Dansk-amerikansk algoritme spotter mistænkelige Bitcoin-transaktioner

Banker, BitCoin-børser og efterretningstjenester er på kundelisten for dansk-amerikansk startup, der har udviklet software til at identificere lyssky BitCoin-aktiviteter i cyberspace.

113.000 kroner fik ukendte gerningsmænd i denne uge pumpet ud af et amerikansk hospital bragt i knæ af ransomware. Løsesummen blev krævet og udbetalt i kryptovalutaen BitCoin, der efterhånden er blevet en fast bestanddel af modus operandi for cyberkriminelle.

Administrerende direktør Michael Gronager har sammen med resten af Chainalysis indsamlet 1,6 millioner dollars - eller omkring 10 milloner kroner - fra investorer. Illustration: Chainalysis

Men BitCoin-transaktioner efterlader på nogle måder et spor, der er tydeligere end traditionelle forbryder-metoder som skuffeselskaber og kompromitterede bankkonti.

Med nye softwareværktøjer har det dansk-amerikanske startup Chainanlysis sat sig for at gøre det nemmere for virksomheder, banker og myndigheder at vurdere, om en BitCoin-bruger er en sikker forretningspartner, samt at følge BitCoin-sporet hele vejen til den kriminelles digitale pung.

»Vi har lavet en fuldautomatisk API, der vurderer risikoen ved enhver transaktion,« indleder Michael Gronager, der er CEO og medstifter af Chainalysis

I to år drev Michael Gronager selv en BitCoin-exchange og oplevede gang på gang problemer for BitCoin-virksomheder med at få en bankkonto.

»Ikke fordi bankerne frygter konkurrencen fra BitCoins, men fordi man på det tidspunkt havde meget svært ved at vurdere, om man var i gang med at hvidvaske penge. Det gav os ideen til et system, der skulle risikovurdere BitCoin-transaktioner,« fortæller han til Version2.

Identificerer kunder med dårlige forbindelser

For banker og børser er det afgørende at vide, om en given transaktion risikerer at komme fra spillere på den forkerte side af loven. Chainalysis vurderer ved enhver transaktion, om pengene kommer fra en kunde, man har tillid til, eller for eksempel fra et såkaldt darkmarket, der kan sælge alt fra børneporno til stoffer.

»Det er op til kunden at vurdere, hvilke spillere der skal være blacklisted. I visse dele af verden vil man for eksempel ikke samarbejde med gambling-tjenester. Men det er altså ikke de enkelte BitCoins, der er ‘beskidte’ - det er en konkret vurdering af, hvem man som virksomhed vil drive forretning med,« forklarer Michael Gronager.

Foruden risikoen ved den enkelte transaktion kan API’en vurdere en kunde eller markedsspiller for at se, hvor de får deres BitCoins fra. Blockchain-teknologien, som BitCoin er baseret på, rummer et offentligt register over samtlige bekræftede BitCoin-transaktioner.

Enhver udveksling af kryptovalutaen er som sådan også offentlig, selvom modtager og afsender kan være gemt bag pseudonymer.

»Her kan vi f.eks. se, om kunden har transaktioner med darkmarkets, og bruge den viden til at risikovurdere dem,« siger Michael Gronager.

Teknikken kan besværliggøres af såkaldte tumbler-tjenester, der skal gøre det sværere at følge den enkelte BitCoin. Sider som CoinMixer.se modtager dine ‘beskidte’ BitCoins, distribuerer dem over en række andre brugere og giver dig et miks af andre brugeres BitCoins.

Sådan forklarer CoinMixer selv, hvordan tumbler-tjenesten fungerer. Illustration: CoinMixer.se

Obfuskering af BitCoin-spor gør dig mistænkelig

Men selvom sporet skulle være tilstrækkeligt sløret, kan informationen stadig bruges af Chainalyses’ software.

»Hvis personen har hyppige transaktioner med tjenester, der har til formål at obfuskere dit BitCoin-spor, kan vi tage det med i vurderingen. Det betyder ikke nødvendigvis, at man ikke vil samarbejde med kunden, men måske vil man stille et ekstra spørgsmål eller kræve mere ID,« siger direktøren.

På den måde kan børser og banker undgå at blive ufrivillig medskyldig i hvidvaskning af afpresningspenge. Og sandsynligheden for, at vurderingen rammer privacy-bevidste - men lovlydige - BitCoin-brugere, der brugere tumbler-tjenester, er ifølge Michael Gronager til at overse.

»Det er mest af alt en hypotetisk problemstilling. Vi ved, at omkring 75 procent af trafikken fra tumblers kommer fra darkmarkets,« understreger han.

Hvis en virksomhed eller bank har brug for at gå i detaljer med en kunde, der ser mistænkelig ud, kan det ske med Chainalysis-værktøjet Reactor.

»Værktøjet bruges af politi og efterretningstjenester til at følge pengesporet og se, hvor en enkelt BitCoin bevæger sig hen. Vi har kontrakter med mange Europæiske landes politi-enheder og flere myndigheder i USA og Asien,« siger Michael Gronager, der ikke vil oplyse, om Danmarks politi er på kundelisten.

Håndslag med Europol

Fredag har den ti mand høje virksomhed, der har eksisteret i et år, underskrevet en såkaldt Memorandum of Understanding med Europol, der ønsker at bruge softwaren i opklaringsarbejdet.

»Vi har samarbejdet med dem i længere tid allerede. Og de mener, de har brug for værktøjet. Ikke mindst, fordi cyberkriminalitet i stigende grad hænger sammen med darkmarkets, hvor man for eksempel kan købe hackerværktøjer,« lyder det fra direktøren.

De mange muligheder for at skjule sit BitCoin-spor gør det sværere at løse forbrydelser som ransomware-angrebet mod hospitalet i USA. Ligesom alt andet efterforskningsarbejde er man delvist afhængig af, at gerningsmænd begår fejl, mener Michael Gronager.

Læs også: Amerikansk politi lukker Bitcoin hvidvaskningscenter

»Men alle dine transaktioner efterlader et netværk af spor. Jo længere tid det foregår, jo større mulighed er der for, at der kommer huller i netværket. Hvis en person for eksempelvis bruger en BitCoin, som han har ejet fra før, han begyndte af obfuskere sit spor, vil politiet med vores værktøj kunne finde ud af det.«

I januar lykkedes det Europol at arrestere nøglepersoner i hackergruppen DD4BC, der - som navnet antyder - har afpresset virksomheder til at udbetale BitCoins med DDoS-angreb. Michael Gronager forventer, at flere BitCoin-krævende kriminelle vil blive identificeret og fanget i takt med, at ordensmagtens redskaber bliver mere sofistikerede.