在整个2020年和2021年,Tor匿名网络发生了重大的变化,Tor软件团队发布了其软件的新版本,更新了.onion域的外观和工作方式。
更具体地说,Tor项目已经取消了16个字符长的.onion域名,也被称为v2地址,取而代之的是56个字符长的域名,被称为v3。v2和v3洋葱服务最明显的区别是地址格式不同。v3洋葱地址有56个字符而不是16个(因为它们包含完整的ed25519公钥,而不仅仅是公钥的哈希),这意味着从v2迁移到v3需要所有用户学习/记住/保存新的洋葱地址。
此举是为了提高Tor网络的隐私性、安全性和对匿名化攻击的抵御能力,这一举措提前几年宣布,整个过程耗时一年多才完成:
2020年9月–Tor项目发布了Tor匿名软件的v0.4.4版本,警告服务器运营商,v2域名即将被淘汰。
2020年7月–Tor开发者发布Tor v0.4.6,阻止服务器所有者注册v2洋葱域名。
2021年10月–所有Tor分支都发布了稳定版本,删除了对v2域名的支持。
2021年11月–Tor项目发布了Tor浏览器11,取消了对v2域名的支持。
但是,尽管Tor团队尽最大努力提前宣布了这一举措,但暗网监控公司DarkOwl汇编和发布的新数据表明,Tor网络仍然由运行旧的v2域名的服务器组成,占很大一部分。
“在过去的六周里,DarkOwl的Vision平台在两种地址方案中共观察到104,095个活跃的.onion服务,其中:62%是v2地址,38%是v3地址。”该公司表示。
DarkOwl表示,它在2021年7月检测到新v3域名呈现激增的高峰,这恰逢Tor团队在访问v2域名之前添加了全屏警告,为今年秋天浏览器的v11版本做准备。
这导致仅在7月的最后两周就有超过2900个v3域名被注册。正如Tor团队在9月份自己的v2到v3分析中指出的那样,v3域的数量呈上升趋势。
目前,新的v2域名已经不能再在Tor网络上注册,用户只能使用旧版本的Tor浏览器访问现有站点,但是旧v2域名仍然可以加载。
然而,虽然v3站点的数量仍然低于50%,但所有人都预计v2网站将在未来一年内彻底消失。原因是,由于大多数Tor节点运营商会将其服务器更新为不支持v2域名的版本,未来将没有Tor中继器能够将流量路由到这些老式域名。
尽管国际执法机构称赞他们通过“Dark HunTor”行动成功打击了暗网上的一些受欢迎的非法交易市场,但剩余市场的经营者称,打击行动对他们的业务没有什么影响。
美国司法部与欧洲刑警组织合作开展的“Dark HunTor”行动于10月下旬成为国际头条新闻,在全球范围内逮捕了150人,缴获了武器和毒品以及超过3100万美元的非法资金。
德国和意大利当局关闭了暗网上的几个受欢迎的市场,包括DarkMarket、Berlusconi Market和DeepSea Market。没收这些市场的服务器使执法机构能够追踪这些平台上的更多供应商和买家。
然而,尽管这些被打击的市场已经关闭,但由于用户选择轻松逃到其他仍可进入的市场,暗网的交易市场空间似乎继续蓬勃发展。
在“Dread论坛“的页面上,顶级暗网市场被列为“超级列表”,共有12个市场似乎继续照常营业。
几个市场的管理员同意分享他们对“Dark HunTor”行动背景下对暗网犯罪进行打击造成影响的看法,他们中的大多数认为,打击不会阻止他们从继续经营他们的市场,因为他们看到其他管理员被逮捕是人为错误的结果。
Dread论坛上最受欢迎的版块之一叫做OpSec,意思是运营安全。该版块充满了详细的教程,介绍如何使用匿名服务,(如Tor、PGP密钥)和可移动操作系统(如Tails)来隐藏用户身份的详细教程。
威廉-吉布森(William Gibson)是Versus Market的管理员,他只希望用假名来表明身份,他说他不相信执法机构在追踪暗网的市场经营者方面找到了新方法。
“完全没有。他们仍然试图通过跟踪资金和传统的警察工作来获得供应商和经营者,例如通过反复购买供应商的包裹并追踪包裹的来源来缩小供应商从哪里发送。他们不太可能使用Tor中的0days来消除运营商/供应商的匿名性,也不可能使用任何其他不为我们所知的复杂技术。当然,市场在建立他们的服务器时可能会犯错误,不小心泄露他们的IP,这使得执法部门很容易找到他们。虽然这种事情发生了,但我猜测大多数供应商和市场经营者都被抓住了,因为执法部门跟着钱走。这是一个失败点,即使是最复杂的匿名在线活动也可以与现实生活中的身份联系起来,这也是执法部门找到其目标的最佳机会。”吉布森称。
尽管如此,吉布森指出,“Dark HunTor”行动最近的成功表明,世界各地的执法机构开始更好地了解暗网市场的运作情况。
“执法部门现在有更好的资金,更有能力,更有经验来调查这种在线活动。几年前,他们不知道Tor或加密货币是什么,也不知道市场是如何运作的。很长一段时间,他们低估了暗网市场在国际毒品交易中的作用,虽然与线下交易相比,暗网市场仍然很小,但由于比线下交易有许多优势,它变得越来越大了。”他说。
Guardia di Finanza在意大利使用的新工具之一是可以追踪比特币交易的分析平台。
作为回应,匿名市场背后的团队开始提供一项名为Antinalysis的新服务,这是一种公开可用的区块链分析工具,允许用户检查他们的比特币地址是否已成为当局的目标。
