继澳大利亚之后,英国政府宣布,从明年起,英国数百万儿童将无法访问一系列社交平台。英国首相基尔·斯塔默爵士本周一宣布,包括TikTok、Snapchat和Instagram在内的应用程序将禁止儿童使用。然而,英国一所学校的校长表示,必须提供其他活动,以免孩子们转而“使用暗网”。此前,联合国也警告称,禁止儿童使用社交媒体并非解决之道——平台必须从设计之初就确保安全。
英国宣布全面禁止青少年使用社交媒体 英国首相基尔·斯塔默周一宣布,英国将禁止社交媒体向16岁以下人士提供服务。英国计划以澳大利亚具有里程碑意义的立法为蓝本,与此同时,世界各国政府面临着越来越大的压力,需要确保儿童上网安全。
禁令可能涵盖Snapchat、TikTok、YouTube、Instagram、Facebook和X等平台,但不包括WhatsApp和Signal等即时通讯应用,在线游戏平台Roblox不会被禁用,YouTube Kids也不受此禁令限制。首批监管措施最早可能于2027年春季生效。
英国计划效仿澳大利亚去年底通过的具有里程碑意义的立法,但英国将更进一步,对被认为对儿童特别有害的功能引入更多限制。
这些措施包括禁止16岁以下用户进行直播和与陌生人交流,而16岁和17岁的用户则默认启用类似的保护措施。政府还在考虑实施宵禁,并限制未成年人使用无限滚动功能。
“我们比世界上任何一个国家都走得更远,我们禁止16岁以下的人使用社交媒体,并采取更广泛的保护措施,让孩子们重拾童年,”斯塔默在一份声明中说。
斯塔默在新闻发布会上表示,社交媒体让孩子们不快乐,而且其设计目的就是让人上瘾。他表示,做出这个决定并非轻率之举,而且也不会没有代价,但他同时指出,社交媒体也给年轻人带来了一些好处。
此前,英国发生了多起与社交媒体和自残有关的备受瞩目的案件,并且越来越多的证据表明社交媒体对年轻人造成了有害影响。在此背景下,英国出台了这项禁令。
社交媒体禁令的批评者担心效果 英国政府的公告引发了不同的反应,其社交媒体禁令比其他国家迄今为止采取的措施更为严厉。一些人对此表示欢迎,认为这是确保儿童网络安全的良好开端,而另一些人则质疑这些措施的有效性。
社交媒体禁令的批评者认为,一刀切的禁令效果不佳,只会限制孩子通过家长控制获取适合其年龄段的内容,而且年轻人总会找到绕过禁令的方法。例如,媒体曾报道,在禁令实施前,澳大利亚VPN(用于隐藏用户位置以规避特定国家/地区的限制)的下载量有所增加。
品诚梅森律师事务所(Pinsent Masons)的技术律师黛安·穆勒内克斯(Diane Mullenex)表示,真正的问题在于,这究竟是加强了监管力度,还是仅仅增加了执法难度。“一旦部长们将监管范围从社交媒体扩展到更广泛的直播和聊天机器人领域,法律的执行难度就会大大增加,尤其是在服务设在海外或可以通过VPN访问的情况下。”她说道。
作为第一个对16岁以下人群实施社交媒体禁令的国家,澳大利亚的经验已经显示该禁令有许多漏洞。 据报道,青少年可以通过在自拍照片上添加皱纹、提供父母的身份证或直接创建具有不同出生日期的新帐户来绕过年龄验证程序。
据澳大利亚负责执行该法律的政府机构——澳大利亚网络安全委员会称,在澳大利亚,70%的家长表示,他们的孩子在16岁以下禁止使用社交媒体后,仍然能够访问受年龄限制的平台。
Malwarebytes的安全情报分析师Pieter Arntz表示,他担心如果青少年无法访问社交媒体平台,他们就会转向暗网。暗网可通过Tor等特殊浏览器访问,它能保护用户的身份和位置信息不被泄露。暗网包含用于保护隐私、进行犯罪活动或进行非法交易的网站。
然而,伦敦贝叶斯商学院市场营销讲师优素福·奥克博士认为,这种担忧“真实存在,但被夸大了”。奥克解释说,访问暗网需要付出努力,而他认为很少有青少年会为此付出这样的努力。 “暗网下/AWX”也认为,青少年更可能的选择包括使用Telegram等端对端聊天工具以及隐私应用程序和其他未经审核的非法网站。
英国伯克郡雷丁学校的校长克里斯·埃文斯表示,必须提供其他活动,以免孩子们转而“使用暗网”。对禁令表示欢迎的埃文斯表示,“禁令的负面后果”是真实存在的,并警告说可能会产生意想不到的后果。
埃文斯说:“如果我们找不到支持年轻人的方法,他们就会变得更加孤立,而他们在暗网上的替代伙伴可能会更糟。禁令只是过程的一部分——我们现在需要考虑如何投资青年服务,以便年轻人能够彼此积极互动。”
对此,英国教育部表示,耗资1.3亿英镑的“每个孩子都能”(Every Child Can)计划将资助学校内部、周末和假期开展的活动,以确保“丰富的学习体验是所有人的共同权利”。
联合国出台《保障儿童上网安全》指导方针 联合国人权事务高级专员办事处周五发出警告,称阻止儿童使用社交媒体并不能替代从一开始就确保平台安全。该办事处发布了一项十点框架,敦促各国政府和科技公司采取更多、更快的措施来保护儿童上网安全。
Enhancing the protection of children online is an urgent priority that needs to be done right. Governments and tech companies must make digital platforms safer by design, strengthen data protection, and ensure accountability for those responsible for harm.
➡️ @UNHumanRights has… pic.
