上个月是AlphaBay Market重新启动一周年纪念日,这是一个暗网市场,于2017年在一次高度宣传的国际打击中被关闭,导致其创始人亚历山大·卡泽斯(Alexandre Cazes)在泰国监狱的一间牢房中神秘死亡。
凭借成功重返业务的第一年,该暗网市场在运营安全方面开创了新的创新,其最初的联合创始人DeSnake发布了一条庆祝信息,其中他们推出了“AlphaBay减少危害计划专业药物检查员”——这项服务向选定的用户付费,让他们从供应商那里购买产品,进行两项测定强度和纯度的测试。然后将结果添加到供应商的资料中,并对含有掺假或贴错标签的药品的供应商实施严格的处罚。这一发展是首创的、史无前例的,也是暗网市场开创的创新的方法来降低毒品伤害举措的最新例子。
过去十年见证了暗网市场生态系统的演变,包括亚马逊式的各种毒品市场,以及围绕这些市场的论坛和留言板。这培养了一个由供应商和用户组成的在线社区,他们在这个“美丽的新世界”的架构中建立了一种减少伤害的机制。
这体现在客户评论、药物测试、大规模掺假警告、社区支持、基于用户的指南,甚至暗网论坛“问我任何事情”会议,与会者包括危害减少者多米尼克·米尔顿·特洛特(Dominic Milton Trott),《吸毒者圣经》的作者。Trott的书以减少伤害和降低风险为中心,遵循“战争的第一个受害者是真相,毒品战争也不例外”的信念。
到2017年,AlphaBay已经取代丝绸之路,成为最大、最复杂的市场,在减少危害方面也走在了前面。除了它的客户审查模式,用户还在阿片类药物危机的迷雾中寻找减少伤害的方法——阿片类药物危机是当时美国意外死亡的主要原因。
一家名为“大巫师巢穴”(Grand Wizard’s Lair)的供应商提供“恢复包”,其中包含三种不同的药物,可缓解阿片类药物戒毒带来的痛苦(有时甚至危及生命)副作用,并努力消除对药物的渴望。产品评论不言自明:
“下单后三天就收到了!我有12年没有吸毒,但在过去的一年里,一场痛苦的离婚和一桩‘操他妈’的案子让我在过去的一年里以每天约5克的数量昏昏沉沉。?今今天是我开始踢球,重新回到我的生活的日子,祝我好运,非常感谢你为我做的这些!”
“你是最棒的!”
“10/10,低廉的价格非常值得您避免多少痛苦!每个鸦片剂使用者都应该备有少量这些药片以防万一。我订购了它们,我想我可能永远用不上它们,但我称赞了它们。”
在这种情况下,这些用户从进入一个透明、准合法的市场中获得了不可估量的好处,使他们能够有尊严地戒毒和排毒——而曾经的戒毒体验以恶心、失眠、噩梦、体温快速变化和无法控制的颤抖而闻名。“革命万岁”供应商的简介中写道:“他们可以监禁一个人,但不能监禁一个梦想”。
经过三年的经营,用户达到40万之后,AlphaBay Market突然下线了。当时,许多人怀疑这是一场退出骗局。在恐慌的情绪中,AlphaBay的流离失所用户迁移到了第二好的市场Hansa——他们没有意识到该市场是由荷兰警方管理的,后者以精心策划的方式,收集了数千名迁移用户(或被称为难民)的详细信息。
两周后,AlphaBay和Hansa都出示了正式的扣押通知。美国时任司法部长杰夫·塞申斯(Jeff Sessions)在一项名为“刺刀行动”的国际协调任务中将其描述为“今年最重要的刑事调查之一”。
AplhaBay扣押通知 在这种情况下,执法部门赢得了战斗,但没有赢得战争。虽然AlphaBay的遗产似乎与它的创始人一起消失了,但暗网市场生态系统却毫发无损地继续存在,其他市场逐渐崛起。然而,四年后的2021年8月,AlphaBay Market在其最初的联合创始人DeSnake(通过他的PGP密钥验证,这是一种加密的个人签名)的领导下从灰烬中复活。他在公开信中写道:
“AlphaBay一直是一个以原则为驱动、以愿景为导向、以社区为中心的市场。管理与2014-2017年期间几乎相同,这意味着你会再次发现AlphaBay拥有成熟的管理、无与伦比的安全性、24/7专业和训练有素的员工,当然,不仅对自己,对暗网市场场景的未来也有独特的愿景。”
在另一条信息中,DeSnake向他的前任Alexandre Cazes(在AlphaBay市场上的用户名是alpha02)表示敬意,他认为他是“爱泼斯坦(Epstein’d)”或“麦咖啡(Mcaffee’d)”似的的人物。
“AlphaBay回归的另一个至关重要的原因是alpha02是如何死亡的(……)执法部门完全无视人类生命,这让我做出了alpha02值得尊重的决定,没有人准备好或准备这么做,所以去他的,我要这么做。(……)我想首先把这个献给alpha02,而且最重要的是,我们彼此承诺要坚持到底,现在我信守了我的承诺。”
一年后,DeSnake带着AlphaBay重新回到了市场领导者的位置,上个月在给用户的信息中推出了“AlphaBay减少伤害计划专业药物检查员(AlphaBay Harm Reduction Program Professional DrugCheckers)”。这项由市场资助的服务向值得信赖的买家支付费用,让他们从供应商处购买产品并对其进行两次测试——一次使用试剂家庭测试套件,第二次将样品发送到威尔士的WEDINOS或西班牙的Energy Control等药物检测实验室,以验证其含量和纯度。
这与所有产品必须正确贴上标签的规则相结合,一旦发现任何产品中含有芬太尼而未事先贴上标签,供应商将立即被禁止销售。然后购买相同的产品,并在随后随机间隔进行测试,以确保一致性。
毫无疑问,这是一项拯救生命的服务。在阿片类药物危机最严重的时期,对暗网论坛的研究中,许多人会寻求减少伤害的建议,因为他们被我们政府的刑事司法手段逼到了阴影之中。偶尔,一位知名用户会突然停止发帖并从雷达中消失,所以可能的假设是他们吸毒过量,然后再也没有机会登录。
与从不了解产品强度或纯度的街头经销商处购买的替代方案相比,暗网市场就像一个乌托邦。然而,尽管它取得了所有成功,但这只是在法律法规下可以实现的减少危害的沧海一粟。
