根据Bitglass的研究,暗网活动中被盗数据的价值和网络犯罪行为,在最近几年有了很大的发展。
被盗数据的影响范围更广,移动速度更快 2021年,漏洞数据的浏览量超过13200次,而2015年的浏览量为1100次,增长了1100%。
2015年,达到1100次链接浏览需要12天而在2021年,超过这个里程碑只用了不到24小时。
违规数据是从5个不同大陆的个体中下载的。
Bitglass威胁研究小组负责人Mike Schuricht表示:“我们预计,数据泄露的数量不断增加,以及网络犯罪分子有更多的渠道将泄露出的数据货币化,将会更加导致人们对暗网被盗数据的兴趣和活动增加。”
暗网活动已变得更加隐蔽 2021年暗网的匿名浏览人数(93%)超过了2015年的人数(67%)。
今年的实验表明,匿名浏览者对零售和政府数据特别感兴趣;分别为36%和31%。
Schuricht说:“鉴于执法部门加大了追踪和起诉网络犯罪分子的力度,我们预计恶意行为者在访问泄露数据以逃避执法时会继续使用匿名VPN和代理。”
网络犯罪分子对零售和美国政府数据特别感兴趣 在研究人员在暗网上散布的所有类型的虚假数据中,访问零售和美国政府网络的数据获得的点击次数最多,分别为37%和32%。
Schuricht说:“对于许多希望部署勒索软件并从大型盈利组织勒索款项的网络犯罪分子来说,获得对大型零售商网络的访问权仍然是首要任务。”
“同样,对美国政府信息的兴趣可能来自国家资助的黑客或希望将这些信息出售给民族国家的独立黑客。”
网络犯罪分子比你想象的离你更近 网络犯罪分子可能比许多人认为的更像是一种“本土”威胁,下载被盗数据的第二大常见地点来自美国。前三名是:肯尼亚、美国和罗马尼亚。
“将最新实验的结果与2015年的结果进行比较,很明显,暗网上的数据正在传播得更远、更快。”Schuricht说,“不仅如此,网络犯罪分子越来越善于掩盖他们的踪迹,并采取措施来逃避起诉网络犯罪的执法工作。“
“不幸的是,企业保护数据的网络安全工作没有跟上步伐,最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议的那样,他们使用最佳做法和新技术来保护他们的数据是至关重要的。”
暗网是出售非法和犯罪产品和服务的大杂烩,这当然也包括了网络犯罪领域。从网站黑客攻击到DDoS攻击,再到定制恶意软件和改变学校成绩,您可以从黑客那里购买其中任意的一项服务。但是,这些类型的项目到底要多少钱?消费者网站Comparitech周二发表的一篇博客文章研究了暗网上可用的黑客服务类型,并对其价格进行了探究。
为了进行分析,Comparitech的研究人员研究了12种不同的黑客服务的100多份列表清单。该帖子的作者Paul Bischoff说,许多服务的实际价格是根据时间、范围、复杂性和风险程度来协商的。但是Comparitech仍然能够找到许多这些非法服务的平均价格。销售价格通常以比特币列出,Comparitech在其报告中将其转换为美元。
清单上最昂贵的项目是人身攻击,通常涉及诽谤、法律破坏或金融干扰的攻击。改变学校成绩是其次最昂贵的服务。所有的黑客都要求先付款,尽管有些黑客承诺如果黑客失败会退款。
大多数被雇佣的黑客只有在他们相信自己能够完成工作的情况下才会接受工作。Comparitech发现的一个组织甚至在其网站上说:“在大约5-7%的情况下,黑客攻击是搞不定的。” 大多数黑客表示他们可以在24小时内完成工作,但更高级更复杂的攻击可能需要几天或几周的时间。
人身攻击 专门从事人身攻击的黑客平均以551美元的价格出售他们的服务。人身攻击可能包括破坏财务、法律麻烦或公开诽谤。黑客兜售的一种策略是将受害者诬陷为儿童色情制品的购买者。一些黑客提供诸如“诈骗者报复”或“欺诈追踪”之类的服务,他们将在其中攻击诈骗者。