美国国土安全部(DHS)下属移民与海关执法局(ICE)国土安全调查局(HSI)的网络犯罪中心,墙壁雪白干净,与里面进行的工作形成鲜明对比。HSI网络犯罪组的调查人员每天都沉浸在暗网的阴影中,深入那些非法犯罪活动的世界。ICE官网的一个专题页面透露了该组织开展的暗网调查工作。
暗网是暗网或深网的一个子集,这里非法活动猖獗,犯罪分子自以为能匿名行事。进入暗网需要专门的软件和权限。网络犯罪中心副助理主任帕特里克·莱希莱特纳(Patrick Lechleitner)说:“暗网并不是一个非常复杂或特别的地方,它只是需要特定的权限或访问才能进入。”
ICE HSI在打击暗网非法活动方面扮演着直截了当的角色。随着犯罪活动渗透到网络环境,他们的工作量近年来不断增加。作为刑事调查单位,HSI及其探员打击暗网犯罪的方式和线下一样:一步一步来。
暗网上有许多类似互联网的购物网站,这些网站被称为“市场”。它们的规模会根据受到的关注度快速变化。莱希莱特纳说:“各种因素会影响一个市场的受欢迎程度和规模,比如经营者会更改或迁移它们以躲避执法,审查压力也会促使市场发生变化。”
调查人员在暗网看到熟悉的犯罪活动。网络调查有时从传统性质开始,然后逐渐进入网络环境。HSI是丝绸之路(Silk Road)调查的主要机构之一,该调查揭露了通过美国邮政大规模走私非法毒品和违禁品的活动,最终指向暗网市场上的交易。“这个案件连同Black Market Reloaded,代表了执法部门一个新的、不断发展的领域——网络调查,这种调查一直延续到今天。”莱希莱特纳说。
在丝绸之路上,调查人员发现了大量黑市商品,包括海洛因、摇头丸、LSD、大麻和类固醇等各种非法毒品,还有非法武器、制造炸弹的书籍、假身份证和假冒商品。
许多犯罪分子以为在暗网进行非法交易时处于匿名保护之下,但事实远非如此。ICE与国内外伙伴积极打击暗网活动。莱希莱特纳警告:“如果你在暗网从事非法活动,那会伴随很多风险,你并非完全匿名。你不应该在暗网或开放网络上做任何非法的事。如果你这么做了,就会有后果,联邦执法部门正在盯着。”
非法毒品是暗网销售的最危险商品类别之一。暗网的匿名性质使其适合受控物质的非法贩运。销售非法毒品的罪犯不用费力就能找到顾客。非法毒品使用者被暗网购物的便利和匿名性所吸引。这些顾客从匿名来源订购物品,等于在拿生命冒险。交易看似匿名,反而加剧了风险。莱希莱特纳解释说:“HSI在打击跨国非法毒品走私方面发挥着重要作用。我们在暗网市场上追查这些物质,就像在现实世界中一样。”
HSI特别探员贾里德·德耶吉安(Jared DerYeghiayan)在芝加哥工作,他对丝绸之路调查和“十分钱店行动”(Operation Dime Store)有第一手深入了解。他担任该行动的案件探员,分析缴获的毒品、整理证据、询问嫌疑人并参与逮捕。
“十分钱店行动”于2011年夏天从HSI芝加哥RAC/O’Hare调查开始,起因是芝加哥邮件枢纽截获的小型毒品包裹。这些包裹不同寻常,通常不会通过信件邮件寄送,大量来自国际来源,并运往全美各地。ICE HSI展开调查,追查毒品的具体来源,最终指向暗网上的丝绸之路网站。一旦确认该网站的规模和影响力,HSI的目标就是关闭它、拦截包裹以识别卖家、找出收货人并停止毒品流入。在近三年的运作中,该网站发生了超过150万笔交易。
调查人员使用多种技术追踪芝加哥截获的毒品包裹。德耶吉安探员说:“我们分析包装上的指纹、分析缴获的毒品,寻找趋势和线索来确定网站托管位置,并进行卧底购买以渗透网站。我们想识别卖家。”
随着调查推进,德耶吉安探员深入卧底,最终成为丝绸之路网站的高级副手。HSI调查人员的工作导致丝绸之路被关闭,其所有者和运营者罗斯·W·乌布利希特(Ross W. Ulbricht)被捕。
2015年1月,该案在纽约南区联邦法院开庭,揭露了丝绸之路如何在全球促进非法毒品贸易,以及乌布利希特如何经营他的犯罪组织。德耶吉安担任政府首席证人。乌布利希特被判所有指控罪名成立,包括持续犯罪企业、黑客攻击、毒品走私、洗钱和文件欺诈,获两个终身监禁并罚。
德耶吉安说:“这次调查最令人满意的部分是关闭网站并阻止危险的毒品和武器在全球流动;对我来说,关闭那个网站非常重要。”
HSI致力于阻止网络犯罪并保护美国公民。莱希莱特纳警告:“普通美国人会因暗网活动面临多方面风险。暗网的非法性质与不道德行为相关,包括个人身份信息盗窃和假冒药品的存在。人们真正需要知道的是,当你在暗网进行自以为合法的交易时,你无法确定它是否合法。你正在把自己置于巨大风险之中。”
(以上内容是“暗网下/AWX”基于ICE官网专题页面整理,页面更新日期为2026年5月19日,该专题现为存档状态。)
如今,帮助初创公司更快开发应用程序的人工智能工具也在悄然重塑网络犯罪。然而,令人意想不到的是,一个严重依赖人工智能生成代码的暗网犯罪团伙,最终却因为其赖以自动化系统的技术而暴露了自身。
一个贩卖被盗信用卡数据的暗网商店,因过度依赖人工智能编程工具编写代码,意外泄露了超过34.5万条信用卡记录。Cybernews的安全研究人员于4月16日发现了这些泄露的数据,其中包括完整的信用卡信息和个人信息。此次泄露事件凸显了人工智能工具在安全措施不力的情况下,既能助力也能危害数字运营,并为网络犯罪开辟了新的途径。
“Jerry’s Store”(杰瑞商店)是一个被盗信用卡交易的暗网商店,据称出售被盗的支付卡信息,并向客户提供工具,以便在购买前验证卡片是否仍然有效。Cybernews发现,Jerry’s Store的网站功能存在漏洞,其背后的运营者使用Cursor(一款人工智能辅助开发环境)搭建了泄露信息的服务器和面向管理员的控制面板,Cursor是Anysphere公司的人工智能编码助手。
此次泄露事件的起因是运营者部署了一个未经任何身份验证的人工智能生成统计信息后台,使得任何在线用户都可以访问这些数据。此次泄露事件暴露了内部系统、验证日志和管理控制面板,泄露了约34.5万条支付卡记录,其中包括近20万张无效信用卡和14.5万张包含完整个人信息和支付信息的有效信用卡数据。
在计算机编程中,”Vibe Coding“编程技术是一种借助人工智能(AI)辅助的软件开发实践,例如借助聊天机器人(模拟对话的程序)或人工智能代理,如Codex或Claude Code。
AI编程工具Cursor如何帮助发现了这个事件 据报道,Jerry’s Store背后的基础设施是使用Cursor构建的,Cursor是一款由美国软件公司Anysphere开发的AI驱动编码助手。虽然Cursor本身是一款被程序员广泛使用的合法开发工具,但据称该运营者严重依赖它来创建后端系统和内部员工后台。
Cybernews称:“虽然在这个案例中,Cursor帮助识别了与信用卡欺诈相关的滥用行为,但对于将Cursor用于合法用途的开发人员来说,这也是一个教训,表明它如何导致意外的数据泄露。”
