Skip to main content
BlockchainFintech

OSINT intelligence per tracciare valute crittografiche sospette

By 17 Giugno 2020Giugno 14th, 2023No Comments
valute crittografiche

Da buoni “eternauti del web” Tutti i giorni leggiamo di notizie relative ai crimini informatici perpetrati nella rete, dove gli scenari sono altamente tecnologici, quando si parla di Cyber Crime, terrorismo, intelligence ambientale ecc… si parla di scenari complessi.

Abbiamo detto si parla, perché per agire è un privilegio riservato a pochi, più ai tecnici che ai filosofi. 

Pensiamo al problema finanziamenti alle attività criminose attualmente si sono spostati nel mondo delle criptovalute. Il web è il miglior posto per far crescere tali illeciti pensiamo al deep web o al dark web con l’aggiunta dell’anonimato, un vero paradiso!

Secondo la legislazione italiana il d.lgs. n. 90/2017, attuativo della Direttiva relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, denota la presa di coscienza da parte del legislatore nazionale circa la pericolosità dell’anonimato delle transazioni finanziarie.

Non dimentichiamo che il finanziamento delle organizzazioni terroristiche è un crimine distinto dal terrorismo stesso ed è divenuto crimine internazionale nel 1999 con la “Convenzione di New York”.

Il Framework for Future Alliance Operations (FFAO) Report 2018 con cui la Nato analizza le possibili situazioni di instabilità fino al 2035 ed oltre, nel definire i possibili eventi futuri la cui criticità richiederà l’utilizzo dello Strumento militare.

Per sopravvivere e finanziarsi il terrorismo ha bisogno della copertura dei paradisi fiscali, per cui è necessario combattere là dove esso si alimenta, così da togliergli linfa vitale.

come-utilizzare-tecniche-di-osint

Utilizzare tecniche di OSINT intelligence avanzate

Durante una ricerca-consulenza in ambito di criptomonete abbiamo utilizzato tecniche di OSINT intelligence avanzato per tenere traccia dell’attività di valuta crittografica sospetta.

Analizziamo i vari elementi:

I bitcoin sono unità di conto composte da stringhe uniche di numeri e lettere che costituiscono unità di moneta e hanno valore solo perché i singoli utenti sono disposti a pagare per loro. Gli indirizzi bitcoin, che dunque funzionano come conti correnti, non hanno nomi o altra identificazione del cliente e il sistema non ha server o un servizio centralizzato.

I siti del dark web dedicati alle operazioni illegali, in cui si trova un po’ di tutto: progetti, ricerche di mercato, e-mail ordinarie o compromettenti, credenziali, numeri di carte di credito e informazioni personali. Una miniera di informazioni che permette di giocare sporco spaziando dai furti di identità alla concorrenza sleale.

Il nostro studio si è concentrato nella ricerca delle “impronte” lasciate nel web e nel dark web, analizzando una serie di parametri che vi illustriamo di seguito.

Lo scenario è composto da:

  1. Un sito bancario che vende “conti offshore” anonimi per attività illecite.
  2. Servizi “The Dark Web Services” dove troviamo servizi illegali pagati in cryptovaluta è un termine generale per una raccolta di siti Web su una rete crittografata con indirizzi IP nascosti, il che offre agli utenti una forte protezione dell’anonimato.

Poiché non sono indicizzati dai motori di ricerca tradizionali, puoi accedervi solo con speciali browser di anonimato, come I2P , Freenet e il pacchetto The Onion Router (TOR) più comune.

Nella nostra ricerca non dobbiamo identificare se si tratta di siti di truffa o meno, piuttosto, identificare la relazione tra loro, dimostrare se i servizi acquistati e il conto offshore sono della stessa persona e tracciare le loro impronte digitali blockchain su uno scambio di criptovaluta.

La ricerca è abbastanza complessa; si deve identificare la relazione tra determinati siti, ma ci sono anche un certo numero di “impronte digitali” che un sito pur anonimo può lasciarsi alle spalle.

Abbiamo analizzato le impronte dei portafogli di criptovaluta attraverso il web per capire chi si poteva nascondere, ricercando le varie attività svolte e confrontandole con le persone coinvolte, sono state applicati anche processi di l’Intelligenza Artificiale, tra cui la PNL (Natural Language Processing) e l’OCR (Optical Character Recognition), con cui è possibile identificare e contrassegnare citazioni di portafogli crittografici, sia in post, immagini o altro.

