当严格执法的警察与无比聪明的网络奇才搭档时,会产生什么涟漪?本文揭露了互联网历史上规模最大、最具创造性的暗网打击行动之一。
2017年,荷兰国家高科技犯罪部门的警察们摧毁了曾经欧洲最受欢迎的暗网交易市场Hansa之后,选择接管了该暗网交易市场,并持续的进行运营。在近一个月的时间里,一群计算机高手和脚踏实地的警察们接管了该暗网网站——从内部运行该网站,设置网络诱骗陷阱,展示了技术专家和战术专家的结合是如何促成一场旷世行动的。
这种组合——老派警察与年轻网络警察的合作——至今仍然为荷兰国家警察带来红利。在接受Click Here播客的独家采访时,荷兰国家高科技犯罪部门负责人马蒂斯·范·阿梅尔斯福特(Matthijs van Amelsfort)讨论了Hansa暗网市场行动的遗产、他的团队的独特结构以及“改变游戏规则”的精神如何帮助执法部门持续领先网络犯罪分子一步。
Click Here播客:Hansa暗网市场被关闭和接管五年后,我们仍然在谈论它。您认为这是为什么?
MATTHIJS VAN AMELSFORT:嗯,我们希望成为打击网络犯罪的游戏规则改变者。每一项调查都必须有新的创新元素或者新的先进技术难点,我们才能展开这项调查。如果我们每次都[做]同样的调查,那么我们的知识就无法更进一步。这就是我们选择新的调查方式的原因。当然,我不能说下一个Hansa市场是今年还是明年。但我可以向您保证,还会有下一次(接管暗网交易市场)。
Click Here播客:如果我们认为这个团队一半是铁石心肠的警察,一半是计算机高手,您会把自己定位在哪一半?
MATTHIJS VAN AMELSFORT:实际上,正好介于两者之间。我的第一份工作实际上是担任应用程序经理,还有机会担任了一名警察志愿者,这样我就可以在街头工作了。2001年,数字调查开始了,我选择[加入]警察团队。当然,当时互联网还没有那么发达,但我已经逐渐融入其中了。
Click Here播客:您如何将这两种文化融合在一起?
MATTHIJS VAN AMELSFORT:我认为我们选择的是愿意互相学习的人。[本质上],他们需要了解别人是如何做的,他们的意见是什么,以及如何实现目标。您可以了解很多业务,但您还需要掌握对数据的理解。我们很幸运,有机会让具有技术背景的人担任此类职位,因为多年来我们注意到,[[教]一个技术人员一些警务知识,要比让一个[传统]警察学习网络犯罪相关的所有知识容易得多。我们可以让某个人只接受三个月的教育就成为一名警察。然后,他们就可以调查网络犯罪,并在网络犯罪方面警察权力。但是,“改变游戏规则”是在这里工作的人的基因。我最大的目标是为其提供便利,[以便]人们可以利用他们的知识和技能,一起工作,学习新知识,并将这些知识应用到调查中。
Click Here播客:这很有趣,因为我们采访过的许多不同的团队,无论是美国网络司令部的ARES特遣部队还是网络安全公司的团队,似乎最有效的团队都具有非常扁平的结构。您认为这是为什么?
MATTHIJS VAN AMELSFORT:嗯,我认为最重要的是我们不必告诉[员工]他们必须如何完成工作。因此,我们可以为团队设定目标,然后他们自己会想办法如何达到我们想要的目标。在一个团队中,[技术]专家和战术专家相互配合一起工作——他们实际上并不需要以这种方式进行指导。
Click Here播客:作为团队的负责人,您从管理角度如何处理这个问题?您的理念是什么?
MATTHIJS VAN AMELSFORT:我认为这一切都与信任有关——给予信任和获得信任。我知道我们的员工知识渊博,给团队足够的信任进行调查是很容易的,他们会自己处理好。更重要的是创造合适的环境,并为他们提供所需的空间。
Click Here播客:通过与您和您的团队的交谈,我们得到的感觉是,这个团队凝聚了一种创造力。
MATTHIJS VAN AMELSFORT:是的,这当然是我们真正想要激发的。我工作中最困难的部分是,我必须与警察组织打交道——所有的规则、教育机会、工资等。从本质上讲,警察部队不是一家IT公司。因此,更重要的是创造环境,并让组织意识到我们必须处理与以往不同的事情。我们注意到,有些人在工作五六年后,就会离开公司,进入商业市场。当然,没有其他工作可以让您能够利用您的知识和技能来完成调查并开展逮捕。这实际上就是我们在人们离开后听到的声音,他们怀念那种感觉。
Click Here播客:您提到在打击网络犯罪方面要成为“游戏规则改变者”。本着这种精神,您的单位已经成立了一个名为“网络犯罪预防小组”[COPS]的组织。您能否解释一下该计划,以及它如何符合NHTCU的更广泛目标?
MATTHIJS VAN AMELSFORT:当然。在打击网络犯罪时,我们必须关注犯罪行为和犯罪分子来自哪里。我们在逮捕时注意到,我们逮捕的嫌疑人都是年轻人。这感觉有点浪费我们的时间,也浪费我们拘留的嫌疑人的生命。因此,我们开始思考:我们怎样才能改变他们,让他们不再走上错误的道路,[而]让他们发挥自己的才能?我们警告他们在互联网上所做的事情,他们甚至没有意识到[可能]是非法的。例如,如果荷兰的某人正在使用Google搜索并寻找[如何发起]直接拒绝服务攻击,他们将收到警告,指出进行DDoS攻击是非法的。
Click Here播客:您认为这个项目是否能让高科技犯罪部门的人员对对手是谁有一种新的认识?
