2025年,勒索软件攻击呈现明显反弹态势,与2024年相比,公开曝光的案件数量增长了45%,总计达到9251起。这些数据来源于威胁暴露管理平台NordStellar的最新报告。
尤其是第四季度,攻击活动达到近两年峰值。攻击者充分利用年底人员减少、警惕性下降的时机,12月单月案件就突破1004起,创下同期最高纪录。
从受害者分布看,美国中小型制造商成为重灾区,特别是通用制造业、机械制造以及家电、电气和电子产品制造领域的企业,遭受冲击最为严重。
在活跃团伙中,Qilin的表现最为突出,全年攻击数量位居首位,其次是Akira和重新活跃的Cl0p。
NordStellar网络安全专家Vakaris Noreika指出:“年底最后一个季度,许多勒索软件团伙故意抓住企业监控松懈的窗口期发起攻击。但更令人担忧的是,全年攻击都在持续攀升,手段越来越激进。如果趋势延续,2026年的案件数量很可能突破1.2万起。”
他还提到,尽管有15个暗网勒索软件团伙突然宣布“退休”,但活跃的勒索软件团伙数量还在快速增加。2025年追踪到的案件涉及134个不同勒索软件团伙,比2024年的103个增加了30%。
美国中小企业承受最大压力 美国企业仍是首要目标,2025年记录在案的案件达到3255起,同比增长28%,占全球总量的64%。加拿大以352起位列第二(增长46%),德国270起(增长97%),英国233起(增长2%),法国155起(增长46%)。
员工规模不超过200人、年收入低于2500万美元的中小企业受害最重,这与2024年的情况一致——它们始终是勒索软件攻击的主要对象。
Noreika解释道:“中小企业往往缺少专职安全团队和充足预算,也更容易使用老旧软件,监控能力有限,很多还依赖外部供应商提供IT支持。一旦中招,为了尽快恢复业务,它们往往选择支付赎金,这也让攻击者把它们当作首选目标。”
制造业持续高危 制造业仍是重灾区,2025年发生1156起事件,同比增长32%,占比19.3%。紧随其后的是IT行业(524起,增长35%)、专业科学和技术服务业(494起,增长30%)、建筑业(443起,增长24%)。医疗保健行业则略有回落,339起,同比减少6%。
在制造业内部,中小型通用制造企业受害最严重,其次是机械制造以及家电、电气和电子产品制造领域的中小企业。
Qilin等团伙主导攻击 Qilin以1066起攻击高居榜首,同比增长408%;Akira947起(增长125%);Cl0p594起(增长525%);新兴的Safepay增长尤为迅猛,464起(增长775%);INC ransom则有442起(增长83%)。
面对持续威胁,企业该怎么做 Noreika强调,强化基础安全措施是当务之急:及时更新系统和应用、启用多因素认证、落实密码管理策略、推行零信任架构,防止恶意软件横向扩散。
“威胁情报在早期发现和阻止攻击中至关重要,”他表示,“暗网泄露的数据往往包含凭据或敏感信息,及早监测可以让企业迅速重置密码、撤销密钥、封禁账户,从而更快响应事件。”
“暗网下/AWX”警告,2026年,勒索软件威胁不会减弱,企业只有把基础防护、情报监测和应急响应真正落到实处,才能有效降低风险。
同时,制定详细的勒索软件事件响应计划和数据恢复方案同样不可或缺。定期备份关键数据,能最大程度减少业务中断时间,让企业在攻击来临时更有底气拒绝支付赎金。
反洗钱公司AMLTRIX的最新研究表明,暗网上被盗和伪造身份信息的交易蓬勃发展,犯罪分子可以在暗网上以低至30美元的价格购买“身份信息包”,其中包括身份证扫描件、自拍照片和个人数据档案。
专家发现,随着身份盗窃案件的持续增加,英国等国民身份证件、驾驶执照、信用卡信息和“常旅客”护照的售价高达2000英镑。这些信息可以被以多种方式利用,例如用于申请信用卡、抵押贷款、汽车贷款或开设银行账户。
研究人员于2025年12月初分析了25个活跃的暗网市场和论坛,发现组装一套能够绕过标准KYC验证的工具包的成本已降至30美元。这项研究揭露了被盗数据的多种使用方式,曾经需要专业技能才能完成的工作,如今已成为一项廉价的、工业化的服务。
研究显示,犯罪分子只需花费一份外卖的价钱,就能轻松购买到高分辨率的身份证扫描件、一张匹配的自拍照以及一系列个人数据,这些数据旨在绕过银行、金融科技公司和加密货币平台的第一道安全审核。需要实时视频验证的系统,现在也正被越来越先进的摄像头模拟工具所欺骗。
AMLTRIX联合创始人加布里埃利乌斯·埃里卡斯·比尔克什蒂斯(Gabrielius Erikas Bilkštys)表示:“现在,包含身份证扫描和自拍照的完整身份包价格低廉,犯罪分子可以批量购买,如果这还不够,暗网还提供了其他更可靠(尽管更昂贵)的选择。这反映出个人数据被盗和转售的频率之高,以及这个市场的产业化程度之高,非法身份信息市场已经变得既庞大又自动化。”
AMLTRIX表示,一旦身份数据进入地下市场,同一身份信息就可以被反复用于开设银行账户、支付账户或加密货币钱包,实施身份盗窃,而受害者往往在讨债公司或执法部门联系他们之前毫不知情。
与迅速贬值的被盗信用卡信息不同,“全套身份信息”可以为洗钱账户提供基础,使其能够在被发现之前洗白大量资金。价格因地区而异。美国身份信息通常售价在45至100美元之间,英国身份信息售价在30至35美元之间,澳大利亚、俄罗斯或法国身份信息售价在20至30美元之间。
其中一些价值较高的物品是爱尔兰或英国护照,售价可能超过2500美元,而经过KYC验证的英国企业银行账户,价格从900英镑到2000英镑不等。根据AMLTRIX的数据,在英国NatWest和Barclays等主要银行开设的账户价值最高。
一个显著的变化是预验证账户溢价的飙升。经过验证的加密货币账户现在售价在200至400美元之间,几乎是原始身份数据价格的十倍。AMLTRIX指出,这种溢价表明,试图绕过生物识别验证的犯罪分子失败率很高。实际上,犯罪分子愿意支付270美元的风险溢价,来承担绕过实时验证系统的难度。
该研究还发现,被黑客入侵的英国亚马逊账户平均售价为15英镑,而Netflix等订阅服务的登录信息售价约为10英镑。此外,暗网市场上还出现了伪造的英格兰银行钞票,售价通常约为面值的25%至35%。一些卖家声称他们的钞票能通过紫外线检测,并提供小额样品订单作为质量证明。
虽然在很多情况下,出售的数据是合法的,但AMLTRIX也指出存在一些诈骗案例。