“我们认为自己是倡导者,我们的团队还提供Antinalysis和Sector.City(一种隐私邮件服务),我们希望它们能帮助用户保护他们的自由、匿名和隐私。”一位匿名市场的管理员称,他自称为Pharoah。
来自Versus Market的吉布森认为,只要对此类产品的需求仍然很高,执法机构的努力就只能变成一场猫捉老鼠的游戏。
“归根结底,每一次打击只会创造更多的市场。他们每关闭一个市场,就会有一些新的市场出现。这是一场他们赢不了的战斗,看看现在有多少市场。上次我查了一下,有20多个新的市场雨后春笋般冒出来。”他说。
运营者们还对暗网可以起到的作用提出了不同的看法。
“在一个完全不同的方面,我想提及的是,暗网并不全是关于毒品和网络犯罪的,即使它乍一看可能是这样。有很多人只是觉得在暗网上谈论某些事情会更好,因为他们在其他地方可以由于一堆不同的原因不能这样做。暗网也是一个无论您是谁、您的性别、您的肤色或您相信什么想象中的朋友都无关紧要的地方。在这个高度社交化的网络世界里,暗网是一个只做你自己的地方。”他说。
他补充说,在许多方面,暗网反映了互联网早期时代的情况,而之后出现的社交媒体和用户数据货币化“摧毁了一切”,使互联网成为今天的样子。
你真的可以在暗网上购买手机追踪服务吗? 信号系统7(SS7)移动电话协议漏洞的存在是安全研究人员在2016年预警的,并且仅用了一年时间就观察到了第一次利用这个漏洞的攻击。
在接下来的几年里,政府利用SS7漏洞来跟踪国外的个人,黑客利用它们来劫持Telegram和电子邮件帐户。
除了短信,SS7的安全漏洞可以被利用来拦截或转发电话、2FA代码、定位设备、欺骗短信等等。
但是,这些黑客服务是否像传闻中的那样丰富,还是暗网中充满了骗子,只是在等待骗取有志于从事间谍活动的人的钱财?
可用性调查 SOS Intelligence的分析师在暗网上搜索了SS7漏洞利用服务的供应商,发现了84个声称提供这些服务的拥有自主洋葱域名的网站。
在将结果缩小到那些似乎仍在活动的域名后,他们最终只找到了以下四个:
SS7 Exploiter
SS7 ONLINE Exploiter
SS7 Hack
Dark Fox Market
这四个网站都声称提供短信拦截和欺骗,位置跟踪,以及呼叫拦截和重定向。
通过分析这些网站的网络拓扑数据,研究人员发现,其中一些网站相对孤立,没有很多入站链接,也没发布推广广告。
这并不能很好地表明网站的可靠性和可信度,通常是最近建立的诈骗平台的表现。
此外,SS7 Hack网站似乎是从2021年创建的明网网站复制而来,因此看起来更像是一个骗局。
在尝试使用其SS7漏洞利用工具包,希望实现API镜像功能时,研究人员没有得到任何结果,因为该服务处于离线状态。
在每个目标电话号码收费180美元的Dark Fox Market平台上,研究人员发现了俄罗斯用户2016年在YouTube上上传的相同演示视频。
这些很可能是从YouTube上偷来的,与Dark Fox Market平台没有任何关系,该平台无论如何都没有提供可用的SS7漏洞利用服务。
尽管如此,通过分析这些平台提供的加密货币钱包,SOS Intelligence发现,骗子们正在赚取大量的钱。
隐藏的真正的SS7漏洞利用服务 上述情况并不意味着暗网上没有SS7漏洞利用服务,而是真正的SS7漏洞利用服务隐藏在会员制黑客论坛和World Market等暗网交易市场的背后。
正如暗网通常的情况一样,人们在“表面”上找到的第一个搜索结果通常会导致诈骗。
人们必须深入挖掘才能获得真正的交易,但这永远不会消除仍然落入骗局的机会。
当然,还有厉害的威胁行为者可以通过附属机构或他们自己的操作访问手机数据,因此他们不需要查找暗网上SS7漏洞利用服务的提供商。
加密货币的使用 印度网络专家表示,激进组织在暗网中使用加密货币进行恐怖活动和贩毒,对国家安全构成严重威胁,对印度的安全机构也是一个巨大的挑战。
加密货币已成为最先进的恐怖融资方法,当它在TOR、Freenet、Zeronet和Perfect dark等暗网上进行交易时,安全机构就无法追踪它。
洗钱者、网络犯罪分子和恐怖分子发现比特币、门罗币、瑞波币和Zcash等加密货币非常方便,因为它们具有匿名性和不可追踪性。
暗网是互联网领域的一个深层可变链接,人们无法找到用户的身份,因为路由器浏览器对用户的身份保持完全匿名。网络专家Pawan Duggal说,由于端到端加密,它使用户与谁互动都是匿名的。
他补充说,在这两种情况下,匿名都给印度的执法机构带来了真正的挑战,它在暗网上创造了一个独特的“网络犯罪经济”,现在越来越多地提供各种网络犯罪和服务。
Duggal进一步说,安全机构需要接受培训,以渗透这些在线系统,追踪资金来源和目的,以便采取预防措施。
禁毒局(NCB)的一名高级官员表示,暗网平台的使用不仅限于贩毒或毒品交易,而且最近被世界各地的许多恐怖组织使用。
NCB一直在不断打击选择暗网的毒品贩子,并与国际机构合作,控制这一威胁。
暗网还提供自毁的邮箱和代理服务器,人们可以使用假身份证。Duggal进一步表示,这无疑使证明某项指控变得困难,需要对《信息技术法》和《证据法》进行修订。
TOR软件、Freenet、Zeronet、Perfect dark是一些流行的暗网浏览器,这些都只能通过专门的软件访问。