Cybernews的研究人员称,问题始于向AI系统发出模糊指令,且事后未进行适当的安全检查。”Jerry’s Store“一个暴露的Web后台可以直接通过浏览器访问,没有任何密码保护、登录系统或身份验证措施。Cybernews于4月16日发现了该服务器,并发现敏感信息实际上已暴露在互联网上。
泄露的数据包括约14.5万条“有效”的支付卡记录,其中包含完整的卡号、有效期、CVV安全码、姓名和账单地址。另有20万条记录已被系统标记为无效。Cybernews指出:“根据日志,Cursor背后的模型具备足够的上下文信息,能够识别其用途。它提供的是一项信用卡验证服务。尽管如此,它仍在不断完善。”
超过14.5万条有效的支付卡信息包括:
信用卡号码 有效期 CVV安全码 持卡人姓名 持卡人地址 信用卡验证系统的工作原理 该暗网商店并非盲目出售未经测试的信用卡数据,而是通过自动化测试套件、市场内置的“卡片检查器”以及选择性的人工验证来验证被盗信用卡是否有效,从而将高价值的“完整信息”(fullz)与大量数据分离,因为经过验证的卡片可以卖出更高的价格,并能进行更大规模的欺诈。
研究人员表示,运营者在包括美国亚马逊、日本亚马逊、Grubhub、山姆会员店、Temu、Lyft、Elf Cosmetics和CountryMax在内的平台上创建了数百个甚至数千个虚假账户。该系统会尝试进行小额交易,或将被盗信用卡添加为支付方式,以测试这些信用卡是否仍然可用。被平台接受并成功通过验证的信用卡随后被标记为有效,并在暗网商店以更高的价格出售。
在暗网犯罪论坛上,已验证的信用卡被认为更有价值,因为未经测试的信用卡数据库通常包含过期或被冻结的信用卡信息。
Cybernews追踪到此次泄露事件源于Jerry’s Store背后的运营者与Cursor的聊天记录中的一个请求。据报道,其中一位管理员要求该人工智能系统生成一个统计后台。人工智能系统执行了该请求,但生成的后台随后在没有任何安全保护措施的情况下被部署到线上。
此外,聊天记录显示,Cursor LLM掌握了足够的信息,可以确定它正在帮助建立信用卡验证服务,这表明缺乏足够的防护措施来防止滥用。
近日,欧洲刑警组织(Europol)发布最新《互联网有组织犯罪威胁评估报告》(IOCTA 2026),标题为《加密、代理和人工智能如何扩大网络犯罪》。报告指出,影响欧盟的网络犯罪威胁正以前所未有的速度演变,犯罪分子广泛采用加密技术、代理基础设施和人工智能工具,大幅提升犯罪规模、速度和隐蔽性,形成“速度差距”(velocity gap),使执法部门难以跟上。
欧盟委员会于4月28日发布该报告,全面分析了“网络犯罪助长因素”(cybercrime enablers)、在线欺诈方案、网络攻击以及在线儿童性剥削四大领域的新趋势。报告强调,随着技术门槛降低,犯罪活动正向工业化、自动化方向发展,对个人、企业和社会构成日益严重的威胁。
暗网生态韧性强,加密货币成核心支付工具 报告显示,尽管执法部门持续打击,暗网(通过专用软件访问的互联网隐秘部分)仍是网络犯罪分子的主要交易市场。暗网市场和论坛呈现出高度碎片化和专业化特征,即使执法部门采取了执法行动、部分平台被关闭,新平台也能迅速涌现,形成混合匿名生态(与端到端加密即时通讯应用深度融合)。
加密货币的作用日益突出。隐私币(privacy coins)和离岸交易所服务被广泛用于洗钱,尤其是勒索软件赎金的转移和隐藏,这极大增加了追踪难度。报告特别指出,加密货币在未成年人和年轻人群体中流行度上升,他们可能在不知情的情况下卷入洗钱链条,成为犯罪分子利用的对象。
此外,犯罪分子大量使用住宅代理(residential proxies)、弹道托管(bullet-proof hosting)和多层路由等基础设施,进一步掩盖身份和行动轨迹。
人工智能驱动欺诈自动化,社会工程攻击更具针对性 生成式人工智能(Generative AI)和大型语言模型(LLMs)的普及,正让在线欺诈进入“工业化”阶段。犯罪分子利用AI快速生成个性化诈骗内容,实现社会工程攻击(social engineering)的自动化和规模化——例如定制投资诈骗、商业邮件妥协(BEC)或针对在线支付系统的欺诈。报告预测,随着“代理式AI”(agentic AI)的进一步采用,在线欺诈威胁将达到前所未有的水平。
其他助长因素包括呼叫者ID伪造(caller ID spoofing)和SIM农场,这些工具帮助诈骗团伙绕过验证机制。
勒索软件威胁持续,网络攻击与混合威胁交织 勒索软件(Ransomware)仍是2025年主要威胁之一,报告观察到大量活跃的勒索软件品牌。犯罪分子不仅锁定系统或数据索要赎金,还越来越多地以“泄露被盗数据”作为额外威胁。
网络攻击生态日益复杂:犯罪团伙与国家支持的混合威胁相互交织,部分犯罪分子充当“代理人”角色。信息窃取器(infostealers)继续为地下市场提供大量被盗凭证,而DDoS攻击则被用于混合威胁行动。同时,针对大科技公司和客户数据的黑客联盟威胁也在上升。
在线儿童性剥削案件激增,合成材料与加密通讯成新挑战 在线儿童性剥削(OCSE)形势严峻。性勒索(sextortion)案件持续激增,犯罪分子通过获取儿童私密照片或视频进行敲诈。儿童性虐待材料(CSAM)的交易日益商业化,以牟取经济利益。
此外,合成儿童性虐待材料(synthetic CSAM)的制作量显著增加,AI工具降低了生产门槛。端到端加密(E2EE)即时通讯应用已成为犯罪分子主要沟通和交换材料的渠道,这给执法调查带来极大困难——加密平台、数据保留政策缺失和跨辖区障碍共同阻碍了证据收集和嫌疑人识别。
报告呼吁:加强国际合作与技术能力建设 Europol执行主任Catherine De Bolle在序言中强调,执法部门必须主动采用AI等技术,弥合“速度差距”,同时推动数据保留政策协调、与在线服务提供商的合作,以及国际联合行动,以应对这一快速演变的威胁景观。
“暗网下/AWX”认为,IOCTA 2026报告描绘出一幅网络犯罪“更快、更隐蔽、更工业化”的图景,该报告不仅总结了2025年的关键趋势,也为欧盟乃至全球执法机构提供了战略指引。面对加密、代理和AI三重驱动的犯罪升级,单纯的被动防御已不足够,亟需多方协作构建更具韧性的数字安全体系。
2026年1月28日,美国FBI联合佛罗里达南区检察官办公室突袭并查封了俄罗斯暗网论坛RAMP(Russian Anonymous Marketplace,俄罗斯匿名市场)——这个从2021年底开始运营的俄语网络犯罪论坛。它提供Tor隐藏服务(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)和明网镜像(ramp4u[.]io),可以在暗网与明网同步访问,比很多竞争对手的论坛更容易访问,也因此聚集了全球各地的黑客——从西方的网络犯罪分子到东亚的威胁行为者。