MATTHIJS VAN AMELSFORT:是的,我们确实非常了解罪犯是谁。但重要的是要知道,没有一个国家能够独自打击网络犯罪。因此,我们确实需要国际合作伙伴——美国、欧洲、欧洲刑警组织、国际刑警组织。这是我们共同要做的事情。
Click Here播客:因为网络犯罪没有国界。
MATTHIJS VAN AMELSFORT:没有国界。我认为现在我们的规则和法律都是基于边界的。但当然,这是一种无国界的犯罪,我认为这是我们未来必须考虑的问题。如今,数据可以在任何地方,就像[犯罪]主体一样。
暗网勒索团伙LockBit最近几个月遇到了严重问题,其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥(Jon DiMaggio)报道的,他发布了他的勒索软件日记项目的第三部分。
LockBit采用了勒索软件即服务(RaaS)的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员(附属合作伙伴)分配,后者最多可获得75%的赎金。
“我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时,尚不完全清楚LockBit背后的人是否已经陷入了混乱,或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。
他补充说,LockBit在发布受害者数据时面临一些问题。他认为,该组织的成员试图利用两大暗网论坛(Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛)上的说服性宣传,来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反,该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示,这是由于该集团内部基础设施和低带宽的限制。
DiMaggio表示,LockBit最近升级了其基础设施以解决这些缺点。然而,这实际上是一种策略,旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道,尽管有最新声明,LockBit无法发布有关受害者的大量数据。
DiMaggio发布了他的主要发现:
一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作,但是在DiMaggio与LockBit团伙分享他这份报告中的发现后,LockBit团伙就从Tox上消失了。与此同时,DiMaggio收到了来自LockBit附属合作伙伴的消息,他们认为是DiMaggio入侵了该团伙。然后,DiMaggio收到了来自第三方的另一条消息,表明他们可能已经入侵了该团伙的基础设施。当时,尚不清楚LockBit团伙背后的人是否已经躲藏起来,或者只是在休息,但他们没有活动的情况非常明显,DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。
二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传,并在犯罪论坛上进行大肆宣扬,以掩盖其经常无法持续发布被盗数据的事实。相反,它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故,除了附属合作伙伴之外,没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。
三、LockBit最近更新了其基础设施来解决这些问题 然而,这只是一个噱头,让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常,这是一个谎言和策略,目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样,通过其管理面板持续托管和发布大量受害者数据”的事实。此外,在过去的六个月里,LockBit提出了空洞的威胁,但在许多受害者拒绝付款后却没有采取任何行动。
四、附属合作伙伴正在离开LockBit,转而投奔其竞争对手 他们知道,尽管LockBit声称无法发布大量受害者数据。此外,他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。
LockBit团伙错过了最新的发布日期,无法生成更新的勒索软件变体来支持其附属合作伙伴。
五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件,用于自己的运营,并通过其管理面板提供。它希望提供点菜式的勒索软件产品,并成为黑客附属机构的一站式商店。
近年来,网络攻击的频率显着上升。攻击者越来越多地不仅出于经济利益,而且出于政治动机。各类公司正成为各种形式网络犯罪的受害者,例如网络钓鱼攻击和数据泄露。
为了防范这些威胁,专家建议使用专门的数字风险保护(DRP)服务。这些服务不仅有助于识别互联网隐藏角落中的潜在危险,而且在保护个人声誉方面发挥着至关重要的作用。
然而,问题仍然存在:独立监控暗网是否可行,或者是否建议寻求专业帮助?
暗网监控,数字风险防护 互联网的底层,也称为“暗网”,已经发展成为一个多功能平台,可以保证网络犯罪分子完全匿名。暗网的范围不断扩大,包括恶意行为者使用的各种工具。即使是看似合法的网站也变成了黑客的工具,包括即时通讯工具、torrents和论坛。
尤其是Telegram,它已成为非法活动的热点,提供了私人频道和聊天等理想条件。此外,近年来进入网络犯罪世界的门槛大大降低,这导致网络攻击规模不断升级。
网络情报和监控的交叉至关重要,因为它不仅仅是侦查犯罪。它需要了解事件背后的动机,并为未来制定预防措施。对暗网的监控在很大程度上依赖于分析人员的手动工作,涉及诸如渗透人员进入暗网黑客论坛或参与招募活动等策略。
数字风险保护平台在保护公司免受犯罪分子利用客户品牌实施的非法活动方面发挥着至关重要的作用。这些非法行为可能包括滥用个人数据收集、品牌欺诈、针对高层管理人员的攻击以及在暗网上暴露敏感信息。
暗网监控如何帮助降低风险 数字风险保护平台利用人工智能的力量,专门用于识别和减轻数字威胁。安全专家普遍认为,数字风险保护不仅有助于降低网络安全风险,还能解决财务、声誉和法律问题。
有趣的是,不使用暗网监控工具的公司可能仍未意识到机密内部信息的潜在泄漏可能性。此外,并非每个人都了解与此类泄漏相关的内在风险。
以下是DRP团队如何减轻网络攻击后果的实际示例。某DRP团队设法从一个暗网地下论坛招募了一名管理员,他愿意以优惠的报酬进行合作。在该论坛中,犯罪分子发布了有关一家大公司内部服务的泄密信息。通过招募过程,专家能够迅速删除这些敏感数据。该公告的可见时间不超过30分钟,防止其他参与者进行任何未经授权的复制。
当今最流行的窃取信息的工具是各种信息窃取程序和键盘记录程序。这些恶意程序旨在从受感染的计算机和手机收集机密数据,例如工作登录凭据、银行卡详细信息等。专家指出,有几个重要项目值得识别,包括出售基础设施访问权、泄露的登录凭证和密码、文件、源代码、公司重要基础设施的照片以及网络犯罪分子的计划。
尽管专家强调了一系列令人震惊的威胁,并且DRP提供了暗网监控的众多好处,但仍有相当一部分公司不知道它的存在。许多组织可能听说过DRP,但尚未将其纳入其安全措施中。
自行开展暗网监控的可行性和挑战 对泄露信息进行切实有效的监控是一项具有挑战性的任务。主要困难之一是如何选择搜索此类信息的来源。这些来源是高度动态的,有些需要专门的技术解决方案,而另一些则根本无法公开访问。发现相关链接并编制有关网络活动的全面统计数据增加了复杂性。
此外,一个重要的考虑因素是确定公司内部谁应负责监控。应该是由内部团队负责,还是外包给第三方专家?