比尔克斯蒂斯先生表示,对于各企业而言,一个主要的误解是将暗网视为一个完全独立的世界。“许多企业仍然认为暗网是一种遥远而陌生的威胁。实际上,暗网与企业合规团队已经习惯处理应对的日常网络钓鱼活动、大型数据泄露、账户盗用和洗钱案件密切相关。”
比尔克什蒂斯警告说,暗网经济并非一个孤立的生态系统,它同样受到网络钓鱼攻击、数据泄露和账户盗用的威胁。他认为,仅仅收集更多文件或自拍照已经远远不够了。
他表示,随着身份欺诈的成本降低、速度加快和自动化程度提高,银行和金融科技公司在2025年面临的挑战正在发生转变。他们的任务是确定设备背后的用户是真实身份,还是暗网“廉价身份工厂”的产物。
据英国科学、创新和技术部(DSIT)称,2024年,43%的英国企业报告称遭遇了网络安全漏洞或攻击。英国反欺诈服务机构Cifas发现,2025年1月至6月期间,记录在案的身份盗窃案件超过118,000起。
利兹大学网络犯罪专家大卫·沃尔表示:“问题存在于两个层面。[首先]是个人数据,他们可能因此遭受经济损失,这种情况通常通过账户盗用发生,或者更常见的是通过冒充银行工作人员的电话进行诈骗。另一个层面是组织层面的数据访问。”
沃尔先生说,犯罪分子会收集这些数据,并将其处理成软件包,然后出售给其他犯罪分子。“有些数据集是骗局,一部分犯罪分子试图以此诈骗另一部分,但另一些则是真实的,可以为相关组织提供初步访问权限。这非常令人担忧,因为他们参与了近年来大多数西方国家遭受的一些规模较大的网络攻击,主要是勒索软件攻击。”
AMLTRIX框架是一个开源的、社区驱动的资源,用于绘制金融犯罪活动图谱,其中包含一个日益全面的列表,列出了这些不法分子使用的技术和方法。
我们大多数人都听说过“暗网”和“欺诈”,因为身份盗窃仍然是2026年消费者和企业面临的最大问题之一。
暗网是深网的一部分,深网包含一些不会出现在标准搜索引擎结果中的网页。当你登录网上银行、Netflix 或电子邮件时,你就是在接触“深网”。
要访问暗网网站,你需要一个特殊的浏览器(例如 Tor 或洋葱路由器),它可以加密你的身份并匿名化你的数据。由于其匿名性,暗网已成为网络犯罪和诈骗的中心,包括交易被盗的个人信息。
仅经过两个月的调查,一种名为Lumma Stealer的恶意软件就在近 40 万台电脑上被发现。这种信息窃取程序会窃取密码、信用卡号、银行账户信息和加密货币钱包登录信息等个人凭证,最终在微软和执法机构的共同努力下被关闭。
这款信息窃取程序已经存在多年,由于其高效性和有效性,仍然深受网络犯罪分子的青睐。更令人担忧的是,这种恶意软件以及其他类似恶意软件的新变种层出不穷。
由于大多数被盗凭证最终都会在暗网上出售,因此对于企业而言,集成能够检测和防止数据泄露的暗网监控工具变得至关重要。
正如Javelin Strategy & Research的网络安全总监特蕾西·戈德堡(Tracy Goldberg)在报告《暗网威胁情报:现代网络安全的关键支柱》中概述的那样,采用这些工具只是组织保护其运营免受日益增长的信息窃取威胁的第一步。
大量用户个人信息被盗取 一种名为数字窃取器的恶意软件变种常被用于电子商务应用程序中,在结账过程中窃取支付卡数据。相比之下,信息窃取器则可以窃取与购买相关的所有可用浏览数据。
这种广泛的访问权限使得信息窃取者成为一种特别有害的威胁,因为他们可以收集更多的数据,而且规模更大。
戈德堡说:“假设你有浏览历史记录。如果你不定期清除浏览数据——我认为我们大多数人都不会这样做——这些信息窃贼就能窃取你的Cookie。有些窃贼甚至可以窃取你的自动填充数据。一旦他们获得了浏览历史记录的访问权限,他们就能入侵各种类型的账户。”
“窃取你的电子钱包和信用卡数据只是冰山一角,一些新兴的信息窃取者甚至能够截取屏幕截图,”她说。“即使你之后清除了浏览历史记录,一旦信息窃取者入侵并截取了屏幕截图——除非你修改了浏览数据中被保存的密码——否则他们就掌握了你的信息。”
由于具备这些能力,分析人士估计,信息窃取者已经窃取了数十亿条个人凭证。他们收集的数据很容易被不法分子汇总,并经常在暗网上拍卖。
虽然个人数据元素有时会被零散地出售,但令人担忧的是,现在出现了一种将完整的个人数据包一起出售的趋势。
戈德堡说:“信息窃取工具之所以对网络犯罪分子如此有吸引力,是因为它们可以将数据打包。它们可以打包你的出生日期、常用密码、用户名、信用卡信息和社保号码。所有这些信息都可以打包出售,从而轻易地盗用你的身份,或者利用你的部分信息创建一个虚假身份。”
人们必须减少对密码的依赖 为了保护客户,金融机构必须采取多管齐下的策略。抵御旨在窃取凭证的恶意软件威胁的最重要方法之一,就是减少凭证的使用。
戈德堡说:“我们必须摆脱用户名和密码。消费者需要做的身份验证越少,我们就越安全。能够用于验证个人或设备身份的后端分析越多,我们就越安全——因为人永远是最薄弱的环节。”
终端用户的脆弱性是近年来网络钓鱼攻击如此猖獗的原因之一。不法分子现在可以利用复杂的技术伪造看似来自合法来源的信息。例如,最近许多消费者都收到了声称来自政府机构的关于未缴通行费的虚假短信。
犯罪分子会将这些极具说服力的信息与社会工程学技巧相结合,迫使用户采取紧急行动。这些策略——网络钓鱼和社会工程学技巧——是许多诈骗攻击的基础,信息窃取者也不例外。
由于这些攻击变得越来越有效,因此必须摒弃传统的用户名/密码模式。然而,目前对登录凭证的广泛依赖使得这种转变在短期内不太可能发生。
戈德堡表示:“对银行和信用社来说,最重要的启示是,我们必须开始着眼未来,搭建一座桥梁,连接我们现在使用用户名和密码的时代和未来,最终摆脱用户名和密码的束缚。这意味着要采用多因素身份验证,并利用行为生物识别和分析技术来补充用户名和密码。”
“最终,我们可以完全取消用户名和密码,”她说。“另一个弥补漏洞的措施是确保密码强度,并要求客户和会员定期更改密码——至少每90天一次。”
暗网威胁情报非常重要 除了加强身份验证方法外,企业与金融机构还必须采取措施,查明哪些数据可能已被泄露。这需要利用暗网威胁情报平台,这些平台持续监控暗网,查找任何可能泄露机构客户或会员信息的内容。
戈德堡说:“假设他们的客户是美国银行,那么暗网威胁情报提供商就会去搜索暗网——甚至包括公开网络、社交媒体帖子等等——看看是否有任何与美国银行有关的信息。”
她表示:“通常情况下,美国银行作为客户,也会向暗网服务提供商提供任何可能帮助他们发现已被盗用的账户的数据。然后,暗网威胁情报提供商会想方设法防止这些数据泄露。”