TOR是最受欢迎的,每天有超过两百万的用户,它使用洋葱路由方法,这是一种分层技术,通过建立的层路由流量来隐藏用户的身份。
尽管如此,深网的加密和隐藏身份,网络专家表示,执法机构现在能够通过社工方法(在暗网上冒充卖家或买家)渗透到这些交易中。
反恐专家Rituraj Mate说:“在大多数情况下,加密货币被用于毒品贸易和洗钱,恐怖分子不会使用这种虚拟货币,因为机构可以追踪它。”
他还表示,一旦加密货币在印度合法化,恐怖组织就可以使用它。一旦获得官方许可,极端分子可能会使用某人的账户来资助恐怖活动。
就暗网而言,Mate还表示,像TOR这样的浏览器也很容易上手,美国中央情报局(CIA)掌握了渗透暗网组织和收集信息、证据以起诉网络犯罪的方法。他补充说,国际刑警组织还为世界各地的执法机构启动了有关打击暗网犯罪的培训计划。
Mate进一步补充说,印度执法机构与中央情报局、联邦调查局和国际刑警组织等国际机构建立了合作关系,定期交换信息,而印度执法机构也有能力跟踪这些暗网上用户的身份。
11月13日,总理纳伦德拉·莫迪(Narendra Modi)主持的高级别会议与所有利益相关者全面讨论了这个问题,据悉,政府正酝酿在议会冬季会议上提出一项法案,以规范印度的加密货币交易。
会上,官员们表示,印度执法机构在渗透到暗网方面的技术和技能都非常成熟,并且他们已经成功地追踪了许多毒品交易案件。
一位不愿透露姓名的高级官员说:“我们有能力在暗网上追踪和抓捕犯罪分子,并有足够的人力来处理这个问题,但我们需要增加我们的基础设施,如高配置服务器和更好地协调与外国执法机构共享信息。”
卡巴斯基实验室的一名安全研究员称,伪造Covid-19疫苗接种证书的暗网市场正在蓬勃发展。伪造文件的平均售价为300美元,但买家的钱能换来什么却是另一回事。
卡巴斯基实验室的安全研究员德米特里·加洛夫(Dmitry Galov)观察到,在暗网上出现了虚假的Covid-19疫苗接种文件交易的新高峰。这家总部位于莫斯科的公司的关键人物说,新的高峰显然是由人们“更自由地旅行的意愿引发的,因为各国目前正在实施不同的IT服务,这些服务正在检查您是否接种了疫苗”。
暗网交易市场上充斥着大量的虚假Covid-19通行证广告,被吹捧为具有合法二维码的文件平均售价高达300美元。
加洛夫说:“我们看到,网络犯罪分子正在制作他们在暗网上投放的广告。他们在广告中称,人们可以选择什么疫苗,什么样的假疫苗接种证书。”
暗网广告说,这些证书将在一些西欧国家发行,它们号称可以在任何官方应用程序中检查这些证书,例如CovPass、CoviCheck等。
加洛夫警告说:“然而,那些承诺伪造此类文件的人很可能只是骗子,他们会给你一张假证书,但你无法通过任何检查,或者什么也得不到。”
“没有办法检查这些网络犯罪分子是否只是骗子,他们试图从受害者那里拿钱而不给任何回报,或者他们实际上有某种权限或方法来发送这种证书。但这并不重要,因为这样做会使用户面临风险。”他说。
研究人员解释说,鉴于他们偏爱加密货币、安全信使,并且实际上没有留下任何可供分析的东西,追踪那些只寻求剥夺受骗者资金的纯种欺诈者是非常困难的。然而,那些可能接触到数据库和算法的人,会提供理论上可以追踪到泄漏源的证书。
研究人员认为,只要有需求,假Covid-19通行证的暗网市场就会一直存在。加洛夫认为,全世界对所有现有冠状病毒疫苗的普遍认可将有助于缓解这一问题。
这将影响暗网,因为已经接种过疫苗的人,已经[打过]他们国家的任何疫苗的人,他们不会试图购买与其他[国家]有关的证书。
你可能从来没有听说过白宫暗网交易市场(WHM)。谷歌找不到,它的供应商不会做太多广告。对该网站的少数公开提及是在Reddit论坛或专业技术博客上。但在暗网用户中,WHM多年来一直是非法毒品和欺诈性信用卡的首选在线市场。
尽管从未达到其更著名的兄弟丝绸之路和AlphaBay的交易量峰值,但白宫暗网交易市场已将自己确立为暗网上最受欢迎且最安全的市场之一。因此,当WHM在10月1日意外关闭时,这对该平台的忠实用户群来说是一个冲击。
该网站的一页关闭声明信没有详细说明,只是简单地说白宫暗网交易市场已经“达到了我们的目标”,“现在,按照计划”,该网站正在关闭。
信中写道:“感谢大家的业务、信任、支持,当然也感谢大家在我们的口袋里放了不少的钱。”,“我们可能会在未来某个时候带着不同的项目回来,也可能不会。”这封信是由WHM的首席管理员签署的,大家只知道他的在线用户名“mr_white”。
在关闭时,该平台拥有近90万名用户,其中超过三分之一(约32.6万)是活跃用户。与其他暗网市场一样,它只能在Tor和I2P等匿名浏览器上访问。根据其宣传的数字,白宫暗网交易市场有大约3000家供应商,其商品清单包括信用卡和银行欺诈、伪造文件、大麻和摇头丸等非法和处方药、海洛因和羟考酮等阿片类药物、氯胺酮和PCP等致幻药物、可卡因、类固醇和苯丙胺或甲基苯丙胺。
最终列表与该网站的主题相匹配,该主题的特色是横幅上的《绝命毒师》中的沃尔特·怀特(Walter White)。但与沃尔特·怀特虚构的业务不同的是,这个业务遍及全球,供应商和买家遍布世界各地,尽管大多数交易都是用英语进行的。