公司内部的信息资产通常是分散的,需要与各个不同部门协作进行监控。因此,防范数字风险的责任可能超出了主要负责应对事件的信息安全专家。让市场营销、人力资源和律师等其他部门参与进来,可以为这项工作提供宝贵的支持。
确定开展网络跟踪和监控的基本渠道 在开展监控活动时,重要的是不要只关注预定义的渠道列表。为了有效识别漏洞,不仅需要监控暗网,还需要监控可能出现公司关键信息的深网、社交网络和论坛。然而,不同来源的重复数据会使搜索过程变得复杂。人工处理如此大量的数据是不切实际的。
这些数据源的动态性质凸显了开发数字风险保护系统并使之自动化的重要性。。如果没有这样的系统,监控的有效性就会显着降低。此外,网络上的信息经常被删除或审核。如果公司不能及时发现和应对泄漏的数据,人工检索几乎是不可能的。
DRP解决方案的技术方面涉及一个独特的功能:设计用于搜索公开来源信息的算法不一定总能在更私密和非公开的资源中有效发挥作用。必须审查和修改搜索和选择算法,以确保信息检索的准确性和全面性。
DRP客户的结果和成果 通过实施DRP,公司可以有效地满足其各种需求,从监控和警报到分析和事件响应。实施DRP后,企业将获得全面的覆盖,并由高度专业的专家处理整个过程。他们不仅监控和检测潜在威胁,还立即采取行动减轻威胁。
例如,如果客户遇到网络钓鱼攻击,DRP专家可能会进行干预,以阻止欺诈性资源的操作在机密数据泄露的情况下,专家会负责与相关销售商或分销商沟通。此外,他们还协助创建必要的文件,以便向执法机构报告事件,并与客户的信息安全部门合作,协调事件响应工作。
为了确定DRP服务的内部客户,建议评估信息安全部门以及公共关系(PR)、人力资源(HR)和营销部门的具体需求。不同的部门可能负责处理各种类型的威胁。例如,一个团队可能专门打击网络钓鱼企图,而另一个团队则专注于解决内部泄密和内部威胁。对于客户来说,关键是要在组织内部确定具备处理特定数据所需的专业知识的人员。例如,市场营销部门可以负责监控与媒体相关的风险。
DRP趋势和预测 在过去的一两年里,人们对数字风险保护解决方案的兴趣显着增加,导致其客户群显着扩大。五年前,DRP被认为是一种利基产品,主要由国家机构和大型企业使用。然而,现在的情况已经发生了变化,各部门和各行业的客户情况已经多样化。
如今,DRP已覆盖小型企业、零售机构、电子商务平台和各种服务。预计这一趋势未来仍将持续。对于许多行业和组织来说,DRP正在从可自由选择的选项转变为必需的选项。
结论 并非所有公司都完全了解与数据泄漏相关的风险。有些公司甚至对过去的黑客事件一无所知。然而,越来越多的DRP工具的当前和潜在用户热衷于保护自己的品牌和声誉,以及应对经济风险。
网络攻击的普遍性预计将继续增长,从而推动对数字风险保护解决方案的需求增加。虽然公司可以自行监控暗网以识别潜在威胁,但这种方法并不有效或经济上合理。被盗信息的来源不断变化,监控封闭资源需要额外的财务投资和专业技能。
提供数字风险保护服务的专家可以提供全面的服务,满足客户的所有需求,包括监控、警报、分析和事件响应。这些专业人员拥有驾驭错综复杂的网络威胁所需的专业知识。他们积极介绍和招募影子网络中的个人,以迅速收集和删除危险信息。此外,它们在自动化DRP系统并使其适应不断变化的数据源方面发挥着关键作用。
通过利用DRP专家的专业知识,企业可以有效降低数字风险,确保采取积极有效的方法来保护其资产和声誉。这种方法比自我监控更可取,可以让企业专注于其核心业务,同时将数字风险保护的复杂方面留给专业人士。
“丝绸之路”(Silk Road)和恐怖海盗罗伯茨(Dread Pirate Roberts)的时代可能已经过去,但暗网毒品市场似乎一如既往地盛行。随着2022年俄罗斯九头蛇(Hydra)市场的崩溃,我们探讨了2023年暗网毒品市场的状况。
什么是暗网,它是如何运作的? 对于那些不太熟悉暗网及其各种暗网市场运作方式的人,请允许我解释一下……
如果把互联网想象成一座冰山,那么我们现在所处的表层网络就是冰山的一角。表层网络仅占整个网络的4%,是人们最熟悉的部分。表层网络包含可通过搜索引擎(例如谷歌)访问的网络部分。然而,许多人没有意识到,网络的范围远远不止于此。
表层网络之下的一层是深层网络。这部分网络无法被传统搜索引擎访问,因此也不会被网络爬虫抓取。要访问深层网络中的网页和信息,用户需要正确的授权和凭证。
然而,仅仅因为网页存在于深层网络中并不意味着它是有害的。这一层中存在许多无害的项目,例如未发表的博客文章、存档的新闻报道和付费专区的文章。
深网之下是暗网(darknet,dark
web),由于其不可搜索、加密和私密的性质,为用户提供了完全的匿名性,因此访问起来更加困难。
暗网确实有一些合法用途,包括私人通信和保护机密资源。尽管如此,暗网可能因其托管丝绸之路等毒品市场、黑市和网络攻击服务而更为人熟知。其设计本身使暗网成为犯罪活动的热点,因此暗网已成为这部分网络的代名词。
洋葱路由器(TOR) 由于无法通过表面网络访问暗网,用户需要使用一种称为洋葱路由器(或TOR)的软件才能访问暗网。TOR最初由美国政府创建,是一种匿名浏览器,允许用户进入暗网并匿名化其身份。使用加密货币在暗网上进行交易,可以增加这一层的安全性和匿名性。
暗网毒品市场 暗网最广为人知的功能之一可能就是托管大规模毒品市场。最明显的莫过于2010年初“丝绸之路”市场的崛起,“丝绸之路”由罗斯·乌布里希特(Ross Ulbricht,又名恐惧海盗罗伯茨)创立,出售种类繁多的物品,但却是一个臭名昭著的毒品市场——2013年春季,毒品占所售商品销售量的70%。据估计,丝绸之路在其鼎盛时期价值3450万美元。在罗斯·乌布里希特被FBI逮捕后,丝绸之路最终于2013年10月被联邦调查局关闭。