修改成绩 想获得更高的分数的学生实际上可以向黑客支付平均526美元的费用,以入侵学校系统并改变其成绩。小学和大学都有,这是最常见的黑客服务之一,也是最昂贵的服务之一。作为副业,一些黑客还说他们可以窃取未来考试的答案。
网站攻击 网站攻击平均花费394美元,包括对网站和其他在线托管服务的攻击。Comparitech引用的一个黑客组织说,它可以访问底层网络服务器或网站的管理面板。另一个黑客组织吹嘘说,它可以拖取数据库和访问管理后台。
电脑和电话攻击 计算机和电话黑客服务的平均费用为343美元。在这种类型的攻击中,黑客入侵受害者的PC或手机以窃取数据或部署恶意软件。操作系统似乎并不重要,因为他们吹嘘可以访问Windows、macOS、Linux、Android、iOS、BlackBerry 或 Windows Phone。
社交媒体帐户攻击 黑进一个社交媒体账户的费用平均为230美元。在这项服务中,黑客将监视或劫持WhatsApp、Facebook、Twitter、Instagram、Skype、Telegram、TikTok、Snapchat和Reddit等平台的账户。恶意活动取决于该服务。黑进受害者的Facebook或Twitter账户的犯罪分子通常会窃取凭证,让买家完全访问该账户。那些从WhatsApp攻入账户的人可能会偷看信息或进行截图。
电子邮箱攻击 电子邮箱攻击的平均售价为241美元。在此活动中,黑客窃取受害者的电子邮箱密码,然后将该密码提供给买家或进入邮箱帐户以拖取邮件。在某些情况下,犯罪分子可能会设置电子邮件转发流程以获取所有受害者电子邮件的副本。
DDoS 攻击 提供分布式拒绝服务攻击的黑客平均每小时收费26美元,不过价格根据攻击的持续时间和带宽而有所不同。一些黑客会按小时甚至按月收费,只要买家愿意,就可以在买方想要的时间内保持攻击。
除了定价的主流服务外,Comparitech表示还发现了其他更细分的小众服务:
一些黑客会闯入医院的COVID-19疫苗接种数据库,窃取数据或将自己的名字添加到数据库中;一些黑客会改变搜索引擎的结果,以提高或降低一个网站的排名;一些黑客会删除买家在社交网络上发布的帖子;还有一些黑客会对一个网站的安全进行审计,似乎是为了向网站所有者展示哪里存在漏洞。
网络犯罪分子是下一代强盗。当黄金和装满现金的金库通过火车运输时,盗贼也随之而来。现在钱是数字的,罪犯也是数字的。过去的歹徒试图通过涌入简陋的酒馆来躲避执法者,而21世纪的暴徒则躲在暗网的掩护下。
暗网几乎无法追踪,而且隐藏在公众视野之外,是建立阴暗关系的完美场所。充足的犯罪论坛保证了他们能够稳定地接触到愿意合作的同伙、新的勒索技术和骗子。然而,他们不知道的是,这些人中有冒牌货。他们是好人,在数字世界的黑暗面收集有关暗网的情报。
他们反过来对我说,我们会找到写这篇文章的人,然后杀了他们。
这项任务既不容易,也不安全。即使是最轻微的怀疑也可能引起警报。失去对有价值论坛的访问权限只是暴露身份可能给暗网研究人员带来的问题的冰山一角。正是出于这个原因,我们同意不披露来自暗网数据提供商和情报公司DarkOwl的研究人员的个人信息,该研究人员已同意与我们交谈。
“我试图弄清楚他们在哪里活动,他们与谁有关,他们参与了哪些团体,我成了目标。他们对我说,我们会找到写这篇文章的人,并来杀了他们。”研究人员告诉CyberNews。
深入观察暗网有其好处。一旦您的公司网络访问出现在犯罪论坛上,最好迅速采取行动。一旦勒索软件集团掌握了这个漏洞,要防止漏洞发生可能就太晚了。
根据我们的对话者的说法,成为网络罪犯从未如此简单。密码专家是唯一设计勒索软件的人的时代已经一去不复返了。毫无顾忌,有犯罪心理,再加上几百块钱,是尝试在暗网开始职业生涯所需要的全部。
我们打了一个电话,讨论网络犯罪分子多年来发展的支持系统,对黑客的误解,以及我们应该如何看待这一切。
