近日,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则,依法保护公民个人信息具有重要的指导意义。
其中指导性案例192号提到了大家熟悉的暗网交易市场”茶马古道“:2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖。2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。
指导性案例192号《李开祥侵犯公民个人信息刑事附带民事公益诉讼案》明确了使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
该判例至少表明三点,一是在2020年左右的时候,暗网交易市场“茶马古道”是中文暗网圈比较大的暗网论坛,用户面很广;二是暗网的交易与现实紧密联系在一起,即使暗网可以躲避追踪,但是当走向现实的时候,很容易让各国警方锁定;三是中文暗网市场中的”黑客软件“、”社工数据“商品的受欢迎程度较高。
指导性案例192号
李开祥侵犯公民个人信息刑事附带民事公益诉讼案
(最高人民法院审判委员会讨论通过 2022年12月26日发布)
关键词 刑事/侵犯公民个人信息/刑事附带民事公益诉讼/人脸识别/人脸信息
裁判要点
使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。行为人未经公民本人同意,未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由,利用软件程序等方式窃取或者以其他方法非法获取上述信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
相关法条
《中华人民共和国刑法》第253条之一
基本案情
2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
上海市奉贤区人民检察院以社会公共利益受到损害为由,向上海市奉贤区人民法院提起刑事附带民事公益诉讼。
被告人李开祥对起诉指控的基本犯罪事实及定性无异议,且自愿认罪认罚。
辩护人提出被告人李开祥系初犯,到案后如实供述所犯罪行,且自愿认罪认罚等辩护意见,建议对被告人李开祥从轻处罚,请求法庭对其适用缓刑。辩护人另辩称,检察机关未对涉案8100万余条数据信息的真实性核实确认。
裁判结果
上海市奉贤区人民法院于2021年8月23日以(2021)沪0120刑初828号刑事判决,认定被告人李开祥犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。一审判决后,没有抗诉、上诉,判决现已生效。
裁判理由
法院生效裁判认为:本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息,利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为,依法应予惩处。主要理由如下:第一,“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中列举了公民个人信息种类,虽未对“人脸信息”单独列举,但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类,个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴,侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的,须承担相应的民事责任或行政、刑事责任。第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为,社会危害较大。被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。
关于辩护人提出本案公民个人信息数量认定依据不足的辩护意见,法院经审理认为,公安机关侦查过程中采用了抽样验证的方法,随机挑选部分个人信息进行核实,能够确认涉案个人信息的真实性,被告人、辩护人亦未提出涉案信息不真实的线索或证据。司法鉴定机构通过去除无效信息,并采用合并去重的方法进行鉴定,检出有效个人信息8100万余条,公诉机关指控的公民个人信息数量客观、真实,且符合《解释》中确立的对批量公民个人信息具体数量的认定规则,故对辩护人的辩护意见不予采纳。
综上,被告人李开祥违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人李开祥到案后能如实供述自己的罪行,依法可以从轻处罚,且自愿认罪认罚,依法可以从宽处理。李开祥非法获取并向他人提供公民个人信息的侵权行为,侵害了众多公民个人信息安全,损害社会公共利益,应当承担相应的民事责任。故依法作出上述判决。
(生效裁判审判人员:李晓杰、管玉洁、高晔涛)
2023年即将来临,暗网中的中文暗网平台所剩无几了,根据传统,在2022年底,“暗网下/AWX”独家揭露分析前五大中文暗网平台的近况。
一、长安不夜城 9月份完成更新升级后,中文暗网交易市场“长安不夜城”在中文暗网圈的名气以及信誉度目前都是毋庸置疑的排行第一,根据Telegram群组的聊天、频道的活跃度,大家对“长安不夜城”提供的服务比较认可。
尤其是“长安不夜城”在官方Telegram频道提供数据担保业务后,可以看到暗网与Telegram的深度融合,无论暗网还是Telegram群组、频道,大家的参与度很高,再加上Telegram群组两位管理员@ganmao、@cabyc_mamasang的努力,该暗网网站目前都是靠谱的,也是中文暗网圈最值得使用的。