暗网减少危害的成功证明了毒品战争的失败。尽管这些创新已经使毒品通过吸毒者的代理合法化,但向法律监管的转变将从根本上保护弱势群体,使我们的街道更安全,并将利润从有组织的犯罪集团手中转移到公共基础设施。
更重要的是,在生产和供应标准化的法律监管框架下,减少危害的需求本身就会减少。相反,我们今天看到的客户评论和掺假警告只是为了抹去被禁令洒下的鲜血。
新西兰通常以成为世界领先者而感到自豪,但有一个说法可能并不被普遍推崇:它是所谓的暗网上运行时间最长的英文非法毒品市场的所在地。
它被称为“Tor Market”,自2018年3月以来一直处于活跃状态,并且已经超过了“Dream Market”、“Hydra Market”和“Empire Market”等(目前都已经被关闭)几个更大、更知名的暗网交易市场。鉴于如此多的暗网毒品市场只持续了相对短暂的时间,“Tor Market”的长寿令人惊讶。
这并不意味着您可以轻松找到它。暗网是互联网的加密部分,没有被搜索引擎索引和收录。它需要特定的匿名浏览器软件才能访问,通常是I2P或Tor软件——因此是这个市场的名称来源。
“Tor Market”曾经因为毒贩“freshkiwiproduce”被判入狱而被“暗网下/AWX”报道过,“Tor Market”的暗网域名地址为:
http://nzdnmfcf2z5pd3vwfyfy3jhwoubv6qnumdglspqhurqnuvr52khatdad.onion
许多暗网交易市场匿名销售非法毒品,通过传统的邮政或快递送货,类似于亚马逊等合法的电子商务网站。
对2010年至2017年间100多个暗网市场的分析发现,网站的平均活跃(存活)时间仅仅为8个月多点。在2010年至2019年活跃的110多个暗网毒品市场中,到2019年只有10个仍在全面运作。
支离破碎的暗网生态系统 暗网市场的消失是由于越来越复杂和成功的执法行动,包括秘密地长期接管网站以收集供应商和买家的证据。
另外,网站管理员利用机会进行“退出骗局”,带着账户中的加密货币潜逃。
自从“Dream Market”于2019年“自愿关闭”以来,没有出现任何占主导地位的国际暗网市场。而由于这些执法部门的关闭和退出骗局,人们似乎对暗网毒品供应普遍失去了信心。
虽然所有暗网市场的总销售额在2020年有所增加,并在2021年第一季度再次增加,但2021年第四季度的数据显示销售额下降了多达50%。
这使得“Tor Market”在同一时期的表现更加引人注目。其市场商品列表从“Dream Market”于2019年初关闭前几个月的不到10种商品增长到当年7月的100多种商品。
在2020年平均有255件商品和2021年379件商品的稳定时期之后,2022年初出现了另一个增长时期。到2022年年中,“Tor Market”上有超过1000种商品上市销售。
这种扩张是由国际销售额的稳步增长推动的,到2022年初,国际销售额的增长超过了新西兰国内的销售额。
填补市场空白 从表面上看,新西兰似乎不太可能成为国际暗网毒品市场商品的崛起之地。它在地理上与欧洲和美国的大型毒品市场隔绝,人口少,而且历史上没有任何大量的可卡因和海洛因供应,这些都对它不利。
然而,这些因素可能正是推动这一市场创新的原因。
暗网提供了匿名和直接接触国际毒品卖家的机会,他们有MDMA、可卡因和阿片类药物出售——在新西兰的实体毒品市场上不容易获得的毒品类型。否则,这些国际卖家不太可能对供应如此小的、遥远的市场感兴趣。
通过提供来自数十家国际毒品卖家的商品和一个集中的买家论坛,“Tor Market”解决了新西兰毒品领域“市场稀缺”这一非常现实的经济问题,那里根本没有足够的买家来维持某些毒品类型的卖家的销售量。
通常情况下,买家和卖家很难联系在一起,因此也就没有理由进行大规模的国际贩运。暗网通过向买家直接提供传统上难以获得的毒品类型(如MDMA)的零售数量来解决这一问题。
规模和审查 新西兰人对所谓的“距离因素”有着创新解决方案的历史。按照国际标准,他们还具有相对较高的数字参与程度和网上购物习惯,也许暗网提供了一种熟悉的在线购物体验。
“Tor Market”网站的管理员声称(根据他们自己网站的帮助手册)提供了一系列设计创新和功能,以确保“Tor Market”的安全。
这种吹嘘在暗网交易市场运营商中并不少见,作为吸引新供应商加盟网站的营销策略。但是讲真,目前还不清楚“Tor Market”与其他网站相比,是否真的提供了任何优越的安全功能或编码基础设施。
更可信的是,“Tor Market”声称的商业战略,即与大型国际网站相比,有意保持低调。事实上,早期“Tor Market”上的许多供应商都是新西兰人,他们只卖给当地买家。
“Tor Market”上不断增加的国际商品列表可能反映了暗网生态系统中更广泛的问题,包括以前占主导地位的暗网市场的关闭以及由于拒绝服务攻击导致许多网站的不可靠性。
最后,“Tor Market”的成功可能会导致它的毁灭。考虑到国际执法部门对它的关注的相关风险,它是否能维持其国际增长并以更高的国际形象运作,还有待观察。
根据卡巴斯基针对亚太地区的数字足迹情报(DFI)报告,该地区的数据库泄露占广告总数的95%。如果以GDP(国内生产总值)加权的订单数量来看,新加坡和澳大利亚的数据泄露市场是迄今为止最大的。
该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动,包括暗网上讨论的主题。
对卡巴斯基数字足迹情报(Kaspersky Digital Footprint Intelligence)服务中的外部数据源(包括暗网资源)进行监控,可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中,该公司介绍了暗网分析的结果。
