Measuring onion website discovery and Tor users' interests with honeypots

Deze studie toont aan dat menselijke gebruikers van Tor-honeypots vrijwel uitsluitend via de Ahmia-zoekmachine worden aangetrokken, waarbij de CSAM-gerelateerde site de hoogste interactie genereerde en Engelse versies vaker werden bezocht dan die in andere talen.

De kern

Hier is een uitleg van het onderzoek, vertaald naar gewoon Nederlands met een paar verhelderende vergelijkingen.

Het Grote Experiment: De "Valse" Dark Web-forums

Stel je voor dat je een groot, donker bos (het Tor-netwerk of de "Dark Web") hebt. In dit bos zijn duizenden paden en hutten, maar niemand weet precies wie er waarheen gaat of wat ze daar doen. Meestal kijken onderzoekers alleen naar de hutten zelf (wat er op de websites staat). Maar dit onderzoek vroeg zich af: Wat proberen de mensen eigenlijk te vinden?

Om dit te ontdekken, hebben de onderzoekers van de Universiteit van Tampere (Finland) een slimme truc bedacht. Ze bouwden 8 valse hutten (zogenaamde "honeypots" of honingpoten) in het bos.

De Valse Hutten (De Honeypots)

Deze hutten zagen eruit als echte, illegale marktplaatsen, maar waren in feite valstrikken. Ze hadden een neutrale ingang, maar zodra je binnenkwam, zag je een lijst met verschillende "verboden" onderwerpen:

1. Kindermisbruik (CSAM)
2. Geweld
3. Virussen/Malware
4. Gestolen spullen
5. Illegale wapens
6. Drugs
7. Vervalsingen
8. Een onduidelijk forum (als controlegroep)

De Belangrijke Regel: Er zat geen echt illegaal materiaal in. Het waren allemaal lege schelpen met tekst. Om binnen te komen, moest je eerst een rebus oplossen (een CAPTCHA). Dit was de "poortwachter" om te zien of je een mens was of een robot. Als je de poort had opgelost, kon je proberen om je in te schrijven of in te loggen. Dit laatste was de echte test: als je probeert in te loggen, wil je echt iets zien.

Waar vonden de mensen deze hutten?

De onderzoekers verspreidden de links naar deze valse hutten op drie manieren:

1. Ahmia: Een zoekmachine voor de Dark Web (zoals Google, maar dan voor Tor).
2. Pastebin & Stronghold: Websites waar mensen korte teksten of links kunnen plakken.

Het Resultaat:
Het bleek dat bijna iedereen (94%) de hutten vond via de zoekmachine Ahmia. De mensen die de links op de "plak-website" zagen, bleken bijna allemaal robots te zijn die de links automatisch openden, maar nooit echt binnenkwamen.

• Vergelijking: Het is alsof je flyers deelt in een drukke supermarkt (Ahmia) en ook een paar flyers op een afgelegen hoekje van een kerkhof (Pastebin) plakt. De mensen in de supermarkt komen echt binnen; de mensen op het kerkhof zijn misschien wel robots die de flyer oppakken, maar niet echt geïnteresseerd zijn.

Wat wilden de mensen zien? (De verrassende bevindingen)

Zodra de mensen de poort (de rebus) hadden opgelost, probeerden ze in te loggen op de verschillende valse hutten. Dit gaf een heel duidelijk beeld van wat ze wilden:

1. De grote winnaar: De hut met het thema Kindermisbruik trok veruit de meeste bezoekers. Meer dan de helft van alle pogingen om in te loggen ging naar deze valse hut.
2. De nummer twee: Het thema Geweld was ook populair.
3. De verrassende verliezer: Drugs was een van de minst populaire opties. Dit is raar, want in het nieuws hoor je vaak over drugsmarkten op de Dark Web.
   • Waarom? De onderzoekers denken dat echte drugskopers precies weten waar ze moeten zijn en niet zoeken via een algemene zoekmachine. Ze zoeken niet naar "willekeurige drugs", ze weten de specifieke weg al. Maar mensen die nieuw zijn in het bos, klikken op de eerste de beste link die ze zien over misbruik of geweld.

Welke taal spraken ze?

De onderzoekers hadden de valse hutten in vier talen: Engels, Duits, Fins en Russisch.