但是网站一旦做大,骗子就会接踵而至,从修改头像为“长安不夜城”的logo并冒充管理员的骗子,到在频道打广告却不接受担保的骗子。
近期,根据其Telegram频道的消息,两个Telegram账号不使用“长安不夜城”的担保,大概骗了几万USDT。
@shenqing2099 @taoqizhu 你也许有困难,我也能理解,但是我把你跟我交易用的交易所地址给你曝光出来也不合适吧?10天之内过来拿,否则曝光出来你有命拿就没命花了!不要以为你天衣无缝,目前群友手上有你浙江的IP,交易所的地址,10天之内来换。
所以大家访问中文暗网交易市场“长安不夜城”并使用其服务的时候,还是要仔细甄别,尽可能多的在Telegram群组咨询。
再次声明,平台管理员只有两个 @ganmao 和 @cabyc_mamasang ,群组只有一个 @cabyc ,频道只有一个 @cabycout 。有任何问题可以跟管理员私聊,或者群里发了等管理员回复,炸群是无论如何都不允许的,所有带zy的人都要移除,带有 “众赢”的人也要移除
“长安不夜城”暗网域名:
http://cabyceogpsji73sske5nvo45mdrkbz4m3qd3iommf3zaaa6izg3j2cqd.onion
二、中文暗网交易市场(暗中) “中文暗网交易市场”,也就是“暗中”,曾经是中文暗网圈最大的交易市场,但是现在已经远远不及“长安不夜城”。
“中文暗网交易市场”与“长安不夜城”最大区别在于,其用户需要购买发布与回复权限,其中“发布权限”用于发布新交易或信息,3个月(0.00068 BTC),12个月(0.0017 BTC),“回复权限”用于回复咨询,3个月(0.00034 BTC),12个月(0.00085 BTC)。
发帖需要充值已经很恶心了,“暗中”从2019年底开始黑用户的比特币,并以换团队借口为拒绝提币,余额强制清零,后续又收割了两次。有用户表示,这个网站部分交易是真的,可以完成交易。小额提现也能完成,但是大额提现就会被封号。 因此,不建议大家继续使用“中文暗网交易市场”。
“Onion666暗网导航”有用户评论称:
诈骗!忘记密码了,创了个新号联系管理员问怎么找回密码,管理员说创号的时候会有安全码(其实没有),刚创的号有没有我会不知道,连个找回密码的选项都没有还嘴硬说能找回密码,傻逼网站,纯骗子
“中文暗网交易市场”暗网域名:
http://xxxxxxxxxs6qbnahsbvxbghsnqh4rj6whbyblqtnmetf7vell2fmxmad.onion
三、自由城(FREECITY) “自由城”暗网市场已经完全沦为诈骗平台,管理员不处理市场里的纠纷,就算交易了也没有售后。“自由城”的管理员Telegram是@freecityadmin,今年5月份起该管理员不处理提币,提到提币管理员不说话装死,但是提到充值它就活了。
“自由城”使用Telegram机器人进行注册,激活账号需要100人民币或者等值的BTC、ETH、USDT,但是充值却是200起充,套娃模式,与诈骗无异。
“Onion666暗网导航”有用户评论称:
千万别去,纯诈骗站,无论是你提币,还是买东西出现纠纷需要申诉,甚至有时候你充钱进去这一环节(实际已经进去了但不显示)都会卡着你,它自己永远不会给你处理,万一你急了跑去找管理员,他就会索要比你卡在里面或者纠纷中的钱更多的钱,让你充值进站他才会给你处理,不然就不行。比起那些直接吞了币的站,他更加恶心,不仅吞还要求你充更多来解套,谁知道真充了他会给你解不。估计是要跑路了想多赚几笔
管理员 自由孤狼 充钱了就封你账户 各种套路让你在充钱 说什么服务器问题 数据恢复问题 让你在充钱 多给你账户加钱各种套路骗你钱 一直不处理 反正就是诈骗你钱 让你多付钱
“自由城”暗网域名:
http://xbtppbb7oz5j2stohmxzvkprpqw5dwmhhhdo2ygv6c7cs4u46ysufjyd.onion
四、自由国度 “自由国度”暗网论坛近期提示网站正在更新,之前,“自由国度”一直在关关开开中徘徊,让人怀疑其技术能力。其官方网站的公告发布于11月30日,公告称,已经完成一部分外观设计,稍候可能有beta版本给大家测试,但愿此次更新能够稳定其网站。
具体公告如下:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
大家好,
這是十一月公告:
網站正在更新,請不定時回來,感謝大家。
已經完成一部分外觀設計,稍後可能有BETA版供大家測試,更新需要一段時間,抱歉。
簽署者:自由國度管理員
簽署指紋:F23D 52AC 8F4B 4B11 A678 62ED 332F BC71 661F E349
“暗网下/AWX”年初曾报道”onion666暗网导航“升级了多语言版本,俨然已成为“全球暗网最大导航”。最近,该导航网站也被骗子盯上了,假冒官方进行诈骗。
根据”onion666暗网导航“官方Telegram频道的爆料,有骗子假冒”onion666暗网导航“旗下Telegram群主行骗,成功骗取某Telegram用户240 USDT。
其官方Telegram频道显示的聊天记录如下:
受害者:(图片,onion666官方Telegram群截图)此群群主骗子,买广告位,然后说你广告词太多,得买个大广告位,说再加几十u,我瞬间就明白了。我就直接说能打就打,不能就算了,后面就直接清空消息记录。我看不惯才曝光出来。他要是不清空记录我还不会说啥。
路人甲:你绝逼碰到假群主了,那肯定不是管理啊,那群置顶消息你不看的吗?花钱买个教训吧!