在分析组织的数字足迹时,发现了两种主要类型的数据:欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象,但报告中的重点仍然是攻击检测。
与攻击影响相关的暗网活动(关于出售数据泄露和受损数据的广告)在统计数据中占主导地位,因为它随着时间的推移而蔓延,网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。
第一阶段:创建购买访问权限的需求 提供访问邀请的网络犯罪分子发现,这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。
巴基斯坦和澳大利亚吸引了大量的兴趣,从按其国内生产总值加权(GDP)的订单数量可以看出。
在基础设施、商业和工业化程度方面,中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。
购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。
然而,购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务,信息收集服务的来源(例如,根据要求销毁PII数据)。
最有希望的发现是在攻击的执行阶段:人工分析指出,对手有能力或已经进入组织的网络或服务,但还没有对业务产生影响。在暗网的广告方面,显示正在进行的攻击,澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。
第二阶段:访问的命令,准备执行 发现的证据表明,攻击者有能力或有权访问组织的系统或服务,但没有企业受到影响。至于暗网上的广告,这意味着攻击已经完成,澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。
这类广告分为三种权限类型:
初始访问经纪人——提供特定企业的权限订单,或向按行业和/或地区分组的企业批量权限的订单。
内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。
分发恶意软件——窃取凭据的恶意软件会收集凭据,将其转化为可以转售或通过帐户用户名和密码访问的数据。
按国内生产总值加权计算,菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。
菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。
第三阶段:数据泄露和数据出售 一旦发生数据泄漏,销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据,包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。
来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。
从按GDP加权的订单数量来看,新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。
应该指出的是,菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一,但数据泄露的数量与中间组的其他国家相当。
卡巴斯基亚太区董事总经理Chris Connell表示:“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行,到数据泄露的影响,再到出售和转售被盗信息,这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。”
“出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售,网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御,包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。”
暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击,请确保通过此协议的连接是安全的:
仅授予通过 VPN 访问服务(例如 RDP)的权限
使用强密码和网络级身份验证
对所有服务使用双重身份验证
监控数据访问泄漏,Kaspersky Threat Intelligence提供暗网监控服务。
卡巴斯基主要发现 Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。
在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本,43%的未打补丁的服务中都发现了这个漏洞。
16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。
在暗网上,黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。
澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。
如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一,占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。
卡巴斯基安全服务分析主管尤利娅诺维科娃(Yuliya Novikova)表示,他们的动机纯粹是利益驱动的。