• Engels was veruit de populairste taal.
• Fins deed het verrassend goed (waarschijnlijk omdat Ahmia een Finse zoekmachine is).
• Russisch was het minst populair, ondanks dat er veel Russischsprekende gebruikers op Tor zijn.

De Les van het Onderzoek

Dit onderzoek laat zien dat we niet alleen moeten kijken naar wat er aan de Dark Web te vinden is (de inhoud), maar ook naar wat mensen zoeken.

• Zoekmachines zijn de poort: Voor de meeste gewone mensen is een zoekmachine de enige manier om de Dark Web te vinden.
• Nieuwsgierigheid vs. Gewoonte: Mensen die via een zoekmachine komen, klikken vaak op de meest schokkende of opvallende onderwerpen (zoals misbruik), terwijl de "professionele" criminelen (zoals drugsdealers) hun eigen, verborgen routes gebruiken die je niet via een zoekmachine vindt.
• Robots vs. Mensen: Veel verkeer op de Dark Web komt van robots die links scannen, maar echte mensen gebruiken zoekmachines.

Kortom: De onderzoekers bouwden een leeg huis, lieten een bordje met de deur open staan, en keken naar wie er binnenkwam. Het bleek dat de meeste mensen die via de hoofdingang (zoekmachine) binnenkwamen, vooral geïnteresseerd waren in de meest donkere onderwerpen, terwijl de "professionele" bezoekers de hoofdingang helemaal niet gebruikten.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Measuring onion website discovery and Tor users' interests with honeypots" in het Nederlands.

Probleemstelling

Bestaand onderzoek naar het Tor-netwerk en het "dark web" richt zich voornamelijk op het crawlen van websites en het analyseren van de inhoud (bijvoorbeeld illegale marktplaatsen). Er is echter een gebrek aan inzicht in wat gebruikers daadwerkelijk proberen te benaderen en hoe ze deze sites ontdekken. Populairheidsmetingen op basis van inhoud kunnen de echte interesses van gebruikers vertekenen. Bovendien onderscheidt eerdere research vaak niet tussen menselijk verkeer en geautomatiseerde crawlers/bots, wat leidt tot onnauwkeurige conclusies over gebruikersgedrag.

Het doel van dit onderzoek is om een kwantitatieve meting te leveren van:

1. Hoe gebruikers onion-websites ontdekken (via zoekmachines versus paste-diensten).
2. Welke categorieën van onion-websites menselijke gebruikers het meest proberen te benaderen en waarvoor ze inloggegevens proberen aan te maken.
3. Welke taalvoorkeuren er bestaan binnen deze gebruikersgroep.

Methodologie

De onderzoekers (van de Universiteit van Tampere) hebben een honeypot-benadering gebruikt om menselijk gedrag te meten zonder daadwerkelijke illegale content te hosten.

• Opzet: Er werden 32 unieke honeypot-websites gecreëerd (8 categorieën x 4 talen).
  • Categorieën: CSAM (kinderpornografie), geweld, malware, gestolen goederen, illegale vuurwapens, illegale drugs, vervalste artikelen en een "onscherp" forum als controlegroep.
  • Talen: Engels, Duits, Fins en Russisch.
• Distributiekanalen: De links naar deze sites werden verspreid via drie kanalen om de ontdekking te meten:
  1. De Ahmia Tor-zoekmachine (waar de links willekeurig tussen zoekresultaten werden geplaatst).
  2. De Stronghold paste-service (een onion-dienst).
  3. Pastebin.com (een openbaar paste-dienst).
• Interactie-meting: Elke honeypot-site bestond uit twee pagina's:
  1. Een landingspagina met een neutrale beschrijving en een CAPTCHA. Dit diende om bots en menselijke gebruikers te onderscheiden.
  2. Een tweede pagina (toegankelijk na het oplossen van de CAPTCHA) met een beschrijving van de criminele activiteit en velden voor registratie/inloggen.
• Datacollectie: De studie liep van 24 maart tot 17 april 2025. De onderzoekers hielden bij hoeveel bezoeken er waren, hoeveel CAPTCHA's werden opgelost en hoeveel registratie-/inlogpogingen er werden gedaan. Er werd geen onderscheid gemaakt tussen unieke gebruikers (vanwege Tor-anonimiteit), maar wel tussen interactie-voorvallen.