受害者:看啦,发消息找群里呀,后面就群里@我了,我看他上面写了群主标识,我就私信他啦。
路人甲:你必然被骗了,那个群主从来不主动回消息。每天上一当,当当不一样。
诈骗者虚拟货币追踪 截图显示诈骗者成功骗取240 USDT,通过波场链转账,交易hash为:
8faa75dab400307f03dbcf296ce12a9071df1008b2726e179ee48f1449db64d6
查看近期交易,发现骗子在最近一个月内骗了几千刀,其TRC20的USDT地址如下:
TAUY2omrHqLZrRkW7SLA6kE4VLnukuz4L8
根据地址追踪,以下TRC20的USDT地址可能也属于骗子团伙:
TQauJW2jBGNBjtxXrv2yN1EQsX4KX2p76Q
TXE6bKCpj8ntmrhL8eYvvtGmQZTr1HtCGe
TKZ93CBdzvJADp44pevKnqcTr3LLuBygGE
假冒群组管理员时间脉络梳理 1、9月份,”onion666暗网导航“官方Telegram群组发布置顶广告:Onion666暗网导航新开放4个广告位,先到先得,需要请联系邮箱:[email protected]。”onion666暗网导航“官方Telegram群组管理员都设置了匿名,即不接受私聊。
2、近一个月,出现多个冒充”onion666暗网导航“官方Telegram群组的骗子,昵称改为”onion666暗网“等类似的名称,并将头像改为其logo。只要有人想买广告位,即以群主的名义搭讪骗钱。
3、多人受骗后,12月5日,”onion666暗网导航“官方Telegram群组发布置顶提醒公告:
隔壁群组有人曝光了一名假冒管理收广告费的骗子。注意:群主不会主动私聊你或者主动要找你合作,大多数在群里主动找你私聊的也都是骗子!暗网骗子多,Telegram骗子更多,大家且行且注意。
4、今晚,”onion666暗网导航“官方Twitter也发布推文曝光一个骗子账号并称:
Please beware of scammers, this guy is not our Telegram group administrator!
请小心骗子,这不是我们的Telegram群组管理员!
Please beware of scammers, this guy is not our Telegram group administrator!
请小心骗子,这不是我们的Telegram群组管理员! pic.twitter.com/AvTdxzLz32
— 暗网导航 onion666.com (@onion666com) December 7, 2022 “暗网下/AWX”整理的真正属于”onion666暗网导航“官方的一些信息 明网网站:
https://onion666.com
暗网网站:
http://666666666tjjjeweu5iikuj7hkpke5phvdylcless7g4dn6vma2xxcad.onion
http://66666666wkvbhvfnnyy7tmj7fidsw5pabvcdeg4betwzxtpcmengv4id.onion
Telegram群组:
https://t.me/onion666666
https://t.me/onionlink666
Telegram频道:
含有恶意Tor浏览器下载链接的YouTube视频截图(卡巴斯基) 网络安全研究人员卡巴斯基公司周二表示,一个Tor浏览器的修改版本至少从3月开始收集中国用户的敏感数据,也许早在1月就开始了,其中包括浏览历史、表单数据、计算机名称和位置、用户名和网络适配器的MAC地址。
在一个名为“工具大师i”的中文YouTube频道发布的视频下方简介里,有一个指向恶意版本的Tor浏览器安装程序的链接(蓝奏云链接)。卡巴斯基研究人员Leonid Bezvershenko和Georgy Kucherin在周二公布的研究结果中说,该频道有超过18万名订阅者,该视频已被观看了64000多次。
卡巴斯基称,这个名为“工具大师i”的YouTube帐户于2022年1月上传了该视频,卡巴斯基研究人员在注意到恶意Tor浏览器安装程序下载集群后,于3月开始在他们的数据中看到受害者。
卡巴斯基对“洋葱毒药”的分析 卡巴斯基研究人员将此活动称为“洋葱毒药”(OnionPoison),指的是通过修改“洋葱路由”(The Onion Router)进行投毒。“洋葱路由”是最初由美国海军研究实验室开发的匿名路由,合法的Tor浏览器使用了“洋葱路由”的技术。
研究人员表示,恶意安装程序加载了一个带后门版本的Tor浏览器,其中包括一个间谍软件库,旨在收集个人数据并将其发送到攻击者控制的服务器,还可以让攻击者有能力在受害者的机器上执行shell命令。
非营利组织Tor项目的执行董事Isabela Fernandes告诉CyberScoop,该组织在周二部署了一个补丁。
“基本上,这个‘中毒’的Tor浏览器会修改更新URL,所以它不能正常更新。”她说。“我们所做的是添加一个重定向,以便我们响应修改后的URL,这样人们就会更新。现在他们的URL是一个有效的更新URL。”
