Материал подготовлен на основе отчёта Chainalysis, перевод выполнила Кристина для Odaily Planet Daily.
Согласно опросам, в 2019 году криптовалюты использовали 18% американцев и 35% представителей поколения миллениалов в США, что говорит о растущей популярности цифровых активов.
В эту сферу активно включаются и традиционные финансовые институты, такие как JPMorgan Chase. Крупные ритейлеры вроде Amazon и Starbucks уже позволяют клиентам оплачивать покупки биткоинами (BTC). В то же время децентрализованная и частично анонимная природа криптовалют делает их привлекательным инструментом для преступников. В последние годы на теневом интернете (dark web) BTC и другие криптовалюты всё чаще используются для оплаты различных товаров и услуг, включая оружие, боеприпасы, наркотики и персональные данные, превращая его в своеобразную «зону без закона» и «убежище от правосудия».
Данные показывают, что после небольшого спада в 2018 году общий объём продаж на теневых рынках в 2019 году вырос на 70%, впервые превысив отметку в 600 миллионов долларов США. Более того, доля транзакций с этих рынков во всех криптовалютных операциях с 2015 года удвоилась — с 0,04% до 0,08% в 2019 году.
Как и прежде, подавляющее большинство транзакций в теневом интернете проходит через криптобиржи. На сегодняшний день они остаются самым распространённым сервисом, который клиенты используют для перевода средств поставщикам.
Несмотря на то что доля теневых транзакций в общем объёме криптоопераций остаётся незначительной (всего 0,08%), их абсолютные объёмы выросли, восстановившись после ужесточения надзора со стороны правоохранительных органов.
Хотя из 49 активных теневых рынков, работавших в 2018 году, 8 были закрыты в 2019-м, за тот же период появилось 8 новых. В целом, если не считать пика популярности Silk Road в 2012–2013 годах, доход каждого активного рынка в 2019 году оказался выше, чем в предыдущие годы. Это объясняется тем, что закрытие одних площадок компенсировалось ростом других, которые удовлетворяли спрос клиентов.
Приведённые данные также подтверждают, что рост доходов связан с увеличением количества покупок, а не с ростом среднего чека. В долларовом выражении медианная стоимость покупок осталас�� относительно стабильной, однако число транзакций (между различными чёрными рынками) снова значительно выросло — с 9 до 12 миллионов. Это говорит либо о том, что в 2019 году на теневых рынках появилось больше покупателей, либо о том, что существующие клиенты стали совершать больше покупок.
Интересно, что в отличие от других сервисов, активность на теневых рынках, судя по всему, меньше зависит от колебаний цен на криптовалюты или других сезонных факторов. На графике выше сравнивается общий объём биткоин-транзакций на теневых рынках и трёх других сервисах в течение 2019 года: рост объёмов на теневых рынках оказался значительно более плавным. На протяжении всего года транзакции на этих площадках оставались в гораздо более узком диапазоне, что указывает на меньшую зависимость поведения клиентов от изменения цены BTC.
Наркотики по-прежнему доминируют в теневом интернете
Как видно из графика выше, со временем теневые рынки эволюционировали. При этом наибольшую долю по-прежнему составляют покупатели наркотиков. Стоит отметить, что некоторые из представленных здесь крупных рынков обслуживают только определённые страны или регионы. Например, Hydra Marketplace — самый популярный рынок на данном графике — ориентирован исключительно на российских клиентов. Ниже представлен другой вариант этого графика, который отражает только те рынки, что имеют глобальную клиентскую базу. Некоторые из них популярнее в одних странах, чем в других, однако в целом приведённые ниже данные будут более релевантны для следователей из США и Западной Европы.
На этом графике наркотики также занимают доминирующее положение. Однако рынки, специализирующиеся на других незаконных товарах, также генерируют значительный оборот. Joker's Stash Market и UNICC — два наиболее показательных примера площадок, сохранявших стабильную популярность на протяжении всего анализируемого периода.
Борьба с киберпреступностью: преследовать продавцов или закрывать рынки?
Долгое время стратегия правоохранительных органов сводилась к борьбе с самими теневыми рынками. На первый взгляд это кажется наиболее логичным подходом: если можно устранить всех поставщиков разом, зачем искать отдельных продавцов? Следуя этой логике, правоохранители добились значительных успехов, закрыв такие когда-то влиятельные площадки, как AlphaBay и Hansa. Однако проблема в том, что на место закрытых рынков быстро приходят другие. По состоянию на конец 2019 года как минимум 49 теневых рынков оставались активными, предоставляя пользователям и поставщикам широкий выбор альтернатив. Более того, они могут легко находить новые площадки на специализированных форумах, таких как «Dread».
Nightmare — недолго просуществовавший и умеренно популярный рынок, который прекратил работу 23 июля 2019 года. В отличие от предыдущих примеров, его закрыли не правоохранительные органы. Точная причина остаётся неясной, од��ако после 23 июля пользователи массово покинули платформу. К концу июля транзакции на Nightmare практически полностью прекратились. Как показывают данные ниже, Empire взял на себя большую часть бизнеса Nightmare, поскольку его объёмы продаж резко выросли как раз в момент падения конкурента.