Belangrijkste Bijdragen

1. Ontdekking vs. Menselijke Interactie: Het paper onderscheidt voor het eerst kwantitatief tussen het aantal bezoeken (waarbij veel bots betrokken zijn) en de daadwerkelijke menselijke interesse (gemeten via CAPTCHA-oplossingen en inlogpogingen).
2. Thema-gerelateerde Interactie: Het biedt inzicht in welke criminele categorieën menselijke gebruikers het meest aantrekken, gebaseerd op actieve pogingen om toegang te krijgen, in plaats van passieve content-scraping.
3. Taalvoorkeuren: Het analyseert de voorkeur voor specifieke talen binnen het Tor-netwerk op basis van interactie-gegevens.

Resultaten

1. Ontdekkingkanalen (RQ1)

• Ahmia domineert menselijk verkeer: Hoewel alle drie de kanalen verkeer genereerden, kwam bijna alle menselijke interactie (CAPTCHA-oplossingen en inlogpogingen) van de Ahmia-zoekmachine.
• Paste-diensten zijn voornamelijk bots: Van de 219.173 totale bezoeken kwam 87,65% van Ahmia. Echter, na het verwijderen van de links uit Ahmia op 10 april 2025, daalde het aantal menselijke interacties (CAPTCHA's en inlogpogingen) direct tot bijna nul.
• Conclusie: Bezoeken via Pastebin.com en Stronghold paste werden bijna uitsluitend gegenereerd door crawlers/bots. Slechts twee CAPTCHA's werden opgelost via Stronghold, en er waren geen inlogpogingen vanuit deze bronnen.

2. Categorie-voorkeuren (RQ2)

• CSAM is het meest populair: De honeypot met het thema CSAM trok veruit de meeste interacties. Van de 6.648 inlogpogingen kwam 37,67% (2.504 pogingen) voor deze categorie.
• Geweld op de tweede plaats: De categorie "geweld" volgde met 20,47% (1.361 pogingen).
• Verwarring over drugs: Ondanks dat illegale drugs vaak als de grootste markt op het dark web worden beschouwd, was dit de op een na minst populaire categorie (3,43%).
• Interpretatie: De hoge engagement op CSAM (115% van de CAPTCHA-oplossingen leidde tot pogingen, wat impliceert dat gebruikers meerdere pogingen deden) suggereert dat gebruikers die via een zoekmachine (Ahmia) komen, mogelijk minder ervaren zijn en reageren op de eerste beschikbare inhoud, in tegenstelling tot ervaren gebruikers die specifieke marktplaatsen al kennen.

3. Taalvoorkeuren (RQ3)

• Engels is dominant: Engels was de meest gebruikte taal voor inlogpogingen (43,49%), gevolgd door Duits (22,47%) en Fins (18,07%).
• Russisch ondervertegenwoordigd: Russisch was de minst populaire taal (15,97%), ondanks dat het een veelvoorkomende taal op het dark web is.
• Fins oververtegenwoordigd: De hoge positie van het Fins wordt toegeschreven aan het feit dat Ahmia een Finse zoekmachine is, wat leidt tot een hogere prevalentie van Finssprekende gebruikers in deze specifieke dataset.

Betekenis en Conclusie

De studie concludeert dat de manier waarop gebruikers het dark web ontdekken, hun gedrag sterk beïnvloedt.

• Zoekmachines vs. Directe links: Gebruikers die via een algemene zoekmachine (Ahmia) komen, vertonen een ander interesseprofiel dan gebruikers die via gespecialiseerde forums of directe links komen. De hoge interesse in CSAM via Ahmia, ondanks de filters van Ahmia, wijst mogelijk op een minder ervaren gebruikersgroep.
• Drugs-markt: De lage interesse in drugs via deze kanalen suggereert dat serieuze kopers waarschijnlijk geen zoekmachines gebruiken om marktplaatsen te vinden, maar eerder via gespecialiseerde netwerken opereren.
• Methodologische waarde: Het gebruik van honeypots met CAPTCHA's bleek effectief om menselijk verkeer van bot-verkeer te scheiden, wat een nauwkeurigere beeld geeft van echte gebruikersintenties dan eerdere content-analyses.

De auteurs benadrukken dat deze bevindingen specifiek zijn voor het "gefilterde, publieke zoekkanaal" en niet noodzakelijk het volledige ecosysteem van het dark web vertegenwoordigen.