研究人员表示,目前尚不清楚该活动的幕后策划者,但它显然针对的是中国用户。他们说,命令和控制服务器检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述中包括一个有效的Tor浏览器链接,但由于Tor网站在中国被封锁,用户更有可能点击下方的蓝奏云链接,将他们定向到托管在第三方“蓝奏云”共享网站上的可下载文件。
研究人员表示,有趣的是,修改后的浏览器不会自动收集用户密码、cookie或钱包,而是专注于浏览历史记录、社交网络帐户ID和Wi-Fi网络。
据卡巴斯基分析,“洋葱毒药”定制的Tor浏览器可以保存浏览历史、启用网页缓存、存储登录凭据以及从访问过的网站收集额外的会话数据。此外,收集到的数据会发送回攻击者。其中包括安装的软件、在Tor浏览器、Chrome和Edge中访问的网站、微信和QQ的用户账号ID,以及受害者已经或曾经连接到的Wi-Fi网络的SSID和MAC地址。
研究人员写道:“攻击者可以搜索泄露的浏览器历史记录,寻找非法活动的痕迹,通过社交网络联系受害者,并威胁要向政府举报。”
历史上Tor浏览器曾出现多个恶意篡改版本 网络犯罪分子和民族国家的黑客过去曾多次部署过修改过的Tor浏览器版本。2019年,斯洛伐克网络安全公司ESET的研究人员报告了一个旨在从讲俄语的人那里窃取加密货币的Tor版本。在另一个例子中,大约10年前,与俄罗斯有关的黑客使用Tor出口节点部署了名为OnionDuke的恶意软件。
联邦调查局(FBI)也曾经被指控与承包商和潜在的大学生合作,修改Tor软件或利用0day,揭露Tor用户身份并调查涉及暗网恋童癖网站(联邦调查局当时含糊地否认了这一说法)。
研究人员表示,避免“洋葱毒药”(OnionPoison)的最佳方法是从官方网站下载Tor浏览器,或者,如果不能这样做,必须从第三方网站下载,则需要检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,其证书中指定的公司名称应与软件开发人员的名称相匹配。
使用“洋葱毒药”投毒的Youtube频道“工具大师i” 卡巴斯基称,“洋葱毒药”(OnionPoison)案例中,恶意Tor安装程序的链接被发布在一个流行的中文YouTube频道上,该频道致力于互联网上的匿名性。该频道拥有超过180,000名订阅者,而带有恶意链接的视频的观看次数超过64,000次。
从卡巴斯基的视频截图可以看出,该Youtube恶意频道名为“工具大师i”,地址为:
https://www.youtube.com/c/%E5%B7%A5%E5%85%B7%E5%A4%A7%E5%B8%88i
该视频(https://www.youtube.com/watch?v=qob8gqQ2_3k)名称为“2022年最新暗网进入方法!什么是暗网暗网有什么如何使用科学上网工具访问暗网暗网怎么进2022丨暗网网址丨dark web 2022丨By工具大师i”,已经因违反YouTube规定并YouTube移除(This video has been removed for violating YouTube’s Community Guidelines),已经无法观看,但是从第三方网站NoxInfluencer(https://cn.noxinfluencer.com/youtube/video-analytics/qob8gqQ2_3k)的记录中可以看到,该视频发布时间为2022年1月9日,观看量为6.06万,投放恶意软件的蓝奏云地址为:https://wwi.lanzouo.com/i6iLaym6fsf。
此外,该YouTube频道并不是第一次修改Tor浏览器,“暗网下/AWX”发现了该频道的另一个视频(https://www.youtube.com/watch?v=0nwDOd_xl3Y),名称为“2020年最新 暗网登录 方法教程,哪种方式最快最好用?配合Tor洋葱浏览器,SSR,Vray科学上网!让你网络隐私至极!”,已经于北京时间2022年10月5日中午被设置为私有视频(This video is private),目前同样无法观看,但是从第三方网站(https://cn.noxinfluencer.com/youtube/video-analytics/0nwDOd_xl3Y)的记录中可以看到,该视频发布时间为2020年11月28日,观看量为7.82万,投放恶意软件的蓝奏云地址为:https://www.lanzoui.com/i5cDbix01if。
据统计,YouTube频道“工具大师i”创建于2018年11月18日,发布地点为香港,拥有超过18万粉丝,总计发布视频166个,总观看量超过1100万。
但是,在卡巴斯基曝光之后,目前访问该频道,发现视频仅剩79个,将近90个视频被设置为“私有”,而隐去的视频基本都是其发布的多个VPN工具、加速工具、翻墙工具、挖矿工具等等。若工具为exe文件基本上每个视频均提供了蓝奏云的下载地址链接,如果是安卓应用,均提供了apk的下载地址,如果是苹果应用,提供的是testflight.apple.com的下载地址。根据其“此地无银三百两”的做法判断,但凡是该频道提供的工具,均带有后门,请警惕该频道的分享。