在对话之前,我们已同意不提及您的姓名或任何其他标识符。这是为什么?你的工作有哪些危险? 在我们的工作中,匿名是无价的。没有人知道谁在现实生活中是谁,每个人都被化名和代理所隐藏。我不想引起别人的注意,无论是在外面还是在现实世界。几年前,当我积极追捕在这一领域相当深入的几个犯罪威胁者和团体时,我变得更加认真了。
我一直在追捕一个特定的犯罪分子,试图弄清楚他们在哪里经营,他们与谁有关,他们隶属于什么团体。我成了目标。他们转向我说:“我们会找到写这篇文章的人,然后杀了他们,摧毁他们。”
起初,我并没有太当真,但是我的一个亲密且人脉广泛的朋友告诉我,写这封信的人是认真的,他情绪不稳定,执意要发现我的身份。我的朋友建议我改变我的实际位置并搬家。
我突然意识到这很严重,我有孩子要考虑和保护。那次经历让我非常意识到我们工作环境的严重性。我们在这里有点像在狂野的西部地区,很难区分什么是真实的,什么是虚构的。
这听起来很不祥。我的意思是,身体伤害的威胁一定非常令人痛苦。
这是精神上的消耗。虽然大多数用户可能永远不会采取行动,但暗网中也有很多心理不稳定的人。它变成了一种游戏,就像拖钓一样,一种一个人认真打算摧毁另一个人的痴迷。
让我们换个角度,看看你的事业给你带来的启示。最近,有很多人在谈论支持暗网生态系统。作为一个直接关注黑暗中心的人,你认为这个生态系统是否像它被描述的那样重要? 是的,这很关键。看看勒索软件即服务(RaaS)。第一代和第二代勒索软件是由非常聪明的恶意软件开发人员、密码学家和加密专家开发的。如果您想给他们贴上标签,那么设计和使用此类软件的人是一些最复杂的恶意软件开发人员或周围的“精英”黑客。
但是通过RaaS附属模式,他们让其他人有机会以每年几百美元的价格“租用”勒索软件,这取决于他们使用的压力。任何有兴趣涉足勒索软件业务的人都可以进入市场,而无需具备任何关于如何对网络进行企业级攻击的先验知识或专业知识。
一些团伙,如Lockbit2.0几乎完全自动化,他们的附属机构不需要对他们正在做的事情有丝毫的了解。您只需按一下,即插即用。识别受害者,将其放到网络上,剩下的就交给他们了。
生态系统的另一个方面是网络访问。勒索软件会锁定网络,但不给附属机构直接访问权。与RaaS一起运行的最大的生态系统被称为IAB或初始访问经纪人。这些经纪人为突破网络提供便利,要么是网络漏洞,要么是泄露的凭证,让人可以访问服务器。这可能是一个简单的开放服务器,或端口,或管理账户。
RaaS附属机构并不总是认识在他们想要入侵的公司工作的人。这就是为什么他们需要IAB。一些RaaS组织正在从他们的受害者网络中招募员工,例如内部威胁。还有一个顾问网络,为受害者谈判提供支持并协调受害者的付款。
此外,许多这些暗网犯罪分子并不是最具社会意识的人。他们不一定知道如何与世界之外的人互动。他们中有一半人的母语不是英语。他们甚至雇佣了一些客户服务代表类型的顾问,与高价值的受害者互动,让他们尽可能多地支付赎金并完成交易。
我最近进行了这项研究,显示生态系统内的一些人并不完全知道他们在帮助犯罪团伙。你对此有什么看法?你认为人们是否有可能不知道他们把自己放在什么地方? 有一小部分暗网用户是超级智能用户。这些人吃喝拉撒睡都是科技,他们热衷于构建代码和解决难题。我和他们交流过,他们的天赋超群。
他们是我所遇到过的最聪明的人之一。在这种智慧中,他们也略显天真,对他们建立的任何东西被用于犯罪的可能性视而不见。
但大多数在暗网论坛上编写恶意软件并与这些玩家互动的人并不傻。他们知道你要么是执法人员,要么是罪犯。他们敏锐地意识到,他们提供的服务或信息将被用于某些犯罪活动或打击犯罪活动。
在Colonial Pipeline和JBS黑客攻击之后,有一些遏制生态系统的尝试,一些论坛禁止讨论勒索软件。你有没有注意到这些禁令以某种方式实现了? 是的,在某种程度上。来自RaaS团伙的帖子已经消失了,这些团伙曾经宣传他们有一种新的勒索软件毒株并正在寻找合作伙伴和目标。但这并不能阻止对话的发生。你只需要知道现在的语言是什么。
