Takzvaný info-stealing malware, který má za cíl ukrást informace od napadené oběti, je problém. Tentokrát však americké policii pomohl odhalit tisíce pedofilů. Tématu se věnuje Bleeping Computer.
S inovativním přístupem k uniklým datům přišla výzkumná divize Insikt Group americké společnosti Recorded Future. Ve zprávě popisuje, jak odhalila 3 324 účtů, které navštěvovaly nelegální portály s dětskou pornografií.
Využitím různých ukradených údajů od stejného cíle mohli analytici k těmto účtům přiřadit uživatelská jména na různých platformách, odvodit jejich IP adresy a nakonec jejich skutečnou identitu. Insikt Group pak informace předala policii.
Po přepočtu konzumentů dětského porna na počet obyvatel se v žebříčcích dostalo i na Českou republiku.
Identifikování konkrétních osob z uniklé databáze bylo možné díky takzvaným stealer logům. To jsou sbírky technických údajů ze systému oběti: přihlašovací údaje, historie prohlížčů, soubory cookie, automaticky doplňované údaje, systémové informace, údaje o kryptopeněžence a další. Sesbíraná data malware pošle hackerovi, který je prodá, nebo sám použije ke kybernetickým útokům či prolomení dalších služeb.
Malware v počítači oběti často nepozorovaně funguje týdny a měsíce. Právě to pomohlo analytikům při odhalování pedofilů. Ti se pro přístup na 20 nejznámějších webů s dětskou pornografií musí nejprve registrovat a později přihlašovat. Mezi únorem 2021 a únorem 2024 to byly tisíce pozitivních nálezů, po odstranění duplikátů zbylo 3324 záznamů.
V tomto momentě analytici znali jen přihlašovací jméno a heslo k webu s dětskou pornografií. Steal logy však obsahovaly mnohem více údajů, díky čemuž se daly již identifikované účty spojit s dalšími platformami, sociálními sítěmi či bankovními údaji.
Analytici pak museli sbírat informace dostupné z otevřených zdrojů (takzvaná OSINT analýza). Prohledávali například adresy kryptopeněženek a jejich transakční historii, fyzické adresy, jména a telefonní čísla uložená v prohlížeči, historii vyhledávání, sociální sítě, portály pro hledání práce a jiné weby, které mohly pomoci s identifikací jednotlivce.
Ve své zprávě Insikt Group uvádí případ tří odhalených jednotlivců a způsob párování jejich identifikátorů.
Americký uživatel „dar****“, který byl již v minulosti odsouzen za zneužívání dětí a je registrován jako sexuální delikvent, využíval nejméně čtyři pornografické weby.
Venezuelan „Bertty“, který má aktivní účty na nejméně pěti stránkách zobrazujících sexuální zneužívání dětí. Po prověření historie transakcí jeho krypto adresy analytici zjistili, že pravděpodobně nakupoval a distribuoval dětskou pornografii.
Američan „docto“, který pracuje jako dobrovolník v dětských nemocnicích, má účty na devíti stránkách s dětskou pornografií.