卡巴斯基对恶意Tor浏览器的分析 恶意的Tor浏览器文件名为:torbrowser-install-win64-11.0.3_zh-CN.exe,安装程序的用户界面与原始程序用户界面相同,但是,恶意安装程序没有数字签名。卡巴斯基称,根据其测试,“洋葱毒药”针对的受害者必须位于中国,因为C2服务器会检查受害者机器的外网IP地址是否来自中国。
攻击者降低了恶意的Tor浏览器的私密性,通过修改存储在 browser\omni.ja 存档中的 \defaults\preferences\000-tor-browser.js 配置文件,他们将Tor浏览器配置为:
存储浏览历史;
启用磁盘上的页面缓存;
启用自动表单填写和登录数据的记忆;
为网站存储额外的会话数据。
恶意的Tor浏览器启动后,会伪随机地选择以下C2服务器URL之一并向其发出POST请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
其针对中国用户加载的恶意Dll文件会检索以下系统信息:
操作系统磁盘卷的GUID;
机器GUID;
计算机名称;
计算机语言环境;
当前用户名;
网络适配器的MAC地址。
且会请求收集以下附加信息:
已安装的软件;
REvil勒索软件团伙声称对中国电器制造商美的集团发起了黑客攻击,并且已经在暗网里发布了据信是被盗的数据。
曾经占暗网勒索主导地位的REvil勒索软件团伙,有时被称为Sodinokibi,在2021年对Kaseya进行臭名昭著的黑客攻击后关闭了几个月,于2022年4月重新出现。
美的集团是REvil自今年早些时候重新出现以来首批备受瞩目的受害者之一,尽管尚未正式确认此次攻击的真实性。
美的集团几乎遍布全球,他们的空调,包括冰箱、洗衣机和微波炉在内的家用电器几乎可以在世界上每家商店找到。
这家价值数十亿美元的中国公司自称是世界第一大家电制造商,并与全球组织和体育俱乐部(如曼城足球俱乐部和科林蒂安)有广泛的商业合作。
该公司声称其年均收入为533亿美元,在《财富》全球500强排行榜上位列第245位。
REvil声称从美的集团窃取了各种不同的数据,包括其产品生命周期管理(PLM)系统——含有蓝图和固件源码,以及“其准备出售”的财务信息,它在一个公告帖子中说。
它还声称拥有“大量源代码”和来自Git和SVN版本控制系统的数据,“这些数据[它]将很快公布”。
从REvil的暗网博客中可以看到,其窃取了相当多的内部数据。根据该勒索软件团伙发布的屏幕截图,美的集团被盗的数据远多于3.09TB。
REvil已经在暗网上发布了大量据称取自美的集团的文件,其中包括对物理和数字身份文件的扫描、据称该公司VMwarev Sphere客户端内部的屏幕截图、大量压缩的7zip存档和SSH密钥。
REvil因采用双重勒索模式进行勒索行动而闻名,出售数据的威胁,虽然似乎已经解除了一些,但与该团伙的旧方法一致。虽然他们以一贯的方式威胁说,如果不支付赎金,就会出售数据,但数据已经在同一时间被公布。
在4月重新出现后,REvil表示,它的另一个受害者印度石油公司拒绝与其谈判,导致该公司的被盗数据被泄露。
勒索组织REvil来自俄罗斯,以对Kaseya和JBS Foods等大公司的历史性攻击而闻名,但作为2021年11月国际执法协调行动的一部分,该集团的部分成员被逮捕。
俄罗斯执法部门还在2022年1月逮捕了更多被指控的成员,尽管一些人认为这样做可能是为了作为反对美国的政治筹码。
俄罗斯执法部门FSB称,他们设法完全关闭了REvil活动并逮捕了所有14名剩余成员,FSB曾表示“犯罪组织不再存在,其用于犯罪目的的基础设施已被摧毁”。
但是知名恶意软件研究和安全分析专家VX-Underground(@vxunderground)在昨天发布的Twitter帖子中称:
较低级别的分支机构和附属成员被逮捕,而不是主要成员。被捕的人被指控犯有轻罪,处以小额罚款,然后被释放。
Lower-level affiliates and money mules were arrested, not key members.
The individuals arrested were charged with minor crimes, issued small fines, and released.
— vx-underground (@vxunderground) September 1, 2022 REvil在暗网博客上(http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog)发布的公告内容如下:
美的集团是一家中国电器制造商,总部位于广东佛山顺德区北滘镇,在深圳证券交易所上市。截至2021年,该公司在中国和海外拥有约150,000名员工,拥有200个子公司和60多个海外分支机构。收入400亿以上,美的集团由五个战略业务支柱组成:智能家居、工业技术、建筑技术、机器人与自动化和数字创新。美的集团在200多个国家和地区拥有超过16万名员工,在2022年全球财富500强排行榜上排名第245位。
