Как ФБР получает подлинные IP-адреса преступников, использующих Тор, VPN или прокси

За рассылающими мошеннические письма и охотится ФБР, и не только ФБР, за ними охотятся все: от частных компаний, занимающихся расследованием киберпреступлений, до правоохранительных органов разных стран.

Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это так: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.

Особенность сайта FedEx от ФБР была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси».

Есть много способов определить использование прокси, Тор или VPN, предполагаю, что они просто проверяли IP-адрес на предмет принадлежности хостинг-провайдеру, это является явным признаком применения VPN, прокси или Тор.

«Хитрый» план ФБР заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в этом случае мне кажется примитивной. Я вам расскажу о более эффективном способе побудить пользователей отказаться от VPN, Тор и прокси и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов.

Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее. Возможно, вы помните эти неразборчиво написанные слова, которые надо было ввести.

И вот эту капчу сотрудники органов размещали на подконтрольном форуме, чтобы спровоцировать пользователей отказаться от применения VPN, прокси и Тор. Дело в том, что тех, кто использовал средства сокрытия IP-адреса, при каждом входе на форум встречала капча. И им приходилось по несколько раз вводить ее – это может вывести из себя даже человека с образцово крепкими нервами.

Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса.

Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее. Возможно, еще использовалась деанонимизация методом сопоставления соединений, я не знаю деталей операции.

Так или иначе, капча работала прекрасно, ведь даже у самых осторожных ребят не железные нервы. Из этих историй сложно вывести совет или заключение, их просто нужно помнить, может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.