最近,2022年又见证了另一个著名暗网毒品市场的衰落。俄罗斯暗网市场“九头蛇市场”(Hydra Market)于2015年推出,以毒品贸易等而闻名。Hydra市场逐渐发展成为暗网最大的市场之一,约占暗网活动的80%,拥有1.9万个卖家账户和1700万客户。从毒品销售方面来看,Hydra市场成为前苏联国家中最大的毒品市场。2022年4月,Hydra市场被德国警方关闭,遭遇了与丝绸之路类似的灭顶之灾。
2023年暗网毒品市场的情况 2022年Hydra市场消亡后,出现了数十个新的暗网市场,其中一些是针对前Hydra客户和供应商的暗网毒品市场。
根据来自多个安全信息来源的研究(flashpoint,chainalysis),Hydra市场关闭后,多个市场成为新的参与者,轮流引领暗网毒品市场。在运营第一个月结束时,OMG! OMG!市场的销售额已达到约1215万美元。与Hydra市场类似,许多俄罗斯暗网市场的排名也有所上升,其中最大的似乎是Mega暗网市场,仅3月份就获得了4000万美元的收入。紧随其后的是Blacksprut市场,获得约2000万美元的收入。
由于加密、匿名和隐私是暗网及各种暗网毒品市场设计的核心,因此很难获得有关毒品趋势的最新信息。《2023年世界毒品报告》的分析表明,虽然买家在毒品交易上的平均花费在增加(从2018年每笔交易100美元增加到2021年每笔交易500美元),但活跃买家和交易数量却明显减少。
有趣的是,社交媒体作为新兴毒品市场的崛起也影响了购买趋势。自我报告的数据表明,社交媒体平台已成为大麻、摇头丸和可卡因低级交易的有利平台,而新型精神活性物质在更大程度上仍通过暗网进行销售。
至于暗网毒品市场的销售对象,似乎也发生了变化。对于大多数市场来说,传统的买家最终是所售产品的最终用户,但专家认为,暗网毒品市场正开始转向批发。活跃市场、参与者和交易数量的减少,与暗网总体销售额和平均交易额的增加形成鲜明对比,表明供应商可能转而向药品分销商销售,或者扩大了产品和服务范围。
综上所述,2023年的暗网毒品市场面临着许多挑战——然而,尽管面临这些挑战,它们的反弹能力清楚地表明它们不会在短期内消失。“低水平”毒品交易社交媒体的兴起表明,暗网毒品市场将继续调整其应对措施,重点关注毒品批发分销商,而不是最终消费者。
当您使用Tor浏览器时,其他人真的不可能查出您的身份或监控您的活动吗?
Tor经常被誉为网络中最安全的浏览器,许多人都在这样的假设下使用它。但是,Tor真的那么安全吗?或者还有其他浏览器可以更有效地保护您的隐私吗?
什么是Tor? Tor(The Onion Router,洋葱路由项目的缩写)是一个拥有数百万用户的互联网浏览器,目前可用于Linux、macOS和Windows。您还可以通过智能手机访问Tor。
Tor由Tor项目(Tor Project)开发并于2002年发布。2006年,Tor项目正式成为非营利组织。
仅在美国,平均每天就有超过50万人使用Tor(根据Tor自己的统计)。它在德国使用最为普遍,但在印度、俄罗斯、法国、芬兰和英国也很流行。
Tor浏览器依靠用户捐赠和全球志愿者网络来运行,因为Tor项目本身是非营利性的。Tor的志愿者通过运行中继为用户提供浏览安全性。中继本质上是接收流量并将其传递到其必要目的地的路由器。这些中继器也称为节点,它们聚集在一起形成Tor网络。
Tor的安全功能 众所周知,Tor是一款安全、可信赖的浏览器,那么它有哪些功能可以做到这一点呢?
1、洋葱路由 洋葱路由是Tor的原生功能,创建于上世纪90年代中期。
洋葱路由是一种用于匿名互联网通信的技术。与蔬菜洋葱一样,洋葱路由使用分层来保持数据的私密性。每一层代表一轮加密。
在Tor网络中,由志愿者运营的数千个中继站为洋葱路由提供了便利。然而,这些志愿者都不知道流量从哪里来,又要去哪里。这是因为每个志愿者只是信息到达目的地过程中的一部分。
每个数据包在离开用户计算机时都要经过不同的阶段。数据包首先通过入口(或防护)中继器进入网络,然后通过中间(或桥接)中继器。最后,数据通过出口中继。
通过前两个中继后,数据将被加密,每次都使用不同的密钥。这些多重加密层使恶意行为者很难以纯文本形式查看您的数据或IP地址。换句话说,你是谁、你在哪里、你做了什么都是匿名的。
出口节点不会加密流量,稍后会详细介绍。
通过这种分段中继结构,没有一个网络贡献者知道数据包的性质或目的地。通过洋葱路由传输数据时,Tor使用AES(高级加密标准),这使得它们超级安全。
2、可调节的安全级别 如果您使用Tor浏览器,您可以随时调整所需的隐私和安全级别。Tor提供三种不同的模式:标准模式(Standard)、更安全模式(Safer)和最安全模式(Safest)。
”标准“模式使用洋葱路由和加密,但启用所有其他Web功能。
接下来是”更安全“模式,它出于安全目的删除了一些功能。当您激活”更安全“模式时,Tor会禁用以下功能:
非HTTPS网站上的JavaScript。
某些字体和符号。
自动播放视频、音频和WebGL。
最安全的Tor模式被称为”最安全“(Safest),它可以禁用所有JavaScript(无论您在哪个网站上),限制更多字体和符号,并禁用视频、音频和WebG。
通常建议使用”更安全“模式,因为”最安全“模式往往具有很大的限制性。但如果您正在进行高度敏感的研究或想要访问不安全的网站,暂时激活此模式可能是明智的选择。
3、无脚本 无脚本(NoScript)是一个很棒的附加功能,可以保护用户免受不受支持或潜在恶意Web脚本的侵害。当识别出不受支持的脚本时,NoScript会阻止该脚本,并定义一个替代脚本来显示。
NoScript并不是Tor独有的,也不是Tor项目的创造。
4、去中心化 Tor网络是去中心化的,这意味着没有任何一个实体能够访问所有可用的数据。相反,数以千计的节点共同运行网络,将数据从源头传递到目的地。
这里需要注意中继网络的结构。如前所述,数据在流出网络之前会经过多个中继。没有一个中继拥有数据包上的所有信息,这可以防止恶意中继窃取敏感信息。