我们有来自plm系统的所有数据(蓝图、固件的来源等),也有我们准备出售的财务信息。
大量的源代码,git和svn,将很快发布。
并将入侵的部分截图、压缩包证据发布在:http://ttn4gqpgvyy6tuezexxhwiukmm2t6zzawj6p3w3jprve36f43zxr24qd.onion/Midea/
“暗网下/AWX”近日接热心网友“龙珠”举报,某中文暗网担保交易市场是诈骗网站,并称“是的,我就是被骗者”,数额还比较巨大,真是血的教训。热心网友“龙珠”给出了该网站的暗网网站V3的URL地址。接举报后,“暗网下/AWX”对该网站进行了仔细分析。
热心网友“龙珠”提供的诈骗市场的暗网onion域名为:http://sdklioxpbd7whqbvhnderrd3dz67rkmdpb4j533xtff34fonqrt4wxyd.onion
在“666暗网导航”里检索,未看到该网站的链接。访问该网站,可以看到该网站自称为“正版中文担保交易市场 – 一个小高端中文安全买卖平台正版中文担保交易市场”,该网站使用WordPress搭建,最早应该在2019年前就投入使用,当年使用的V2域名为:http://txxh4o2gcjjxhfjg.onion。
该网站上显示的建站时间为:2018-06-01 21:51:00,号称“已安全运行1331天”。网站上充满了骗人的话术:“本站极力维护用户权益,将欺诈扼杀于摇篮,从来没有一起欺骗能在本站成功。买家资金安全,是我们的生命线。”,“相信我们,是你人生新的开端。遇见你,是我们努力的意义。”
该网站的热门商品包括:
100%安全支付宝转账
超低价购买BTC钱包(快速资产翻倍)
你要什么我帮你刷到你手里
暗网信贷服务(借款入口)
3天赚15%的BTC
短信嗅探技术设备出售GSM Sniffing
用玄学手段帮助你
超出市场25%价格收购BTC/LTC
暗黑转账王2.3中文版
日本女优让你为所欲为
月赚百万美元
网友“龙珠”说”这个狗子,做的好全,看讨论啊,网站的种种信息,和商家评论都很真实,感觉毫无破绽似的,站内信息在下单购买之前,有问必答。“
可是,当“龙珠”下单之后,该网站站长”就会玩消失,任何方式联系不上,而且商家也不给任何回应,很明显,就是被骗了。“
网友“龙珠”在该网站充值比特币0.0746个,当时价值约合2800刀,交易记录为:
https://www.blockchain.com/btc/tx/1e62fa9854c11bc3d630b5d2b648d1e21e0dc8720ea1184cdf490ecb9d85a39d
经检查,该网站并没有提供自己的比特币地址,而是使用的https://www.blockonomics.co/的支付网关功能收款,我们也提醒并建议“龙珠”网友向blockonomics.co支付网站的客服进行举报,提供被骗的证据。
“暗网下/AWX”近期正在联系”666暗网导航“,请求联合”666暗网导航“创建一个暗网中文网站的黑名单,对于此类明显诈骗且证据确凿的网站,一律展示在黑名单中。目前正在等待”666暗网导航“官方的响应。
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”一直在跟进当前暗网上中文暗网交易网站的近况,前几天刚刚梳理了五家2021年死去的暗网交易市场,其中包括“茶马古道”暗网交易市场(http://7zj4oshsyhokgus6fyk7pmdiubu4mkjpjjprjkvopnhnwylr522tymqd.onion)。
该市场自我介绍“销售数据、账户、药品、漏洞、色情影视、实体商品等,注册后以美元、比特币交易”。2021年,“暗网下/AWX”曾经跟踪报道了“茶马古道”暗网交易市场的卷币事件,并证实其侵吞了用户的大量比特币!
自去年年底以来,该网站就无法访问了,而且已经超过两个月。“暗网下/AWX”前期分析要么是“退出骗局”要么被警方打击。
近日,有网友提供了一个绝对可靠的情报,并给出了证据,足以证实“茶马古道”暗网交易市场已被警方摧毁!“暗网下/AWX”核实,虽然目前为止没有看到警方给出确切的公告,但是在一份检察机关的年终总结里确实看到了只言片语。
在1月12日江苏发行的报纸《扬子晚报》发表了一篇文章《徐州检察从严打击电信网络诈骗犯罪 以这两个罪名去年共起诉1724人》:
扬子晚报网1月12日讯(记者 刘浏)徐州市检察机关认真落实江苏省人大代表建议,从严打击电信网络诈骗犯罪,2021年共受理审查逮捕计算机网络犯罪案件194件306人,批准逮捕179人;受理审查起诉493件956人,起诉305件652人。积极参与“断卡行动”,打击电信网络诈骗及黑灰产业链关联犯罪,受理审查逮捕384件693人,批准逮捕428人;受理审查起诉700件1495人,起诉1072人。
徐州市检察院成立了上下两级检察院、刑事检察和技术部门联合的网络犯罪案件办理业务指导组,制作了《网络犯罪案件办理资料汇编》,强化办案指导,提升办案质量。徐州市检察机关依法办理了“小果”接码平台案、“茶马古道”暗网交易市场案等一批重点案件。徐州市铜山区检察院办理了一起特大网络交友诈骗案,该案犯罪嫌疑人研发聊天平台、招揽大量主播,以主播约见面发生性关系为诱饵,诈骗国内多个省份男性被害人,受害群众2700余人,涉案金额3000余万元,全案涉案人员102人。
