Visualizzazioni Totali

TRA I PRIMI IN ITALIA A PARLARE DI BITCOIN (DAL 2012!): PER ESSERE SEMPRE AGGIORNATI SULLE NOVITA' TECNOLOGICHE DEL WEB SEGUITE LA PAGINA FACEBOOK (LINK A SINISTRA)

sabato 31 agosto 2019

La Storia Misteriosa Di Dream Market: Chi è Speedstepper? (Deep Web)

La storia del mercato Dream Market è lungi (forse) dall'essere chiusa.
Facciamo un piccolo passo indietro e torniamo a fine marzo 2019, quando Dream Market, uno dei più antichi cryptomarkets sulle Darknet, ha annunciato che avrebbe chiuso baracca e burattini il 30 aprile 2019. L'annuncio venne fatto dal founder ed admin, noto come Speedsteppers.
Anche se il messaggio ventilava anche un'eventuale ricostruzione del market con spostamento altrove.
Per fare un po' di chiarezza, riportiamo il lineup storico di questo market:

Admin: Speedstepper
Senior Moderator: OxyMonster
Moderators: Quasimodo, FriedTheChicken
Ticket conductors: Xray, Spanishconnect 

Per oltre un anno, Dream Market è stato affossato per 2 mesi da continui attacchi DDoS (da parte di un utente che voleva 400mila dollari in cambio), ciò ha portato alla formazione di oltre 600 collegamenti mirror.
All'inizio di aprile, Europol ha confermato un'importante operazione multinazionale di droga con 61 arresti sul Deep Web e la confisca di 50 account su TOR utilizzati per attività illegali. Insieme agli agenti del Federal Bureau Of Investigation (FBI), della US Drug Enforcement Agency (DEA) e della polizia canadese, le forze dell'ordine Europol hanno eseguito 65 mandati di perquisizione, sequestrando quasi 300 kg di droghe, 51 armi da fuoco e oltre 6,2 milioni di euro Euro (6,95 milioni di dollari) in criptovaluta, contanti ed oro.
Data l'importanza di Dream Market è ragionevole supporre che la gran parte di questi arresti fossero venditori attivi su Dream. Sebbene non vi fosse alcuna menzione certa di Dream Market nel rapporto Europol, è risaputo che il mercato era sotto investigazione da tempo.
Ricordo inoltre che nel 2017 venne arrestato il mod storico OxyMonster (che ostentava ricchezza su Twitter e soprattutto Instagram. Vennero collegate le sue transazioni da Dream Market al suo account su LocalBitcoins intestato appunto a Vallerius. Curiosamente venne incriminato anche per il suo modo di scrivere simile a quello usato su Dream Market: punteggiatura, punti esclamativi, virgole, uso di quotazioni, la parola "cheers" usata spesso e volentieri e l'intercalare francese delle frasi/parole).


LE COSE STRANE SUCCESSE SU DREAM MARKET
Nel 2018 erano stati effettuati altri arresti sul Deep Web.
Immediatamente dopo l'annuncio di chiusura, sono circolate voci su popolari forum riguardo la chiusura di Dream Market condotta dalle forze dell'ordine o di un'exit scam (cioè l'admin o tutto lo staff che fuggono con i soldi di tutti: venditori e compratori).
Ad aprile, molti utenti ebbero infatti problemi con il prelievo di denaro dai loro wallet.
Alcuni moderatori truffarono i venditori tramite l'escrow, informando il venditore che il prelievo dei propri soldi poteva essere ripristinato solo dopo che lo stesso avesse fornito la password e l'ultimo indirizzo Bitcoin utilizzato.
Sul forum DNM Avengers, l'utente rockemsockem45 sottolineò che il formato della data utilizzato nel messaggio finale era diverso rispetto ai messaggi precedenti lasciati dall'amministratore e dallo staff, aggiungendo ulteriori sospetti che il mercato fosse stato compromesso.
Poco dopo alcuni venditori affermarono che il personale di supporto di Dream Market stava tentando di truffare gli stessi. Secondo l'utente Terrysukstock, la truffa inizia disabilitando la capacità del venditore di prelevare fondi dal proprio account. Il venditore viene avvisato tramite ticket di supporto che il prelievo dei soldi verrà ripristinato dopo che lo stesso avrà verificato la propria identità fornendo la propria password e l'indirizzo Bitcoin su cui riceve i soldi.
Se il venditore forniva la password, il personale di supporto di Dream cambiava immediatamente la password rimuovendo la chiave PGP, rendendo poi inaccessibile l'account dello stesso.
Terrysukstock, un venditore con oltre 34.000 recensioni e una valutazione media di 4.8 / 5, disse di aver perso 5 Bitcoin in questo modo.
Anche GreentreeCA subì la stessa sorte.
Il mod minore Waterchain di un subforum venne bloccato senza apparenti motivi.
Se il market, come pare, fosse compromesso...come mai qualche transazione (nel mentre) è effettivamente avvenuta? Forse forze dell'ordine?