许多暗网威胁情报平台的一项主动功能是部署分析师,让他们伪装成网络犯罪分子潜入暗网。这些分析师监控威胁行为者的通信,以检测新出现的威胁或安全漏洞。
在某些情况下,他们甚至可以从暗网上重新购买被盗数据,并在造成进一步损害之前将泄露的凭证或信息归还给客户。
随着欺诈损失和系统影响的加剧,越来越多的机构意识到恶意软件的潜在危害。然而,信息窃取行为带来的额外影响意味着金融机构必须立即实施强有力的防御措施。
戈德堡表示:“其中一个重要结论是,仍然有一些企业对暗网威胁情报的相关性持观望态度。这些信息窃取者并非新生事物,它们已经存在一段时间了。但它们仍在不断演变,我们不断看到新的、更强大的变种出现。”
“如果你之前还不相信,现在你应该相信暗网威胁情报至关重要,因为它能帮助你在网络安全方面更加积极主动、更具预测性,而不是在欺诈发生后才被动应对,”她说。
什么是暗网监控工具 暗网监控工具是一种用于搜索暗网的工具。暗网是互联网的一部分,未被标准搜索引擎收录,其用途是查找个人数据或凭证等信息。这些扫描器可以帮助个人和组织检测其敏感信息是否已在暗网上泄露或交易。
简而言之,暗网扫描器是一种能够识别和扫描买卖和共享被盗数据的网站的服务。被盗身份数据可能包含敏感信息,例如个人身份信息 (PII)、非公开信息、加密和密码保护的非法内容,以及发布在暗网上的其他敏感数据。
身份盗窃的类型有很多,需要警惕。从网络钓鱼邮件诈骗到数据泄露,再到电脑上的恶意软件,所有这些都可能将用户的个人信息(信用卡号、CVV码或社会安全号码)暴露给黑客。
暗网监控工具会使用用户的个人信息(例如用户的电子邮件地址)来扫描暗网,查找任何匹配项。大多数监控工具首先会搜索缺乏完善隐私保护措施的非法市场或论坛。
尽管暗网监控工具覆盖范围广,但没有任何一款能够扫描到所有因犯罪活动而散布在整个暗网上的被盗数据。这是因为很多被盗数据都是私下交易的。不过,如果用户怀疑自己的个人信息已被泄露,暗网扫描可以有效地帮助用户消除疑虑。
本文“暗网下/AWX”将介绍一些常见暗网监控工具的主要功能。
10款值得使用的暗网监控工具 一、Firefox Monitor Firefox监控工具是Mozilla自家的安全漏洞检测服务,完全免费。它会使用用户的邮箱地址扫描暗网,查找已知的安全漏洞,并在用户的信息泄露后及时通知。
主要功能:
1、强有力的泄露数据搜索
Firefox的这项服务允许用户搜索知名的数据泄露事件。它还会列出近期发生的泄露事件以及泄露的信息。
2、全面的安全提示
Mozilla向用户普及与网络安全和数据泄露相关的各种主题——黑客的工作原理、如何避免黑客攻击、如何创建强密码等等。
3、实时数据泄露警报
此功能允许用户设置警报,以便在扫描器在暗网上发现用户的信息时收到通知。如果用户遭遇数据泄露,用户将收到通知,其中包含有关泄露源头和泄露信息的内容。Firefox还允许用户设置多邮件监控。
二、Aura Aura的一体化数字健康解决方案包括暗网监控、信用警报、账户监控等功能。Aura的家庭套餐也是保护用户的孩子和家人免受身份盗窃侵害的顶级解决方案。所有Aura套餐均包含100万美元身份盗窃保险、对潜在可疑活动的快速警报以及24/7/365全天候客户支持。
主要功能:
1、在线账户和个人信息监控
Aura会持续监控用户的在线信息,并会在发生任何未经授权的访问或可能的数据泄露时及时通知。
2、暗网监控(个人信息和社保号码监控)
Aura还会在发现有其他人在网上使用用户的社保号码或其他敏感信息时通知用户。这包括任何人使用其身份证件开设新账户或信用额度。
3、身份验证监控
威胁行为者”AlphaGhoul“开始在暗网推广一款名为NtKiller的新型恶意工具,该工具旨在悄无声息地关闭杀毒软件和终端检测工具,可用于勒索软件攻击和初始访问代理。
该工具发布在一个地下论坛上,犯罪分子聚集在该暗网论坛买卖黑客服务。威胁行为者发布的广告称,NtKiller可以帮助攻击者在受感染的计算机上运行恶意软件时避免被杀毒软件及端点防御系统检测到。
NtKiller的出现对依赖传统安全工具的组织来说是一个重大挑战。
威胁行为者声称该工具可以对抗许多流行的安全解决方案,包括Microsoft Defender、ESET、Kaspersky、Bitdefender和Trend Micro。
更令人担忧的是,有说法称该恶意软件在激进模式下可以绕过企业级EDR解决方案。KrakenLabs分析师指出,该恶意软件能够利用早期启动持久化机制保持隐蔽,一旦激活,安全团队就很难检测和清除它。
KrakenLabs的研究人员发现,NtKiller采用模块化定价结构,核心功能定价为500美元,而rootkit功能和UAC绕过等附加功能则分别需要额外支付300美元。
🚨 New underground tool advertised: #NtKiller
The threat actor #AlphaGhoul is promoting NtKiller, a utility designed to stealthily terminate antivirus and EDR solutions. The advertisement was published on an underground forum forum, positioning the tool as a defensive bypass… pic.twitter.com/1lbfw1bD0r
— KrakenLabs (@KrakenLabs_Team) December 23, 2025 整个软件包定价为1100美元,这种定价模式表明,该工具已经过改进,可以面向网络犯罪分子群体进行商业销售。
该工具声称的功能不限于简单的进程终止,还包括支持高级规避技术,体现了当今地下恶意软件经济中常见的专业级开发和维护水平。安全研究人员指出,NtKiller的模块化设计和商业风格的呈现方式体现了网络犯罪工具日益复杂的趋势,模糊了渗透测试工具和恶意软件之间的界限。
NtKiller的技术能力高超 NtKiller所具备的技术能力使其在经验丰富的攻击者手中尤其危险。
卖家的描述声称,NtKiller可以静默地禁用Windows环境中的多层保护,包括那些采用Hypervisor保护的代码完整性(HVCI)、基于虚拟化的安全(VBS)和内存完整性加固的保护。
这些保护措施通常可以防止恶意或未签名的驱动程序执行,这使得所宣传的兼容性显得尤为重要。
