Darknet: Polizei sperrt Drogenhändler aus

Article by · 31. Juli 2017 ·

Einige Darknet-Drogenhändler verwendeten ein identisches Passwort gleich auf mehreren Darknet-Plattformen. Dadurch ist es der niederländische Polizei gelungen, diese Drogenhändler aus ihren Konten auszusperren, berichtet der Security-Blog BleepingComputer.

Bevor Hansa Market, die drittgrößte illegale Handelsplattform im Darknet, für immer vom Netz genommen wurde (20.07.2017), diente der Marktplatz der Polizei noch einen ganzen Monat als Honeypot, wobei der Code so verändert wurde, dass man in der Lage war, Passwörter mitzuschneiden. 10.000 Adressen ausländischer Hansa-Kunden seien dabei an Europol weitergegeben worden und werden nun für weitere Ermittlungen ausgewertet. So war es der niederländischen Polizei seit dem 20. Juni weiterhin möglich, die Kontendaten zahlreicher Drogenhändler herauszubekommen.

Die Ermittler verwendeten einfach die bei Hansa Market hinterlegten Zugangsdaten und loggten sich damit bei dem immer noch aktiven Konkurrenten „Dream Market“ ein, um die Händler dort auszusperren. Bei 14 Konten wurde so das Passwort bzw. der Zugangsschlüssel geändert. Einer der Anbieter bestätigte auf Reddit, dass er den Zugang zu seinem Dream Market-Konto verloren hatte, weil er die gleichen Passwörter sowohl auf Hansa Market, als auch auf Dream Market verwendete.

Weiterhin arbeiteten die Ermittler mit manipulierten Locktime-Dateien. Gewöhnlich dienen solche Dateien zum Speichern von Informationen über eine Markttransaktion eines Verkäufers, wie Details über das verkaufte Produkt, den Käufer, die Zeit des Verkaufs, den Preis sowie die Bestätigung (Unterschrift) durch den „Hansa Market“. Die Dateien werden als Authentifizierung von Anbietern verwendet, um die Freigabe von Bitcoin-Fonds nach dem Verkauf zu verlangen oder wenn der Markt aus technischen Gründen down ist. Die Behörden haben die Textdateien jedoch mit manipulierten Excel-Dateien ersetzt, in denen ein unsichtbares Bild versteckt wurde. Sobald die Datei geöffnet wird, wird das Bild geladen und die Behörden erfahren die IP-Adresse des Nutzers, die durch den Hansa-Server gespeichert wurde. Da diese Dateien vor allem als Beleg dienen, falls der „Hansa Market“ nicht erreichbar ist, dürften einige Nutzer aus Panik diese Dateien geöffnet und sich so offenbart haben.

Bildquelle: tsmr, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

1 Comment

  • comment-avatar

    Haste Hasch in den Tasche, haste immer was zu naschen.
    Ich lache mir „einen Ast“ wie die „kaltgestellt“ wurden.
    Und: Sie haben es nicht besser verdient.


Leave a comment