CHI E' SPEEDSTEPPERS?
Sebbene non sia mai stato chiaro se le forze dell'ordine si siano infiltrate effettivamente nei server di Dream Market, qualche mese prima (gennaio 2019) due ricercatori indipendenti sulla sicurezza informatica diffusero analisi dettagliate rivelando alcuni dettagli molto specifici sull'amministratore di Dream Market, SpeedSteppers, identificato come XXX (sino a prova contraria almeno qui sul nostro blog, eviteremo di citare il suo nome, per una questione di privacy).
Il tutto era basato su registrazioni del dominio di diversi siti sul Clerweb, uno tra l'altro condiviso nel 2018 con gli utenti di Dream conteneva un collegamento a un forum chiamato deepwebnetwork.com.
Visto che il tutto avvenne a gennaio e dopo circa 1 mese arrivò la decisione di mettere in stand-by il market non sarebbe sorprendente se le forze dell'ordine in tutti questi mesi fossero state infiltrate su Dream Market lasciandolo aperto e facendolo funzionare come successe su Alphabay e Hansa guidati dalla polizia nazionale olandese nell'estate del 2017.
Ma come si è giunti a queste conclusioni?

L'Hacker e ricercatore Sh1ttykids: "Mentre facevo ricerche l'altro giorno, ho trovato qualcosa di interessante. Qualcuno ha violato il Dream Market e ha pubblicato il suo database su "Pastebin" (un servizio di archiviazione e pubblicazione per dati di testo come il codice sorgente). Conteneva informazioni su 10.000 account di Dream Market"

Si scoprì che il roster di Dream aveva diversi venditori e utenti dell'ex SilkRoad.
Trapelarono anche molti indirizzi IP dai quali fu possibile ricavare informazioni sul database del market. SpeedStepper notò questo, chiuse il sito e provò a correggere i bug (eravamo a settembre 2017).
I dati comunque erano ormai trapelati e di dominio pubblico, un criminale minacciò anche SpeedStepper di rivelare la sua identità.
Sebbene non si sappia chi sia l'hacker e che tipo di transazione sia stata effettuata con SpeedStepper, sembra che nel mentre ci sia stato un passaggio di soldi e che poi il market sia tornato tranquillamente online.
Tuttavia, SpeedStepper potrebbe aver commesso un errore ancora più grave.
Degli Hackers carpirono importanti informazioni dal forum ufficiale di Dream Market.
Il 18 febbraio 2018 venne creato un forum chiamato "DeepWeb Network" sul Clearnet (Internet, a cui è possibile accedere con un normale browser). Non è chiaro perché venne creato un forum di questo tipo sotto gli occhi di tutti e portata delle forze dell'ordine.
Tramite il Whois dall'URL di questo forum, si notò che lo spazio era fornito da GoDaddy.
Successivamente, dando un'occhiata alle informazioni Whois sul sito "Buyoxytocinnow.com" elencato nel profilo di SpeedStepper su DeepWeb Network si notò che il fornitore del dominio era sempre lo stesso GoDaddy.
C'erano 64 domini collegati al presunto SpeedStepper e la maggior parte di questi erano forniti da GoDaddy.
Il principale sospettato aveva sul suo profilo Twitter la frase "Net Freedom" (un pensiero tanto caro a Ross Ulbricht di SilkRoad).
L'unica cosa certa comunque sin qui è che Dream Market e DeepWeb Network erano stati registrati dalla stessa società.
Il forum sul Clear Web (con tanto di profilo Twitter menzionato prima) utilizzava molte icone simili a quelle di Dream Market