该工具的早期启动持久化机制的工作原理是在系统启动期间建立自身,此时许多安全监控系统尚未完全激活。这种时间优势使得恶意载荷能够在检测能力极弱的环境中执行。
此外,反调试和反分析保护措施阻止研究人员和自动化工具检查恶意软件的行为,从而造成了对其实际功能与营销宣传之间存在重大的知识差距。
静默绕过用户帐户控制(UAC)选项是另一项关键技术特性。绕过UAC允许恶意软件在不触发标准Windows提示(这些提示可能会提醒用户注意可疑活动)的情况下获得更高的系统权限。结合rootkit功能,攻击者可以对受感染的系统保持持续访问,同时还能躲过标准安全监控。
KrakenLabs表示,NtKiller除了能够绕过安全系统的警报外,还支持虚拟机监控程序保护的代码完整性 (Hypervisor-Protected Code Integrity)、基于虚拟化的安全性(Virtualization-based Security)和内存完整性(Memory Integrity),这表明它可能被用于自带漏洞驱动程序(BYOV)攻击技术。
Resecurity最新研究发现,未经审查的暗网人工智能助手正在兴起,使威胁行为者能够利用其先进的数据处理能力进行恶意活动。其中一款名为DIG AI的工具于今年9月29日被发现,并已在网络犯罪分子和有组织犯罪圈子中迅速传播,获得网络犯罪分子的青睐——安全研究人员警告说,这可能会显著加速2026年的非法活动。
该工具名为DIG AI,它允许威胁行为者以极低的技术水平生成恶意软件、诈骗和非法内容,凸显了人工智能是如何被武器化并突破传统安全措施的。2025年第四季度,Resecurity的HUNTER团队观察到,恶意行为者使用DIG AI的数量显著增加,并在冬季假期期间加速增长,当时全球非法活动创下新纪录。
Resecurity的研究人员表示,随着2026年米兰冬奥会和FIFA世界杯等重要赛事的举办,人工智能“将带来新的威胁和安全挑战,使不法分子能够扩大其行动规模并绕过内容保护策略”。
服务犯罪的人工智能的崛起 DIG AI代表了一类新型的“不良”(“犯罪”或“未经审查”)人工智能工具,专门用于绕过ChatGPT、Claude和Gemini等主流平台中嵌入的内容审核和安全控制。其合法性和伦理性取决于工具本身、使用方式和使用者,以及可能对社会造成危害的技术的开发者。
它的迅速普及凸显了现代人工智能可以多么迅速地被重新利用,以扩大网络犯罪、欺诈和极端主义活动的规模——通常比防御者适应的速度还要快。
网络犯罪论坛上提及和使用恶意人工智能工具的次数显著增加(2024-2025年增幅超过200%),表明这些技术正在迅速普及和发展。“暗网下/AWX”多次报道,FraudGPT和WormGPT是目前最知名的专门面向网络犯罪分子的AI工具,但随着新的越狱和定制版LLM工具不断涌现,网络犯罪领域正在快速演变。这些工具通过自动化和增强恶意活动,降低了网络犯罪的门槛。
这些工具通常被称为“暗黑 LLM”(大型语言模型)或“越狱”AI 聊天机器人,它们要么是从零开始构建的,要么是合法 AI 模型的修改版本,移除了其安全限制。
DIG AI使恶意行为者能够利用人工智能生成各种线索,从制造爆炸装置到制作包括儿童性虐待材料在内的非法内容,无所不能。由于DIG AI托管在TOR网络上,执法部门难以发现和访问此类工具。它们催生了一个庞大的地下市场——涵盖盗版、衍生品以及其他非法活动。
尽管如此,也有一些重要的倡议,例如国际电信联盟(ITU)和联合国数字技术机构于2017年共同发起的“人工智能向善”(AI for Good)项目,旨在促进新技术的负责任使用。然而,不法分子则会把重点放在完全相反的事情上——将人工智能武器化和滥用。
一款专为犯罪而打造的暗网人工智能DIG AI 与合法的AI平台不同,DIG AI不需要用户注册,只需点击几下即可通过Tor浏览器访问。DIG AI的暗网V3地址为:
https://digdig2nugjpszzmqe5ep2bk7lqfpdlyrkojsx2j6kzalnrqtwedr3id[.]onion
研究人员证实,DIG AI可以生成功能性恶意脚本,能够为易受攻击的Web应用程序以及其他类型的恶意软件中植入后门,并自动执行诈骗活动。
根据Resecurity的测试,除了网络犯罪之外,该工具可以生成涵盖各种非法领域的各种内容,包括欺诈计划、恶意软件开发、毒品制造说明和极端主义宣传。Resecurity的分析师利用与爆炸物、毒品、违禁物质、欺诈和其他受国际法律限制的领域相关的分类词典,对DIG AI进行了多次测试。
当与外部API结合使用时,该平台能够让不法分子高效地扩展其行动规模——在降低成本的同时提高产量。
虽然由于计算资源有限,一些资源密集型任务(例如代码混淆)可能需要几分钟才能完成,但分析人士指出,攻击者可以通过付费高级服务层级轻松解决这些限制。这开启了“不良人工智能”的新领域——恶意行为者设计、运营和维护定制的基础设施,甚至是类似于用于防弹托管的数据中心,但其目的是为了让犯罪人工智能能够有效地扩展其运行规模,同时考虑负载、并发请求以及多个用户同时使用的情况。
DIG AI背后的运营者,化名“Pitch”,在暗网论坛Dread上发帖推广该服务,声称该服务基于ChatGPT Turbo构建,并移除了所有安全限制。
在暗网里,该工具的广告横幅出现在与毒品贩运和被盗支付数据相关的地下市场主页上,凸显了它对有组织犯罪网络的吸引力。
犯罪人工智能如何助长儿童性虐待 其中最令人担忧的发现之一是DIG AI在促进AI生成的儿童性虐待材料(CSAM)方面可能发挥的作用。
生成式人工智能技术——例如扩散模型、生成对抗网络(GAN)和文本转图像系统——正被积极滥用,能够生成高度逼真、露骨的儿童图像或视频——既可以通过生成完全合成的内容,也可以通过篡改真实未成年人的正常图像来实现。这将给立法者在打击 CSAM 内容的制作和传播方面带来新的挑战。
Resecurity证实,DIG AI可以协助生成或操纵涉及未成年人的露骨内容。Resecurity表示其团队与相关执法部门合作,收集并保存了不良行为者使用DIG AI制作高度逼真的CSAM内容的证据——有时被贴上“合成”的标签,但实际上被解释为非法。
全球执法机构已经报告称,人工智能生成的儿童性虐待材料案件急剧增加,其中包括涉及篡改真实儿童图像和用于敲诈勒索或骚扰的合成内容的事件。
近年来,包括欧盟、英国和澳大利亚在内的多个司法管辖区都颁布了法律,明确将人工智能生成的儿童性虐待材料定为犯罪行为,无论其中是否描绘了真实的未成年人。然而,当工具匿名托管在暗网上时,执法仍然很困难。