我不是在谈论口语,而是代码。是的,信息在某种程度上受到审查,但这并不意味着讨论没有发生。犯罪集团也迁移到Telegram和其他交流渠道。这些对话的其他场所不一定有那么严格的审核,也不一定有那么多的执法力量。
总的来说,围绕勒索软件和网络犯罪有很多神秘主义色彩。您是否注意到一般人群对网络犯罪分子的一些误解? 最常见的误解是,在一个昏暗的房间里,满是戴着头罩的黑客,在黑屏和绿色文本的显示器前。这是不可能的。对于勒索软件,它实际上是即插即用的那种东西。他们在Windows上运行这些脚本,并使用图形用户界面。它不像“黑客帝国”那样看起来很酷。
另一方面是有些人认为攻击是随机的,纯粹是为了经济利益。我们内心产生了这种程度的恐惧,这让我们怀疑自己是否是下一个。但实际上,攻击更具针对性,尤其是像Colonial和Kaseya这样的攻击。
当然,许多附属机构只是想利用受害者,抓住机会,尽可能多地打击目标,获得尽可能多的加密货币,然后消失。但有一小部分人更值得关注。
我认为美国政府、情报界、国际执法界都在关注这里有什么更大的戏。我们所忽略的更大的故事是什么?它是间谍活动吗?它是对基础设施的控制吗?这一切的下一个方向是什么?这也是误解之一,因为人们常常认为这完全是随机的,而实际上不是这样。 这些暗网威胁者中的一些人只是为了获得权力。他们喜欢被恐惧,他们也喜欢快速赚钱。在黑暗网络中,有很多犯罪分子都有这种简单的动机。
但它还有另一个组成部分,特别是对于那些规模较大的团伙来说,其运作的复杂程度与民族国家一致。他们工作的复杂程度表明,他们所服务的主人比简单的金钱更重要。
如果你现在列出所有不同的活跃的RaaS团伙,你可以将业余者与那些有更重要的目标有关的人区分开来,如关键基础设施。这可能是间谍活动和网络恐怖主义。这是比你们这些人甚至包住脑袋的任何东西都要大的东西。
新的研究表明,随着消息应用程序作为暗网的替代品出现,Telegram已成为网络犯罪分子寻求购买、出售和共享被盗数据和黑客工具的中心,也是暗网中犯罪分子交流最常用的聊天软件。
Telegram于2013年推出,允许用户通过“频道”向关注者广播消息,或创建其他人可以轻松访问的公共和私人群组。用户还可以直接通过应用程序发送和接收大型数据文件,包括文本和压缩文件。根据SensorTower的数据,该平台表示其拥有超过5亿活跃用户,8月份下载量突破10亿次。
网络犯罪分子多年来一直在使用Telegram,因为它是加密的,容易访问。根据《金融时报》和网络情报组织Cyberint最近进行的一项调查,最近“网络犯罪分子对Telegram的使用增加了100%以上”。英国《金融时报》表示,在WhatsApp的隐私政策发生变化后,用户纷纷涌向该应用程序后,该应用程序上的犯罪活动有所增加。
如果你还记得,今年早些时候,WhatsApp要求其用户接受一项修订后的政策,允许其与母公司Facebook共享数据。用户感到愤怒,WhatsApp不得不澄清,它仍然不能阅读他们的私人通信。即便如此,人们还是迁移到了提供类似安全信息功能的竞争对手那里–对于Telegram来说,这显然导致了通过该应用进行的犯罪活动的增加。
根据调查人员的说法,有一个不断膨胀的黑客网络,他们在拥有数万名用户的频道中分享和出售数据泄露。据报道,在过去一年中,“Email:pass”和“Combo”在该应用程序中被提及的次数增加了四倍。该应用程序上流传的一些数据转储包含30万至60万个游戏和电子邮件服务的电子邮件和密码组合。网络犯罪分子还通过该应用程序出售金融信息,如信用卡号码、护照副本和黑客工具。
vpnMentor发布报告称,Telegram上流传的数据转储来自Facebook、营销软件提供商Click.org和约会网站Meet Mindful等公司之前的黑客攻击和数据泄露。大多数数据泄露和黑客攻击似乎只有在暗网上出售后才会在Telegram上共享,或者黑客未能找到买家并决定公开或共享信息。
