Пустили по этапу

Как наркобароны из даркнета сдали обокравшего их хакера ФБР

Кадр из фильма «Большой куш»

В начале октября ФБР арестовало американского хакера за кражу биткоинов. Позже выяснилась любопытная деталь — похищенные средства принадлежали администраторам и пользователям нелегальных площадок в даркнете, и с их помощью они проводили сделки с оружием и наркотиками. «Лента.ру» выяснила, кто навел ФБР на хакера и почему под следствие не попали сами наркоторговцы.

Анонимный донос

В 2013 году на электронную почту отделения ФБР в штате Коннектикут пришло анонимное письмо. В нем сообщалось, что 34-летний житель городка Уоллингфорд на протяжении нескольких лет занимается воровством биткоинов с аккаунтов сотен интернет-пользователей. Агенты бюро изучили данные, провели расследование и в начале октября 2016 года арестовали 34-летнего Майкла Ричо. В процессе обыска у него изъяли несколько компьютеров и жестких дисков, а обнаруженные на них данные стали одним из главных доказательств по делу.

Через неделю Ричо вышел под залог в 100 тысяч долларов, но в ближайшее время предстанет перед судом сразу по трем статьям: отмывание денег, несанкционированный взлом и доступ к чужим аккаунтам. С учетом имеющихся в распоряжении ФБР доказательств у хакера практически нет шансов на оправдательный приговор.

Правда, прокурор поспешил отметить: хотя данные с компьютеров Ричо доказывают его вину, описанные в письме факты все еще нуждаются в тщательной проверке. Дело в том, что, скорее всего, донос написали пострадавшие от хакера покупатели и продавцы наркотиков на анонимных торговых площадках в сети Tor.

Все гениальное просто

В родном Уоллингфорде Майкл Ричо был весьма уважаемым человеком. Судя по профилю в LinkedIn, в свои 34 года он успел получить степень по IT-предпринимательству и поработать на престижных должностях в нескольких крупных компаниях, включая разработчика софта Redhook E-Tech. За 16 лет он накопил немалый опыт в веб-дизайне и разработке пользовательских интерфейсов, что позволило ему основать небольшую онлайн-студию MediaPen.

Вряд ли кто-то из друзей и знакомых Ричо подозревал, что в свободное время респектабельный бизнесмен был завсегдатаем разных сайтов в «теневом» интернете. В 2013 году у него в голове родилась хитрая мошенническая схема. Наблюдая за перепиской на форумах, Ричо заметил, что пережившие разгром крупнейшей торговой площадки даркнета Silk Road наркоторговцы активно ищут новые рынки сбыта, а простые пользователи Tor — возможность купить наркотики.

Идея Ричо была проста. Сперва он создавал страницу, на которой располагалась точная копия обсуждаемого юзерами сайта, а затем начинал спамить ссылками на нее на крупных Tor-форумах, сопровождая свои посты красочным описанием.

Наркоторговцы и покупатели предсказуемо клевали на удочку и регистрировались на поддельных ресурсах, а Ричо с помощью специально написанного скрипта тут же узнавал их логины и пароли, а также информацию о привязанных к аккаунтам биткоин-кошелькам. После этого жертвы перенаправлялись на оригинальный ресурс, и злоумышленнику оставалось лишь внести их данные в программу по отслеживанию транзакций Bitcoin Monitor и ждать, пока они переведут себе деньги для покупки очередной дозы или оптовой партии наркотиков. В нужный момент он перехватывал перевод в биткоинах, после чего маскировал следы с помощью программы Bitcoin Fog.

Часть украденных денег мошенник обменивал на доллары и клал на счет в местном отделении Bank of America, но во избежание подозрений особо крупные суммы приходилось выводить через поддельные кредитки и аккаунты в Western Union. Позже Ричо написал более сложную версию скрипта, которая позволяла автоматически снимать деньги с биткоин-кошельков жертв.

Вор должен сидеть в тюрьме

Ричо был уверен, что его никогда не поймают: ведь действовал он через Tor, воровал криптовалюту, причем у наркоманов. Более того, на хакерских форумах он хвастался своими проделками и помогал всем желающим написать похожие скрипты.