暗网里的人工智能没有任何限制与审查 主流人工智能,如OpenAI的ChatGPT、Anthropic的Claude、Google Gemini/Bard、Microsoft Copilot和Meta AI等平台都采用了内容审核系统。这些系统会审查或限制仇恨言论、虚假信息、色情内容、暴力、非法活动以及(在某些司法管辖区)政治言论等类别的内容。审查的主要原因是遵守法律(例如欧盟人工智能法案)、保护用户免受伤害、维护道德标准以及保障公司声誉和市场准入。
然而,这些保障措施对于像DIG AI这样的暗网托管服务来说,大多无效,因为这些服务在传统的法律和管辖范围之外运作。
犯罪分子越来越多地对开源模型进行微调,移除安全过滤器,并使用受污染的数据集训练系统,以按需生成非法输出。这催生了一种以“人工智能即服务”为核心的新兴地下经济,这种经济模式模仿了合法的商业模式,但社会风险却高得多。
降低人工智能威胁带来的风险 以下步骤概述了网络安全团队可以采取的切实可行的措施,以提高抵御人工智能攻击的能力。
加强对电子邮件、网络、身份和API攻击面上的AI辅助网络钓鱼、欺诈、恶意软件和自动化滥用行为的检测和监控。 扩大威胁情报计划,使其涵盖暗网市场、犯罪人工智能工具、品牌滥用以及人工智能定向攻击的早期迹象。 通过网络分段与主动保护面向公众的资产来减少攻击面,通过强制执行防钓鱼的多因素身份验证(MFA)、最小权限访问、持续身份验证和零信任原则来加强身份和访问控制。 通过将人工智能攻击场景纳入网络安全防护演练,培训员工和高风险团队识别人工智能生成的诱饵、深度伪造冒充以及用于欺诈和社会工程攻击的合成媒体,提高事件应急响应能力。 这些措施共同帮助各企业加强安全态势,应对人工智能威胁带来的风险。
人工智能带来新的安全挑战 不法分子已经通过精心设计的提示或对抗性后缀滥用人工智能系统,绕过内置的安全协议,导致模型生成违禁内容。DreamBooth和LoRa等工具使犯罪分子能够利用开源的低级模型(LLM)生成针对特定目标的儿童性虐待材料(CSAM)。这个问题也为犯罪分子创造了新的商业模式,使他们能够优化成本,并大规模地利用合成的非法内容发展地下经济。
Resecurity预测,不法分子将积极操纵数据集,例如受污染的训练数据(如LAION-5B,其中可能包含儿童性虐待材料或良性内容与成人内容的混合),从而使模型能够学习并复制非法输出。犯罪分子可以在自己的基础设施上运行模型,或将其托管在暗网上,从而生成在线平台无法检测到的无限非法内容。他们还可以允许他人访问相同的服务,以创建自己的非法内容。开源模型尤其脆弱,因为安全过滤器可以被移除或绕过。这些模型正在被微调和破解,以生成非法内容。
DIG AI并非孤立的发展,而是武器化人工智能如何开始重塑更广泛的威胁格局的早期迹象。随着犯罪分子和极端分子采用自主人工智能系统,安全团队必须应对规模、速度和效率远超传统人为攻击的威胁。
在数字阴影中,一个平行就业市场悄然崛起:暗网已成为网络犯罪集团招募IT专家、洗钱高手和技术能手的温床。这与合法科技行业的趋势惊人相似——从远程协作到技能导向招聘,却裹挟着更高的风险和更低的门槛。
近期,卡巴斯基发布研究报告,卡巴斯基实验室对2023年1月至2025年6月地下论坛中2225条工作相关帖子的深度分析显示,暗网“影子经济”招聘活动持续强劲,不仅反映了全球经济波动(如科技巨头的大规模裁员),还预示着就业规范的深刻转变。不同于传统招聘平台的学历筛选和官僚流程,暗网更青睐实战检验,凸显了实用技能在地下世界的主宰地位。
技能为王:从学历到实战的招聘范式转变 暗网就业市场的核心逻辑已悄然颠覆:实践经验取代正式教育,成为首要筛选标准。卡巴斯基分析师观察到,求职者日益突出其在影子经济中的“战绩”——如成功执行过加密任务或规避检测的案例——而非大学文凭或证书。这反映了地下生态的生存法则:在这里,理论知识远不及已验证的能力可靠。
雇主同样转向结果导向,优先考察候选人的作品集和过往成就。例如,一则典型招聘帖可能要求应聘渗透测试员提供“过去绕过企业防火墙的实际案例”,而非简历上的学位。报告数据显示,这种“能力优先”的招聘帖占比高达70%以上,与合法科技公司(如谷歌或微软)的“试用项目”面试异曲同工,却更直接、更残酷:失败者瞬间出局。
这种转变并非孤立,而是全球就业趋势的镜像。科技行业的裁员潮(如2023-2024年Meta和Amazon的数万岗位削减)推动了更多专业人士转向地下市场,寻求“无审查”的机会。结果,暗网帖子中“经验证明”的提及频率飙升30%,强调“快速上手、零培训”的候选人脱颖而出。
岗位需求与薪资镜像:热门技能驱动高回报 暗网招聘的多样性令人侧目:69%的求职者未指定领域,宣称“任何工作皆可”,反映了入门门槛的降低和机会的泛化。IT领域主导市场,开发人员、渗透测试员和洗钱专家位列最热职位榜首。其中,逆向工程师薪资冠绝群雄,顶尖人才月入可达4000美元以上,中位数也高达4000美元——远超设计师/测试员的1300美元和攻击者的2500美元。这与卡巴斯基在2023年初的研究结论基本一致,”暗网下/AWX“当年曾做过专门报道。
支付以加密货币为主(如比特币或门罗币),提供即时结算的灵活性,却缺乏法律保障:无合同、无社保、无解雇补偿。报告中一则洗钱专家招聘帖示例道:“月薪3000美元起,需证明过去处理过10万美元资金流;远程,全加密支付,绩效奖金额外20%。”这与合法平台的“股权激励”类似,却更注重即时回报。
青少年求职者的涌入进一步丰富了市场图景:许多16-20岁年轻人寻求“快速小单”,如社交工程诈骗,已积累入门技能,却视地下工作为“副业起步”。一例帖子显示,一名18岁求职者自荐:“精通钓鱼脚本,过去月入500美元,求稳定洗钱助理。”这群体的占比从2023年的15%升至2025年的28%,凸显了数字原住民对影子经济的亲和。
不过,由于全程在暗网中对接联系,并通过加密货币进行支付结算,通常幕后老板无法实际控制其远程招聘的人员,如果出现薪资或者经营理念的争议,员工往往会直接撂挑子甚至造成毁灭性打击。本站(anwangxia.com)曾经报道,2022年夏天,暗网交易市场Omicron Market被其招聘的PHP程序员入侵并关闭。
招聘实践:任务测试与激励机制的“合法”镜像 暗网招聘摒弃了冗长面试,转向以任务为导向的评估:候选人须完成付费测试,如“加密恶意软件样本”或“模拟规避AV检测”,费用通常50-200美元。这多阶段流程——初筛任务+技能验证+试用期——与合法行业的“代码挑战”如出一辙,却更高效、更包容非传统路径。