这种结构还可以防止单点故障,单点故障可能导致巨大的技术问题和崩溃。
Tor的缺点 虽然Tor确实具有一些安全和隐私优势,但也有一些缺点需要考虑。
1、性能缓慢 由于Tor通过中继发送您的数据进行多轮加密,因此您的流量从A节点到B节点需要更长的时间。换句话说,网页加载也需要更长的时间。这也会导致流媒体缓冲和游戏延迟。
VPN也是这种情况,因为您的互联网流量也要经过类似的加密过程。不幸的是,这有时是为提高安全性而付出的代价。
2、与暗网的关联 Tor浏览器在暗网用户中非常受欢迎,因为它可以为他们提供匿名性。这造成了一种误解,认为Tor浏览器是非法的或仅由网络犯罪分子使用,但事实并非如此。许多人只是为了增加隐私和安全性而使用Tor,而且该浏览器在大多数国家/地区都是合法的。
然而,Tor接入暗网确实意味着你可以使用该浏览器访问非法内容和平台。Tor对此无法控制,就像Google和Mozilla对用户在Chrome和Firefox浏览器上的操作没有发言权一样。还有许多有用且无恶意的深层网站或暗网网站。
但如果您想使用Tor进行更深入的探索,请注意你可能会遇到一些非法或令人不安的事情
3、无出口中继加密 尽管Tor的洋葱路由技术确实会加密您的流量,但这里有一个漏洞需要注意,那就是出口中继。Tor网络的出口中继不会对流量进行加密,这意味着你的流量一旦离开网络就不会被加密。
如果恶意行为者入侵了易受攻击的Tor出口节点,他们就有机会查看或监控你的活动。
不过,出口中继本身无法解密您的数据,因为它已经通过之前的中继进行了加密。
Tor浏览器替代方案 如果您正在寻求更高的匿名性和在线安全性,Tor浏览器无疑是一个不错的选择。但如果您不太喜欢这个特定的浏览器,还有一些同样优先考虑用户隐私的浏览器替代品。
最常用的Tor浏览器替代方案包括:
Brave Epic Browser Yandex Browser Tails Vivaldi 您可以使用任何最流行的浏览器,例如Chrome和Safari,但这些浏览器并不是专门为安全而设计的。
您还可以考虑将VPN与Tor浏览器一起使用。这将为您提供更高的安全性,并确保您的数据在出口节点加密(只要您使用信誉良好的VPN)。
总结:Tor高度安全,但也有缺陷 很明显,Tor项目专注于优先考虑安全和隐私,并通过各种功能共同确保用户安全。但Tor浏览器也有一些需要注意的缺点,因此您也可以试试其他可行的替代方案。
“Tor”让人想起暗网——一个雇佣杀手或购买毒品的地方,此时,联邦调查局的人正在四处抓捕您。然而,现实情况比这要无聊得多,但也更加安全。
洋葱路由器(The Onion Router)现在被称为Tor,是一个由非营利组织运营的注重隐私的网络浏览器。您可以免费下载它,并用它来在线购物或浏览社交媒体,就像在Chrome、Firefox或Safari等普通浏览器上一样,但还可以访问以.onion结尾的未被索引的网站。这就是人们所认为的“暗网”,因为这些网站不被搜索引擎索引。但这些网站本质上并不是犯罪活动。
“这不是黑客工具,”Tor项目战略传播总监Pavel Zoneff说,“这是一个和人们习惯使用的其他浏览器一样容易使用的浏览器。”
没错,尽管存在常见的误解,Tor可用于您通常进行的任何互联网浏览。Tor的主要区别在于,该网络会隐藏您的IP地址和其他系统信息,从而实现完全匿名。这听起来可能很熟悉,因为这是很多人使用VPN的方式,但区别在于细节。
VPN只是加密隧道,隐藏从一跳到另一跳的流量。VPN背后的公司仍然可以获取并访问您的信息,将其出售或转交给执法部门。亚利桑那州立大学副教授杰德·克兰德尔(Jed Crandall)表示,使用Tor,您和流量之间就没有任何联系。Tor构建在网络的“较高层”中,并通过不同的隧道而不是单个加密隧道路由您的流量。虽然第一个隧道可能知道一些个人信息,最后一个隧道可能知道您访问过的站点,但这些数据点之间几乎没有任何联系,因为您的IP地址和其他身份信息会从一个服务器跳转到另一个服务器,变得模糊不清。
简单来说:使用常规浏览器直接连接您和您的流量,添加VPN通过加密隧道传输该信息,以便您的互联网服务提供商无法看到这些信息,而Tor会分散您的身份和搜索流量,直到这些信息几乎变得匿名,并且非常难以识别。
访问未索引的网站还能带来额外的好处,例如安全通信。克兰德尔指出,虽然像WhatsApp这样的平台提供加密对话,但如果进行调查,设备上可能会留下对话发生过的痕迹。Tor的通信隧道是安全的,并且更难追踪曾经发生过的对话。
其他案例可能包括:匿名保护无证移民等敏感人群的身份、试图在公司不离开工作场所的情况下组建工会、家庭暴力受害者在施虐者不发现的情况下寻找资源,或者正如克兰德尔所说,想在谷歌上进行尴尬的搜索而不让相关的定向广告永远跟着您。
不过,增加安全层级可能会带来一些额外的问题,例如访问延迟或加载时间延长。对于某些用户来说,这可能是真的,具体取决于他们在网上所做的事情,但有趣的是,近年来它的速度变得更快了,而且用户表示,与其他浏览器相比,他们几乎没有注意到差异。犹他大学计算机学院副教授萨迈尔·帕蒂尔(Sameer Patil)通过让学生和教职员工尝试使用Tor作为主要浏览器来研究这一问题。“我个人非常惊讶地发现,很多网站和东西在 Tor 浏览器上都能正常运行。因此,它们不仅能按预期运行,而且速度也足够快。”帕蒂尔说。
不过,但即使网络隐私不是您个人最主要关心的问题,使用Tor也可以帮助支持严重依赖网络隐私的行业。帕蒂尔表示,通过使用匿名且安全的浏览器,您就是在支持活动家、记者和其他人的隐私,因为使用它的人越多,它就越安全。帕蒂尔说,如果只有某些敏感群体使用它,那么去匿名化并最终追踪身份就会更容易。而当您是十亿人中的一个使用它时,这项任务就变得几乎不可能完成了。