L'autore di quest'investigazione pubblicata su pastebin (for Andrew) e poi su un sito di news giapponesi Itmedia JP, spiega: "Ho notato che ogni richiesta fatta a Dream ha un'intestazione di ritorno strana e non comune: X-Forwarded-For = 198.49.70.33. La mia teoria è che il sito onion di Dream esegue il server cache Varnish e lo usano per parlare al server back-end. Occasionalmente, quando Dream è off, è possibile visualizzare errori dal server cache di Varnish, quindi lo stesso potrebbe essere stato configurato in modo errato e impostato per mostrare il suo indirizzo IP.
Tale indirizzo IP, 198.49.70.33, appartiene a una società di hosting in Florida chiamata HostDime. HostDime offre server di fascia alta in un ambiente ad altissima sicurezza ed accettano Bitcoin, quindi il mio interesse è improvvisamente aumentato. Io e un mio amico (BlueBoxFox) abbiamo chiamato ed inviato un'email ad HostDime numerose volte, provando tutto ciò a cui potevamo pensare per ingannarli per avere informazioni sul titolare del conto, ma non abbiamo avuto successo. Sono rimasto deluso ma due pollici in su per loro...prossima volta che avrò bisogno di un posto per ospitare alcuni contenuti loschi, so dà chi andare...
Dopo aver smesso di cercare d'ingannare HostDime per trarre qualsiasi informazione utile, abbiamo deciso di cercare altrove. Abbiamo trovato tutte le pubblicazioni in chiaro di Speedstepper, immaginando che se avesse incasinato la configurazione di Varnish, era probabile che avesse commesso altri gravi errori. Abbiamo trovato quello che cercavamo sul profilo di Speedstepper su deepwebnetwork.com. Nelle informazioni del suo profilo, ha elencato il suo sito Web personale come buyoxytocinnow.com. Mentre inizialmente pensavamo che si trattasse di un'esca, poiché trovare questo dettaglio era troppo semplice, abbiamo studiato ulteriormente e trovato più di quanto ci aspettassimo.
Quel sito web, buyoxytocinnow.com, era un sito Web ospitato tramite HostGator che è stato sospeso dopo un po 'di tempo, presumibilmente perché HostGator non è interessato ad aiutare le persone a vendere prodotti farmaceutici simil-illegali. Le attuali informazioni whois per buyoxytocinnow.com sono private, ma i documenti storici mostrano che era stato precedentemente registrato da XXX di Innerconx, Inc. 
XXX è un uomo di 63 anni proveniente dalla Florida, quindi siamo rimasti un po 'delusi, in quanto così lontano dal profilo standard di un criminale informatico. Tuttavia, XXX possiede un'attività di web design, quindi abbiamo continuato ad osservarlo, pensando che forse ci fosse un collegamento.
La società di Mark, Innerconx, è una piccola società di web hosting e design con sede in Florida. Per quanto ne sappiamo, non ha impiegati. L'indirizzo elencato nei suoi documenti aziendali è 32 Cedar Way, Hollywood, in Florida, che è solo la sua vecchia casa, non un ufficio. Il sito Web di Innerconx, innerconx.net, è un piccolo sito che esegue Wordpress ed elenca alcuni dettagli su ciò che fa Innerconx, ma è molto diverso dal sito Web di un moderno webhost. 
Innerconx non ci è sembrato particolarmente losco. Sembrava solo una piccola società di web design, e forse è quello che era inizialmente, ma questo era solo l'inizio della tana del coniglio.
Innerconx.net ha un numero (954) 547-8976 che si rivelò essere solo il numero di telefono personale di Mark. Quando l'ho chiamato, ho fatto l'errore di chiamare verso le 6 del mio fuso orario, che si è rivelato essere circa mezzanotte per lui. Gli ho fatto un paio di domande sulla sua attività di web design, fingendo di essere un potenziale cliente interessato, ma era estremamente evasivo e mi ha chiesto di "chiamare l'ufficio" ma non mi avrebbe dato il numero di telefono per il suo "ufficio". Ora, in tutta onestà per Mark, l'ho chiamato a mezzanotte, quindi posso capire perché non aveva voglia di rispondere ad una telefonata di lavoro, ma il suo tono mi ha dato la sensazione che ci fosse qualcosa di più che il solo essere arrabbiato per la chiamata tardi.
Ho chiamato più tardi (o meglio, il giorno successivo, nel fuso orario di Mark) e ho provato a fargli di nuovo domande sulla sua attività. Rispose al telefono piuttosto rabbiosamente e chiese di sapere chi fossi e cosa volessi. Non sembrava bere la storia secondo cui ero un cliente interessato, forse perché il prefisso del mio telefono era piuttosto lontano dalla Florida, o forse perché la mia conversazione era poco credibile. Dopo aver realizzato che fingere di essere un cliente non mi stava portando da nessuna parte, ho iniziato a fargli domande più ampie sulla sua attività e sui siti che sapevo che ospitasse. Ha affermato che la sua società di hosting ha ospitato "migliaia di siti Web", il che è palesemente falso. Disse di non sapere se Innerconx era correlato a oxytocincentral.com o buyoxytocinnow.com, e più tardi nella chiamata ha negato esplicitamente di essere collegato a tali siti Web. Ho deciso di spingere oltre e chiedere se sapeva qualcosa su qualcuno chiamato "Speedstepper" e, a questo punto, mi ha bloccato rifiutandosi di darmi un numero di telefono diverso. Mi ha dato l'e-mail admin@innerconx.net, quindi gli ho inviato la seguente e-mail:

'Ciao, mi è stato detto di contattare questo indirizzo e-mail dopo la mia conversazione telefonica con XXX. Presumo che sarà XXX a leggerla, dato il suo ruolo nell'azienda, ma se qualcun altro sta leggendo, per favore porta immediatamente questa e-mail all'attenzione di XXX.
Come ho detto al telefono, ho diverse domande sull'apparente coinvolgimento di XXX con prodotti farmaceutici illeciti e/o contraffatti'

1) Che coinvolgimento hai avuto (XXX / Innerconx) con i siti web OxytocinCentral e BuyOxytocinNow? 
2) Hai detto al telefono che non eri responsabile per l'acquisto dei domini o l'hosting dei contenuti su questi siti Web. Detto questo, come spiega i record whois storici come questo? 
3) Tu o Innerconx avete mai fatto affari con HostDime.com? 
4) Che connessione hai con SpeedStepper e i suoi vari progetti di web design? 
5) Sul profilo di SpeedStepper su DeepWebNetwork, perché BuyOxytocinNow.com è elencato come suo sito Web, quando i dettagli della registrazione mostrano che era tuo? 
6) Sei SpeedStepper? 
7) Sei responsabile dell'hosting 198.49.70.33, tramite Innerconx o un'altra società? 
8) Se tutto ciò non è correlato a te, non vedo l'ora di leggere le tue risposte. 
Ancora una volta, mi scuso per averti chiamato così tardi: non sono attualmente negli Stati Uniti e non mi ero reso conto di che ora fosse nel tuo fuso orario. 
Grazie per il tuo tempo.
Non sorprende che non abbia risposto"