L’analisi è stata svolta in diversi parametri, riportiamo di seguito i parametri:

Strumenti di analisi per siti Tor e onion nel deep web

  1. Fresh Onions (http://zlal32teyptf4tvi.onion)
  2. Wallet Explorer ( https://www.walletexplorer.com/ )
  3. Blockchain Explorer ( https://www.blockchain.com/explorer )
  4. Tor Browser ( https://www.torproject.org/ )

Il più importante di questi due strumenti sono Fresh Onions ed Wallet Explorer.

La fase preparatoria all’analisi

Fresh Onions è: servizio nascosto che implementa un crawler / spider di servizi nascosti per tor e sito web.

Fondamentalmente illustra qualsiasi informazione nascosta che potremmo non vedere su un sito di onion ed è ottima per identificare una di queste “impronte digitali” che stiamo cercando.

Il sito, un servizio nascosto stesso, differisce dai wiki nascosti di base per diversi motivi.

  • Esegue costantemente la scansione del database per lo stato di uptime ogni 1-3 ore;
  • Dei siti inaccessibili con un algoritmo che include il numero di volte in cui il sito è inaccessibile, i siti in alto vengono visualizzati in verde, i siti problematici in arancione e i siti in basso in rosso.
utlizzare-tecniche-di-osint

Wallet Explorer è utile in quanto identifica tutti gli indirizzi bitcoin di proprietà di un singolo portafoglio. Quando si tratta di criptovalute, un portafoglio può possedere numerosi indirizzi.

Le transazioni in bitcoin non sono così anonime come si crede. Lo dimostra il servizio walletexplorer.com, che si occupa della scoperta delle attività nella rete Bitcoin.

utilizzare-tecniche-di-osint-intelligence

Blockchain Explorer e Tor del browser sono piattaforme che già sono ampiamente note.

come-utilizzare-tecniche-di-osint-intelligence

Identificazione delle “impronte digitali” dei servizi web oscuri

La relazione tra questi due siti del deep e dark web può essere identificata utilizzando il crawler Fresh Onion.

Cosa stiamo cercando in ambito di ricerca per l’analisi delle tracce?

Cerchiamo un’ impronta digitale SSH.

Essenzialmente è un marcatore unico che trasporterà un sito. Con Fresh Onions, possiamo vedere tutti gli altri siti che contengono la stessa impronta digitale.

Ciò dimostra che esiste una relazione SSH tra i siti di orion identificati. Andiamo ora alla ricerca di prove blockchain.

Come utilizzare blockchain forensics sulle transazioni

Il primo passo per qualsiasi analisi di un sito web sia deep che dark oscuro è individuare il suo indirizzo di criptovaluta. Possiamo trovare diverse valute, ma per la maggior parte è il bitcoin il sovrano del mondo cripto, e per fortuna ha una blockchain molto pubblica.

Dall’analisi di un solo indirizzo “Bitcoin” Possiamo farci delle domande:

  1. Quante transazioni hanno avuto luogo?
  2. Da dove proviene il denaro e quanto?
  3. Dove è stato inviato il denaro e quanto?
  4. Una cronologia storica delle transazioni?
  5. E altri indirizzi bitcoin associati in quel portafoglio

Attraverso il sito Wallet Explorer siamo in grado di identificare qualsiasi altro indirizzo bitcoin di proprietà dello stesso portafoglio.

La fase operativa dell’analisi

Quando accediamo ai loro indirizzi bitcoin attraverso la sezione “acquisto” del sito Web, possiamo identificare due indirizzi principali:

  1. L’ indirizzo del sito “banca”
fase-operativa-analisi-tecniche-osint
  1. E l’ indirizzo del sito “del servizio del dark web “
fase-operativa-teniche-osint

La relazione tra questi due siti Web è che provengono dallo stesso portafoglio, nel senso che sono di proprietà della stessa entità o persona.

Questa relazione è stata ricavata cercando su Wallet Explorer, da dove è possibile identificare la doppia proprietà degli indirizzi semplicemente inserendone uno nella funzione di ricerca “CTRL F” da tastiera , e quindi rivelando l’intero portafoglio.

Come ultima analisi si tracciano i pagamenti attraverso uno scambio

Le transazioni pagate su questi conti sono come dovrebbero apparire, delle normali transazioni quando visualizzate sulla blockchain.