周二,也就是白宫暗网交易市场停止运营后不到一个月,司法部宣布了“黑暗猎手行动”的成果——一场彻底的国际暗网行动,导致150人被捕,并缴获了武器、毒品等超过3100万美元的加密货币和现金。根据法庭文件,确定的少数暗网供应商账户来自白宫暗网交易市场。WHM及其管理人员是否正在接受刑事调查是一个悬而未决的问题。
目前尚不清楚WHM的创始人自2019年8月开设该网站以来赚了多少钱,但他们通过一种几乎无法追踪的名为门罗币(Monero)的加密货币对所有销售收取了4%的佣金。卡内基梅隆大学计算机科学家尼古拉斯·克里斯汀(Nicolas Christin)的研究重点是在线犯罪建模、安全经济学和加密货币,他估计白宫暗网交易市场促进了至少3500万美元的销售额,这意味着管理员在过去两年里的实得工资可能至少有130万美元。
Christin估计,往高点统计,销售额可能达到1.2亿美元,这将意味着该网站的管理员拿走了近500万美元。
白宫暗网交易市场还以其卓越的数字安全性、可靠的客户服务而闻名,也许具有讽刺意味的是,它的职业道德。它不允许供应商出售儿童色情制品,提供雇佣谋杀,或销售武器、爆炸物或毒药。
专家说,现在它已经消失了,新的门户网站将填补空白,借用白宫暗网交易市场的一些策略并在此过程中制定市场标准,例如使用“相当好的隐私”(PGP)加密对所有通信进行编码,并转向优先考虑去中心化的门罗币,这是一种去中心化的加密货币,自称 “安全、隐私、无法追踪”。
“从历史上看,根据10年的数据,只要大型市场关闭,第二级市场就开始填补空白。白宫市场就是这样开始的。”克里斯汀说。“你可以看到从众所周知的地下室里的市场和地方发展到一个看起来更像是一个开始采用一些标准运营最佳实践的行业的变化。”
只是,这些行业最佳实践将使非法在线交易更加难以被执法部门追踪。
在暗网中,安全的离开是极其罕见的。WHM的大多数前任在他们的创始人被起诉、逮捕后被关闭,在一个值得注意的案例中,管理员在接受审判前被发现死于疑似自杀的牢房中。
暗网毒品销售(从数量上看构成了那里的大多数活动)占全球毒品交易总额的一小部分但仍在增长。确切数字很难确定,但联合国毒品和犯罪问题办公室估计,在过去十年中,此类毒品的销售额翻了两番,达到3.15亿美元。Christin的团队收集了联合国广泛使用的数据,他认为上限接近10亿美元,因为他的团队只能跟踪这些平台上发生的所有销售额的一小部分。
第一个引起公众关注的现代暗网交易市场是丝绸之路——在其巅峰时期的业务价值12亿美元。丝绸之路于2011年推出,为超过10万名客户提供服务,并在暗网交易中普及使用比特币。该市场于2013年被FBI调查取缔。其管理员罗斯·乌布利希(RossUlbricht)——使用网络昵称“恐怖海盗罗伯茨”——最终被判处终身监禁,不得假释。
其他市场继续发展以填补真空,其中最主要的是AlphaBay。它成立于2014年底,它鼓励(但不强制)使用门罗币。到2017年7月,AlphaBay的规模大约是丝绸之路的10倍。大约在这个时候,AlphaBay的一名管理员亚历山大·卡兹(Alexandre Cazes)犯了一系列错误,暴露了他的身份。多国执法行动“刺刀行动”(Operation Bayonet)突袭并关闭了AlphaBay,逮捕了Cazes,几周后他被发现死在他的牢房里。
AlphaBay关闭后,用户争先恐后地寻找AlphaBay的继任者,许多人涌向当时的第三大暗网交易市场Hansa。但是荷兰警方已经接管了Hansa暗网交易市场的运营,这意味着新被捕的AlphaBay用户反而是通过Hansa市场暴露的。
同时代的像Dream这样的其他主要市场也面临着自己的麻烦。Dream的创始人于2017年8月被美国当局逮捕,由于受到DDoS攻击和运营安全问题的困扰,该平台最终于2019年关闭。
自那年8月推出以来,白宫暗网交易市场(White House Market)决心以稍微不同的方式开展业务。今年夏天,mr_white在接受DarknetOne采访时评论该平台的起源故事时说,他们“看到了一个机会,认为我们拥有所需的能力,并试了一下。”
平台创始人实施了可以说是当今所有暗网市场或DNM中最严格的用户安全协议。他们推广使用双因素身份验证和PGP加密来进行买卖双方之间的所有通信。
白宫暗网交易市场还坚持要求所有用户都转向门罗币进行交易,这使得他们几乎无法追踪。虽然当时其他DNM不愿为用户强制执行复杂的安全协议,但买家似乎并不介意遵守WHM的规则。
我采访过的一位匿名买家说,与他们使用过的任何其他市场相比,白宫暗网交易市场的规则和规定是最好的。正如mr_white自己所说的那样,“PGP和XMR都没有听起来那么可怕,对于大多数用户来说,他们学过一次,以后就能掌握。”
律师和多本暗网真实犯罪书籍的作者艾琳·奥姆斯比(Eileen Ormsby)表示,白宫暗网交易市场还导致其他市场强制要求PGP加密并实现无钱包化。这些预防措施会阻止平台和供应商使用所谓的退出骗局——即老牌商家在收到新订单付款的同时停止发货。
“白宫暗网交易市场的不同寻常之处在于它几乎是一个没有钱包的市场,尽管它并没有这样宣传自己。”奥姆斯比说。这意味着用户永远不会在平台上保留加密货币钱包,而只是在服务或商品出现时付款。该平台还以“托管”方式运作,这意味着平台在所有交易中都持有资金,直到满足所有条款,以在交易过程中保持买家的诚信。