Cyberint的网络威胁分析师 Tal Samra表示,网络犯罪分子从暗网过渡到Telegram的部分原因是该加密聊天工具提供了匿名性。但他指出,其中许多团体也是公开的。暗网论坛内部共享的Telegram群组或频道的链接从前一年的172,035个跃升至2021年的100万个以上。
Samra解释说:”Telegram的加密信息服务在进行欺诈活动和出售被盗数据的网络犯罪分子中越来越受欢迎……因为它比暗网使用起来更方便”。萨姆拉说,除了比暗网更方便之外,Telegram也不太可能被警方监控。
在《金融时报》通知该公司后,Telegram已经删除了出售带有电子邮件和密码组合的大量数据集的渠道。在一份声明中,Telegram还表示,它“有删除未经同意分享的个人数据的政策”,并且它有一支“不断壮大的专业版主队伍”,每天删除1万个违反其服务条款的公共社区。今年早些时候,在美国国会大厦遭到袭击后,这些版主不得不监控数百个频道,以留意暴力的呼声。
没有银行密码,没有有信用评分,暗网仍然充斥着数百万儿童的个人信息。
正在进行的勒索软件攻击浪潮已经使公司和机构损失了数十亿美元,并暴露了从医院病人到警察的个人信息。它还席卷了学区,这意味着成千上万所学校的文件目前在这些黑客的网站上可见。
NBC新闻从这些网站收集并分析了学校档案,发现其中充斥着儿童的个人信息。根据网络安全公司Emsisoft的勒索软件分析师布雷特·卡洛(Brett Callow)向NBC新闻提供的统计数据,2021年,勒索软件团伙发布了来自1,200多所美国K-12学校的数据。
一些被泄密事件关联的学校似乎没有意识到这个问题。即使学校在受到攻击后能够恢复运作,当他们孩子的信息被泄露时,家长也没有什么办法。
有些数据是个人数据,例如医疗状况或家庭财务状况。其他数据,如社会安全号码或生日,是他们身份的永久永久标志,它们的失窃可能会让孩子一生遭受潜在的身份盗窃。
致力于帮助学校抵御网络威胁的非营利组织K12安全信息交流中心主任道格-莱文(Doug Levin)说,与许多私营企业相比,公立学校系统在保护学生的数据免受专门的犯罪黑客攻击方面的装备甚至更差。
“我认为现在很明显,他们没有对如何确保数据安全给予足够的重视,而且我认为每个人都对暴露后该怎么做束手无策。”莱文说。“而且我认为人们并不能很好地掌握这种曝光面有多大。”
日益严重的问题 专家说,十多年来,学校一直是黑客的一个常规目标,他们贩卖人们的数据,通常将其捆绑并出售给身份窃贼。但从来没有明确的法律规定,学校在发生黑客窃取学生信息事件后该如何处理。
最近勒索软件的增加加剧了这个问题,因为如果他们不付款,这些黑客通常会在他们的网站上发布受害者的文件。虽然普通人可能不知道在哪里可以找到此类站点,但犯罪分子可以轻松找到它们。
诈骗者在信息发布后可以迅速采取行动。今年2月,俄亥俄州托莱多公立学校遭到勒索软件黑客攻击,黑客在网上公布了学生的姓名和社会安全号码,一位家长告诉托莱多的WTVG电视台,拥有这些信息的人已经开始试图以他上小学的儿子的名义办理信用卡和汽车贷款了。
去年12月,当黑客闯入德克萨斯州南部边境附近的Weslaco独立学区时,工作人员迅速采取行动,向超过48,000名家长和监护人发出警报。他们听从了FBI的建议,不向黑客付款,并从他们为此类紧急情况保留的备份中恢复了他们的系统。
但是,由于Weslaco决定不付款,黑客们将他们窃取的文件泄露在他们的网站上。一个仍然发布在网上的是一个名为“学生基本信息”的Excel电子表格,其中列出了大约16,000名学生,大约是Weslaco20所学校去年学生人数的总和。它按姓名列出学生,包括他们的出生日期、种族、社会安全号码和性别的条目,以及他们是否是移民、无家可归者、被标记为经济困难者和是否被标记为潜在的阅读障碍者。
该学区的技术执行董事卡洛斯·马丁内斯(Carlos Martinez)表示,该学区的网络保险为员工提供免费信用监控服务。但是,对于信息由学校存储并被黑客暴露的儿童的保护更加模糊。马丁内斯说,九个月后,韦斯拉科学区仍在想办法为信息泄露的学生做些什么,如果有的话。