Но он недооценил гнева лишившихся денег наркоторговцев, после долгих поисков обнаруживших переписку Ричо с начинающими хакерами. Драгдиллеры взломали его профиль и выяснили, что тот указал при регистрации почту mediapenllc@gmail.com. Запрос в Google вывел их на дизайн-студию MediaPen, а затем и на самого Майкла Ричо.

Вопреки традициям наркомафии, преступники решили не убивать обокравшего их хакера, а сдать ФБР. Похоже, следствию помог в попытках скостить себе срок и один из ранее задержанных наркоторговцев. На это указывает обвинительное заключение выложенное в сеть известным блогером-криминалистом Джозефом Коксом.

В документе специальный агент Майкл Моррисон демонстрирует прекрасную осведомленность о транзакциях хакера и его переписке на форумах. «У меня куча фишинговых сайтов, которые выглядят как площадки в Tor. А еще я работаю над одной новой штуковиной — программой для перехвата логинов и паролей», — цитирует он Ричо.

Моррисон отмечает, что несколько лет наблюдал за подозреваемым и копил доказательства. В частности, он отслеживал операции по его банковскому счету и установил все принадлежащие Ричо биткоин-кошельки. В ответ на официальный запрос, представители биржи LocalBitcoins подтвердили, что все они были зарегистрированы на почтовый адрес mediapenllc@gmail.com.

К середине 2014 года хакер скопил в банке более 100 тысяч долларов, а в начале 2016-го купил себе дом в элитном районе и люксовый Merсedes. К тому времени он уже полтора года находился под круглосуточным наблюдением бюро, но не подозревал об этом. «На основании вышеизложенных данных, я считаю арест Майкла Ричо обоснованным», — сообщил Моррисон 26 сентября 2016 года.

Нежданный визит ФБР стал для Ричо настоящим ударом. Он сразу сознался в создании поддельных сайтов и воровстве биткоинов, а также добровольно сдал агентам резервные копии жестких дисков, которые хранил в специально арендованной банковской ячейке. На его компьютерах нашли логины и пароли 10 тысяч посетителей нелегальных площадок в Tor, многие из которых были весьма крупными продавцами наркотиков и оружия.

Но это не послужило для него смягчающим обстоятельством. Ричо рискует провести в тюрьме следующие 55 лет, и у защиты практически нет шансов скостить ему срок. Обвинителям абсолютно все равно, кого он взломал и откуда украл деньги. Для них главное — состав преступления. Ведь по признаниям самого хакера, он «даже не помнит, сколько украл». Но там явно была сумма с шестью нулями.

Обсудить
Ни поплавать, ни поездить
Самые странные санкции и неожиданные проблемы из-за них
Богемская рапсодия
Жертвоприношения, ритуалы и пьянство в самом закрытом мужском клубе США
Останки Карлоса КастаньоРоман с кокаином
В Колумбии ультраправые наркокартели невероятно жестоко расправляются с леваками
Закон, удобный во всех отношениях
Новый пакет санкций нужен США для давления не только на Россию, но и на Европу
Цена ошибки
Неправильно понятая депеша стала причиной начала Корейской войны
Тест: угадай звезду по машине
Чей этот розовый «Бентли»? А шестиколесный «Гелик»?
Львиная доля
Лучшая автомобильная реклама «Каннских львов»
История полицейских авто Америки
Каким был и каким стал автопарк полиции США
Кто сделал первый кроссовер в мире
Вопрос – один, ответов – минимум семь. Кто же был первым?
Вите надо выйти
Соседи несколько лет травят москвича, который отказывается переселяться
Без свидетелей
Дома для тех, кто ненавидит соседей
Москва за нами
Какие квартиры можно купить в пределах МКАД по цене до трех миллионов рублей
Классовая борьба
На смену дешевым квартирам в Москве пришел новый вид жилья
Да катитесь вы
Семейная пара отказалась от квартиры и поселилась в автобусе