她说:“对于网络犯罪分子来说,最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西,从Web面板的有效凭据,用户及管理员的cookie认证信息,到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。”
她说,这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。
第一、利用漏洞,例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。
第二,网络钓鱼,这是比较常见的,针对企业工作人员,通常是客服。
第三,通过使用数据窃取程序获取直接的访问凭证,如RDP。
诺维科娃解释说:“恶意软件感染用户设备并截取数据,这些数据被收集在日志中,,并在暗网论坛上公布,它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。”
她说,在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后,卡巴斯基发现75%的帖子通过远程桌面协议((RDP)提供初始访问权限,每个帖子都具有不同的权限,从域管理员、本地管理员和普通用户权限。
诺维科娃说:“随着远程工作现在对许多公司来说已经成为现实,公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问,这一发现是一个值得关注的问题。”
卡巴斯基的研究表明,RDP攻击日益受到关注,突出了该安全公司认为全球范围内此类攻击的高命中率。
黑市对企业数据的需求很大。卡巴斯基的研究表明,对公司数据的大量初始访问基本是通过RDP提供的,这凸显了本地企业需要获得整个暗网的可见性,以丰富其威胁情报,特别是在采用远程或混合工作模式的地区。
诺维科娃说:“而且由于RDP访问的有效凭据是最常见的暗网产品,因此企业必须开始遵循最佳网络安全实践。”
她说,这包括使用可靠的密码,使所有远程管理界面只能通过VPN访问,以及对所有管理界面使用双重身份验证。
最近几个月,DarkOwl分析师在暗网上发现了多个支持托管的去中心化市场,这些市场声称与锡那罗亚卡特尔有关联,是墨西哥臭名昭著的犯罪集团卡特尔的专用在线门户。
这些暗网市场提供毒品和杀手服务,就像他们在现实世界中一样,并试图通过声称得到各自领域“经验丰富”的参与者的支持来为其列出的商品增加合法性。
这些市场的出现被DarkOwl分析师发现,他们发现了一个趋势,即从吸引执法部门注意的大型市场转向较小的、不太公开的网站。
DarkOwl报告中提出的最明显的例子包括新的和旧的市场,由于环境市场条件的变化而变得突出。
下面提到的一些网站最近更新了新功能和用户友好的界面,试图吸引对非法产品感兴趣的受众。
Cartel de Sinaloa(CDS 市场) 据称与墨西哥犯罪集团“Cártel de Sinaloa”有关的市场。销售毒品、化学品、武器、恶意软件、洗钱和杀手服务,还拥有托管支付系统。
CDS 市场托管在 Tor 上,包括市场托管和提早完成 (FE) 选项。市场列出了以下商品和服务类别:巴比妥类药物、软件和恶意软件、雇佣服务、处方、阿片类药物拮抗剂、洗钱、人口贩运、分离、武器、类固醇、假冒、人体器官、苯二氮卓类药物、兴奋剂、摇头丸、欺诈、毒品用具、研究化学品、减肥等。其中许多类别可以在传统的暗网市场上找到,但这个市场包括购买人体器官和出租服务的选项。尽管存在这些特定的非法商品类别,而且 Cartel de Sinaloa 市场已经活跃了几个月,但在所描述的任何类别下提供或宣传销售的产品列表为零。
该市场宣传各种产品,包括毒品和雇佣杀手。但是,“商店”下的唯一选项是提交一份工作请求,其中包含“枪杀”、“刺伤”、“绑架”、“意外谋杀”等选项。提供的最昂贵的服务是狙击手工作,费用为 10,000 美元。表格上的价格包括美元货币并支持通过比特币付款。
Cartel Gulf Texas 该市场隶属于锡那罗亚帮派,承诺通过 USPS 从德克萨斯州拉雷多将毒品运送到世界任何地方。
Gulf Cartel Texas的Tor服务自2020年以来一直在线,其设计并不像使用Vision UI 产品发现的其他服务那样复杂,但会宣传可供购买的大量不同药物,巧合的是,“来自来自锡那罗亚卡特尔的山脉。” 德克萨斯海湾卡特尔 – 直接来自边境 – 包括免责声明:“警告诈骗者正在积极冒充我们,我们永远不会用糟糕的英语发送电子邮件或威胁你。”
Los Urabenos 与哥伦比亚准军事组织“Clan del Golfo”相关联,该市场销售纯(90%以上)可卡因和杀手服务。
在Tor上提供出租服务,并专门在其市场上销售高质量的纯可卡因。登陆页面的背景是一座火山,该网站旨在通过传统导航链接对用户友好,例如:“主页”、“关于我们”、“服务”和“联系我们”部分。该市场提供了一些带有标记照片的产品,包括 90% 以上的Fishscale哥伦比亚可卡因和84%的荷兰MDMA香槟水晶,并表示他们在去中心化市场被没收之前曾在Darkfox和DarkMarket上进行交易。他们对订单有非常严格的规定,包括没有直接或面对面的见面会,并宣传他们已经完成了400多个客户的750多个订单。
Cartel Jalisco Nuevo Generation (CJNG) 该市场与墨西哥的同名团伙有关联,号称是“世界上最值得信赖的散装可卡因销售商”。它支持海运或空运的空投,并接受比特币支付。
通过海运和空运提供匿名死货。他们宣传自帝国市场以来他们已经有数千笔销售,并接受通过比特币付款。该网站还声称:“所有销售额中的一部分将流向支持在线自由的非营利组织和组织。” CJNG被认为是美国最大的芬太尼供应商之一,就在 6 月底,60 多名军事卡特尔成员在社交媒体上发布了视频,他们自豪地展示了他们可以使用的各种防护装备、武器和车辆以进行持续运营.
