Une investigation OSINT dans le monde des arnaques sur le Darknet – Partie 2

Une investigation OSINT dans le monde des arnaques sur le Darknet – Partie 2

Suite de la partie 1 de l’investigation sur « Gunsganos » où les 5 premiers points analysaient les différents vendeurs, les activités, les membres, les flux financiers et la partie technique du site.

 

Partie 6 - Sur le suivi des trois transactions sortantes

Nous allons procéder au suivi et à l’analyse des trois transactions sortantes. Dans le but de suivre les flux financiers.

  • Transaction du 15/02/2021 :

Cette transaction a été réalisée avec 139 autres adresses en entrées. Aucune des 139 adresses BTC ne ressort signalée sur le site bitcoinabuse.com.

  • Transaction du 17/05/2021 :

Cette transaction s’effectue avec 122 autres adresses en entrées. Encore une fois, aucune de ces adresses BTC ne ressort comme ayant été signalée sur le site bitcoinabuse.com.

Comme nous le remarquons, l’adresse 3LYXTyNL7MjuZKj4SzwF3rpu932xRSkuZx reçoit 1.32 BTC + 0.65 BTC, soit un total de 1.97 BTC (93 015 dollars).

En l’état il nous faut nous demander si Gunganos et ses 1 702 dollars de gains participe à alimenter une escroquerie beaucoup plus grande ou bien si le mouvement des fonds étaient totalement déconnecté.

Pour ce faire, nous avons analysé les  261 adresses BTC liées aux deux transactions effectuées entre le 15/02/2021 et le 17/05/2021.

Tout d’abord, parmi toutes ces adresses BTC plusieurs d’entre elles apparaissent à plusieurs reprises. En effet, il n’y a en réalité que 94 adresses effectives. Nous allons donc procéder à une recherche en source ouverte pour voir les différents éléments que nous pouvons obtenir. 

Sur la totalité de ces adresses BTC, nous pouvons en identifier 17 en OSINT. La majorité de ces adresses retrouvées ont une existence sur le darkweb. C’est un pourcentage faible de résolution, mais il permet déjà d’identifier certains éléments importants comme nous allons le voir. 

La recherche a été effectuée en source ouverte via divers google dorks.

Tableau des adresses BTC retrouvées en OSINT :