“我们现在有律师正在研究这个问题。”他说。
影响不明确 勒索软件黑客主要受利润驱动,并倾向于寻找存在机会的目标。这意味着他们在网上发布的信息通常是他们能够窃取的零散文件的大杂烩,甚至学校自己也可能不知道被窃取和暴露的内容。
由于许多学校根本不知道存储在所有计算机上的所有信息,因此他们可能没有意识到黑客窃取的程度,这一事实使问题更加严重。当达拉斯地区的兰开斯特独立学区在6月份遭到勒索软件攻击时,它提醒家长,但告诉他们学校的调查“尚未确认对员工或学生信息有任何影响”,该学校的通讯主管金伯利·辛普森(Kimberly Simpson)在一封电子邮件中说。
但NBC新闻对从该黑客事件中泄露的文件的调查发现,2018年的一项审计报告列出了按年级和学校排列的6,000多名学生信息,以及是否有资格获得免费或减价餐。辛普森没有回应关于该审计的评论请求。
有时,学生的数据被泄露是因为第三方持有这些数据。今年5月,黑客公布了他们从阿波罗职业中心盗取的文件,该中心是俄亥俄州西北部的一所职业学校,与11所地区高中合作。这些文件包括数百名高中生上一学年的成绩单,这些成绩单目前都是可见的。
Apollo的发言人Allison Overholt在一封电子邮件中表示,该组织仍在努力通知信息被泄露的学生。
她说:“我们知道这起事件并正在调查,我们正在向学生和其他涉及信息的个人提供通知,并将尽快完成通知。”
莱文说:“学校和社区往往会存储大量关于儿童的数据,而且他们通常没有钱支付专门的网络安全专家或服务的费用。”
他说:“学校收集了大量关于学生的敏感数据,其中一些是关于其学生的。有些是关于他们的医疗史。它可能与执法部门有关。它可能与破碎的家庭有关。学校照顾孩子是一项庄严的责任,所以他们收集了很多数据。”
采取行动 家长们很快就了解到,解决这些问题可能会落在他们身上。学校甚至可能不知道他们是否被黑客入侵,或者这些黑客是否在暗网上发布了学生的信息。莱文说,关于学生信息的联邦和州法律通常没有明确指导如果学校被黑客入侵该怎么办。
这使得父母和孩子几乎无能为力来保护自己免受犯罪分子访问他们的个人信息并使用它以他们的名义进行身份盗窃或欺诈的可能性。帮助数据盗窃受害者的非营利组织身份盗窃资源中心(Identity Theft Resource Center)的总裁伊娃·贝拉斯克斯(Eva Velasquez)表示,他们能做的最重要的一件事就是在他们还未成年时冻结他们的信用。
“我们应该相信,在大多数情况下,我们所有的数据都被泄露了。”Velasquez说,”自2005年以来,我们一直在处理数据泄露的问题,它们绝对是无处不在的,你没有收到通知并不意味着它没有发生。”
冻结孩子的信用可能很耗时,要有效地做到这一点,需要在所有三个主要的信用监测服务机构,即Experian、Equifax和TransUnion完成这一过程。但这已成为数字安全的一个重要步骤,Velasquez说。
“我们鼓励父母冻结孩子的信用,”她说,“从身份盗窃的角度来看,这是消费者可以采取的最有力、最积极的步骤之一,以最大限度地降低风险。它适用于儿童,而且是免费的。”
路透社近日发表报道称,根据区块链数据平台Chainalysis周二发布的一份报告,在2019年4月至2021年6月期间,中国加密虚拟货币地址向与诈骗和暗网操作等非法活动有关的地址发送了价值超过22亿美元的虚拟货币。
它补充说,这些地址也从非法来源获得了20亿美元的加密虚拟货币,使中国成为虚拟货币相关犯罪的大国。该报告分析了中国政府打击下的虚拟货币活动。
然而,Chainalysis说,就绝对值和相对于其他国家而言,中国与非法地址的交易量在这两年内急剧下降了。它指出,最大的原因是没有大规模的庞氏骗局,如2019年涉及加密货币钱包和交易所PlusToken的骗局,该骗局起源于中国。
