2013, [Online]. Dostępne: http://www.pewinternet.org/files/old-media/Files/Reports/2013/PIP_
AnonymityOnline_090513.pdf, (22.05.2013).
[11] Roberts H., Zuckerman E., York J., Faris R., Palfrey J., Circumvention Tool Usage Report, The Berkman Center for Internet & Society, October 2010, [Online]. Dostępne: http://cy- ber.law.harvard.edu/sites/cyber.law.harvard.edu/files/2010_Circumvention_Tool_Usage_R eport.pdf (22.05.2013).
[12] TopProject.org, Statystyki związane z projektem TOR, [Online]. Dostępne:https://metrics .torproject.org/userstats-relay-country.png?start=2012-01-30&events=off&end=2014-04- 30&country=pl, (22.05.2013) oraz opis projektu TOR, [Online]. Dostępne: https://www.tor- project.org/about/overview.html.en (22.05.2013).
[13] UC San Diego Academic Computing and Media Services, [Online]. Dostępne: Piracy is as- sociated with malware, http://acms.ucsd.edu/students/resnet/malware_filesharing.html, (22.05.2013).
[14] Vacca J. R., Computer and Information Security Handbook, Publisher: Elsevier, 2009 [15] Węglewski M., BitCoin - zamiana psa na dwa koty, Newsweek online 21.08.2013, [Online].
Dostępne: http://opinie.newsweek.pl/bitcoin--zamiana-psa-na-dwa-koty,107731,1,1.html (22.05.2013).
[16] Witryna [Online]. Dostępne: http://3dbr5t4pygahedms.onion (22.05.2013).
[17] yStat.com, GLOBAL B2C E-commerce market report 2013, [Online]. Dostępne:
http://www.ystats.com/uploads/report_abstracts/1021.pdf (22.05.2013).
FRAUD TECHNIQUES IN E-COMMERCE IN THE INTERNET WITH USING ANONYMIZING NETWORKS
Summary
In this article authors describe potential methods realizations of frauds on the internet network. Victims are usually normal users but also institutions and corpora- tions. The subject of article focuses on the use of modern techniques, anonymizing tools and financial products to perform fraud.
Keywords: tor, internet frauds, bitcoin, anonymizing networks, cryptocurrency
Marcin Kurzeja
Studenckie Koło Naukowe Technologii Internetowych i Multimedialnych Wydział Ekonomiczno-Socjologiczny
Uniwersytet Łódzki
ul. Polskiej Organizacji Wojskowej nr 3/5, 90-255 Łódź e-mail:marcin.kurzeja@gmail.com
Łukasz Zakonnik
Katedra Informatyki Ekonomicznej Wydział Ekonomiczno-Socjologiczny Uniwersytet Łódzki
ul. Polskiej Organizacji Wojskowej nr 3/5, 90-255 Łódź e-mail: lzakonnik@wzmail.uni.lodz.pl