根据Chainalysis最近发布的《加密货币犯罪报告》,2023年上半年与暗网及加密货币相关的诈骗和犯罪大幅下降了65%。该研究强调了各种类别的非法收入总体下降,包括诈骗和暗网市场。Chainalysis网络威胁情报主管Jacqueline Burns Koven最近接受采访时,对数据进行了分析,并深入探讨了这一下降背后的原因。
尽管加密货币价格上涨,但在基于加密货币的网络犯罪中名列前茅的诈骗却有所减少。这似乎有悖常理,因为随着人们对加密货币领域的兴趣日益浓厚,人们预计诈骗收入会更高。然而,Burns Koven解释说,投资骗局未来可能会变得更具吸引力。她还指出,冒充诈骗,特别是那些涉及权威人物和有影响力人士的诈骗,并未受到重大影响。
此外,Elliptic前加密货币技术咨询主管Tara Annison表示,稳定币已取代比特币,成为犯罪活动的首选加密货币。而且,混币工具在行业中也发挥着越来越重要的作用。
约炮诈骗——持续关注的问题 该报告强调约炮诈骗是一个持续存在的问题,因为无论加密货币价格如何波动,他们都会继续收到大量诈骗付款。Burns Koven强调需要监控和解决这种特定类型的骗局。
她说:“约炮诈骗与加密货币的价格波动无关,并且从每个受害者的角度来看,他们收到的诈骗总额比其他类型的诈骗更多。”
当被问及诈骗数量的减少的原因时,Burns Koven将其归因于去年两起重大诈骗的消失,这可能是由于执法活动和压力。
她指出,虽然这一趋势是积极的,但她说:“这是一个脆弱的趋势,我们正在寻找下一个大骗局可能是什么,以便我们可以向私营和公共部门的调查人员强调这一点,并试图阻止他们的客户向这些骗局发送资金。”
勒索软件攻击却出现激增 虽然整体加密货币犯罪有所减少,但勒索软件攻击却出现激增。该报告显示,勒索软件攻击者在2023年上半年已勒索超过4.49亿美元,今年可能成为勒索软件第二大盈利年。Burns Koven指出,这一增长至少部分归因于乌克兰与俄罗斯的冲突。以俄罗斯为基地的运营者已将重点从潜在的军事活动转移到勒索软件攻击上。
另一种新发现的勒索软件攻击是Clop勒索软件,根据Burns Koven的说法,该勒索软件利用零日漏洞来针对众多受害者。赎金要求已达到八位数,表明这些攻击的经济影响越来越大。报告预测,如果目前的速度继续保持下去,勒索软件攻击者将在2023年从受害者手中夺走超过8.98亿美元,仅次于2021年的数字。
比特币不再是犯罪分子最喜欢的加密货币 Elliptic前加密货币技术咨询主管Tara Annison表示,犯罪分子越来越青睐USDT和USDC等稳定币,而不是比特币来进行非法交易。随着比特币不那么受欢迎,它在非法交易量中所占的份额已从2020年的97%下降到2022年的19%。
Annison认为,犯罪分子更喜欢Tether(USDT)和USDCoin(USDC)等稳定币,因为它们很容易获得。
Annison特别表示,波场网络上的犯罪活动似乎很猖獗。2019年,USDT发行方Tether表示,其与美元挂钩的资产可以在波场TRON上使用。
流向被禁地址的资金显示,犯罪分子正在使用稳定币进行活动。此外,加密货币混合器也越来越受欢迎。相比之下,比特币(BTC)流量在2022年占非法交易量的19%,而2020年为97%。TRM实验室在2023年初证实,2022年这种加密货币在暗网市场销售额中的占比不到10%。
虽然稳定币发行人可能会冻结与犯罪或恐怖活动相关的地址上的资产,但隐私批评者认为,这种做法破坏了加密货币的抗审查性质。
在USDT和USDC在过去18个月内多次失去与美元挂钩之后,美国立法者通过国会重新引入了稳定币立法。
欧洲加密货币市场法案限制了稳定币支出,而香港表示即将出台的立法将为稳定币提供指导。
2023年4月5日,美国联邦调查局(FBI)和荷兰国家警察局宣布捣毁最大的暗网市场之一Genesis Market。这次行动被称为“饼干怪兽行动”(Operation Cookie Monster),共逮捕了119人,并缴获超过 100 万美元的加密货币。您可以在此处阅读联邦调查局的搜查令,了解此案的具体细节。鉴于这些事件,可以讨论一下暗网威胁情报(OSINT)如何协助暗网调查。
暗网的匿名性吸引了各种各样的用户,从举报人和政治活动家到网络犯罪分子和恐怖分子。有多种技术可用于尝试识别这些网站和角色背后的个人。
技术漏洞 虽然不被视为OSINT,但在某些情况下,用于托管暗网网站的技术中存在技术漏洞。这些漏洞可能存在于软件本身,或者是由于配置错误造成的,但它们有时会泄露站点的真实IP地址。通常,这些软件漏洞需要使用渗透测试工具和技术(例如BurpSuite)来造成包含站点真实IP地址的错误消息。诸如此类的漏洞并不常见,而且很少被利用。
也有暗网网站运营者使用SSL证书或SSH密钥的情况,这些证书或密钥可以使用Shodan、Censys、Zoomeye或Fofa等资产扫描探测服务发现其明网上的真实IP地址。
加密货币追踪 暗网上的交易通常涉及加密货币以支付非法商品和服务。这使得借助区块链分析工具来识别个人身份成为可能。
根据各国”防止洗钱“的法律,任何人都无法以“匿名”名义去银行开设账户。这些要求通常称为反洗钱(AML)和了解您的客户(KYC),并要求客户提供政府颁发的身份证明以证明身份。许多国家对加密货币交易所都有类似的要求。
多年来,一些公司提供了区块链分析工具,试图将加密货币地址与特定交易所(例如Coinbase或Binance)联系起来。一旦加密货币地址与特定交易所存在联系,具有法律权限的执法和/或金融调查人员就可以要求交易所向他们提供该账户所有者的身份识别信息。
一直以来,对于个人来说,这些区块链分析服务购买成本高昂,但是,区块链分析提供商Breadcrumbs最近推出了一个分析平台,提供更实惠的价格和免费计划。
带回到互联网上 如何将需要在暗网上获取的联系方式带回互联网?想象一下,如果您经营着一辆餐车,而城市规定您每月不能在同一地点出现超过两次,您只能被迫不断更换地点。您将如何尝试建立品牌忠诚度,并让潜在客户知道您每天所在的位置?