其中点到了“‘茶马古道’暗网交易市场案等一批重点案件”,并配了“茶马古道”暗网交易市场的网站截图,足以证明“茶马古道”暗网交易市场已被警方打击并移交检察机关受理审查起诉了。
这虽然不是中国警方捣毁的第一个中文暗网平台,但却是官方报道的中国警方检方摧毁打击的第一个中文暗网交易市场。由此可以看出,官方对于暗网上的网络犯罪打击的坚定决心!对于其他的中文暗网交易市场的发展与结局,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”2021年5月查访了当时暗网上前六大中文暗网交易网站近况,当时仅有三个中文暗网市场可以访问,还有三个无法访问。
一般而言,警方打击与“退出骗局”是暗网交易市场关闭的最主要原因。
首先我们谈谈暗网交易市场的“退出骗局”(Exit Scam),这也是境外总结的暗网交易市场消失的最大原因之一。“退出骗局”指暗网交易市场运营者在其管理的暗网市场用户充值交易的沉淀资金达到一定数额后直接将网站下线关闭,以侵吞用户及商户沉淀在该市场里的加密货币资金。境外类似的“退出骗局”非常多,一些公开报道称,“Monopoly Market”、“Cartel Markets”、“Tor2Door Market”、“Televend Market”、“Aurora Market”等多个境外暗网市场的关闭都是“退出骗局”。
截至2022年1月,前期仅存的可以访问的暗网市场中,“茶马古道”已经消失好久。这里“暗网下/AWX”就细数下2021年死去的那些中文暗网交易市场。
一、茶马古道(http://7zj4oshsyhokgus6fyk7pmdiubu4mkjpjjprjkvopnhnwylr522tymqd.onion)【无法访问】
该网站介绍销售数据、账户、药品、漏洞、色情影视、实体商品等,注册后以美元、比特币交易。
前期可以在twitter、Telegram等许多境外平台看到茶马古道的推广,不过“暗网下/AWX”之前曾报道了该网站多次卷走大量比特币,且“666暗网网址导航”也将此网站列为“确认诈骗”,建议大家不要存币交易。果然该网站无法访问了,而且已经超过两个月,似乎这一次真的卷币逃跑了。但究竟是“退出骗局”还是警方打击,“暗网下/AWX”将继续关注暗网交易市场“茶马古道”的后续进展。
二、FREECITY (http://xbtppbb7oz5j2stohmxzvkprpqw5dwmhhhdo2ygv6c7cs4u46ysufjyd.onion)【无法访问】
该网站需注册登录。网站含有交易与论坛两个部分。交易包括【weed】的店铺、【rcou1985】的店铺、暗资料集中营、QP/CP专属、账户交易专属、数据情报、服务接单、虚拟资源、实体物品、微信专卖、特色专属、CVV梳理、私人担保等分类;论坛部分包括暗网信息、数字资产信息、黑客技术、武汉新闻、免_源路、社群、开发员、GoogleDrive、资源分享、其他这些分类。
该暗网交易市场前期也属于在“666暗网网址导航”排名靠前的暗网交易市场,但大量网友反应该网站是诈骗网站,管理员直接参与诈骗,且“666暗网网址导航”也将此网站列为“疑似诈骗”。不过该网站目前也无法访问了,既然之前就是诈骗网站,我们完全有理由相信该网站的关闭就是“退出骗局”。
三、暗网中文交易论坛 (http://stsp57cle7lvkex4sgpv2vtdo4ust4tt7lrxjtu6uxzcvorhzwkc5zqd.onion、http://lfwpmgou2lz3jnt7mg3gorzkfnhnhgumbijn4ubossgs3wzsxkg6gvyd.onion)【无法访问】
该网站使用Discuz开源论坛程序搭建,自称中文暗网交易论坛,曾经首页有大量犯罪分子的广告,甚至有“雇佣杀手”,访问量较大。
该暗网交易市场在“666暗网网址导航”里也被大量网友评论为诈骗网站,因此“666暗网网址导航”也将此网站标记为“确认诈骗”,并告诫大家“经举报确认为诈骗网站,请勿充值。”现在该网站也无法访问了,“退出骗局”的可能性也很大。
四、黄金城堡(http://nkodrc2jifmvuzzaxvc26dctixs6eelmtlqvemvg6h5wq6c2aqlrwbqd.onion)【无法访问】
该网站于2021年诞生,诞生的时候在“茶马古道”暗网市场做了大量的推广广告,该网站介绍“黄金城堡致力于为每一位灰黑产的玩家提供一片暗网诚信交易的担保平台,在这里,您可以购买/出售任意您希望出售或者获取的资源”。
该暗网交易市场也于2021年消逝,正在发展的时候,就突然无法访问了,没有解释没有官方声明。
五、酷客商城(http://cook2f2okibbnnkzjnsimmpofxhxrurnhw3cdhvhi2cgx74awakmg7yd.onion)【无法访问】
该网站在2021年底突然出现,自我介绍为“酷客商城(James Cook),提供安全、可靠、便捷的数字货币交易担保服务”。