CJNG市场上提供的产品包括有限的药物选择,例如可卡因、大麻和苯丙胺晶体碎片。该网站的新闻部分不是最新的,最后一次分享是在 2020 年 3 月;站点管理员包括Wickr和Jabber加密聊天帐户和安全电子邮件地址(带有PGP密钥),用于直接发送消息和购买。他们产品的一些图像,例如可卡因砖,顶部刻有一个徽章。
Ausline 一个专注于澳大利亚和新西兰观众的市场,由著名的暗网供应商建立,据称该供应商与名为“蝎子卡特尔”的哥伦比亚可卡因片生产商有直接联系。
几乎没有关于哥伦比亚任何“蝎子”卡特尔的开源信息,但在国际上,加拿大有一个红蝎子帮,在新闻文章中提到了另一个简称为海地的蝎子帮。在墨西哥,一个名为Escorpiones (Scorpions)的组织是在两名 CDG 领导人之间发生冲突后成立的,并且是 Antonio Ezequiel Cárdenas Guillén 的警卫,最后据报道在他死后与旋风结盟。
在我们继续讨论这个话题之前,让我们先了解一下暗网到底是什么。互联网世界下面有另一个世界,我们无法进入。一个用户只能看到互联网所拥有的一小部分东西。互联网世界还有另一层,我们的普通浏览器无法进入。这就是所谓的暗网。
以下是访问暗网的一些安全方法:
要访问暗网,您大部分时间都需要Tor。它是一个志愿者中继网络,用户的互联网连接通过该网络进行路由。用户在使用Tor时变得匿名,因为它促进了加密连接,可以代理位于世界各地的中继之间的所有流量。
您可以通过Tor浏览器访问Tor。在默认浏览器的隐身模式下使用VPN将隐藏Tor浏览器的下载。Tor允许用户通过暗网和明网进行浏览。然而,该浏览器应该只从官方网站下载。从其他来源下载可能会使恶意软件被下载到我们的系统。
然而,互联网提供商可以检测到Tor何时被使用。这是因为Tor节点的IP是公共的。尽管我们的身份仍然是匿名的,并且互联网服务提供商(ISP)可以解密我们的互联网流量,但仍然知道Tor正在被使用。
要想私下使用Tor,VPN是很方便的。此外,你可以使用Tor Bridges。
为了在暗网中保持安全,Tor的隐私和安全设置应始终设置为高。这将保护您免受恶意脚本和有效载荷的侵害,使你的设备受到脆弱的攻击。
您可以选择的另一项措施是下载Tails软件。Tails软件可以很好地与Tor浏览器配合使用,并包含许多支持我们目的的功能。
如果您有能力使用不同的机器/系统进行浏览,这样做会很有帮助。拥有专门用于浏览暗网的设备将帮助您保护主要设备免受攻击。
安全和谨慎的浏览总会有很长的路要走。你应该小心你点击的内容,恶意软件的威胁在暗网中太常见了。
为了在暗网上安全浏览,你可以采取的其他一些措施是,关闭所有你有账户的应用程序。从密码管理器到Netflix等流媒体平台,关闭所有与访问暗网无关的程序是一项安全措施。
在暗网下穿梭时,您应该遮盖住电脑的网络摄像头。应始终在您的设备上关闭位置访问。最重要的是,在您的设备上安装高质量的防病毒软件也很有帮助。
在浏览暗网之前,检查可能的IP泄漏是另一项重要措施。检查IP、DNS和WebRTC泄漏。要做到这一点,你必须打开你的VPN并前往ipleak.net和dnsleaktest.com。在那里你可以确定显示的IP地址是原始的还是由VPN提供的。
访问暗网网站聚合器和维基,找到实际的暗网网站链接,比依赖搜索引擎更方便。你也可以尝试合法网站的暗网导航,以访问更多靠谱的暗网站点,这里我们推荐暗网最大的中文导航:onion666.com。
根据Reboot SEO公司的数据,克罗地亚是2022年对暗网最感兴趣的国家,暗网兴趣评分为97.1分(满分100分)。近年来,克罗地亚的暗网犯罪增加了31%,今年到目前为止,共有30450次在线搜索,这相当于2022年克罗地亚每10万人中有1083名互联网用户在查询暗网。
捷克共和国排在第二位,暗网兴趣得分94.1(满分100)。在捷克共和国,有超过800万活跃的互联网用户,每10万人中有1027名用户每月搜索暗网。
爱尔兰是对暗网最感兴趣的第三个国家,其兴趣分数为91.2分(满分100分)。今年到目前为止,爱尔兰已经有38,360次对暗网的在线搜索,相当于每10万名互联网用户中有953次搜索。
排名第四的是匈牙利,暗网兴趣得分88.2分(满分100分),排名前五的是罗马尼亚,得分85.3分。
排名国家每10万名用户的搜索次数暗网兴趣得分 (/100)1Croatia1,08397.12Czech Republic1,02794.13Ireland95391.24Hungary92088.25Romania80485.36Slovakia75682.47Albania73179.48Greece71876.59Netherlands70873.510Italy69770.611Slovenia68367.612Norway64864.713United Kingdom64161.814Portugal62558.815Sweden61855.9 保护自己免受暗网攻击的5种方法 1.使用VPN VPN可以保护你的在线活动不受公司、政府和其他窥探者的影响。通过连接到外部服务器并采用其IP地址,您可以看起来与您正在使用的服务器位于同一国家/地区。例如,如果您在美国并连接到英国的服务器,该网站会认为您在英国。虽然VPN不会使您的在线活动无法追踪,但拥有额外的保护层可以让您有最好的机会保护您的数据安全。