Wallet BTC

site obtenu en OSINT

Domaine du support

329NN882qvm692j7jnGPQtdHrhjPtLcXsh

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

32xEbWoszDQLWq9PFec28Yb58Fe7TeD9MG

http://skimmeri2ejxbgqqb5olefpga47d7w2kvpaz5e6yf4ifcmhfx5m2w2ad.onion

skimmerdevice@Safe-mail.net

33pYLVVJEHjYYsjGj1abg6woD2EMpyoSfE

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

34f56NiV5bFA1LYqiDu2CpiUNcHZv5w44a

http://gunsganos2raowan5y2nkblujnmza32v2cwkdgy6okciskzabchx4iqd.onion

ggspace@safe-mail.net

36SxPQ7otCnwbWvmBFbqfaxwdY6EkdH4aV

https://mystorebpi3wsqg6y3f7ojptw3e55cylezofql57ds7ekeae5yj5qxqd.onion

My_Store@Safe-mail.net

37EZNppzy9vrYLNn8wf7V7CUVx2Qx4UdeT

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

3CLbBkLYXw18X9M1RM1pTom2JKtRVbzSF6

http://weapon5dj7fwz2zaqa22fqeaqrauclim5kfvecegphrvxeywxoa3wuid.onion

BlackMarkets@Safe-mail.net

3EpvmczPUtr7hSTjrsxBCiWR1bg5DZQLjR

http://platypushng3qjehr7sho643dwi4ppjfiikv64nmgclbacydfoewa4qd.onion

néant

3EpXM2E9mCRKM5vsKFDayMmLR1BFmdk8XM

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

3GKySkVv19GWbf3nNct1GR4S21UWQ8KTjZ

http://paypalap3lqddjcy6k6i2eitsijsvdmrgzflzyhavuoeju5q6z7f2fqd.onion

PayPal_Store@Safe-mail.net

3HcuTxzrVKdr52us9zmJHQUmfyWH3h8V8Y

http://bitstordaj3gl4rqgnrys55tf25nj63y5jgdzz7mur3g2grof2izxfad.onion

bitstor@safe-mail.net

3JKgkbb9azTswX9qutTSCpihA8W9e6Ncm3

https://cardsm4cu45vmqyfcb6x4tgr6bob4t7a6jflywszifjmijqifkd7h4yd.onion

DumpsMarket@Safe-mail.net

3JwaeqtSas118uobnZBZL824dYMHVktt82

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

3L98WjmcndJufanaACJjtnuC3t3uq3Q1zg

https://www.telemetr.me/content/AAAAAEUb598Wr4DqSF5LGQ/5

luckp47@bitemail.net

3MixcB1aSRvgpoBfyZC7xmwuALkNK2pRBP

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

3Q4AywafKK7K6XVf2ZSpuzh5HhBajESoq7

http://luckp47htmgn3vm3wa3zw7hhowu6cb74grtbwiwxovjhnzkyui5qjpid.onion

luckp47@bitemail.net

3QDuGzPnKgzw8y1ZkceFgMSPqry633eU3W

https://chemspansi5ouwybtrylkfq3ehjfefcac7ea7kt23hk7b6g3qvx2tvyd.onion/

My_Store@Safe-mail.net

Les différents sites obtenus via l’existence de ces adresses BTC :

Nous allons effectuer une rapide analyse des adresses BTC trouvées en OSINT.

1) luckp47

Une adresse BTC relative au site Luckp47 est présente sur le site https://www.telemetr.me/. Celui-ci référence plusieurs channel Telegram et enregistre les posts de ceux-ci. De ce fait, nous voyons que l’adresse BTC enregistrée sur telemetr n’est plus la même que sur le site de référence. Voilà qui nous indique le changement de l’adresse BTC mise en avant sur le présent site.

Le message laissé indique en langue persane que : “Nous sommes une organisation militante qui lutte actuellement contre le massacre des familles de Lougansk. Toutes les armes sont entièrement fonctionnelles. Nous stockons nos produits directement dans l’UE. Nous parlons anglais, allemand et russe. Nous avons beaucoup plus d’armes à vendre. Un autre sera fourni par e-mail après l’accord.

Le channel telegram ne nous apportera aucune autre information pertinente, hormis le fait que celui-ci semble toujours actif.

Lukp47 est un site de vente d’armes à première vue. Il existe une série d’adresses BTC rattachées au site “luckp47”. Celui-ci date des alentours de janvier 2021. Huit adresses BTC ont été identifiées sur ce site. Il semble que celui-ci utilise des adresses BTC tournantes. C’est-à-dire qui change au bout d’un certain moment ou  après chaque virement par exemple.

Voici un visuel du site web en question :

Un simple reverse de l’une des images d’arme présente sur le site, nous indique que les images proviennent d’autres sources que celle des “ vendeurs”.

2) Skimmer device

Nous remarquons que le site Skimmerdevice semble être une arnaque grossière. Un élément très intéressant ici est le domaine du mail skimmerdevice@Safe-mail.net qui nous rappelle le domaine du site gunganos.

3) My Store

Il s’agit d’un site de vente de biens divers. Le mail du support est My_Store@Safe-mail.net. Nous verrons plus tard que ce mail est le même qu’un autre site de vente de drogue sur le darkweb.

4) BlackMarkets

Encore un nouveau site de vente d’armes et de faux papiers dont le mail du support est BlackMarkets@Safe-mail.net .

5) KryptoPlatypus

Ce site web, comme son titre l’indique, est un site de sortie d’argent, via des comptes Paypal. Il est possible que plusieurs adresses BTC différentes aient été mises sur le site car nous en avons trouvé plusieurs. Il n’y a aucun mail de support.

6) PayPal_Store

Nous remarquons un site web proposant à la vente des comptes PayPal, avec seulement une seule adresse BTC pour n’importe quelle transaction. La méthodologie se répète, et le domaine du support se trouve être une nouvelle fois identique aux autres à savoir : PayPal_Store@Safe-mail.net.

7) Bistore

Bistore se présente comme un site de vente d’objets légaux, vendus à des prix extrêmement bas. Nous voyons ici un type d’arnaque basé sur les gains à l’achat. Le mail du support se trouve être bitstor@safe-mail.net .

8) Dumps Market

Voici un nouveau site d’arnaque. Le mail du support est “DumpsMarket@Safe-mail.net“ . Ce site vend des cartes prépayées et il faut régler en crypto-monnaies. Évidemment il n’existe qu’une seule adresse de paiement en BTC, sur l’ensemble des “ achats “ possibles.