不过2022年1月10日左右又突然下线,真正做到了“来也匆匆,去也匆匆”,因此“暗网下/AWX”觉得警方打击与“退出骗局”的可能性都不大,毕竟开的时间不长。
就在1月12日,该暗网交易市场的运营者在“666暗网网址导航”做出了官方声明:
申明一下:没有跑路。也没有必要跑路。平台的所有订单都是正常处理完结算给用户的。 ————- 为啥访问不了?—–原因:1、大环境影响,都懂的,各种打击。2、交易量实在太差了,行情比预期低迷太多,收益支付服务器都费劲。 未来是否还会开放?——不一定。如果未来市场有回暖,大环境宽松点,可能重新上线。 ————- 感谢各位老铁的关心及支持~ 江湖再见
更多暗网新闻动态,请关注“暗网下/AWX”。
盐城警方在“靖网清链”专项攻势第一次集中收网行动中,成功侦破了一起在“暗网”平台上转售公民个人信息案件,查获公民个人信息超5000余万条,抓获犯罪嫌疑人15名,涉案资金折合人民币达1.5亿余元。
2021年1月底,盐城市公安局网安支队在“净网2021”专项行动中发现,某暗网平台中一个代号为“SS52098”的用户,正在贩卖一批中国公民的个人信息,民警通过网页中附带的图片发现有该市响水县居民顾某的信息,并被备注了“新鲜一手数据、有资金需求”的字样。
根据受害人顾某回忆,他在朋友圈看到办理信用卡的广告后,联系了办理信用卡的工作人员,预留了自己的姓名、手机号码、身份证号等个人信息,接下来就接到各种办理网贷、POS机、兼职刷单等各种骚扰电话和短信,不堪其扰。
民警判断,这背后一定隐藏着一个庞大的黑灰产业链。随即,盐城市县两级网安部门迅速成立案件专班,侦查发现,从2019年3月开始,“SS52098”用户就多次通过“暗网”交易平台出售公民个人信息,数量惊人。
由于“暗网”的特殊性和隐蔽性,它能够提供给专案组的破案线索仅仅只有一个用户名,犯罪嫌疑人的真实身份却无从得知。经过专案组民警在网络上日夜追踪,江西籍李某某进入了警方视野,通过深度研判,警方确认暗网账号“SS52098”真实身份就是李某某。
响水县公安局网络安全保卫大队教导员韩祝进介绍,李某某反侦查意识特别强,使用境外通联工具来贩卖公民个人信息,其上下线有30多人,且相互不认识。支付方式也并不是银行卡、微信或者支付宝等方式,而是通过虚拟货币交易,以逃避侦查打击。
至此,以李某某为纽带的非法窃取、层层倒卖、侵犯公民个人信息黑灰产业链逐渐清晰。据办案民警介绍,公民个人信息在他们行业内称为“料”或者“水果”,按照“料”的新鲜程度和精准程度来定价销售,当日“料”价格在1至2元一条,隔夜“料”在5分左右一条。
在基本摸清这个收集、倒卖公民个人信息的犯罪团伙人员身份后,2021年4月25日,响水警方组织精干力量,成立多个抓捕组分赴湖北、湖南、江西、福建、广东、江苏、河南等省份进行集中收网,抓获李某某等犯罪嫌疑人15名,现场扣押作案电脑10台,手机22部,查获涉案公民信息5000余万条,涉案资金折合人民币达1.5亿余元。
“经审查发现,这个犯罪团伙贩卖的公民个人信息数量巨大,包含的数据种类繁多,其中涉及姓名、身份证号、联系方式、家庭住址、银行流水等各类公民信息,而这些信息多被下游诈骗团伙、套路贷集团用于精准诈骗或营销,社会危害巨大。”盐城市公安局网安支队二大队民警李建均介绍,目前该案已报请公安部发起全国集群打击。
广东省肇庆市封开县公安局 28日发布消息称,该县公安机关对钟某、林某以涉嫌侵犯公民个人信息罪依法将案件移送检察机关提起公诉。至此,一宗以非法获利为目的,侵犯公民个人信息近1亿条的违法犯罪案水落石出,等待违法犯罪嫌疑人的将是法律的严惩。
今年,广东省肇庆市封开县公安局开展了打击网络黑灰产业链条行动。1月份,封开县公安局民警在工作中发现辖区内有人利用网络贩卖公民个人信息,给辖区民众造成严重的人身及财产危害。3月10日,网警大队联合南丰、杏花派出所组织民警在佛山市南海区一举抓获涉嫌侵犯公民个人信息的犯罪嫌疑人3名,现场缴获作案电脑、手机、银行卡一批,以及犯罪嫌疑人非法获取的海量公民个人信息。
经查,自2020年起,嫌疑人钟某通过非法软件开始接触“外面的世界”,并利用该类软件非法获取大量公民信息,通过不法渠道贩卖获利。2020年11月,嫌疑人林某在得知其老友钟某有“来钱比较快”的渠道后,两人“一拍即合”开始同流合污。他们通过暗网、加密聊天软件在网络上以购买、非法软件下载等非法方式大肆获取公民信息,为逃避公安打击,犯罪嫌疑人所谓机关算尽,利用“泰达币”“以太坊”等虚拟货币进行资金结算,在明知他人购买公民个人信息可能用于诈骗等违法犯罪的情况下,仍然肆无忌惮地出售这些公民信息获利。短短几个月的时间,两人就通过非法手段获取海量公民信息近亿条出售获利近8万元。
粤封开公安破获利用暗网侵犯个人信息案 广东省肇庆市封开县公安局供图 公安机关在对犯罪嫌疑人被查扣的手机、电脑、U盘等电子设备进行固证过程中,发现被非法获取海量公民个人信息门类繁多:包括车主车辆、房产业主、个人通讯、学籍、网贷、网购、股票投资等等。这些个人信息一旦被他人用于违法犯罪活动,后果将不堪设想,此案告破后,等待犯罪嫌疑人的将是法律的严惩。
封开县公安机关提示每一位公民做好防护措施保护好个人信息防止泄漏,文明守法进行网络生活。