Nel nostro caso, nella transazione analizzata vediamo denaro spostato da un indirizzo bitcoin all’indirizzo del servizio del Dark Web

Dall’analisi mi risultano diversi indirizzi inclusi nello stesso scambio, per questa transazione, l’indirizzo del destinatario chiave che si termina in Ndpe può essere una delle due cose:

  1. Un servizio di mixaggio bitcoin
  2. Uno scambio

Per molti venditori sul web oscuro, un servizio di mixaggio di criptovaluta garantisce l’anonimato in quanto essenzialmente rimescola gli indirizzi e i pagamenti effettuati: perfetto per venditori illegali e truffatori, ma non per i “cacciatori di tracce”, Che seguono l’impronta.

Ndpe è un indirizzo univoco in quanto la maggior parte dei suoi pagamenti viene effettuata nell’indirizzo bitcoin, Questo indirizzo bitcoin determina la traccia univoca di appartenenza nel nostro caso appartiene ad un “l’exchange di criptovalute”, cioè uno scambio di criptovaluta registrato.

Analisi Blockchain dell’indirizzo Ndpe

L’indirizzo di Ndpe appartiene ad un determinato portafoglio,che analizzato contiene più di 140 mila indirizzi bitcoin molti dei quali vedono grandi volumi di transazioni ogni giorno.

Ndpe è probabilmente l’indirizzo bitcoin di uno scambio, o potrebbe essere un servizio di burattatura bitcoin molto usato, che spiegherebbe l’ampio volume di indirizzi bitcoin che contiene nel suo portafoglio, permettendogli essenzialmente di mescolare le transazioni.

Dall’analisi si è riscontrato che questi due siti di orion nel web oscuro sono gestiti dallo stesso proprietario.

Quindi c’è una relazione di fondi da questi due siti di Orion nel web oscuro, con l’indirizzo Ndpe sulla blockchain. Esiste anche una relazione finanziaria in corso tra l’indirizzo Ndpe e ​​altri indirizzi nello stesso portafoglio.

Autore

Alessandro Sigismondi
Cybersecurity – OSINT intelligence & Crypto Crime – Senior Advisor Consulenza e Risorse

valute crittografiche

Da buoni “eternauti del web” Tutti i giorni leggiamo di notizie relative ai crimini informatici perpetrati nella rete, dove gli scenari sono altamente tecnologici, quando si parla di Cyber Crime, terrorismo, intelligence ambientale ecc… si parla di scenari complessi.

Abbiamo detto si parla, perché per agire è un privilegio riservato a pochi, più ai tecnici che ai filosofi. 

Pensiamo al problema finanziamenti alle attività criminose attualmente si sono spostati nel mondo delle criptovalute. Il web è il miglior posto per far crescere tali illeciti pensiamo al deep web o al dark web con l’aggiunta dell’anonimato, un vero paradiso!

Secondo la legislazione italiana il d.lgs. n. 90/2017, attuativo della Direttiva relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, denota la presa di coscienza da parte del legislatore nazionale circa la pericolosità dell’anonimato delle transazioni finanziarie.

Non dimentichiamo che il finanziamento delle organizzazioni terroristiche è un crimine distinto dal terrorismo stesso ed è divenuto crimine internazionale nel 1999 con la “Convenzione di New York”.

Il Framework for Future Alliance Operations (FFAO) Report 2018 con cui la Nato analizza le possibili situazioni di instabilità fino al 2035 ed oltre, nel definire i possibili eventi futuri la cui criticità richiederà l’utilizzo dello Strumento militare.

Per sopravvivere e finanziarsi il terrorismo ha bisogno della copertura dei paradisi fiscali, per cui è necessario combattere là dove esso si alimenta, così da togliergli linfa vitale.

come-utilizzare-tecniche-di-osint

Utilizzare tecniche di OSINT intelligence avanzate

Durante una ricerca-consulenza in ambito di criptomonete abbiamo utilizzato tecniche di OSINT intelligence avanzato per tenere traccia dell’attività di valuta crittografica sospetta.

Analizziamo i vari elementi:

I bitcoin sono unità di conto composte da stringhe uniche di numeri e lettere che costituiscono unità di moneta e hanno valore solo perché i singoli utenti sono disposti a pagare per loro. Gli indirizzi bitcoin, che dunque funzionano come conti correnti, non hanno nomi o altra identificazione del cliente e il sistema non ha server o un servizio centralizzato.