激励机制同样“借鉴”主流:远程办公、弹性时间、绩效奖金和带薪休假日益常见。一则渗透测试招聘帖承诺:“月薪2500美元+项目奖金,弹性8小时/天,年度休假20天。”尽管法律风险如逮捕或资金冻结如影随形,这些福利降低了入门壁垒,吸引了从合法市场“跳槽”的专业人士。
人口统计变化加剧了这一融合:求职者平均年龄从2023年的25岁降至2025年的22岁,技术资格却在提升——更多人携带着合法IT证书,却因经济压力转向地下。全球事件如疫情后遗症和2024年AI裁员潮,直接推高了帖子量:2025上半年同比增长18%。
未来展望:影子市场与合法经济的深度交融 展望2026年,卡巴斯基预测暗网求职者平均年龄和技术专长将进一步攀升:更多“合法失业”IT精英涌入,推动市场专业化。同时,缺乏约束合同的灵活性(雇主可随时“解雇”)虽便利,却放大不稳定性——报告中20%的帖子提及“试用即付,表现差即止”。
这一演变揭示了暗网就业市场的本质:它不再是孤岛,而是合法经济的扭曲镜像。企业忽略这一趋势将错失劳动力洞察——地下招聘的“经验主义”或将反哺主流,促使更多公司采用任务测试和技能优先模式。最终,影子经济提醒我们:在数字时代,人才流动无界,安全监控需延伸至“隐秘角落”。
最近发布的一份报告指出,犯罪团伙和黑客组织利用广泛的洗钱活动,这种活动似乎每年都在变得更加复杂,并且越来越多地使用加密货币。
报告显示,多个俄语暗网市场利用西方加密货币交易所转移了巨额资金。2025年1月至9月期间,这些市场转移的资金接近20亿美元。
报告昭示:俄罗斯的暗网经济不仅在赚钱,而且还在帮助克里姆林宫资助混合攻击、规避制裁和破坏全球安全。
价值20亿美元的洗钱通道是什么? 区块链分析公司Global Ledger进行了深入调查。他们发现,俄语暗网交易市场非常活跃。这些俄语暗网市场是贩卖非法商品的地下黑市,他们通过西方加密货币交易所洗钱。短短九个月内,他们就转移了近20亿美元。
反腐专家伊利亚·舒马诺夫(Ilya Shumanov)在报告中重点阐述了这些发现。《内幕新闻》于11月9日发布了这份报告,报告描绘了一幅运转良好的金融机器的图景。
五大加密货币交易所是最大的几家平台,它们分别是MEGA、BlackSprut、Kraken、OMG!OMG! 和 Nova,主导了大部分洗钱活动。
其中有一个平台格外引人注目,Kraken交易所一家就转移了高达13亿美元的资金,超过了总金额的一半。而且,这些资金并非全部流向了同一个地方。
Global Ledger发现,这些资金至少通过20家不同的持牌加密货币交易所进行清洗。这些平台持有超过130项国际运营许可证。这使得它们看起来合法,也帮助犯罪分子逃避监管。
最令人担忧的是其增长速度。这些交易每年都在以20%到25%的速度增长。这不是一个可以轻易解决的小问题。
巨额资金是如何清洗的? 这些人是怎么逃脱惩罚的?他们不会直接汇款,那样太容易追踪了。(报告总结出三种方式:🔸 OTC brokers 🔸 Peer-to-peer transfers 🔸 Mixers/tumblers)
据《内幕》报道,这些网络使用巧妙的手段。他们需要掩盖所有资金的来源。他们主要使用的工具是场外交易(OTC)。经纪人充当买卖双方的中间人,帮助完成大额交易而不引起公众注意。这些网络也严重依赖点对点(P2P)转账。
这种方法允许用户直接相互交易加密货币,绕过了规则繁多的传统交易所系统。此外,他们还使用混币服务(也称为混币器)。这些服务会从多个用户处收集加密货币并混合在一起,然后再将混合后的加密货币发送回用户的新地址。这完全掩盖了追溯原始来源的路径。
这就像从银行抢劫案中拿走一袋现金,然后把它和其他人的一些钱调换过来。到最后,几乎不可能分辨出哪张钞票来自哪里。
整个事件凸显了监管机构面临的巨大挑战。犯罪集团正巧妙地利用这套旨在促进创新的系统,将其转化为掩盖非法所得的武器。
加密货币已经成为破坏和间谍活动的工具 这些不法分子并非仅仅利用加密货币来洗钱,他们还将其用作破坏和间谍活动的工具。
波兰国家安全局局长斯瓦沃米尔·岑茨凯维奇称,俄罗斯一直在使用加密货币向参与欧盟各地破坏活动的犯罪分子提供资金或者支付报酬,包括支付间谍网络费用、向特工输送资金等等。加密货币使得情报机构更难追踪资金流向。
这些案件反映了暗网网络利用加密货币(主要是匿名加密货币,例如门罗币)逍遥法外的更广泛趋势。最近一次全球范围的联合执法行动就鲜明地印证了这一点,该行动捣毁了一个专门传播儿童色情内容的庞大暗网网络。这充分表明,这些隐秘平台助长了除金融犯罪之外的各种骇人听闻的罪行。
波兰并没有袖手旁观——他们已经通过了新的法律,堵住了任何允许外国势力向其代理人输送加密货币的漏洞。
暗网并非遥远的地下传说,而是数据盗窃、漏洞交易与网络攻击的真实温床。随着其威胁不断演变,洞察暗网的运作,能为个人与组织注入更务实的网络安全意识。
暗网是普通搜索引擎无法索引的互联网隐蔽区域。它通常与非法活动联系在一起,但更重要的是,暗网上存在着大量泄露的信息,例如密码、信用卡号和个人信息。了解暗网上的内容有助于企业和用户认识到他们可能面临的诸多风险。
例如,一家公司若发生数据泄露,其员工凭证可能迅速出现在暗网上,使所有所有员工面临身份盗窃的风险。
随着暗网威胁的不断演变,企业必须深入分析研究暗网,搜集暗网威胁情报,这对于增强网络安全意识与提升应急响应效率都大有裨益,本文是“暗网下/AWX”总结的可以从暗网中学习到的5节课。
第一课:网络安全意识,从认识风险开始 许多企业忽略暗网情报的价值。通过监控暗网上的泄露事件,组织可实时评估自身数据是否已外泄。一旦发现凭证曝光,即可立即重置密码、通知用户——这不仅是最佳实践,更是阻断损失链条的关键一步。
安全意识并非空谈,而是承认威胁真实存在:黑客在暗网论坛兜售数据、分享漏洞。主动防御,总比事后补救更有效。
真实案例:2025年,澳大利亚航空公司Qantas遭受勒索软件攻击,超过1180万条乘客记录(包括姓名、地址和电子邮件)被泄露到暗网。 该公司拒绝支付赎金,导致数据公开流通,凸显了未及早监控暗网风险可能引发的信任危机与身份盗窃浪潮。
第二课:暗网监控,是数字风险的雷达 暗网监控工具可追踪企业或员工数据是否现身可疑平台,提供实时威胁警报,显著缩短攻击者利用窗口。