2.使用免费的暗网扫描 如果您怀疑您的某个帐户(无论是个人帐户、电子邮件帐户还是银行帐户)已经被泄露,您应该做的第一件事就是运行免费的暗网扫描。暗网扫描将在暗网中搜索所有被盗数据列表中的个人信息。网络扫描不会揭示暗网上被盗的全部信息,但如果发现您的任何信息,它会立即通知您。
3.使用密码管理器 另一种为自己提供保护个人信息的最佳机会的方法是更改密码并使用密码管理器。我们中的许多人都犯了在所有账户中使用相同密码的错误,但这可能导致你的信息更容易被访问。你的在线账户的密码都应该是不同的,强大的,并且是独一无二的。例如,你的Instagram密码,不应该与你的亚马逊或网上银行密码相同。使用密码管理器是避免这种情况的一个简单方法。密码管理器为你生成安全的密码,所以你再也不用担心忘记另一个密码了。
4.启用双因素身份验证 你可以尝试保护你的在线账户免受暗网攻击的最好方法之一是使用双因素认证。第二个认证步骤使黑客更难进入你的账户,因为它结合了两个因素作为确认授权的方式,要么是你的用户名或密码,然后是你的电话号码,或者可能是指纹等实物。如果你的用户名或电子邮件地址被泄露了,这个额外的安全层将进一步保护您。
5.关闭账户并报告身份盗窃的证据 身份盗窃是世界上最常见的犯罪之一,每年都有越来越多的受害者。如果您在财务报表中发现任何可疑交易,或者如果您收到一封关于并非由您进行的登录尝试的电子邮件,那么迅速采取行动至关重要。通过关闭您的账户,向您的银行报告,以及向您的相关政府机构提交身份盗窃报告,您可以防止进一步的经济损失。
“数据安全没有单一的解决方案。真正的安全来自正确的软件工具的组合、增加您对网络威胁的了解以及建立安全的在线实践。黑客不断设计新的和创新的方法来访问您的数据,然后可以将其上传到暗网并出售。如果你想给自己一个最好的机会,防止你的信息最终出现在暗网上,或者如果你想出于好奇探索暗网,你应该使用VPN,因为它将隐藏你的IP地址,保护你的身份和位置。”
“即插即用”的兴起 这只是HP Wolf Security(惠普狼性安全团队)发现的蓬勃发展的网络犯罪经济中不计其数的例子之一。惠普公司的端点安全服务今天在《网络犯罪的演变》报告中发布了长达三个月的调查结果:“为什么暗网正在为威胁格局增压以及如何反击”。
该报告最严酷的结论是:网络犯罪分子正在以一种近乎专业的方式运作,以软件即服务的方式提供易于启动、即插即用的恶意软件和勒索软件攻击。这使得那些即使是最基本技能的人也能够发起网络攻击。
该报告的作者、惠普高级恶意软件分析师Alex Holland说:“不幸的是,成为一名网络犯罪分子从未如此简单。现在,只要花一加仑汽油的价格就能获得技术和培训。”
在黑暗的一面散步 HP Wolf Security威胁情报团队与暗网调查人员Forensic Pathways以及来自网络安全和学术界的众多专家合作,领导了这项研究。这些网络安全专家包括前黑帽子Michael “MafiaBoy” Calce(他在高中时就入侵了FBI)和萨里大学的犯罪学家和暗网专家Mike McGuire博士。
该调查涉及对3500多万个网络犯罪市场和论坛帖子的分析,包括33000个活跃的暗网网站、5502个论坛和6529个市场。它还研究了Conti勒索软件组织的泄露通信。
最值得注意的是,研究结果显示了廉价和容易获得的“即插即用”恶意软件工具包的爆炸式增长。供应商将恶意软件与恶意软件即服务、教程和指导服务捆绑在一起——76%的恶意软件和91%的此类漏洞的零售价格低于10美元。因此,当今网络犯罪分子中只有2-3%的人是高级程序员。
流行的软件也为网络犯罪分子提供了简单的入口。Windows操作系统、Microsoft Office和其他Web内容管理系统中的漏洞经常被讨论。
“令人惊讶的是,未经授权的访问是多么便宜和大量,”Holland说。“你不必成为一个有能力的威胁攻击者,你不必拥有许多可用的技能和资源。通过捆绑,您可以踏入网络犯罪世界的大门。”
该调查还发现了以下情况:
77%的网络犯罪市场需要供应商保证金(或销售许可证),费用可能高达3,000美元。
85%的市场平台使用托管支付,92%的市场平台有第三方争端解决服务,并且都提供某种形式的审查服务。
此外,由于暗网Tor网站的平均寿命只有55天,网络犯罪分子已经建立了在站点之间转移声誉的机制。一个这样的例子提供了网络犯罪分子的用户名、主要角色、他们最后一次活跃的时间、正面和负面的反馈以及星级评价。
正如Holland所指出的,这揭示了一种“盗贼之间的荣誉”心态,网络犯罪分子希望确保“公平交易”,因为他们没有其他法律追索权。勒索软件创建了一个“新的网络犯罪生态系统”,奖励较小的参与者,最终创建了一个“网络犯罪工厂线”,Holland说。