但即使是最严格的平台安全协议也不一定能让DNM用户远离执法部门。法庭文件称,保罗-恩斯特朗(Paul Engstrom)是一名45岁的拉斯维加斯男子,据称他经营着一家蓬勃发展的毒品交易市场、两个藏匿所和一个经销商团队,他煞费苦心地为他的所有WHM交易设置门罗币,并使用了加密货币混合器使安全性较低的加密货币交易无法追踪。
检察官说,Engstrom是白宫暗网交易市场上最多产的可卡因供应商之一,名称为“Insta”。自2020年10月以来,缉毒局(DEA)特工一直在调查Engstrom,据称他通过白宫暗网交易市场以拉斯维加斯市价的三倍出售了至少20公斤可卡因——估计在2021年的四个月内净赚190万美元。
“只要有一次失误,你就完了。”
美国司法部周二宣布的Engstrom的起诉书也为调查人员如何追踪即使是最谨慎的暗网交易提供了一个窗口。据称,Engstrom使用一个名为BitLiquid的加密货币兑换现金的交易所,将他的收入兑换成美元。他将Monero换成Paxos Standard,一种与美元挂钩的加密货币,然后使用BitLiquid将其兑换成现金。与此同时,追踪Engstrom的DEA代理人使用收费记录来确定Engstrom何时通过他的手机访问BitLiquid并监控BitLiquid钱包在这些时间范围内的活动。一笔排队的交易——用37,000美元的PaxosStandard兑换36,900美元的现金——自动触发了货币交易报告,即CTR,因为它超过了10,000美元。
如果罪名成立,Engstrom将面临至少10年的联邦监狱服刑,他后来告诉审前服务机构,他拥有800万至1000万美元的加密货币。
CMU的Christin说,当您兑现时,“无论您是否使用Monero都无济于事”,“来自加密钱包的无法解释的收入来源总是一个危险信号。”
撇开个人安全协议不谈,像”Insta“这样的白宫暗网交易市场供应商如果想在平台上交易他们的商品,还需要遵守许多其他规则。即使WHM为非法毒品和其他物品的销售提供便利,站点管理员也遵守并执行了他们自己的道德品牌。
WHM禁止销售假Covid疫苗卡、儿童或动物色情制品、致命武器和芬太尼等物品,芬太尼是一种廉价但功能强大的合成阿片类药物,在极小剂量下即可致命。
Christin说,这种道德立场强调了一个不争的事实,即暗网交易市场是如何在执法部门的威胁下存在的。
“先撇开道德不谈,如果你是一个经济上理性的行为者,你不希望在你的平台上出现雇佣谋杀,因为它吸引了热量。”他说。“而且很可能是一名联邦调查局特工在做这些事情。武器,也是如此。”
该网站的供应商注册数量有限,也创造了一定程度的排他性。其代价是,WHM的销售价值最多不超过AlphaBay高峰期的五分之一。
那为什么关闭一个在巅峰时期有利可图的暗网市场?
“匿名性总是随着时间的推移而减少。只要有一次失误,你就完了。”克里斯汀说。“如果您的IP地址被捕获一次,那将是一场灾难。所以有一种完全理性的行为,就是趁早退出。”
白宫暗网交易市场决定关闭商店的一个受益者可能是新近重新启动的AlphaBay,现在由管理员“DeSnake”运营。DeSnake是最初的AlphaBay的管理员之一,但逃脱了起诉。DeSnake称,他重新出现是为了重新建立AlphaBay的知名度,使其成为网上黑市的首选。但在市场重新启动几周后,AlphaBay仍在努力吸引用户。DeSnake在接受采访时并没有被吓倒,他说暗网市场通常只有在另一个受欢迎的市场关闭或被执法部门捣毁之后才会吸引新用户的涌入。
DeSnake是对的。尽管在白宫暗网交易市场消亡之后,没有任何平台成为首选的DNM,但WHM上的大麻、冰毒和可卡因供应商淹没了Dread(一个类似Reddit的暗网论坛),宣布他们的买家现在可以在哪里找到它们。在他的结束语中,mr_white将Versus和Monopoly(两个较小的DNM)作为白宫暗网交易市场用户群采用的安全继任者,同时鼓励用户给新平台一个机会。
白宫暗网交易市场最持久的影响可能是它在暗网市场平台中建立了更高的运营安全和客户服务行业标准,使交易更难以追踪,并为在线暗网用户提供更流畅的体验。重新启动的AlphaBay现在只接受门罗币,甚至运行自己的内部门罗币混合器来增加额外的防御层。无钱包市场Monopoly直到最近才成为一个相对较小的参与者,它正在迅速获得新用户,并为他们提供清除所有订单数据的能力。Dark0de Reborn正试图追随苹果和谷歌的设计脚步。它的使命宣言非常强调“消费者的共鸣”和“用户体验”。
这是一种新型的暗网市场——它将使下一次大规模的国际打击更加难以实现。
根据Bitglass的研究,暗网活动中被盗数据的价值和网络犯罪行为,在最近几年有了很大的发展。
被盗数据的影响范围更广,移动速度更快 2021年,漏洞数据的浏览量超过13200次,而2015年的浏览量为1100次,增长了1100%。
2015年,达到1100次链接浏览需要12天而在2021年,超过这个里程碑只用了不到24小时。
违规数据是从5个不同大陆的个体中下载的。
Bitglass威胁研究小组负责人Mike Schuricht表示:“我们预计,数据泄露的数量不断增加,以及网络犯罪分子有更多的渠道将泄露出的数据货币化,将会更加导致人们对暗网被盗数据的兴趣和活动增加。”
暗网活动已变得更加隐蔽 2021年暗网的匿名浏览人数(93%)超过了2015年的人数(67%)。