一家启用暗网监控的公司,可能在客户名单泄露的数小时内采取封堵措施,保住信任与资产。持续监控,不仅是技术手段,更是维护伙伴关系的战略保障。
真实案例:2025年7月,德国安联保险公司(Allianz)遭遇黑客攻击,100万条客户和员工记录(含社会保障号码)被窃取并在暗网出售。 通过暗网监控,安联及时发现并加强了安全措施,避免了进一步的财务欺诈,但事件仍暴露了延迟响应可能导致的连锁风险。
第三课:简单实践,抵御复杂威胁 暗网威胁虽狡猾,应对之道却往往朴实无华:强密码 + 多因素身份验证(MFA) + 反钓鱼培训。
设想一名员工使用暗网泄露的旧密码登录,若未启用MFA,黑客可轻松得手;反之,简单一步二次验证即可构筑铜墙铁壁。遭受复杂攻击后的失守,往往败于平时的基本功。
真实案例:2023年,Twitter(现X)用户数据持续在暗网流通,2亿条电子邮件地址以低至2美元的价格出售。 许多受害者因弱密码和无MFA而遭受钓鱼攻击,此案证明了基本实践在防范暗网数据滥用时的关键作用。
第四课:护数据,即护企业未来 暗网数据交易可瞬间摧毁公众信任,带来难以估量的经济与声誉损失。严格的数据保护政策——加密存储、最小权限访问、定期审计——是企业生存的隐形护盾。
将员工安全培训纳入风险管理,能让团队在数据部分泄露时,仍守住核心系统。训练有素的员工,是最后一道,也是最可靠的防线。
真实案例:2025年,法国电信公司Free遭受大规模泄露,1900万用户数据(包括IBAN银行信息)出现在暗网。 公司虽未支付赎金,但泄露导致潜在身份盗窃风险激增,强调了数据加密和访问控制在保护企业声誉中的核心价值。
第五课:协作 + 工具,铸就安全文化 网络安全非一人一队之责,而是全员共识。任何个体或单一工具都无法独挡全局。
专业暗网监控解决方案,结合机器学习分析跨平台威胁,为企业提供高级警报与深度洞察,且不增加安全团队负担。对中小企业而言,此类工具是应对持续威胁的“外脑”与“哨兵”。
真实案例:2025年,印度教育平台SkilloVilla泄露3300万条用户联系信息到暗网。 通过协作工具和培训,该平台虽事后响应,但事件凸显中小企业需整合监控与全员教育,以防类似泄露演变为系统性危机。
结论:暗网是镜子,也是课堂 暗网如一面放大镜,照出网络安全的脆弱与机遇。主动监控泄露风险、践行简单防护、构建协作文化——这些从暗网提炼的实战经验,能帮助企业和个人化被动为主动。
“暗网下/AWX”郑重提醒,无论是政府机构、大型企业还是普通用户,都应行动起来:启用MFA、定期修补漏洞、关注暗网威胁情报。
安全,从觉醒开始;未来,由预防守护。
近期,网络安全公司CrowdStrike发布了2025年亚太地区网络犯罪形势报告《CrowdStrike 2025 年亚太及日本地区网络犯罪形势报告》,该报告基于CrowdStrike精英威胁猎手和情报分析师的一线情报,对这些威胁进行了权威的分析。该报告结合了对攻击者策略、地下经济和盈利趋势的分析,以及CrowdStrike分析师对恶意活动的追踪观察。报告显示,亚太及日本地区的网络犯罪变得更加猖獗、组织化,并且更多地受到人工智能的驱动。
报告称,亚太及日本地区的网络犯罪威胁形势正在迅速演变,其背后既有区域性威胁,也有全球性威胁。从利用中文进行被盗数据和非法服务交易的地下市场,到人工智能勒索软件攻击的日益猖獗,该地区的威胁行为者都在寻求新的方式来扩大和加速其行动。
最令人担忧的趋势之一是Chang’an、FreeCity、Huione担保等中文地下市场的持续存在,这些市场允许匿名交易被盗凭证、钓鱼工具包、恶意软件和洗钱服务。尽管屡遭打击,这些平台仍在明网、暗网和Telegram等加密通讯应用上继续运营。
人工智能现在已成为“大型猎杀”勒索软件攻击活动的核心工具,攻击者能够精准快速地攻击高价值组织。CrowdStrike观察到人工智能增强型社会工程和自动化恶意软件工具激增,其中印度、澳大利亚和日本是受影响最严重的国家之一。
两个新的勒索软件即服务 (RaaS) 组织——KillSec和Funklocker——与超过 120 起事件有关,泄露网站上公布了 763 名受害者的信息。制造业、科技业和金融服务业是攻击的主要目标。
该报告还揭露了一起发生在日本的金融诈骗活动,一些讲中文的犯罪分子劫持了日本的交易账户,实施拉高出货骗局。
攻击者通过抬高成交量较低的中国股票价格,利用被劫持的账户和回收利用的钓鱼基础设施操纵市场。窃取的数据随后在长安网上出售,进一步强化了跨平台犯罪生态系统的作用。网络犯罪服务已日益产业化,专业服务提供商为大规模行动提供支持。
CDNCLOUD提供安全可靠的托管服务;Magical Cat提供钓鱼即服务;Graves International SMS支持全球垃圾邮件活动。这些服务提供商帮助扩大了亚太地区的钓鱼、恶意软件传播和盈利规模。
可能讲中文的威胁行为者也在部署远程访问工具(RAT),包括ChangemeRAT、ElseRAT和WhiteFoxRAT。这些恶意软件通过搜索引擎优化 (SEO) 投毒、恶意广告和伪装成采购订单的网络钓鱼邮件传播,主要针对讲中文和日语的用户。
中文地下市场为网络犯罪活动提供工具和技术 报告称,尽管中国政府实施了互联网限制并严厉打击网络犯罪,但活跃的中文地下市场仍然是亚太地区网络犯罪活动的核心。这一生态系统为讲中文的网络犯罪分子(其中许多人因政府管控而将行动安全放在首位)提供了一个匿名的场所,让他们可以买卖被盗数据、钓鱼工具包、恶意软件和洗钱服务。
包括Chang’an(长安不夜城)、FreeCity(自由城)和Huione(汇旺)担保在内的最知名的中文支付平台,使得网络犯罪分子能够通过明网、暗网和Telegram等渠道匿名作案。汇旺担保以其透明度和信誉度在网络犯罪分子中树立了良好的口碑,在其运营期间促成的交易额估计高达270亿美元。
网络犯罪分子主要针对高价值目标。印度、澳大利亚、日本、台湾和新加坡受影响最为严重;制造业、科技、工业和工程、金融服务以及专业服务业受影响最为严重。2024年1月至2025年4月期间,共有763名亚太地区(APJ)受害者的名字出现在专门泄露勒索软件、数据盗窃和敲诈勒索信息的网站(DLS)上。
CrowdStrike Intelligence观察到,人工智能开发的勒索软件在亚太地区呈上升趋势。勒索软件即服务提供商KillSec和FunkLocker在其数据损失报告(DLS)中,亚太地区受害者数量明显偏高,分别占其受害者总数的35%和32%。在这些受害者中,大多数位于印度(FunkLocker为21%, KillSec为33%)。