I siti del dark web dedicati alle operazioni illegali, in cui si trova un po’ di tutto: progetti, ricerche di mercato, e-mail ordinarie o compromettenti, credenziali, numeri di carte di credito e informazioni personali. Una miniera di informazioni che permette di giocare sporco spaziando dai furti di identità alla concorrenza sleale.

Il nostro studio si è concentrato nella ricerca delle “impronte” lasciate nel web e nel dark web, analizzando una serie di parametri che vi illustriamo di seguito.

Lo scenario è composto da:

  1. Un sito bancario che vende “conti offshore” anonimi per attività illecite.
  2. Servizi “The Dark Web Services” dove troviamo servizi illegali pagati in cryptovaluta è un termine generale per una raccolta di siti Web su una rete crittografata con indirizzi IP nascosti, il che offre agli utenti una forte protezione dell’anonimato.

Poiché non sono indicizzati dai motori di ricerca tradizionali, puoi accedervi solo con speciali browser di anonimato, come I2P , Freenet e il pacchetto The Onion Router (TOR) più comune.

Nella nostra ricerca non dobbiamo identificare se si tratta di siti di truffa o meno, piuttosto, identificare la relazione tra loro, dimostrare se i servizi acquistati e il conto offshore sono della stessa persona e tracciare le loro impronte digitali blockchain su uno scambio di criptovaluta.

La ricerca è abbastanza complessa; si deve identificare la relazione tra determinati siti, ma ci sono anche un certo numero di “impronte digitali” che un sito pur anonimo può lasciarsi alle spalle.

Abbiamo analizzato le impronte dei portafogli di criptovaluta attraverso il web per capire chi si poteva nascondere, ricercando le varie attività svolte e confrontandole con le persone coinvolte, sono state applicati anche processi di l’Intelligenza Artificiale, tra cui la PNL (Natural Language Processing) e l’OCR (Optical Character Recognition), con cui è possibile identificare e contrassegnare citazioni di portafogli crittografici, sia in post, immagini o altro.

L’analisi è stata svolta in diversi parametri, riportiamo di seguito i parametri:

Strumenti di analisi per siti Tor e onion nel deep web

  1. Fresh Onions (http://zlal32teyptf4tvi.onion)
  2. Wallet Explorer ( https://www.walletexplorer.com/ )
  3. Blockchain Explorer ( https://www.blockchain.com/explorer )
  4. Tor Browser ( https://www.torproject.org/ )

Il più importante di questi due strumenti sono Fresh Onions ed Wallet Explorer.

La fase preparatoria all’analisi

Fresh Onions è: servizio nascosto che implementa un crawler / spider di servizi nascosti per tor e sito web.

Fondamentalmente illustra qualsiasi informazione nascosta che potremmo non vedere su un sito di onion ed è ottima per identificare una di queste “impronte digitali” che stiamo cercando.

Il sito, un servizio nascosto stesso, differisce dai wiki nascosti di base per diversi motivi.

  • Esegue costantemente la scansione del database per lo stato di uptime ogni 1-3 ore;
  • Dei siti inaccessibili con un algoritmo che include il numero di volte in cui il sito è inaccessibile, i siti in alto vengono visualizzati in verde, i siti problematici in arancione e i siti in basso in rosso.
utlizzare-tecniche-di-osint

Wallet Explorer è utile in quanto identifica tutti gli indirizzi bitcoin di proprietà di un singolo portafoglio. Quando si tratta di criptovalute, un portafoglio può possedere numerosi indirizzi.

Le transazioni in bitcoin non sono così anonime come si crede. Lo dimostra il servizio walletexplorer.com, che si occupa della scoperta delle attività nella rete Bitcoin.

utilizzare-tecniche-di-osint-intelligence

Blockchain Explorer e Tor del browser sono piattaforme che già sono ampiamente note.

come-utilizzare-tecniche-di-osint-intelligence

Identificazione delle “impronte digitali” dei servizi web oscuri

La relazione tra questi due siti del deep e dark web può essere identificata utilizzando il crawler Fresh Onion.

Cosa stiamo cercando in ambito di ricerca per l’analisi delle tracce?

Cerchiamo un’ impronta digitale SSH.