Poi prosegue: "Avevamo ancora i nostri sospetti, ma non avevamo nulla in termini di prove concrete. Abbiamo deciso di esaminare il background di XXX il più possibile per vedere se ci fossero prove non circostanziali che lo collegassero a Dream. La prima cosa che abbiamo fatto è stata esaminare i vari domini diversi che XXX ha registrato, per vedere se avesse inavvertitamente lasciato alcuni indizi in giro per noi. Ce ne sono molti, quindi non li approfondirò tutti. Mi concentrerò solo su ciò che mi sembra rilevante. 
La prima cosa che mi colpisce di questi domini, sia quelli personali di XXX che quelli che ha registrato con Innerconx, è che XXX è un imprenditore seriale. Se guardi le date di registrazione sui domini, sembra che XXX abbia una sua idea per un'azienda: la avvia, capisce che non sta esplodendo immediatamente e non lo sta rendendo ricco, quindi passa alla sua prossima idea. Tuttavia, c'è un curioso cambiamento nel suo modello di registrazioni di domini:

2002 - 1 dominio registrato
2008 - 1 dominio registrato
2010 - 1 dominio registrato
2013 - 12 domini registrati
2014 - 67 domini registrati
2015 - 14 domini registrati
2016 - 3 domini registrati
2017 - 1 dominio registrato
2018 - 0 domini registrati

Mi sembra che XXX abbia raggiunto il picco dell'imprenditorialità nel 2014, mentre Dream era ancora un piccolo mercato in competizione con altri molto più grandi. Man mano che Dream diventava sempre più grande, le sue registrazioni di domini diminuirono poiché non aveva più bisogno di fare soldi attraverso fonti legittime. Nel corso degli ultimi due anni, XXX ha avuto un notevole guadagno finanziario (ne parleremo più avanti) e ne conseguirebbe ragionevolmente che se XXX stesse diventando più ricco, dovremmo essere in grado di vedere XXX registrare più domini man mano che la sua attività di web hosting cresceva. Tuttavia, semplicemente non è così.
Abbiamo fatto qualche ricerca sugli account Facebook di Mark, sua moglie Colleen e la loro figlia, Erica. Abbiamo pensato che se XXX fosse davvero responsabile di Dream, avrebbe avuto un po 'di soldi, e si è scoperto che stava mostrando ricchezze sui social media.
Innanzitutto, ci sono le macchine. Sulla base dei post pubblici su Facebook di Mark, gli piacciono chiaramente le macchine vecchie e veloci. Ora, prima che Dream fosse completamente allestito e che facesse enormi guadagni, XXX aveva ancora interesse per queste auto. Le macchine che aveva erano semplicemente vecchie e molto economiche. Dopo che Dream Market divenne un punto di riferimento, XXX acquistò tre auto nuove di zecca. 
Una Corvette Z06 sovralimentata, che costa 160.000 dollari. XXX l'ha acquistata nuova di zecca dalla concessionaria. Un mese prima, aveva anche acquistato una Cadillac Escalade, che arriva fino a 100.000 dollari, nuova di zecca. Tutti questi dati provengono dalla pagina Facebook di Mark, dove mostra più volte le sue auto. Ha anche fatto riferimento all'acquisto di una nuova auto per sua madre, ma non siamo riusciti a trovare dettagli sulla marca e sul modello di quella macchina.
E ancora più in particolare, c'è la casa di Mark. 
Fino a poco tempo fa, XXX viveva a 32 Cedar Way, Hollywood, in Florida. Le informazioni di Zillow su questa casa affermano che si tratta di una casa di un piano di 1729 piedi quadrati, che vale 379.000 dollari. È una casa carina che si adatta molto alla quantità di denaro che XXX dovrebbe fare con i suoi affari leciti.