网络犯罪服务提供商通过提供网络犯罪分子所需的工具、基础设施和支持,助力亚太地区的网络犯罪活动,使其能够扩大网络钓鱼、恶意软件传播和牟利规模。该报告分析了CDNCLOUD(防弹托管服务)、Graves International SMS(全球短信垃圾邮件服务)和Magical Cat(钓鱼即服务)。
在工具使用方面,CrowdStrike Intelligence已识别出疑似使用远程访问工具 (RAT)攻击中文和日文用户的网络犯罪分子。ChangemeRAT 、ElseRAT和WhiteFoxRAT等工具通过搜索引擎投毒、恶意广告和伪装成采购订单的网络钓鱼攻击等手段进行部署。
CrowdStrike追踪到在亚太地区运营的网络犯罪攻击者 报告称,CrowdStrike追踪到多个针对该地区的网络犯罪攻击者,以及四个活跃在该地区的网络犯罪攻击者,所有这些攻击者均以SPIDER为代号进行追踪。其中包括:
CHARIOT SPIDER:一个总部位于越南的恶意组织,已入侵微软 IIS 和 Adobe ColdFusion 网络服务器。 RADIANT SPIDER:一个利用表单劫持技术窃取支付卡数据的中国攻击者 SINFUL SPIDER:一个利用密码喷洒和漏洞利用攻击面向互联网应用程序的中国攻击者。 SOLAR SPIDER:利用金融主题的网络钓鱼攻击银行和外汇交易机构。 除了SOLAR SPIDER之外,这些攻击者主要采取机会主义策略,尚未发现他们有组织地针对该地区。虽然CrowdStrike Intelligence尚未发现亚太地区网络犯罪分子明确禁止针对该地区的攻击,但中文市场平台的规则及其对匿名性的强调表明,他们希望避免执法部门的关注。
CrowdStrike提醒,亚太地区的企业应优先防御这些攻击者,重点关注他们的战术、技术和流程(TTP),同时加强身份保护,保障云和SaaS环境安全,并做好应对勒索软件和社会工程威胁的准备。阅读完整的,全面了解该地区面临的网络犯罪威胁,并学习如何加强防御。
为显著提升公众对网络威胁的认知,总部位于瑞士的互联网隐私保护公司Proton正式推出全新“数据泄露观察站”。这一战略性举措直指互联网安全领域的核心痛点,旨在揭露暗网上被盗数据交易的严峻现实。
暗网凭证泛滥,风险空前 Proton披露,当前暗网网络犯罪市场上流通的被盗凭证已超过3亿条,其中49%包含明文密码,使企业和个人面临前所未有的安全威胁。这场大规模数据泄露浪潮清晰勾勒出以被盗个人与企业数据为基石的地下经济体系的急速扩张,令人忧心。
研究显示,小型企业已成为网络犯罪分子的首要猎物。五分之四的小企业在近期遭遇过数据泄露,单次事件平均造成超过100万美元的经济损失,足以令一家小公司陷入毁灭性危机。
报告不足,传统系统失灵 尽管数据触目惊心,但大多数数据泄露事件从未被公开报告。企业往往在攻击发生数月甚至数年后才意识到系统已被攻破,传统泄露通知机制严重滞后,难以提供及时有效的预警。
Proton的数据泄露观察站通过公开可访问的数据库,主动扫描暗网敏感数据交易,实现近乎实时的威胁暴露。最新研究表明,仅2025年一年,就有超过1000亿条记录遭到泄露,规模之巨前所未有。
直击源头,破解报告难题 网络安全领域长期存在一个根本性问题:数据泄露报告严重不足。许多组织即使发现安全事件,也因担心声誉受损或面临监管处罚而选择沉默,或行动迟缓。
Proton的这一创新项目绕过传统报告瓶颈,直接监控网络犯罪分子在地下市场交易被盗凭证和个人信息的活动,从源头揭示真相。
该观察站是对Proton核心使命的深化拓展——致力于构建一个更私密、更安全的互联网。它建立在现有“互联网审查观察站”(Proton VPN观察站)的基础上,后者专注于追踪政府主导的互联网访问限制与VPN封锁行为。两大工具相辅相成,共同为用户提供对当今数字威胁的全景洞察——从企业数据泄露到国家支持的网络审查,全面巩固Proton作为数字自由重要捍卫者的地位。
小企业:百万美元级别的生存危机 许多企业在系统被入侵数月甚至数年后才察觉异常,这种延迟发现为黑客提供了充足时间,利用窃取的凭证实施二次攻击、金融欺诈或身份盗窃,造成连锁破坏。
Proton采取积极主动的防御策略,持续监控暗网论坛与犯罪市场。一旦企业数据在这些平台上架,即刻触发警报。观察站的最新研究已记录2025年十起重大数据泄露事件,影响横跨多个行业与国家。
2025年重大泄露事件一览 澳航(Qantas):泄露1180万条记录,包含姓名、出生日期、地址、电话号码和电子邮件地址。 法国Free电信:影响超过1900万用户,泄露内容包括IBAN银行账户信息等高敏感数据。 德国安联人寿保险公司:100万条记录外泄,涉及社会保障号码等关键身份信息。 印度SkilloVilla公司:遭遇史上最大规模泄露之一,3300万条个人联系信息流入暗网。 这些事件覆盖交通运输、电信、金融服务与科技等多个领域,波及全球各大洲。
泄露数据类型多样,威胁深度升级 泄露内容远不止基本联系信息。网络犯罪分子已获取密码、社会安全号码、银行账户详情、身份证号码等高价值数据,构成完整的“身份盗窃工具包”,为复杂账户接管和精准诈骗提供了强大支持。
揭开暗网神秘面纱,提前预警机制 数据泄露观察站与专业风险检测公司Constella Intelligence深度合作,持续监控暗网上被盗数据宣传与交易的非法场所。
通过精准追踪这些地下活动,Proton力争在目标组织尚未察觉前向受害者发出预警。观察站清晰列出:
近期泄露事件 泄露数据类型(如姓名、密码、财务信息) 受影响记录数量 Proton强调,其目标不仅是告知公众,更是教育用户认识网络犯罪真实规模。通过免费公开关键信息,该公司旨在:
加大企业隐瞒安全漏洞的难度 赋予用户保护数字身份的知识与能力 其“负责任披露”原则确保:在公开信息前,提前通知受影响组织,实现透明与建设性并重。
企业需从被动应对到主动防御 在数据泄露事件层出不穷的数字时代,Proton数据泄露观察站提供了一项至关重要的公共服务。通过清晰、客观的威胁态势呈现,为个人与企业配备了强大新工具,助力守护数字身份安全。
暗网3亿条凭证流通、1000亿记录泄露,仅是冰山一角。小企业动辄百万美元损失,个人隐私岌岌可危。Proton以技术与透明为武器,撕开地下黑市面纱,标志着网络安全从被动应对迈向主动预警与公众赋能的新阶段。在这场无声的数字战争中,知识与警觉已成为最有力的防线。