今年的实验表明,匿名浏览者对零售和政府数据特别感兴趣;分别为36%和31%。
Schuricht说:“鉴于执法部门加大了追踪和起诉网络犯罪分子的力度,我们预计恶意行为者在访问泄露数据以逃避执法时会继续使用匿名VPN和代理。”
网络犯罪分子对零售和美国政府数据特别感兴趣 在研究人员在暗网上散布的所有类型的虚假数据中,访问零售和美国政府网络的数据获得的点击次数最多,分别为37%和32%。
Schuricht说:“对于许多希望部署勒索软件并从大型盈利组织勒索款项的网络犯罪分子来说,获得对大型零售商网络的访问权仍然是首要任务。”
“同样,对美国政府信息的兴趣可能来自国家资助的黑客或希望将这些信息出售给民族国家的独立黑客。”
网络犯罪分子比你想象的离你更近 网络犯罪分子可能比许多人认为的更像是一种“本土”威胁,下载被盗数据的第二大常见地点来自美国。前三名是:肯尼亚、美国和罗马尼亚。
“将最新实验的结果与2015年的结果进行比较,很明显,暗网上的数据正在传播得更远、更快。”Schuricht说,“不仅如此,网络犯罪分子越来越善于掩盖他们的踪迹,并采取措施来逃避起诉网络犯罪的执法工作。“
“不幸的是,企业保护数据的网络安全工作没有跟上步伐,最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议的那样,他们使用最佳做法和新技术来保护他们的数据是至关重要的。”
暗网是出售非法和犯罪产品和服务的大杂烩,这当然也包括了网络犯罪领域。从网站黑客攻击到DDoS攻击,再到定制恶意软件和改变学校成绩,您可以从黑客那里购买其中任意的一项服务。但是,这些类型的项目到底要多少钱?消费者网站Comparitech周二发表的一篇博客文章研究了暗网上可用的黑客服务类型,并对其价格进行了探究。
为了进行分析,Comparitech的研究人员研究了12种不同的黑客服务的100多份列表清单。该帖子的作者Paul Bischoff说,许多服务的实际价格是根据时间、范围、复杂性和风险程度来协商的。但是Comparitech仍然能够找到许多这些非法服务的平均价格。销售价格通常以比特币列出,Comparitech在其报告中将其转换为美元。
清单上最昂贵的项目是人身攻击,通常涉及诽谤、法律破坏或金融干扰的攻击。改变学校成绩是其次最昂贵的服务。所有的黑客都要求先付款,尽管有些黑客承诺如果黑客失败会退款。
大多数被雇佣的黑客只有在他们相信自己能够完成工作的情况下才会接受工作。Comparitech发现的一个组织甚至在其网站上说:“在大约5-7%的情况下,黑客攻击是搞不定的。” 大多数黑客表示他们可以在24小时内完成工作,但更高级更复杂的攻击可能需要几天或几周的时间。
人身攻击 专门从事人身攻击的黑客平均以551美元的价格出售他们的服务。人身攻击可能包括破坏财务、法律麻烦或公开诽谤。黑客兜售的一种策略是将受害者诬陷为儿童色情制品的购买者。一些黑客提供诸如“诈骗者报复”或“欺诈追踪”之类的服务,他们将在其中攻击诈骗者。
修改成绩 想获得更高的分数的学生实际上可以向黑客支付平均526美元的费用,以入侵学校系统并改变其成绩。小学和大学都有,这是最常见的黑客服务之一,也是最昂贵的服务之一。作为副业,一些黑客还说他们可以窃取未来考试的答案。
网站攻击 网站攻击平均花费394美元,包括对网站和其他在线托管服务的攻击。Comparitech引用的一个黑客组织说,它可以访问底层网络服务器或网站的管理面板。另一个黑客组织吹嘘说,它可以拖取数据库和访问管理后台。
电脑和电话攻击 计算机和电话黑客服务的平均费用为343美元。在这种类型的攻击中,黑客入侵受害者的PC或手机以窃取数据或部署恶意软件。操作系统似乎并不重要,因为他们吹嘘可以访问Windows、macOS、Linux、Android、iOS、BlackBerry 或 Windows Phone。
社交媒体帐户攻击 黑进一个社交媒体账户的费用平均为230美元。在这项服务中,黑客将监视或劫持WhatsApp、Facebook、Twitter、Instagram、Skype、Telegram、TikTok、Snapchat和Reddit等平台的账户。恶意活动取决于该服务。黑进受害者的Facebook或Twitter账户的犯罪分子通常会窃取凭证,让买家完全访问该账户。那些从WhatsApp攻入账户的人可能会偷看信息或进行截图。
电子邮箱攻击 电子邮箱攻击的平均售价为241美元。在此活动中,黑客窃取受害者的电子邮箱密码,然后将该密码提供给买家或进入邮箱帐户以拖取邮件。在某些情况下,犯罪分子可能会设置电子邮件转发流程以获取所有受害者电子邮件的副本。
DDoS 攻击 提供分布式拒绝服务攻击的黑客平均每小时收费26美元,不过价格根据攻击的持续时间和带宽而有所不同。一些黑客会按小时甚至按月收费,只要买家愿意,就可以在买方想要的时间内保持攻击。
除了定价的主流服务外,Comparitech表示还发现了其他更细分的小众服务:
一些黑客会闯入医院的COVID-19疫苗接种数据库,窃取数据或将自己的名字添加到数据库中;一些黑客会改变搜索引擎的结果,以提高或降低一个网站的排名;一些黑客会删除买家在社交网络上发布的帖子;还有一些黑客会对一个网站的安全进行审计,似乎是为了向网站所有者展示哪里存在漏洞。