Essenzialmente è un marcatore unico che trasporterà un sito. Con Fresh Onions, possiamo vedere tutti gli altri siti che contengono la stessa impronta digitale.

Ciò dimostra che esiste una relazione SSH tra i siti di orion identificati. Andiamo ora alla ricerca di prove blockchain.

Come utilizzare blockchain forensics sulle transazioni

Il primo passo per qualsiasi analisi di un sito web sia deep che dark oscuro è individuare il suo indirizzo di criptovaluta. Possiamo trovare diverse valute, ma per la maggior parte è il bitcoin il sovrano del mondo cripto, e per fortuna ha una blockchain molto pubblica.

Dall’analisi di un solo indirizzo “Bitcoin” Possiamo farci delle domande:

  1. Quante transazioni hanno avuto luogo?
  2. Da dove proviene il denaro e quanto?
  3. Dove è stato inviato il denaro e quanto?
  4. Una cronologia storica delle transazioni?
  5. E altri indirizzi bitcoin associati in quel portafoglio

Attraverso il sito Wallet Explorer siamo in grado di identificare qualsiasi altro indirizzo bitcoin di proprietà dello stesso portafoglio.

La fase operativa dell’analisi

Quando accediamo ai loro indirizzi bitcoin attraverso la sezione “acquisto” del sito Web, possiamo identificare due indirizzi principali:

  1. L’ indirizzo del sito “banca”
fase-operativa-analisi-tecniche-osint
  1. E l’ indirizzo del sito “del servizio del dark web “
fase-operativa-teniche-osint

La relazione tra questi due siti Web è che provengono dallo stesso portafoglio, nel senso che sono di proprietà della stessa entità o persona.

Questa relazione è stata ricavata cercando su Wallet Explorer, da dove è possibile identificare la doppia proprietà degli indirizzi semplicemente inserendone uno nella funzione di ricerca “CTRL F” da tastiera , e quindi rivelando l’intero portafoglio.

Come ultima analisi si tracciano i pagamenti attraverso uno scambio

Le transazioni pagate su questi conti sono come dovrebbero apparire, delle normali transazioni quando visualizzate sulla blockchain.

Nel nostro caso, nella transazione analizzata vediamo denaro spostato da un indirizzo bitcoin all’indirizzo del servizio del Dark Web

Dall’analisi mi risultano diversi indirizzi inclusi nello stesso scambio, per questa transazione, l’indirizzo del destinatario chiave che si termina in Ndpe può essere una delle due cose:

  1. Un servizio di mixaggio bitcoin
  2. Uno scambio

Per molti venditori sul web oscuro, un servizio di mixaggio di criptovaluta garantisce l’anonimato in quanto essenzialmente rimescola gli indirizzi e i pagamenti effettuati: perfetto per venditori illegali e truffatori, ma non per i “cacciatori di tracce”, Che seguono l’impronta.

Ndpe è un indirizzo univoco in quanto la maggior parte dei suoi pagamenti viene effettuata nell’indirizzo bitcoin, Questo indirizzo bitcoin determina la traccia univoca di appartenenza nel nostro caso appartiene ad un “l’exchange di criptovalute”, cioè uno scambio di criptovaluta registrato.

Analisi Blockchain dell’indirizzo Ndpe

L’indirizzo di Ndpe appartiene ad un determinato portafoglio,che analizzato contiene più di 140 mila indirizzi bitcoin molti dei quali vedono grandi volumi di transazioni ogni giorno.

Ndpe è probabilmente l’indirizzo bitcoin di uno scambio, o potrebbe essere un servizio di burattatura bitcoin molto usato, che spiegherebbe l’ampio volume di indirizzi bitcoin che contiene nel suo portafoglio, permettendogli essenzialmente di mescolare le transazioni.

Dall’analisi si è riscontrato che questi due siti di orion nel web oscuro sono gestiti dallo stesso proprietario.

Quindi c’è una relazione di fondi da questi due siti di Orion nel web oscuro, con l’indirizzo Ndpe sulla blockchain. Esiste anche una relazione finanziaria in corso tra l’indirizzo Ndpe e ​​altri indirizzi nello stesso portafoglio.

Autore

Alessandro Sigismondi
Cybersecurity – OSINT intelligence & Crypto Crime – Senior Advisor Consulenza e Risorse

Leave a Reply