您可能会尝试让客户在社交媒体上与您联系或访问您的网站等,以便他们知道在哪里可以找到您。不管你相信与否,暗网上也存在着非常相似的动态。
暗网提供的是匿名性,缺乏的是稳定性和安全性。Silk Road、AlphaBay、Hansa、WallStreet以及现在的Genesis等主要暗网市场均已被执法部门取缔。拒绝服务攻击已成为Tor网络上的一个主要问题,最近流行的暗网论坛“Dread”前期也因此类攻击而关闭数月就证明了这一点。您能想象在那种环境下尝试经营暗网生意并获得稳定的收入吗?
卖家尝试实现稳定性和弹性的一种方法是在多个市场上销售,并提供直接联系他们的方法。这种提供稳定性的尝试非常有意义,并且对于OSINT从业者来说非常有用,因为它提供了联系方法或“选择器”,因为可以使用它们在互联网上找到他们,并充分利用所有的知识、经验和资源。如从暗网网站获取电子邮件地址,并将其与使用Google的互联网上的网站关联起来。
一旦我们将个人与互联网上的资源联系起来,我们就有多种选择来对其进行去匿名化。最常用的一些选项包括:
历史WHOIS查询 WHOIS记录等域名注册信息可以提供有关网站所有者或运营者的有用信息。在某些情况下,犯罪分子可能会利用不准确或不完整的隐私保护措施,无意中暴露自己的身份或位置。即使某个网站的WHOIS信息目前是匿名的,但在过去的某个时间点往往不是匿名的。
论坛上的OSINT 暗网上的个人经常参加论坛进行交流、回答问题等,他们可能会无意中透露出可以帮助OSINT从业者更多地了解其真实身份的信息。他们使用的语言和独特的说法非常有用。
泄露数据 即使电子邮件与匿名服务绑定,用户也可能在其他网站上使用过它,包括论坛和社交媒体。如果在法律和道德上允许您能够在调查中使用泄露数据,您也许能够将在线角色与真实姓名、实际地址等联系起来。
事实证明对一些调查人员有帮助的一个泄露示例是2021/2022年来自多家VPN提供商(包括SuperVPN、GeckoVPN和ChatVPN)的10GB数据泄露。这些数据包含所用设备的全名、账单详细信息和潜在的唯一标识符,包括移动设备的国际移动用户身份(IMSI)。
未来的发展和趋势 未来的暗网市场打击将使用本文讨论的方法,并且毫无疑问将采用新兴技术。最明显的发展是在OSINT中使用人工智能(AI)和机器学习(ML)。例如,人工智能可以帮助构建网络爬取工具,可以快速收集和分析来自多个来源的数据,而机器学习算法可以经过训练来识别数据中的模式和关系。这些进步有可能为调查人员节省大量时间和资源,使他们能够专注于调查的其他方面。
近年来,人工智能(AI)取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。网络安全公司SlashNext最近发现,黑客正在使用一种名为WormGPT的人工智能工具进行网络攻击。该工具基于OpenAI的ChatGPT,专为恶意活动而设计,对网络安全构成重大威胁。
WormGPT利用复杂的人工智能模型,可以生成类似于人类语音的文本。它该模型在各种数据源上进行了训练,尤其侧重于恶意软件相关数据。这使得该工具能够创建的电子邮件不仅非常有说服力,而且在战略上也很狡猾,显示出它在复杂的网络钓鱼攻击方面的潜力。黑客论坛上发布的屏幕截图展示了人工智能机器人可以执行的各种任务,包括创建网络钓鱼电子邮件和编写恶意软件攻击代码。
与OpenAI的ChatGPT和Google的Bard等领先的人工智能工具不同的是,这些工具设有防止滥用的保障措施,而WormGPT是专门为促进犯罪活动而设计的。它的创建者认为,它是对ChatGPT最大的威胁,因为它能够使用户进行各种非法活动。这引发了人们对人工智能工具落入网络犯罪分子手中的潜在影响的担忧。
ChatGPT和WormGPT等人工智能工具带来的危险已经引起了专家、政府官员、甚至ChatGPT创建者的关注。他们强调有必要制定相关法规,以保护公众免受滥用这些技术的危害。执法组织欧洲刑警组织(Europol)也对ChatGPT等大型语言模型(LLM)可能被用于欺诈、冒名顶替和社会工程提出了警告。
围绕ChatGPT等人工智能工具的一个主要问题是,它们能够根据用户提示生成高度真实的文本。这使得它们对于网络钓鱼攻击非常有用。过去,由于明显的语法和拼写错误,基本的网络钓鱼诈骗往往很容易被识破。然而,随着人工智能的发展,现在即使对英语有基本的了解,也能以高度逼真的方式假冒组织或个人。
欧洲刑警组织强调,LLM使黑客能够更快、更真实、更大规模地实施网络攻击。这对不断努力对抗网络犯罪分子的网络安全专业人员构成了重大挑战。WormGPT等人工智能工具的使用使情况进一步复杂化,因为它们为黑客提供了利用漏洞和实施攻击的新方法。
为了解决这些问题,越来越多的人呼吁制定能够有效管理人工智能工具使用并防止其滥用的法规。立法者需要与该领域的专家密切合作,制定在促进创新和维护公共安全之间取得平衡的框架。关键是要制定道德准则和限制,以确保人工智能工具得到负责任的使用,并造福社会。