网络犯罪分子是下一代强盗。当黄金和装满现金的金库通过火车运输时,盗贼也随之而来。现在钱是数字的,罪犯也是数字的。过去的歹徒试图通过涌入简陋的酒馆来躲避执法者,而21世纪的暴徒则躲在暗网的掩护下。
暗网几乎无法追踪,而且隐藏在公众视野之外,是建立阴暗关系的完美场所。充足的犯罪论坛保证了他们能够稳定地接触到愿意合作的同伙、新的勒索技术和骗子。然而,他们不知道的是,这些人中有冒牌货。他们是好人,在数字世界的黑暗面收集有关暗网的情报。
他们反过来对我说,我们会找到写这篇文章的人,然后杀了他们。
这项任务既不容易,也不安全。即使是最轻微的怀疑也可能引起警报。失去对有价值论坛的访问权限只是暴露身份可能给暗网研究人员带来的问题的冰山一角。正是出于这个原因,我们同意不披露来自暗网数据提供商和情报公司DarkOwl的研究人员的个人信息,该研究人员已同意与我们交谈。
“我试图弄清楚他们在哪里活动,他们与谁有关,他们参与了哪些团体,我成了目标。他们对我说,我们会找到写这篇文章的人,并来杀了他们。”研究人员告诉CyberNews。
深入观察暗网有其好处。一旦您的公司网络访问出现在犯罪论坛上,最好迅速采取行动。一旦勒索软件集团掌握了这个漏洞,要防止漏洞发生可能就太晚了。
根据我们的对话者的说法,成为网络罪犯从未如此简单。密码专家是唯一设计勒索软件的人的时代已经一去不复返了。毫无顾忌,有犯罪心理,再加上几百块钱,是尝试在暗网开始职业生涯所需要的全部。
我们打了一个电话,讨论网络犯罪分子多年来发展的支持系统,对黑客的误解,以及我们应该如何看待这一切。
在对话之前,我们已同意不提及您的姓名或任何其他标识符。这是为什么?你的工作有哪些危险? 在我们的工作中,匿名是无价的。没有人知道谁在现实生活中是谁,每个人都被化名和代理所隐藏。我不想引起别人的注意,无论是在外面还是在现实世界。几年前,当我积极追捕在这一领域相当深入的几个犯罪威胁者和团体时,我变得更加认真了。
我一直在追捕一个特定的犯罪分子,试图弄清楚他们在哪里经营,他们与谁有关,他们隶属于什么团体。我成了目标。他们转向我说:“我们会找到写这篇文章的人,然后杀了他们,摧毁他们。”
起初,我并没有太当真,但是我的一个亲密且人脉广泛的朋友告诉我,写这封信的人是认真的,他情绪不稳定,执意要发现我的身份。我的朋友建议我改变我的实际位置并搬家。
我突然意识到这很严重,我有孩子要考虑和保护。那次经历让我非常意识到我们工作环境的严重性。我们在这里有点像在狂野的西部地区,很难区分什么是真实的,什么是虚构的。
这听起来很不祥。我的意思是,身体伤害的威胁一定非常令人痛苦。
这是精神上的消耗。虽然大多数用户可能永远不会采取行动,但暗网中也有很多心理不稳定的人。它变成了一种游戏,就像拖钓一样,一种一个人认真打算摧毁另一个人的痴迷。
让我们换个角度,看看你的事业给你带来的启示。最近,有很多人在谈论支持暗网生态系统。作为一个直接关注黑暗中心的人,你认为这个生态系统是否像它被描述的那样重要? 是的,这很关键。看看勒索软件即服务(RaaS)。第一代和第二代勒索软件是由非常聪明的恶意软件开发人员、密码学家和加密专家开发的。如果您想给他们贴上标签,那么设计和使用此类软件的人是一些最复杂的恶意软件开发人员或周围的“精英”黑客。
但是通过RaaS附属模式,他们让其他人有机会以每年几百美元的价格“租用”勒索软件,这取决于他们使用的压力。任何有兴趣涉足勒索软件业务的人都可以进入市场,而无需具备任何关于如何对网络进行企业级攻击的先验知识或专业知识。
一些团伙,如Lockbit2.0几乎完全自动化,他们的附属机构不需要对他们正在做的事情有丝毫的了解。您只需按一下,即插即用。识别受害者,将其放到网络上,剩下的就交给他们了。
生态系统的另一个方面是网络访问。勒索软件会锁定网络,但不给附属机构直接访问权。与RaaS一起运行的最大的生态系统被称为IAB或初始访问经纪人。这些经纪人为突破网络提供便利,要么是网络漏洞,要么是泄露的凭证,让人可以访问服务器。这可能是一个简单的开放服务器,或端口,或管理账户。
RaaS附属机构并不总是认识在他们想要入侵的公司工作的人。这就是为什么他们需要IAB。一些RaaS组织正在从他们的受害者网络中招募员工,例如内部威胁。还有一个顾问网络,为受害者谈判提供支持并协调受害者的付款。
此外,许多这些暗网犯罪分子并不是最具社会意识的人。他们不一定知道如何与世界之外的人互动。他们中有一半人的母语不是英语。他们甚至雇佣了一些客户服务代表类型的顾问,与高价值的受害者互动,让他们尽可能多地支付赎金并完成交易。
我最近进行了这项研究,显示生态系统内的一些人并不完全知道他们在帮助犯罪团伙。你对此有什么看法?你认为人们是否有可能不知道他们把自己放在什么地方? 有一小部分暗网用户是超级智能用户。这些人吃喝拉撒睡都是科技,他们热衷于构建代码和解决难题。我和他们交流过,他们的天赋超群。
他们是我所遇到过的最聪明的人之一。在这种智慧中,他们也略显天真,对他们建立的任何东西被用于犯罪的可能性视而不见。
但大多数在暗网论坛上编写恶意软件并与这些玩家互动的人并不傻。他们知道你要么是执法人员,要么是罪犯。他们敏锐地意识到,他们提供的服务或信息将被用于某些犯罪活动或打击犯罪活动。