日益复杂的网络犯罪分子 自20世纪90年代初,业余爱好者开始聚集在互联网聊天室并通过互联网中继聊天(IRC)进行协作以来,网络犯罪领域已经发展到今天的DIY网络犯罪和恶意软件工具包的商品化。
今天,据联邦调查局估计,网络犯罪每年给世界造成数万亿美元的损失。仅在2021年,美国的网络犯罪损失就达到了大约69亿美元。
未来将带来更复杂的攻击,但网络犯罪也会变得越来越高效、程序化、可复制,并且“更无聊、更平凡”,Holland说。他预计,更具破坏性的数据拒绝攻击和越来越多的专业化,将推动更有针对性的攻击。攻击者还将专注于提高效率以提高投资回报率,而Web3等新兴技术将成为“武器和盾牌”。同样,物联网将成为更大的目标。
Holland表示:“网络犯罪分子越来越多地采用民族国家的攻击程序。”他指出,许多人已经放弃了“打砸抢”的方法。相反,他们会在侵入目标网络之前,对目标进行更多的侦察,从而最终将更多的时间花在受破坏的环境中。
掌握基础知识 毫无疑问,网络犯罪分子的速度往往超过企业自身的安全保护速度。网络攻击正在增加,工具和技术也在不断发展。
Holland称:“你必须接受,由于未经授权的访问如此便宜。你不能有这样的心态,即认为它永远不会发生在你身上。”
他强调说,尽管如此,企业仍有希望,也有很大的机会来准备和保护自己。关键攻击向量保持相对不变,这为防御者提供了“挑战各类威胁并增强弹性的机会”。
企业应该为破坏性的数据拒绝攻击、越来越有针对性的网络活动以及正在使用包括人工智能在内的新兴技术的网络犯罪分子做好准备,这些技术最终会挑战数据的完整性。
正如Holland所说,这归结为“掌握基础知识”:
采用多因素身份验证和补丁管理等最佳实践做法。
通过制定响应计划来减少来自电子邮件、Web浏览和文件下载等主要攻击媒介的攻击面。
优先考虑自我修复硬件,以提高弹性。
通过制定流程来审查供应商安全的程序和对员工进行社会工程教育,从而限制人员和合作伙伴带来的风险。
通过演练发现问题、进行改进并做好更充分的准备,为最坏的情况制定计划。
“把它想象成一次消防演习——你必须真正练习、练习、练习。”Holland说。
网络安全作为一项团队运动 企业之间也应该加强合作。Holland说,同行之间有机会“更实时地共享威胁情报”。
例如,企业可以利用威胁情报,通过监测地下暗网论坛的公开讨论,来主动进行水平扫描。他们还可以与第三方安全服务合作,发现需要解决的薄弱环节和关键风险。
惠普公司个人系统安全全球负责人Ian Pratt博士表示,由于大多数攻击都是“单击鼠标”开始的,因此每个人都必须在个人层面上提高“网络安全意识”。
他说,在企业层面,他强调了建立弹性和关闭尽可能多的常见攻击路线的重要性。例如,网络犯罪分子会在发布补丁时研究补丁,以对漏洞进行逆向工程,并在其他企业需要补丁之前快速创建漏洞利用。因此,加快补丁管理的速度是至关重要的。
同时,许多最常见的威胁类别——例如通过电子邮件和网络传递的威胁——可以通过威胁遏制和隔离等技术完全消除。无论是否修补漏洞,这都可以大大减少一个企业的受攻击面。
正如Pratt所说,“我们都需要做更多的工作来对抗不断增长的网络犯罪机器。”
Holland表示同意,他说:“网络犯罪是一项团队运动,网络安全保护也必须如此。”
网络安全研究人员详细介绍了勒索软件攻击者为掩盖其在线真实身份以及其网络服务器基础设施的托管位置而采取的各种措施。
“大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管服务提供商来托管他们的勒索软件运营网站,”思科Talos研究员Paul Eubanks说。“当他们连接到他们的勒索软件网络基础设施以进行远程管理任务时,他们使用VPS作为代理来隐藏他们的真实位置。”
同样突出的是使用TOR网络和DNS代理注册服务,为其非法操作提供额外的匿名层。
但是,通过利用威胁参与者的操作安全失误和其他技术,这家网络安全公司上周披露,它能够识别托管在公共IP地址上的TOR隐藏服务,其中一些是与DarkAngels、Snatch、Quantum和Nokoyawa勒索软件集团有关的先前未知的基础设施。
虽然众所周知,勒索软件集团依靠暗网来掩盖他们的非法活动,从泄露被盗数据到与受害者谈判付款,但Talos透露,它能够识别“公共IP地址托管与暗网相同的威胁参与者基础设施”网。”
“我们用来识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上的索引匹配。”Eubanks说。
除了TLS证书匹配之外,用于发现攻击者清晰网络基础设施的第二种方法是使用Shodan等网络爬虫将与暗网网站相关的网站图标与公共互联网进行对比。
以Nokoyawa为例,这是今年早些时候出现的一种新的Windows勒索软件,与Karma具有大量代码相似之处,托管在TOR隐藏服务上的站点被发现存在目录遍历漏洞,使研究人员能够访问用于捕获用户登录的“/var/log/auth.log“文件。
调查结果表明,不仅犯罪分子的泄漏网站可以被互联网上的任何用户访问,其他基础设施组件,包括识别服务器数据,也被暴露出来,从而有效地使获得用于管理勒索软件服务器的登录位置成为可能。