RAMP基于商业论坛软件XenForo 2.2.5搭建,设有出售网络访问权限、恶意软件、勒索软件合作、被盗数据,以及招聘犯罪自由职业者的专门版块。主版块与子版块的版块名称包含俄语、英语、中文,帖子标题也混杂俄语、英语和中文,显示出它的国际化程度。
最近,该暗网论坛的一份完整MySQL数据库泄露给了安全研究人员,其中包含从2021年11月到2024年1月的用户记录、1732个论坛主题帖、7707名注册用户、340333条IP日志记录、1899个私人对话和3875条私信。这份数据像X光一样,照亮了勒索软件生态系统的供应链运作方式。
Comparitech发布的分析报告称:“Comparitech独家获得了RAMP泄露的数据库。完整的MySQL转储文件包含用户记录、论坛帖子、私人消息、IP日志以及管理员活动,时间跨度从2021年11月到2024年1月。”
主要发现如下:
论坛活跃度从2022年第四季度的67个帖子低点激增至2023年第四季度的300个帖子,增幅达348%,表明在执法部门的干扰之后,论坛出现了大幅复苏。 RAMP论坛促成了向包括国防承包商、能源公司、银行、医院和政府机构在内的20多个国家的组织出售企业网络访问权限。 美国是头号目标:在标明国家的列表中,美国出现的比例高达40%。 一位单一的准入经纪人发布了41个不同的主题帖,出售进入企业网络的入口,其中包括一家年收入12亿美元的美国公司以及在南美和乌克兰的政府网络。 14个勒索软件即服务(RaaS)项目积极招募联盟成员,提供高达90%的赎金分成。 政府机构是受影响最大的行业(21家),其次是金融/银行业和科技/电信业(各11家)。 Comparitech表示:“本分析基于 RAMP 论坛 XenForo 安装的 MySQL 数据库转储。我们解析了原始 SQL 语句,从 xf_user(7,707 条记录)、xf_thread(1,732 条记录)、xf_post、xf_ip(340,333 条记录)、xf_admin_log、xf_conversation_master(1,899 条记录)和 xf_conversation_message(3,875 条记录)表中提取了结构化数据。” 分析总结道。“IP 地址从二进制格式解码,并根据已知的 ISP 分配进行地理位置定位。所有结论均基于数据库转储中的数据,尚未通过与实际来源的独立验证。”
访问权限市场:勒索软件攻击的“开门钥匙” RAMP上规模最大的版块就是“访问权限市场”(Access(SSH/RDP/VNC/Shell)),共有333个主题在出售被入侵企业网络的入口权限。这正是勒索软件攻击链的第一环——没有初始访问,就谈不上后续部署恶意软件。
最常见的访问类型是RDP(远程桌面协议),占59个主题帖,其次是VPN访问(22个)和SSH/Webshell(22个)。域管理员(Domain Admin)权限只有12个,但价格最高,因为它能直接控制整个网络。
访问类型分布(部分数据):
RDP:59个(43%),风险等级:致命 VPN(企业网关):22个(16%),致命 SSH/Webshell:22个(16%),高危 域管理员:12个(9%),致命 卖家最爱美国目标,占已明确国家列表的40%。其他热门国家包括欧盟各国、加拿大、巴西、印度、中国等。被针对的行业中,政府机构(含大使馆、军队)最多(21个),其次是金融/银行和技术/电信(各11个)。
真实案例里,一个卖家“inthematrix”一个人发了41个主题帖,其中包括一家年收入12亿美元的美国公司、南美和乌克兰的政府网络。还有韩国一家年收入160亿美元的大型企业、阿联酋电信(13亿美元)、丰田巴西工厂等高价值目标。
2022年初,市场以RDP为主;到2023年底,VPN访问大幅增加。这和2023年爆发的Cisco、Fortinet、Citrix等VPN产品严重漏洞密切相关。卖家“blackod”曾在2023年11月连续发布5个Cisco VPN访问的主题帖,覆盖美、澳、加、英,显示出自动化扫描和批量利用的痕迹。另一个帖子直接提到Pulse Secure的CVE-2019-11510漏洞,说明已知但未及时打补丁的漏洞仍是主要入口。
勒索软件即服务(RaaS):分成最高可达90% RAMP有专门的RaaS版块,60个主题用于招募“affiliate”(附属攻击者)。趋势很明显:早期分成是80/20(附属/运营商),到2023年中已变成90/10——附属攻击者能拿走100万美元赎金中的90万。这种高分成反映了市场对熟练攻击手的激烈争夺。
论坛上共出现14个RaaS项目,包括AvosLocker、Conti、Luna(Rust语言)、Knight 3.0、NoEscape、Bl00dy、KUIPER等。最令人担忧的是破解版构建工具和源代码泄露:LockBit 3.0 Builder、PHOBOS、Zeppelin2等。一旦工具泄露,任何中等水平黑客都能独立发动攻击,不需要加入任何RaaS联盟,也不用分成。
此外,论坛还出售破解版商业渗透测试工具:Cobalt Strike 4.8(合法年费5900美元)、Core Impact 21.3(年费2万美元以上)。这些专业级工具被零成本提供给犯罪分子,进一步降低了入门门槛。
恶意软件超市与犯罪人才市场 恶意软件版块有121个主题帖,涵盖:
漏洞与0-day:22个(SonicWall VPN RCE、Office 0-day、WinRAR RCE等) 加密器/FUD工具:17个 勒索软件:12个 RAT与后门:11个 信息窃取器:10个(LummaC2、Mars Stealer等) 僵尸网络:7个(一个声称能绕过主流加密货币交易所2FA的僵尸网络,售价2.
在网络安全和犯罪预防领域,暗网一直被视为一个双刃剑式的存在。暗网不仅是举报人和隐私倡导者的聚集地,它对具有特定犯罪特征的人来说也极具吸引力。因此它既能为隐私保护、绕过审查提供合法渠道,也常常成为违法活动的温床。
随着人们对暗网的兴趣日益浓厚,研究人员正密切关注其访问者群体。暗网营造了一种环境,使有犯罪动机者、潜在受害者和监管缺失者汇聚一堂,而自控力低下和同伴影响等特征或许可以解释哪些人会被暗网吸引。然而,基于犯罪学的、比较暗网用户和表网用户的研究却十分匮乏。一项基于美国全国样本的最新研究,深入剖析了哪些人群更倾向于访问暗网,并揭示了其中与犯罪学特征密切相关的心理和社会因素。
一个由佛罗里达大西洋大学(Florida Atlantic University)及合作者组成的研究团队收集了1750名成年人的调查数据,对比了暗网用户与普通表网(surface web)用户在多个维度上的差异。结果显示,虽然访问暗网本身并不违法,但这一隐秘空间确实对某些特定人群具有更强的吸引力:他们通常更年轻、男性居多,且在冲动控制、社会交往和态度倾向上表现出明显的犯罪风险特征。
该研究发表在《犯罪与司法》(Journal of Crime and Justice)杂志上,具体研究结论如下:
犯罪关联性高达3倍: 33.6%的暗网用户报告曾有犯罪记录,而表网用户中只有12.6%的人报告曾有犯罪记录。 低自控力:使用隐藏网络的用户在冲动性和冒险性量表上的得分要高得多——这些特质传统上与现实世界中的犯罪行为有关。 同伴影响:低自控力与暗网使用之间近一半的联系可以用社会学习来解释——冲动的人会和“网络变态”的同伴混在一起,这些同伴会教他们如何浏览暗网。 令人担忧的态度:暗网用户对盗窃、网络犯罪和暴力行为的支持度高于那些只使用“表层”网络的用户。 人口统计特征:研究中确定的典型用户是年轻的男性异性恋者,而且有趣的是,他们更有可能受过更高的教育。 数据显示,暗网用户中约有33.6%的人曾有过刑事犯罪记录,这一比例几乎是表网用户的三倍(后者仅为12.6%)。此外,暗网用户在低自我控制量表上的得分显著更高,这类特质往往与现实世界中的冲动行为和风险偏好紧密相关。他们更容易对盗窃、网络偏差行为以及针对他人的身体暴力持宽容或支持的态度。
更值得安全人员关注的是社会学习机制的作用。研究发现,低自我控制与暗网使用之间的关联,有近一半可以通过“偏差同伴影响”来解释。那些冲动性较强的人,往往会与同样从事网络偏差活动的朋友圈交往。这些同伴不仅提供技术指导——比如如何使用Tor浏览器或VPN安全进入暗网——还通过日常互动强化了相关的风险态度和技能。这一点与传统犯罪学中的社会学习理论高度吻合:在现实犯罪中,偏差同伴常常是推动个体迈向违法行为的“引路人”,而在数字空间中,这一机制同样适用。
人口统计特征方面,暗网用户更可能呈现出年轻、男性、异性恋以及受教育程度相对较高的特点。这或许与访问暗网需要一定的数字素养和技术门槛有关,但同时也提醒我们,高学历并不必然等于高自我控制。相反,在匿名性和低监管的环境下,这些能力有时反而会成为进入风险区域的“敲门砖”。
研究主要作者佛罗里达大西洋大学社会工作与刑事司法学院犯罪学与刑事司法系主任瑞安·C·梅尔德鲁姆(Ryan C. Meldrum)博士强调,访问暗网并不等同于从事非法活动,它在保护隐私、获取受审查信息等方面仍有正面价值。然而,从犯罪预防的角度看,这一平台确实构成了一个高风险的数字环境:动机明确的潜在犯罪者、易受影响的个体以及有限的执法监督在此交汇,容易放大犯罪机会和受害风险。
该研究的补充分析表明,社会学习因素或许可以解释为何低自控力与访问暗网之间存在关联。具体而言,低自控力与使用该平台之间近一半的关联似乎可以通过个体所结交的同伴及其形成的态度来解释。这表明,自控力较低的人可能会选择那些强化冒险或越轨行为和态度的同伴,从而获得浏览暗网所需的知识和技能。
该研究强调了进一步研究访问暗网的互联网用户这一虽小但重要的群体(特别是那些意图从事违法犯罪活动的用户)的必要性。
梅尔德鲁姆表示:“随着互联网的不断发展,了解谁在访问暗网以及他们访问暗网的原因至关重要。我们的研究表明,既要意识到潜在风险,又要认识到这些隐秘网络空间在日常生活中的合法用途,这一点非常重要。”
该研究的共同作者是阿拉巴马大学犯罪学和刑事司法系的雷蒙德·D·帕廷博士;以及山姆休斯顿州立大学刑事司法和犯罪学系的彼得·S·莱曼博士。
原始研究: “犯罪史、低自控力和社会学习变量在访问暗网中的作用”
“The role of criminal history, low self-control, and sociallearning variables in accessing the Dark Web” 作者:Tommi Väyrynen、Johanna Tuunanen、Heta Helakari、Ahmed Elabasy、Vesa Korhonen、Niko Huotari、Johanna Piispala、Mika Kallio、Maiken Nedergaard 和 Vesa Kiviniemi。 Journal of Crime and Justice
DOI:10.1080/0735648X.2026.2621153
作为网络安全从业者,“暗网下/AWX”认为,需要从这项研究中吸取几点实战启示。首先,在威胁情报收集和用户行为分析时,应将低自我控制、偏差同伴关联以及过往犯罪记录作为重点监测指标,尤其针对年轻男性群体。其次,预防教育不能仅停留在技术层面,更要结合社会学习原理,帮助个体识别并抵御不良同伴的影响。最后,随着互联网生态的持续演变,对暗网用户群体的持续跟踪研究至关重要,这有助于我们更好地平衡隐私保护与公共安全之间的关系。
总体而言,这项研究为我们理解暗网的“用户画像”提供了实证依据。它提醒安全团队:在技术防护之外,针对心理和社会因素的干预同样不可或缺。只有更精准地识别风险人群,我们才能更有效地降低暗网相关犯罪的发生概率,同时避免对合法使用者的过度干扰。
关键问题解答: 问:浏览暗网是否违法?
答:绝对不违法。正如瑞安·C·梅尔德鲁姆(Ryan C. Meldrum)所指出的,暗网支持许多合法活动,例如获取新闻或进行私人通信。然而,研究表明,暗网的匿名性往往会吸引那些本身就具有冒险和违法犯罪行为倾向的人。
近日,谷歌云官方博客正式披露了其利用Gemini AI代理大规模监控暗网的最新进展。谷歌在其威胁情报平台(Google Threat Intelligence)中引入了Gemini AI代理,用于自主监控暗网论坛,这标志着网络安全情报和AI驱动的威胁检测领域取得了重大进展。
目前,该系统目前处于公开预览阶段,依托Gemini AI代理的强大算力,每日可自动筛选超过1000万条暗网数据,通过为企业量身定制“数字画像”,在黑客发动攻击前精准识别潜在风险,例如数据泄露、内部威胁和初始访问代理活动。
“在之前的岗位上,我曾使用过几种暗网工具,发现它们的平均误报率超过90%。而新的暗网情报工具则彻底改变了这一现状,它能够过滤掉噪音,并将人类分析师无法及时发现的线索串联起来。这就像是在火苗燃起之前就将其扑灭,而不是亡羊补牢。”LastPass威胁情报总监Michael Kosak说道。
谷歌用Gemini筑起暗网防火墙 长期以来,暗网一直是网络犯罪分子的避风港,从泄露的数据库、定制的勒索软件工具到针对特定公司的攻击计划,海量情报隐藏在无数个隐秘论坛和加密频道中。传统的人工筛查或关键词检索方式在面对爆炸式增长的数据量时,往往显得捉襟见肘。
为了帮助提炼情报并发现隐藏的对手,谷歌在Google威胁情报中融入了智能体功能,并引入“暗网情报”(Dark Web Intelligence)。这项服务标志着网络安全防御从“被动响应”向“主动预判”的战略性转型,通过将情报生产从脆弱的关键词匹配转移到基于意图的分析,暗网情报可以更好地了解对手行为的背景——例如,即使威胁行为者故意避免指明受害者,也能识别出子公司的访问权限是否被攻破。 内部测试表明,该系统能够以98%的准确率分析每天数百万个外部事件,并仅突出显示对用户的任务真正重要的威胁。此外,通过提供解释威胁“原因”和“方式”的合理答案,该系统能够帮助防御者节省时间,并确保他们在日益自动化的威胁环境中保持情报优势。 此次部署标志着暗网监控方法的重大转变,传统方法依赖于静态关键词抓取和基于正则表达式的检测。这些传统方法通常会产生高达80%到90%的误报率,导致安全团队被大量无法处理的警报淹没。相比之下,Gemini利用先进的大型语言模型(LLM) 和上下文分析,显著提高了检测准确率和运行效率。