在Colonial Pipeline和JBS黑客攻击之后,有一些遏制生态系统的尝试,一些论坛禁止讨论勒索软件。你有没有注意到这些禁令以某种方式实现了? 是的,在某种程度上。来自RaaS团伙的帖子已经消失了,这些团伙曾经宣传他们有一种新的勒索软件毒株并正在寻找合作伙伴和目标。但这并不能阻止对话的发生。你只需要知道现在的语言是什么。
我不是在谈论口语,而是代码。是的,信息在某种程度上受到审查,但这并不意味着讨论没有发生。犯罪集团也迁移到Telegram和其他交流渠道。这些对话的其他场所不一定有那么严格的审核,也不一定有那么多的执法力量。
总的来说,围绕勒索软件和网络犯罪有很多神秘主义色彩。您是否注意到一般人群对网络犯罪分子的一些误解? 最常见的误解是,在一个昏暗的房间里,满是戴着头罩的黑客,在黑屏和绿色文本的显示器前。这是不可能的。对于勒索软件,它实际上是即插即用的那种东西。他们在Windows上运行这些脚本,并使用图形用户界面。它不像“黑客帝国”那样看起来很酷。
另一方面是有些人认为攻击是随机的,纯粹是为了经济利益。我们内心产生了这种程度的恐惧,这让我们怀疑自己是否是下一个。但实际上,攻击更具针对性,尤其是像Colonial和Kaseya这样的攻击。
当然,许多附属机构只是想利用受害者,抓住机会,尽可能多地打击目标,获得尽可能多的加密货币,然后消失。但有一小部分人更值得关注。
我认为美国政府、情报界、国际执法界都在关注这里有什么更大的戏。我们所忽略的更大的故事是什么?它是间谍活动吗?它是对基础设施的控制吗?这一切的下一个方向是什么?这也是误解之一,因为人们常常认为这完全是随机的,而实际上不是这样。 这些暗网威胁者中的一些人只是为了获得权力。他们喜欢被恐惧,他们也喜欢快速赚钱。在黑暗网络中,有很多犯罪分子都有这种简单的动机。
但它还有另一个组成部分,特别是对于那些规模较大的团伙来说,其运作的复杂程度与民族国家一致。他们工作的复杂程度表明,他们所服务的主人比简单的金钱更重要。
如果你现在列出所有不同的活跃的RaaS团伙,你可以将业余者与那些有更重要的目标有关的人区分开来,如关键基础设施。这可能是间谍活动和网络恐怖主义。这是比你们这些人甚至包住脑袋的任何东西都要大的东西。
新的研究表明,随着消息应用程序作为暗网的替代品出现,Telegram已成为网络犯罪分子寻求购买、出售和共享被盗数据和黑客工具的中心,也是暗网中犯罪分子交流最常用的聊天软件。
Telegram于2013年推出,允许用户通过“频道”向关注者广播消息,或创建其他人可以轻松访问的公共和私人群组。用户还可以直接通过应用程序发送和接收大型数据文件,包括文本和压缩文件。根据SensorTower的数据,该平台表示其拥有超过5亿活跃用户,8月份下载量突破10亿次。
网络犯罪分子多年来一直在使用Telegram,因为它是加密的,容易访问。根据《金融时报》和网络情报组织Cyberint最近进行的一项调查,最近“网络犯罪分子对Telegram的使用增加了100%以上”。英国《金融时报》表示,在WhatsApp的隐私政策发生变化后,用户纷纷涌向该应用程序后,该应用程序上的犯罪活动有所增加。
如果你还记得,今年早些时候,WhatsApp要求其用户接受一项修订后的政策,允许其与母公司Facebook共享数据。用户感到愤怒,WhatsApp不得不澄清,它仍然不能阅读他们的私人通信。即便如此,人们还是迁移到了提供类似安全信息功能的竞争对手那里–对于Telegram来说,这显然导致了通过该应用进行的犯罪活动的增加。
根据调查人员的说法,有一个不断膨胀的黑客网络,他们在拥有数万名用户的频道中分享和出售数据泄露。据报道,在过去一年中,“Email:pass”和“Combo”在该应用程序中被提及的次数增加了四倍。该应用程序上流传的一些数据转储包含30万至60万个游戏和电子邮件服务的电子邮件和密码组合。网络犯罪分子还通过该应用程序出售金融信息,如信用卡号码、护照副本和黑客工具。
vpnMentor发布报告称,Telegram上流传的数据转储来自Facebook、营销软件提供商Click.org和约会网站Meet Mindful等公司之前的黑客攻击和数据泄露。大多数数据泄露和黑客攻击似乎只有在暗网上出售后才会在Telegram上共享,或者黑客未能找到买家并决定公开或共享信息。
Cyberint的网络威胁分析师 Tal Samra表示,网络犯罪分子从暗网过渡到Telegram的部分原因是该加密聊天工具提供了匿名性。但他指出,其中许多团体也是公开的。暗网论坛内部共享的Telegram群组或频道的链接从前一年的172,035个跃升至2021年的100万个以上。
Samra解释说:”Telegram的加密信息服务在进行欺诈活动和出售被盗数据的网络犯罪分子中越来越受欢迎……因为它比暗网使用起来更方便”。萨姆拉说,除了比暗网更方便之外,Telegram也不太可能被警方监控。
在《金融时报》通知该公司后,Telegram已经删除了出售带有电子邮件和密码组合的大量数据集的渠道。在一份声明中,Telegram还表示,它“有删除未经同意分享的个人数据的政策”,并且它有一支“不断壮大的专业版主队伍”,每天删除1万个违反其服务条款的公共社区。今年早些时候,在美国国会大厦遭到袭击后,这些版主不得不监控数百个频道,以留意暴力的呼声。