9) ChemSpain

Nous voyons ici un site de ventes de drogues, l’ensemble des paiements s’effectuent en BTC. Notre surprise ici repose sur le fait que le mail du support est exactement le même que celui du  quatrième site nommé MyStore que nous avons vu précédemment : My_Store@Safe-mail.net

Il est intéressant de remarquer que plusieurs sites en .onion de type marketplace utilisent la même adresse de support, dans des propositions commerciales totalement différentes. Il arrive même aux arnaqueurs de se tromper.

  • Transaction du 07/09/2021 :

Cette transaction s’effectue avec 189 autres adresses en entrées. Passons les 189 adresses BTC sur le site https://www.bitcoinabuse.com/. Aucune ne ressort signalée. En retirant les doublons, il y a en réalité un total de 83 adresses uniques.

Le montant total transféré est de 0.73 BTC soit 38 168 dollars.

Tableau des adresses BTC retrouvées en OSINT :

Liste des sites trouvés en OSINT par ordre d’apparition :

10) EuroGuns

Il s’agit une nouvelle fois d’un site de vente d’armes. Plusieurs adresses BTC ont été remontées pour ce site. Ce qui laisse suggérer que les adresses BTC changent périodiquement dessus. Actuellement, il existe seulement une adresse BTC pour l’ensemble des achats possibles sur le site.

11) Acteam

Il s’agit d’un site de vente de cartes de crédit. Le mail du support informatique est ac-team@Safe-mail.net. Nous allons voir que le site suivant utilise exactement les mêmes graphiques à l’exception du mail du support.

12) Eacteam

Il s’agit d’un site identique au précédent. Les mêmes biens y sont vendus. Cependant, le mail du support est eacteam@Safe-mail.net. Il faut dire que la création de sites web frauduleux sur le darkweb est parfois longue et fastidieuse. On voit ici que le ou les créateurs ont voulu simplifier les choses. Cependant le titre du site “AC-TEAM” est identique sur les deux sites web.

Conclusion

La méthodologie OSINT, utilisée pour les enquêtes, permet à tout un chacun de faire ses propres investigations. Vérifier ses sources, compiler des donnés et trouver des éléments fiables pour élaborer une analyse. 

Nous avons pu entrevoir tout au long de cette investigation différents environnement et acteurs du darkweb. Une nébuleuse de sites Fake-Darkweb, tous plus inventifs pour soutirer de l’argent. Plusieurs sites sont manifestement des arnaques et récupèrent les fonds de leurs membres à des fins que l’on ignore encore à ce jour. L’investigation sur des sites illégaux, arnaquant majoritairement des utilisateurs potentiellement mal intentionnés, n’est sans doute pas une priorité pour les forces de l’ordre.

Il apparait que les domaines Safe-mail.net sont utilisés pour la gestion de support de contenu illicites. Nous rappelons que l’inscription à ce service est difficile pour un utilisateur lambda. Le lien entre le domaine Safe-mail.net et la création de ces nombreux sites d’arnaques sur le darkweb interroge. 

Nous avons analysé ce qu’il était humainement possible de remonter en OSINT. Il est évidemment possible d’investiguer davantage dans une démarche légale et judiciaire.

Quelques nouvelles pistes cependant sont possibles, comme chercher sur l’ensemble des images en effectuant de la recherche inversée sur ces dernières, où de poursuivre l’investigation sur le chan telegram de @DEEPWEB_L666 et le domaine bitemail.net

Au total, les versements BTC que nous avons pu identifier, représentent 131 183 dollars. Bien qu’il ne soit pas possible de prouver à 100 % la provenance des fonds de sites frauduleux, 10 à 20 % d’adresses BTC analysées et remontées suggèrent une coordination du ou des auteurs derrière ces sites sur le dark web. Il s’agirait là d’un gain financier très conséquent pour cette nébuleuse de faux sites du darkweb.

Nous connaissons la période d’activité des adresses BTC (via les datations de réception de fonds). Cela nous indique donc une statistique intéressante, un gain de 131 183 dollars sur la période du 20/01/2021 au 08/09/2021 sur 12 sites identifiés.

Cependant, il existe plusieurs sources indiquant qu’entre novembre 2015 et mars 2016, une activité illégale et similaire était déjà présente. Ce qui laisse entendre que les fonds récoltés par ces escrocs peuvent être beaucoup plus importants. Cela démontre qu’il s’agit d’un business très lucratif.

A ce jour, il n’y a pas de nouveau mouvement sur les deux adresses BTC et les fonds sont donc gelés en attendant que celui qui contrôle ces adresses décide de déplacer les fonds.

Article rédigé par @D4ftR0ck