BlueBoxFox ha fatto un paio di chiamate a Comcast con le informazioni che avevamo già su XXX ed è stato in grado di scoprire il suo nuovo indirizzo. Dal 25 ottobre 2018, XXX è l'orgoglioso nuovo proprietario della 641 Ranch Road, Weston, in Florida, e wow, che aggiornamento è stato. Le informazioni di Zillow su questa casa affermano che si tratta di un palazzo in stile italiano di 5.099 piedi quadrati con una piscina riscaldata, una vista sul lago, 6 camere da letto e 5 bagni. 
XXX ha pagato 1.075 milioni dollari per tutto questo.
Ci siamo chiesti come XXX stava lavando i suoi soldi e BBF è stato in grado di trovare informazioni su quelle che sembrano essere le società di shell registrate a nome di Mark.
In primo luogo, Trinity Insurance Services. 
Esiste un servizio assicurativo Trinity che opera in Florida (sito Web all'indirizzo trinityins.net) ma non vi è alcuna indicazione sul loro sito Web che abbiano un collegamento con XXX. Sono propenso a credere che abbia riutilizzato il nome di una società legittima per nascondere un po meglio i suoi affari.
MDC Associates Claim Adjusters non ha assolutamente alcuna presenza pubblica. 
Non c'è sito Web, ufficio, numero di telefono, niente.
Vantage Point Claims Management sembra molto losco, ma potrebbe essere una vera compagnia. C'è un sito Web vantagepointclaims.com ma è inattivo. Sembra che ci sia un altro Vantage Point Claims Management a New Orleans, a cui XXX ha presentato una richiesta contro il Freedom Of Information Act alla fine del 2018, e sulla base di tali informazioni penso che XXX abbia preso un altro nome legittimo per nascondere ciò che stava facendo. 
BESTBANG4THEBUCK.COM è anche chiaramente falso. Il sito Web è inattivo (e, per quanto ne so, XXX non è mai stato coinvolto nell'hosting di quel sito Web) e non ci sono informazioni su di esso da nessuna parte, a parte i siti Web che elencano i documenti di archiviazione delle attività commerciali.
Silky Hosting Solutions è sicuramente associata a Mark, ma se vai in uno dei domini relativi a Silky VPN o altri prodotti "Silky" realizzati da Mark, è evidente che nessuno li utilizza. Non ci sono testimonianze dei clienti, nient'altro che documenti di archiviazione aziendale e alcuni siti Web apparentemente abbandonati. 
"Rinnovo Holdings" sembra essere un altro nome intenzionalmente confuso per una società di shell. Non c'è nient'altro che documenti di archiviazione disponibili online per Renewal Holdings, ma sembra che questa società potrebbe essere stata nominata per depistare chi investiga, in quanto esiste un legittimo "Lucayan Renewal Holdings" anche in Florida.
Nonostante quanto incredibilmente losco sia tutto ciò, nulla di questo è una prova al 100%. 
Abbiamo quindi deciso di creare una trappola matematica meravigliosamente semplice per Mark. Abbiamo crittografato un messaggio con l'attuale chiave PGP di Dream che conteneva un collegamento a un URL. L'URL era abbastanza specifico da non consentire a nessuno di accedervi per caso e XXX era l'unico a cui lo abbiamo inviato. Se ottenessimo un hit su quell'URL, sapremmo per certo che XXX aveva la chiave privata PGP corrispondente alla chiave pubblica di Dream.