每日千万级数据的“大海捞针” 谷歌的Gemini AI代理目前每天能够自动化爬取并处理超过1000万条暗网帖子,利用大规模遥测数据和基于向量的比对方法,将威胁信号与特定的组织概况关联起来。通过整合开源情报和用户提供的数据,该系统构建了企业资产的详细概况,包括品牌、高管和技术基础设施。这使得AI能够将模糊或间接的威胁指标直接映射到相关目标。由此可以看出,这并非简单的爬虫技术,而是真正意义上的“代理式AI(Agentic AI)”应用。
该系统的核心工作流分为两个阶段:
组织概况构建(Profiling): Gemini首先会利用其多模态理解能力,深度学习订阅用户组织的架构、资产、关键人员以及特定的技术栈,构建出一个高度精确的“防御画像”。 语义化关联分析: 随后,AI代理会带着这个画像进入暗网的庞大数据库中。不同于传统的关键词匹配,Gemini能够理解黑客俚语、代码片段和非结构化的对话内容。即使黑客在讨论时使用了隐语或简称,AI代理也能通过上下文推断出其是否正在针对该组织进行漏洞买卖或数据泄露。 这种大规模的语义分析能力,使得企业能够从每天数千万条“噪音”中,精准提取出那几条致命的威胁情报。
防御者的“降维打击” 谷歌威胁情报团队指出,目前的网络攻击链条中,从初始入侵到数据榨取的时间窗口正在不断缩短。传统的防御手段往往在数据已经出现在暗网交易平台上后才能感知,而Gemini AI代理的目标是在攻击者还在讨论“可行性”或“分赃协议”阶段就发出预警。
此外,该服务还集成了曼迪昂特(Mandiant)多年积累的实战情报。通过将Gemini的实时处理能力与曼迪昂特的历史威胁库相结合,系统可以识别出特定威胁源(APT组织)的作案手法。对于安全运营中心(SOC)的工程师来说,这意味着他们不再需要熬夜翻看晦涩的暗网日志,Gemini会直接递交一份包含“谁在威胁我们、他们拥有什么筹码、我们该如何封堵”的简报(支持中文等各种语言)。
随着这一服务的公开预览,谷歌显然意在通过AI原生安全能力重新定义企业级防火墙。在AI与AI对抗的时代,拥有最强“代理人”的企业,或许才能在这场永无止境的猫鼠游戏中赢得先机。
Russian Market是当今地下网络犯罪生态中最具持久性和影响力的平台之一,主要从事被盗凭证、信用卡数据(CVV)以及信息窃取恶意软件(infostealer)日志的交易。该平台自2019年左右开始运营,据称有俄罗斯政府背景,尽管名称中带有“Russian”,但该网站使用英语界面,面向全球用户。截至2026年3月,根据多家网络安全机构的监测报告(如Breachsense、CloudSek、SOCRadar、Rapid7等),Russian Market仍是stolencredentials和stealerlogs的主导市场之一,库存规模庞大,在售窃取日志超过1060万条,信用卡数据超过850万张。
与“暗网下/AWX”多次报道的其他曾被执法部门重创的平台(如Genesis Market于2023年被查封、导致Russian Market交易量激增670%;被查封的RaidForums/BreachForums、XSS等)相比,Russian Market表现出极强的韧性,未遭受平台级取缔,持续活跃。
平台运作模式与商品演变 Russian Market采用“自动商店”(autoshops)模式,类似于正规电商网站:商品分类清晰、可搜索、支持即时购买,买卖双方无需直接接触。这种低摩擦设计大幅降低了网络犯罪的准入门槛。
Russian Market平台的产品线经历了清晰的演变:
2019–2024年初:初期专注于远程桌面协议(RDP)访问权限销售。此类权限常被用于部署勒索软件、进行网络间谍活动,或作为进一步攻击的跳板。RDP访问已高度商品化,直至2024年1月该服务正式终止,不再提供。
2021年起:信用卡数据(CVV)业务迅速崛起,成为当时的主要品类之一,凭借扩张策略和较低的执法压力,一度领先同类平台。
2021年末至今:转向以信息窃取日志(stealerlogs,或称“僵尸程序”/bots)为主导。这些日志是由infostealer恶意软件从受害者设备中提取的数据包,通常包含:
保存的用户名、密码 浏览器会话cookie(可直接用于账户接管,绕过多因素认证) 自动填充数据、系统信息、加密钱包凭证等 2025年上半年,平台每月平均出售约3万个此类日志,上半年累计超过18万条公开出售。当前在售日志数量已达约1060万条,远超竞争对手(如2Easy仅为其约14%;Genesis Market关闭时仅有约42.5万个)。
主要商品详情与统计 信息窃取日志:平台最核心商品。买家可按地理位置、国家、操作系统、所用窃取工具类型、供应商、特定域名或邮箱等条件筛选。每个日志平均售价约10美元(历史价格范围1–100美元,取决于地理位置、数据质量、凭证有效性等)。日志大小通常为0.05–0.3MB,平均0.14MB,常包含多个域名的凭证。
主流窃取工具变种:Lumma Stealer曾占据主导地位(一度约66%,2024年Q4甚至达92%),但受2025年5月全球域名查封影响份额下降;Rhadamanthys(约5%)、Acreed等新兴变种崛起。早期流行的RedLine、Raccoon等因开发者被捕(RedLine2024年、Raccoon2022年相关行动),份额降至不足1%。 地理分布:美国受害者占比最高(约26%),其次阿根廷(23%)、巴西等。 部分数据存在质量问题,如重复、非唯一凭证,或虚假条目([email protected]等),但整体供应量巨大。 信用卡数据:销量第二大品类,在售约850万张。前20发卡国中,美国银行卡占比高达84%(约716.7万张)。
辅助工具:平台集成BIN验证器(根据卡号前6–8位查询卡片信息,用于筛选高价值目标);Netscape到JSONCookie转换器(将窃取的cookie转为现代浏览器兼容格式,便于实现会话劫持)。
卖家体系与生态特征 卖家采用积分评级体系,基于销量、买家反馈等计算分数。“钻石”级需超过10,000分,最高卖家分数可达20万以上。截至分析时,“窃取日志”板块仅列出约39家供应商,“信用卡”板块约557家,但许多供应商无实际商品上架。
参与者圈子相对封闭,每年仅新增一两个主要玩家。窃取工具变种也多出自同一小群体。尽管执法行动频繁,核心运营者和活跃卖家持续存在。