用户和客户在PlusToken骗局中估计损失了30亿至40亿美元。
Chainalysis的报告说,中国绝大多数加密虚拟货币的非法资金流动都与骗局有关,尽管这种情况也有所下降。
Chainalysis全球公共部门首席技术官Gurvais Grigg在给路透社的电子邮件中说:”这很可能是因为PlusToken提高了认识,以及该国家的打击行动。 ” 报告还提到了从中国贩运芬太尼的情况,芬太尼是一种非常有效的麻醉性止痛药,用于治疗严重疼痛或手术后疼痛。
Chainalysis说,洗钱是另一种明显的基于加密虚拟货币的犯罪形式,在中国进行的犯罪比例过大。
大多数基于加密货币的洗钱行为涉及主流数字货币交易所,通常是通过场外进行交易,其业务是建立在这些平台之上的。
Chainalysis指出,中国正在对促进这种场外非法交易活动的企业和个人采取行动。它引用了中国几家OTC企业的创始人赵东的例子,他在去年被捕后于5月承认了洗钱指控。
略高于3000美元–这就是被盗企业网络凭证在暗网上的价格。虽然个人凭证的确切价格可能取决于几个因素,比如他们的企业有多少收入,我们曾见过特别有价值的企业的登录信息被拍卖出12万美元的高价。虽然一次成功的勒索软件攻击能够让网络犯罪分子获得近10倍的赎金,但相比贵重的凭证而言这个钱还是值得花的。
对企业来说,不幸的是,企业凭证暴露在暗网中的后果不仅仅限于直接的经济损失。对公司信息的轻松访问也可能导致公司声誉受损、知识产权损失和保险费增加。
随着高级可持续性攻击(APT)的发生率不断上升,这些威胁可以在受感染的企业内网中横向移动,一个员工的凭证就足以让黑客对整个企业造成破坏。
暴露的企业凭证数量继续增加 去年,带有明文密码的企业登录信息在暗网上曝光的数量增加了429%。这种急剧增加的曝光率意味着,一个普通的企业现在可能有17套登录凭证可在暗网上被黑客利用。
不仅仅是网络安全状况不佳的中小型企业看到他们的凭证在黑客论坛上被分享。今年,SpyCloud发现近2600万财富1000强企业账户和5.43亿员工凭证在暗网上流传,比2020年增加了29%。
即使是那些本应处于网络防御前线的网络安全公司也过度暴露在这种威胁之下,令人震惊的是,97% 的网络安全公司的数据在暗网上泄露。
保护企业凭证安全的6种方法 幸运的是,当涉及到它的密码被放到暗网上出售时,企业并不是完全无能为力。以下是每个企业可以而且应该采取的六个步骤,以确保他们的企业凭证保持安全。
一、为所有账户和系统使用唯一的密码
保持任何组织安全的第一步是向员工传达对不同账户和系统使用不同密码的重要性。
几十年来,网络安全专家一直在警告公司必须使用强大、独特的密码。然而,尽管有很多警告,密码重复使用仍然是常见的做法。普通员工可能会重复使用同一个密码约13次。更糟糕的是,29%的被盗密码是弱密码。例如,SpyCloud漏洞暴露报告发现,财富1000强的员工对使用123456789、(公司名称)和password等密码并不陌生。
至少,企业应该禁止使用这些 “坏密码”。看看NordPass的 “2020年最常见的200个密码 “名单,可以更好地了解哪些密码应该在你的组织的禁止密码名单上。
然而,看到工作人员如何管理太多密码以使其成为唯一的密码并仍然记住所有密码,期望员工这样做是不现实的。鼓励员工创建唯一密码的一种方法是让他们访问密码管理器。通过允许员工将密码管理器用于个人用途,您将显着降低他们在不同应用程序中重复使用相同密码的可能性。这种方法变得更加重要,因为73% 的员工在个人和工作帐户中复制了他们的密码。黑客很容易在某一天访问员工的Netflix帐户并在下一天破坏其雇主的公司网络。
二、定期更换所有密码
即使你的员工在密码方面做得很好,你的企业凭证仍然可能出现在暗网上。根据Ponemon研究所的一项调查,53%的公司在过去两年中至少经历了一次因第三方泄露而导致的数据泄露。