Riga dell'oggetto: Sappiamo chi sei
Corpo del testo pre-crittografia: sappiamo chi sei e ora abbiamo prove innegabili. Non vogliamo rovinarti, vogliamo solo parlare di affari con te. Se non credi che abbiamo la prova che diciamo di avere, dai un'occhiata a: https: // [redacted] /DeCarlo/proof.txt

Solo poche ore dopo, lo trovo nei miei file di registro:
"GET /DeCarlo/proof.txt HTTP / 1.1" 404 142 "-" "Mozilla / 5.0 (Windows NT 6.1; rv: 45.0) Gecko / 20100101 Firefox / 45.0"

Se non sei ancora convinto di quello che stai leggendo, non so cosa ti convincerebbe. XXX è l'unica persona che aveva questo URL e l'unica persona che avrebbe potuto decifrare il messaggio che abbiamo inviato per trovare quell'URL"

Ovviamente tutto ciò non sono prove certe di colpevolezza, rimane il fatto che gli indizi sono davvero tanti.

Poi prosegue "Dream Market negli anni ha avuto molti arresti, come qualsiasi altro grande mercato Darknet. Uno dei più grandi fu il già citato "Oxymonster", un venditore e moderatore. 
Oxymonster è stato catturato ad Atlanta in Georgia dopo essere uscito da un aereo. 
La sua ragione per andare negli Stati Uniti (lui è francese) era per una "competizione di barbe" a Miami. Sembra molto probabile che XXX avrebbe voluto organizzare un incontro con lui, come esca per l'FBI? I sospetti sorgono perché la rotta diretta per Miami (in Florida) da Atlanta (in Georgia) è sulla I-75, che passa direttamente attraverso Hollywood in Florida, per coincidenza dove abita Mark.
Questo non dimostra nulla di per sé, ma dimostra quanto strano sia stato il percorso che OxyMonster aveva pianificato di percorrere. La competizione per la barba era a Miami. C'è un aeroporto a Miami. Se andavi a Miami per un concorso, perché non volare direttamente lì? Perché volare ad Atlanta e viaggiare verso sud? 
Tieni presente che questa potrebbe essere solo una coincidenza, ma Oxymonster viveva in Francia, ed è molto strano che farebbe un viaggio così lungo negli Stati Uniti solo per una piccola competizione di barbe.
Dopo aver chiamato Mark, la sua famiglia, i suoi amici e i suoi vicini, molte, molte volte, sembra che lo abbiamo spaventato. Per più di una settimana prima della pubblicazione di questo articolo, DeepWebNetwork.com è andato off per "manutenzione del sito". Al momento della stesura di questo articolo, mentre BBF e io stiamo finendo gli ultimi ritocchi, Dream è inattivo da più di 18 ore, con nessuno in grado di accedere per prelevare fondi.
Vale anche la pena notare il fatto che, poco dopo aver inviato l'e-mail con la trappola, la linea telefonica di XXX e le linee telefoniche dei suoi parenti stretti sono state cancellate. La chiamata da nuovi numeri è andata direttamente alla segreteria telefonica.
Inoltre, abbiamo scoperto (quasi per caso) che gli account di XXX Comcast, sia per la sua vecchia casa che per la sua nuova casa, sono stati cancellati poco dopo aver inviato l'e-mail di trappola a Mark.
Questa è una lista, in nessun ordine particolare, di varie altre cose che abbiamo ritenuto sospette ma che non siamo riusciti a collegare direttamente ad altre parti della narrazione.

-La vicinanza della casa di XXX al quartier generale di HostDime.

-I pulsanti su uno dei vecchi siti Web di XXX (e ora defunti), oxytocinfactor.co, sembrano stranamente simili ai pulsanti utilizzati su Dream. 

-È molto probabile che Speedstepper non sia solo Mark, ma sia un piccolo team di persone. L'ortografia del nome si alterna e in un paio di pubblicazioni di Speedstepper, l'inglese usato è molto scarso. Tuttavia, non siamo stati in grado di scoprire nulla su chi potrebbero essere gli altri SpeedStepper nel team o su quanta gente ci sia dietro.

-Darknetmarkets.org, uno dei migliori risultati di ricerca per "mercati Darknet", è un sito che invia link di phishing a utenti ignari. Nell'articolo di itmedia.co.jp su Mark, c'è un po 'di come XXX sia presumibilmente in combutta con le persone che phishing Dream. Lo stesso giorno in cui DeepWebNetwork è andato don, così ha fatto Darknetmarkets.org. 
Darknetmarkets.org è tornato ora, mentre DeepWebNetwork è ancora inattivo, quindi forse questa è solo una strana coincidenza, ma penso che valga la pena di notarla".


ERRORI COMMESSI
Se tutto ciò fosse vero (e così sembrerebbe) è evidente come uno dei principali errori di XXX sia stato il rallentare la sua attività normale nel tempo (registrazione di domini) malgrado il tenore di vita (stranamente) aumentasse sempre di più.
Inoltre ostentare ricchezza sui social media (se si svolge, teoricamente, un piccolo lavoro) non è mai una bella idea.

Nessun commento:

Posta un commento