执法行动及其影响 自2022年以来,国际执法针对infostealer生态的打击显著加强:
2024年12月:Raccoon Stealer MaaS运营者Mark Sokolovsky被判5年监禁,导致该变种日志份额骤降。 2025年5月:微软、美国司法部、欧洲刑警组织等联合查封Lumma Stealer约2300个域名,基础设施遭受重创。 2025年11月:Operation Endgame行动关闭Rhadamanthys在226个国家/地区的超过1025台服务器,但运营者未公开被捕。 尽管如此,Russian Market平台本身未被整体取缔。竞争对手崩盘后用户迁移、平台的低调运营和快速适应能力,使其在2026年仍被多家报告视为stolencredentials和stealerlogs的主要枢纽。
风险与防御建议 Russian Market已成为凭证滥用攻击链的核心节点:企业员工设备感染infostealer→数据打包出售→买家购买用于初始访问、横向移动、勒索软件部署或账户接管。许多重大数据泄露事件最终可追溯至此类平台购买的凭证。
Russian Market的持续存在凸显了地下凭证经济的规模与韧性。其海量、低价供应降低了攻击门槛,对全球网络安全构成持久威胁。及时监控和强化身份防护,是有效降低风险的关键。
对于企业和个人,“暗网下/AWX”建议采取进一步防御措施加强防范,包括:
启用多因素身份验证(MFA),优先采用基于App或硬件密钥的方式(减少cookie劫持风险)。 使用唯一强密码,并借助密码管理器管理。 加强终端防护,部署端点检测与响应(EDR)工具,监控异常行为。 定期监测暗网暴露情报,检查组织域名、邮箱是否出现在此类平台。 开展员工安全意识培训,防范钓鱼邮件、恶意下载等感染途径。
暗网是听着就让人有点发怵的互联网角落,但它确实是很多人躲避审查、争取隐私的最后一块阵地。有一说一,暗网的风险是实打实的大,非法内容、黑客诈骗、恶意软件到处都是。进去之前把防护做到位,比什么都重要。就像第一次去一个完全陌生的城市,得先把交通地图、防护措施都搞清楚。
本文是“暗网下/AWX”认为访问暗网最该优先掌握的10条基本隐私保护技巧,基本覆盖了大部分实际操作场景。但请记住:法网恢恢,疏而不漏。使用暗网从事违法犯罪行为,最终的结局一定是蹲监狱。
一、把Tor浏览器安全级别调到“Safest”(最安全) Tor浏览器有三级安全设置,默认是“Standard”,但真正想把风险降到最低,直接拉到“Safest”。这个模式会完全禁用JavaScript(很多攻击都靠它)、限制字体加载、图标、数学符号显示,音频视频必须手动点才能播放,把网站能偷偷干的坏事基本全堵死了。网站界面会变得很简陋,有些功能直接用不了,但这是目前Tor自带的最强防护。日常觉得太卡就降到“Safer”,但高风险操作必须用“Safest”。
操作:点击菜单按钮(三条横线),然后依次选择“设置”(Settings )>“隐私和安全”(Privacy & Security),在“安全”(Security)选项下选择“更改”(Change) 。选择“最安全”(Safest)将 Tor 设置为最高安全模式,然后点击“保存并重启”(Save and restart)。
二、别最大化Tor浏览器窗口,随时随机调整窗口大小 访问暗网时,容易受到指纹识别攻击。从技术上而言,可以利用您计算机的信息(例如操作系统、系统时间,甚至是您安装的字体)来识别您的个人身份。指纹识别中另一个关键信息是显示器尺寸:如果浏览器窗口占据整个屏幕,恶意攻击者就能推断出你使用的显示器或设备。
虽然Tor已经尽力防止指纹识别了,但浏览器窗口大小是个超级容易被忽略的泄露点。全屏打开的话,攻击者通过分辨率就能快速缩小你的设备范围。最好的办法是打开Tor后别点最大化按钮,最好每次用的时候都稍微拖动一下窗口,尺寸随机变化一点。简单一个习惯,就能大幅增加指纹混淆难度。
三、多用“New Identity”功能刷新身份 Tor浏览器有个特别实用的按钮:新建身份。点右上角菜单 → “新建身份”(New Identity),浏览器会瞬间关掉所有标签、断开当前路由线路、重连新的Tor路径,把Cookie、历史、会话全部清空,相当于彻底换了个人。遇到任何可疑页面、准备下载东西、或者连续逛了很久之后,都点一下这个,基本等于重启匿名状态。
四、增加网桥,甚至用可插拔传输来隐藏Tor流量 普通Tor连接走的是公开的中继节点,虽然你的真实IP不会泄露,但运营商或防火墙还是能看出你在用Tor。如果你在Tor被封锁的国家/地区,或者不想让ISP知道你在跑Tor,就必须加网桥。
操作:在Tor浏览器中,点击右上角的菜单按钮,然后选择“设置”(Settings )>“连接”(Connection)来配置网桥。您可以使用“请求网桥”(Request bridges)功能从官方Tor机器人获取网桥链接,或者使用网页或Telegram链接查找网桥。更高一级的选择内置的可插拔传输桥(obfs4、meek-azure等),这些能把Tor流量伪装成普通HTTPS甚至其他协议,ISP基本看不出来你在用Tor。被墙地区几乎是必选项。
五、连上Tor后第一时间检查IP泄露 IP泄露是指你的实际网络位置被你连接的网站知晓——这是你在暗网访问时需要避免的情况。Tor再强,WebRTC没关干净、DNS配置出错、恶意网站脚本或浏览器扩展程序跑一跑,还是可能泄露真实IP。
建议每次连上暗网前,先打开IPLeak测一测,看它报的出口IP是不是Tor节点的、WebRTC有没有你家宽带信息、DNS服务器是不是Tor的。如果有任何异常,马上停下来排查(Tor默认禁用WebRTC,但多测一次心里踏实)。
六、浏览前把电脑上其他所有程序和后台应用全关掉
如果您通过 Tor 访问暗网,请关闭系统上的所有其他程序:清除内存中的所有应用程序,把不相关的进程全杀掉,即使它们只是在后台运行(Windows 上的任务管理器和 macOS 上的活动监视器可以帮助完成此操作)。
运行的应用程序不仅会帮助识别您的系统以进行指纹识别(比如字体列表、系统调用、插件痕迹),还会使您更容易受到暗网上的恶意网站和恶意软件的攻击。除了 Tor 之外,您运行的程序越多,不法分子可攻击的目标范围就越大。
七、用Tails OS运行Tor,获得系统级的隔离保护 在Windows或macOS系统上通过Tor访问暗网,您可以获得良好的安全保护。如果通过便携式Linux操作系统Tails访问,安全防护将更上一层楼。Tails可以从U盘运行,也可以通过虚拟机运行,这意味着即使恶意软件突破了你的防御,也无法访问你的主操作系统及其上的所有程序。
从U盘启动(或虚拟机里跑),整个操作系统强制走Tor,所有流量都匿名化。即使有恶意软件突破浏览器,也接触不到你主机上的文件和程序。用完自动擦除内存,不留痕迹。配置花点时间,但这是目前最彻底的办法。官网有一步一步指导的教程,新手跟着做基本不会出错。