对登录成功的root用户登录信息的进一步分析表明,它们来自两个IP地址5.230.29.12和176.119.0.195,前者属于GHOSTnet GmbH,这是一家提供虚拟专用服务器(VPS)服务的托管服务提供商。
“然而,176.119.0.195属于AS58271,它以Tyatkova Oksana Valerievna的名义列出,”Eubanks指出,“操作员可能忘记使用基于德国的VPS进行混淆,并直接从其176.119.0.195的真实IP登录到与该Web服务器的会话。”
随着新兴Black Basta勒索软件的操作者通过使用QakBot进行初始访问和横向移动,并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作来扩大他们的攻击武器库。
更重要的是,LockBit勒索软件团伙上周宣布发布LockBit 3.0,并打出“让勒索软件再次伟大!”的宣传标语,此外还推出了他们自己的漏洞赏金计划,为发现安全漏洞和改进其软件的“绝妙的想法”提供1000至100万美元的奖励。
Tenable高级研究工程师Satnam Narang在一份声明中表示:“LockBit3.0的发布和漏洞赏金计划的引入是对网络犯罪分子的正式邀请,以帮助协助该组织寻求保持领先地位。”
“漏洞赏金计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄漏站点或勒索软件中发现漏洞,确定包括会员计划在内的成员可能被人肉攻击的方式,以及发现该组织用于内部通信的消息软件和Tor网络本身的漏洞。”
“被人肉或被识别的威胁表明,执法工作显然是LockBit等组织非常关注的问题。最后,该组织正计划提供Zcash作为付款方式,这很重要,因为Zcash比比特币更难追踪,使研究人员更难监视该组织的活动。”
在过去的一年里,暗网数据市场在总量和产品种类上都有较大的增长。不出所料,随着供应量的增加,大多数商品的价格出现了大幅下跌。
隐私事务局(Privacy Affairs)的2022年暗网价格指数报告中揭示了这一点,该报告研究了2021年2月至2022年6月的暗网数据。数据收集方法包括扫描暗网市场、论坛和网站。
蓬勃发展的销售 报告发现,过去一年暗网销售的商品数量大幅增加。9000多家销售假身份证和信用卡的活跃供应商中的每一家都报告了去年数千笔交易的销售额。
此外,与2020年相比,2021年出售的虚假信用卡数据、个人信息和文件更多,并且种类有所增加,增加了被黑的加密货币账户和Uber等网络服务项目。
该报告还显示,随着暗网交易市场的成熟,运营该市场的犯罪分子开始模仿合法经济,使用类似于传统营销和零售业务的方法,例如针对被盗信用卡详细信息提供二合一交易。
没有新的市场领导者 去年10月之前,买家倾向于使用更成熟的网站,这些网站提供更多安全功能并专注于客户服务。
白宫市场(White House Market)显然是该制度中最活跃的网站,是明显的领导者,在暗网市场大约9000个活跃的供应商中,约有三分之一是由白宫市场托管的。
然而,在去年10月,网站管理员几乎没有做出任何解释,宣布他们将关闭该网站,该网站在宣布后不久就关闭了。尽管其他网站,尤其是ToRReZ Market和重新启动后的AlphaBay Market,已经开始填补这一空白,但目前还没有确定长期的暗网市场领导者,尽管AlphaBay市场可能暂时领先。
克隆的、被盗的信用卡 去年12月,大约450万张信用卡在暗网上出售。总体而言,被黑信用卡的价格下降了,在某些情况下甚至大幅下降。
信用卡详细信息的平均价格从美国、加拿大和澳大利亚的1美元到香港的20美元不等。然而,这些项目的总体价格趋势是下降的。
账户余额高达5000的信用卡详细信息价格从240美元降至120美元,账户余额高达1000美元的信用卡详细信息价格从120美元降至80美元。
被盗的网上银行登录账户中至少有2000个账户,也从120美元降至65美元。
其他示例包括,以色列黑客入侵的CVV信用卡详细信息从65美元跌至25美元,黑客入侵的(全球)信用卡详细信息CVV从35美元跌至15美元。
有些地方表现得更好,英国被黑的信用卡细节与CVV保持在20美元,美国的同样情况只下降了3美元,从20美元到17美元。
该公司表示,不良行为者更愿意出售信用卡的详细信息,而不是直接拿钱,因为这样做会带来不必要的风险。
该公司解释说:“他们做他们最擅长的事情,并通过将这些被盗数据出售给愿意通过暗网的加密市场或其他一些计划将这些细节转换为现金的重罪犯来赚取利润。”
“由于他们也大规模地窃取这种类型的数据,一些卡的数据可能由于各种原因而实际上无法使用,这也是价格中的一个因素。然而,考虑到他们大规模这样做,他们的利润相当高。”
供应和需求 根据隐私事务局的说法,这个数据证明了暗网的数据越来越便宜。
“发生这种情况是因为黑客收集了大量数据,黑客组织越来越多,因此供应商也越来越多。暗网市场更像是一个真实的市场,新的供应商进入市场并试图以更低的价格出售,证明了供需公式。”