总之,像WormGPT这样的人工智能工具的出现,引起了人们对网络犯罪分子利用这些人工智能技术进行恶意目的可能性的严重担忧。这些工具生成真实文本和模仿人类语音的能力对网络安全构成了重大威胁。政府、网络安全专业人士和人工智能开发人员必须通力合作,制定能有效应对这些挑战的法规。通过这样做,我们可以利用人工智能的力量,同时确保数字时代个人和组织的安全和福祉。
WormGPT的Telegram频道订阅用户已经达到2000多人,该频道介绍了该项目以及报价,并推送了一些功能更新。
WormGPT的介绍 我们的项目旨在提供 ChatGPT 的替代品,允许您创建各种无法检测的恶意软件、BEC 电子邮件和一般黑客工具。我们的工具允许黑帽活动,不保留任何日志或信息。
功能: ◉快速稳定的回复
◉无限字符
◉注重隐私
◉允许黑帽
◉将结果保存在 TXT 文件中
◉不同的 AI 模型
计划中的功能: ◉系统角色–为了获得更准确的结果,您可以为人工智能设置一个角色(例如:高级开发人员)
◉托管网站 – 所有内容均在线托管,无需下载,无可执行文件
WormGPT的报价 ◉ 1 个月 – 60 美元
◉ 3 个月 – 180 美元
◉ 6 个月 – 400 美元
◉ 12 个月 – 700 美元
WormGPT的Telegram频道的公告号称已经拥有超过1500用户正在使用该工具,并表示12个小时后价格就将上涨,也间接说明了其受网络犯罪分子欢迎的程度。
加拿大和英国的学者在分析暗网市场毒品购买数据时进行了一项新的研究,揭示了哪些国家更喜欢从其他地方进口毒品,而哪些国家更喜欢在国内运输毒品。该研究结果发表在2023年7月的《犯罪法与社会变革》上,文章称,俄罗斯、美国和加拿大的暗网市场买家最喜欢从国内供应商处订购,而土耳其、印度和比利时的买家则最有可能使用国际供应商。
研究人员认为,一个国家的暗网交易市场购买者在决定是否从国际供应商处订购毒品时会受到多种因素的影响。这些因素包括文化亲和力(使用相同的语言)、这个国家监管暗网市场的能力以及购买者所在国是否可以获得所需的药物。
该研究基于前DrugRoutes网站的数据,该网站收集了志愿者提供的可验证的、自我报告的暗网市场毒品购买数据,以建立对暗网毒品贸易最受欢迎的国际路线的认识。作者发现,欧盟的国际毒品贸易尤其丰富,荷兰是向德国、法国等邻国出口毒品的首要国家。荷兰也是向其他大陆国家出口率最高的国家之一,包括美国、加拿大、澳大利亚和印度。
研究还发现,美国总体上是主要的“买家”国家,其次是德国、法国、英国、加拿大和澳大利亚。此外,根据DrugRoutes数据,研究人员还研究了哪些毒品最受欢迎,其中包括以下内容(以及占总订单的百分比):
大麻(28%) 可卡因(20%) MDMA/摇头丸(12%) 迷幻药(9%) 安非他明(6%) “其他”(6%) 甲基苯丙胺(5%) 海洛因/其他阿片类药物(4%) 处方药(3%) 苯二氮卓类药物(3%) 氯胺酮(1%) 最后,该研究的作者还表明,拥有更好的互联网基础设施和更广泛的可用性的国家比那些缺乏基础设施的国家拥有更大的暗网市场用户群。例如,该研究提到了英国和哥伦比亚在互联网普及率和可卡因价格方面的差异:
哥伦比亚毒贩可以通过在加密暗网市场上的销售获得可观的利润,因为每公斤可卡因的国内批发价格约为1500美元,而在英国为45000美元。但哥伦比亚的互联网普及率为65%,其中很大一部分无法接入互联网的人可能居住在可卡因生产较为集中的农村地区。
相比之下,英国的互联网普及率为95%。这种差异有助于说明(尽管不完全)为什么英国在毒品加密市场贩运方面比哥伦比亚发挥着更重要的作用。
该论文名为:Online and offline determinants of drug trafficking across countries via cryptomarkets(通过加密市场进行跨国毒品贩运的线上和线下决定因素)
摘要:
毒品加密市场是非法毒品市场近代史上的重大发展。经销商和买家现在可以与他们从未见过的人完成交易,这些人可能位于全球任何地方。哪些因素影响了通过这些加密市场进行国际毒品贩运的地理分布?在我们当前的研究中,我们结合使用社交网络分析和由自我报告交易组成的新数据集来测试通过加密市场进行毒品贩运的决定因素。我们的研究结果表明,一个国家的技术进步水平增加了在加密市场上形成贩运联系的可能性,从而为现有研究做出了贡献。此外,我们发现一个国家监管加密货币市场的能力会减少与其他国家的贩运联系数量。我们还观察到,加密货币市场上的贩运更有可能发生在地理位置接近的国家之间。总之,我们的研究强调在加密市场研究中需要考虑线上和线下因素。
Drug cryptomarkets are a significant development in the recent history of illicit drug markets. Dealers and buyers can now finalize transactions with people they have never met, who could be located anywhere across the globe. What factors shape the geography of international drug trafficking via these cryptomarkets?