八、别下载任何文件,必须打开就用Dangerzone 暗网下载东西是高危行为,恶意软件、勒索病毒、木马到处都是。实在避不开(比如可信联系人发来的文件),一定要用Dangerzone处理。它把PDF、图片、Office文档扔进沙箱,转成纯像素重建,彻底清除嵌入的恶意代码、追踪标签,最后给你一个干净安全的文件。Dangerzone软件开源免费,自由新闻基金会做的,用着很靠谱。
九、建立一套完全独立的“暗网身份” 绝对不要把日常用的邮箱、用户名、社交账号带进暗网,哪怕只是登录一下都会让Tor的匿名性大打折扣。这会增加你的凭证被盗的风险,也更容易让你被识别为个人用户。
建议制定一套全新的网络身份规则,以增加暴露真实身份的难度,用Proton、Tutanota、DuckDuckGo这种临时/匿名邮箱,用户名随机生成。最好错开上网时间、用不同设备、甚至换个WiFi热点,避免任何行为模式跟日常重叠。日常身份和暗网身份彻底切割,交叉就是给自己挖坑。
十、额外注意事项 保持Tor浏览器最新版本,及时修复漏洞打好补丁。 Tor浏览器别装任何第三方扩展,加装插件容易被指纹追踪。 可以先使用VPN再开Tor(Tor over VPN),但别把VPN当万能救命稻草,主要还是靠Tor本身和使用习惯。 心态上保持警惕,别乱点链接、别登录任何跟自己相关的账号。 这些是“暗网下/AWX”结合社区经验总结出来的,基本把最关键的防护点都盖住了。安全永远是相对的,没有绝对保险,但把这10条做到位,风险已经降到很低了。自己用的时候多留个心眼,暗网水很深,谨慎永远是第一位的。
一个令人震惊却又微小的细节,让一位暗网调查人员解救了一名遭受多年性虐待的12岁女孩,然而,这个关键线索并没有立即显现,而是需要付出巨大的努力才能破译。
最近一部名为《最黑暗的网络》(The Darkest Web)的新纪录片讲诉了美国国土安全部专业调查员格雷格·斯奎尔及其团队在暗网上追捕虐童者的故事,专业网络调查人员花费数月时间,成功解救了一名被困在性侵犯者手中的12岁女孩。该片近期正在BBC播出。
格雷格·斯奎尔为美国国土安全部调查局工作,专门负责与儿童性虐待有关的案件。在他职业生涯早期的一个案件中,有一个案件尤其引人注目。由于他在调查过程中发现了一个关键细节,他才得以追踪到一个被称为“露西”的女孩。
暗网充斥着各种非法内容,常常是分享儿童性虐待材料的平台 暗网是互联网的一部分,最初由美国国防部创建,旨在确保其间谍秘密行动。暗网经过高度加密,只有使用能够掩盖和匿名化个人身份的软件才能访问,从而确保任何活动都无法追踪到每个用户。
虽然暗网上的内容并非全是恶意的,但很多内容至少本质上是非法的,即便不是在创作过程中就对他人造成明确的伤害。如今,它更像是世界上许多最恶劣的恋童癖者的网络游乐场。
它通常被人们用来购买毒品和武器等物品——唐纳德·特朗普总统最近赦免了暗网最大市场之一丝绸之路的运营者——但它也是臭名昭著的性虐待(通常涉及儿童)恐怖内容的聚集地。
调查人员在暗网上关注到了被虐待的露西 据BBC报道,露西是国土安全部官员拼命想要拯救的孩子,她从7岁起就出现在互联网上那个邪恶的角落里,她遭受虐待的照片和视频在暗网上被分享给了大约40万人。
然而,由于暗网上的帖子不与IP地址关联,导致不法分子能够不留直接痕迹地进行活动,因此警方无法追踪到她。
这意味着由格雷格·斯奎尔领导的团队不得不从其他地方挖掘线索。他们开始仔细查看那些骇人的虐待图片和视频,寻找任何可能泄露露西下落的信息。
“寻找缺失的拼图碎片时那种焦灼的感觉很难形容,”斯奎尔说。“它成了你每天的负担。你肩负着这份责任。我和我的搭档皮特可能一天要谈论这件事100遍。”
斯奎尔一直在试图追踪露西的下落,但他和他的团队几乎毫无进展。他们根据插头和插座推断出她身处美国某地,但这并没有缩小他们的搜索范围。他们无法确定她的具体位置,甚至无法确定她的身份。任务陷入了僵局——直到一条线索将他们引向了她。
一条细微线索成为关键突破口,成功侦破案件 九个月的时间里,斯奎尔和他的团队仔细检查了小女孩房间里的所有东西:床罩、衣服、毛绒玩具,甚至随意摆放的水瓶,直到他们取得了一项出人意料的突破。
然而,当他们发现照片里的一款沙发有些不寻常之处时,一切开始变得清晰起来。他的团队意识到,这款沙发只在区域内销售,而不是在美国全国范围内销售,这使得潜在客户群限制在4万人左右。
从那里开始,他仍然面临着巨大的挑战,但他同时也注意到了房间里裸露的砖墙,于是咨询了砖瓦行业协会,该协会能够提供重要的帮助。
斯奎尔在纪录片中说道:“我一开始只是在谷歌上搜索砖块,没搜几次就找到了砖瓦行业协会。电话那头的女士非常棒。她问我:‘砖瓦行业能提供什么帮助?’”
在砖商约翰·哈普的帮助下,他们发现这种砖石是一种被称为“燃烧的阿拉莫”(Flaming Alamo)的特殊砖块,而且由于其太重,不太可能从美国西南部的制造厂远道而来。这种砖块是在德克萨斯州制造的,国土安全部的搜索范围缩小为方圆50英里。
通过将沙发客户名单与此进行交叉比对,他们得以在Facebook上找到露西的照片,进而分析与这位12岁女孩的家庭成员相关的房屋,并利用约翰·哈普的专业知识来确定这块砖是否被使用过。斯奎尔与约翰·哈普合作,确定了可见墙体中使用的砖块类型,并找到了露西居住的确切房屋。
“所以我们缩小范围,锁定了[这个]地址[…],并开始通过州政府记录、驾驶执照[…]信息和学校信息来确认住在那里的人是谁,”斯奎尔解释说。
他们发现,那里是露西母亲的男友的住所,他是一名被定罪的性犯罪者,几个小时内就被当地国土安全部特工逮捕。他们发现他总共对这名年轻女孩进行了长达6年的性虐待,最终他因其罪行被判处70多年监禁,这一切都要归功于斯奎尔和他的团队发现的一个关键细节。
该案件让斯奎尔感到相当痛心,激励他带领团队破获更多案件 那是这是一个令人痛心的案件,斯奎尔本人也是一位父亲,他承认,这个案件让他身心俱疲,就像他的许多其他工作一样。
“那时候,我的孩子们都大一些了,”他说。“你知道,这让你更有动力。比如,‘我打赌,如果我今天凌晨三点起床,就能出其不意地抓住网上的猎食者。’”
婚姻结束后,斯奎尔养成了酗酒的习惯,以此来“麻痹”自己,逃避他在工作中目睹的种种暴行,甚至一度产生了自杀的念头。
他在纪录片中说道:“当你所从事的、能给你带来巨大能量和动力的事业,同时也在慢慢摧毁你的时候,那种感觉真的很难受。能够成为这样一个能够有所作为的团队的一员,我感到非常荣幸。”
他们的确发挥了作用。像斯奎尔领导的这类执法部门,已经帮助抓获了一些世界上最臭名昭著的性犯罪者。
其中一个案例展示了他们如何侦破一起案件一名7岁儿童在俄罗斯被绑架并被推定死亡,一名巴西男子因运营全球5个最大的儿童虐待网络论坛而被绳之以法。
“我们需要一些勇气才能接受一些困难,才能亲眼目睹这一切,”斯奎尔本周告诉《卫报》。“但是那些遭受虐待的孩子们呢?他们别无选择。”