Закрытие Nightmare — наглядный пример проблемы теневых рынков. Альтернатив на рынке много, и поставщики могут легко сообщить своим постоянным клиентам, на какую новую площадку они переходят. Именно поэтому многие правоохранительные органы сместили фокус на задержание отдельных торговцев.
Ниже приведено соответствующее кейс-исследование. Мы взяли интервью у Стефана Калмана (Stefan Kalman), аналитика пользовательских данных и сотрудника шведской полиции, который специализируется на борьбе с наркоторговлей на теневых рынках.
В 2014 году шведский полицейский Штефан Кальман и его команда вышли на след торговца с даркнета по кличке Malvax, который активно действовал на площадках Silk Road 2.0 и Evolution. Наблюдая за его активностью на форумах Silk Road, они обнаружили, что он также продает товары на двух других теневых рынках — Evolution и Flugsvamp, последний из которых работал исключительно в Швеции. В ассортименте Malvax было более 280 позиций, включая опасный синтетический опиоид фентанил. Хотя полиции удалось перехватить несколько его посылок, отправленных через датскую частную почтовую компанию PostNord, настоящая личность преступника оставалась загадкой.
Malvax мастерски скрывался, используя различные методы маскировки и сложные операционные схемы. Однако в 2015 году у правоохранителей появился уникальный шанс. После того как ФБР в ноябре предыдущего года закрыло серверы Silk Road 2.0, эти серверы были изъяты. Изучив их логи, следователи смогли получить биткоин-адреса, которые использовал торговец под псевдонимом Malvax, и проследили некоторые из этих адресов до регулируемой британской криптобиржи.
Штефан и его команда направили на биржу судебный запрос, что позволило им собрать достаточно информации для установления личности Malvax. Им оказался Фредрик Робертссон.
Чтобы подтвердить, что Робертссон продолжает незаконную торговлю, полиция тайно совершила у него покупку на площадке Flugsvamp. После этого они получили разрешение на прослушку его мобильного телефона, установку GPS-трекера в автомобиле и видеонаблюдение за домом. Дополнительные контрольные заказы и наблюдение за его поведением как в сети, так и в реальной жизни позволили собрать неопровержимые доказательства.
На основании собранных Штефаном и его командой доказательств против братьев Робертссонов шведский суд признал их виновными в торговле наркотиками в даркнете и вынес приговор.
Карточные магазины: как это работает
Как уже упоминалось, хотя наркорынки — самый популярный тип площадок в даркнете, они далеко не единственные, где кипит торговля. Давайте рассмотрим еще один распространенный тип — кардшопы (карточные магазины).
Вы наверняка слышали о крупных утечках данных в таких компаниях, как Capital One и Home Depot, когда были скомпрометированы данные кредитных карт десятков миллионов клиентов. Задумывались ли вы, куда в итоге попадают эти украденные данные? С большой вероятностью — именно в кардшопы. Это специализированные рынки в даркнете, где можно купить похищенные данные банковских карт.
В качестве наглядного примера рассмотрим площадку UNICC.
На изображении выше — примеры списков карт с UNICC. Цены варьируются от 2 до 15 долларов, в среднем составляя около 10 долларов. Стоимость зависит от нескольких факторов. Первый — страна происхождения карты. Данные карт из США и Западной Европы обычно дороже. Второй фактор — наличие персональной информации владельца (PII), такой как почтовый адрес и номер телефона. Большинство интернет-магазинов требуют эти данные при оформлении заказа, поэтому карты с PII ценятся выше.
В 2019 году через UNICC прошло криптовалюты как минимум на 22,7 миллиона долларов, что сделало его четвертым по объему рынком в прошлом году. Активность оставалась относительно стабильной в течение года, достигнув пика в апреле. Исходя из общего объема продаж и средней стоимости карты (около 10 долларов), можно оценить, что UNICC продал данные почти 3 миллионов кредитных карт.
Региональная статистика показывает, что большинство покупателей украденных данных карт на UNICC — из Северной Америки (это второй по величине регион после глобального уровня), в то время как большинство продавцов таких данных — из Китая.
Что ждет даркнет-рынки в будущем?
Некоторые даркнет-площадки уже внедряют функции для повышения безопасности пользователей. Например, многие используют технологию мультиподписи (multi-signature), когда средства переводятся только после подтверждения заказа и покупателем, и продавцом. Другой подход — модель прямого депозита («direct deposit»). Для каждого нового заказа создается одноразовый кошелек, и криптовалюта от покупателя поступает напрямую продавцу, минуя эскроу.
Некоторые рынки также переходят на новые инфраструктурные решения, чтобы избежать закрытия со сторон�� правоохранителей. Например, OpenBazaar имеет полностью децентрализованную архитектуру, аналогичную блокчейн-сети или браузеру Tor. Пользователям достаточно просто скачать и запустить программу, чтобы подключиться к сети напрямую, без необходимости заходить на какой-либо централизованный сайт.
Все больше площадок в даркнете начинают принимать или даже требовать использования приватных монет, таких как Monero. Monero использует скрытый публичный реестр, что делает крайне сложным определение отправителя, получателя и суммы в каждой транзакции.