定期更换密码(每隔几个月左右)可以帮助确保即使你的企业凭证出现在暗网上,它们也不再“新鲜”,因此对黑客们的用处不大。
三、启用多因素认证
据微软称,大多数账户接管攻击可以通过多因素认证(MFA)来阻止。
MFA 增加了一层额外的保护,使网络犯罪分子更难以其他人身份登录。除非恶意行为者在获得密码的同时还设法访问员工的电话、电子邮件或 USB,否则他们将无法登录其公司帐户或系统。
然而,请记住,MFA,特别是短信MFA,并不是万无一失的。黑客们有工具可以欺骗、拦截和钓鱼短信。
四、为员工提供安全意识培训
员工是任何企业的安全态势中最薄弱的环节。Tessian的一份报告发现,43%的美国和英国员工曾犯过错误,导致他们企业受到网络安全的影响。钓鱼诈骗,包括试图欺骗员工分享企业登录信息的电子邮件,特别常见。
教育员工了解网络威胁以及如何发现这些威胁,对减轻攻击至关重要。然而,为了使培训有效,它需要包含更多的内容,而不仅仅是重复的说教。在上面提到的报告中,43%的受访者表示,看起来合法的电子邮件是他们上当受骗的原因,而41%的员工表示,他们被骗是因为电子邮件看起来像是来自高层。真枪实弹的安全演习可以帮助员工熟悉真实世界的网络钓鱼攻击和其他密码黑客攻击。
安全意识培训还应该让员工了解良好做法的重要性,如在家工作时使用虚拟专用网络(VPN),并使社交媒体账户保密。不鼓励在网上过度分享也同样重要。更多的时候,黑客可以通过滚动浏览某人的社交媒体来获得他们所需要的所有信息,以制作一个有说服力的钓鱼邮件。
五、监控暗网
如果你怀疑你的组织的企业凭据已经暴露在暗网中,你可以运行暗网扫描。有许多工具可以让你这样做,其中许多是免费的。例如,WatchGuard让你免费检查你公司的资产是否处于危险之中。
这就是说,你不应该只搜索一次暗网。数据泄露一直在发生,所以你需要持续监控暗网。为了节省时间,考虑投资暗网监控软件。
暗网监控工具代表你扫描暗网,一旦发现有任何属于你的公司的泄露凭证出售,就会立即通知你。暗网警报应该给你足够的时间,在威胁者将你企业的凭证信息用于恶意目的之前采取行动。
六、无密码
由于80%与黑客有关的入侵事件是由受凭证泄露引起的,因此依赖密码是没有意义的。相反,许多企业正在转向无密码认证。在LastPass最近的一项调查中,92%的企业表示,无密码认证是未来的趋势。
无密码认证更安全的原因是,用户不必输入密码或任何其他记忆中的秘密来登录一个应用程序或IT系统。相反,用户可以根据 “拥有因素”(如硬件令牌或一次性密码发生器)或 “固有因素”(如指纹)来证明自己的身份。
无密码不仅可以加强一个企业的安全性,而且还可以改善用户体验。在其 “无密码的未来报告 “中,Okta发现,几乎50%的用户对密码感到厌烦。此外,约有五分之一的员工因忘记密码而耽误工作,超过三分之一的员工经常被完全锁定在他们的账户之外。不足为奇的是,64%的网络安全专业人士表示,用户体验是他们企业取消密码的原因。
无密码的其他好处包括降低总拥有成本(减少支持票据数量)和提高身份和访问管理的可视性。
暗网是互联网的一个部分,它是隐藏的,只能通过专门的网络浏览器访问。前联邦调查局特工乔纳森-特林布尔(Jonathan Trimble)现在是网络安全公司Bawn的创始人和首席执行官,他登录了一个名为 “洋葱路由器 “的浏览器,即TOR。
“我使用可以安全的计算机,因为进入其中一些黑客网站,下载信息,你不知道会发生什么。这可能是安全的,也可能不是。”他说。
乔纳森-特林布尔,前联邦调查局特工,现在是网络安全公司Bawn的创始人和CEO。 暗网的诱惑在于其匿名性和有利可图的交易。 特林布尔展示了几个多年来越来越受欢迎的市场。犯罪分子宣传各种产品,包括毒品、黑客工具和人们的个人信息。特林布尔说,有的犯罪分子想赚快钱,有的大型犯罪组织像做生意一样建立这些市场来赚取利润。他说,购买的东西都是用比特币进行的,不像信用卡那样可以追踪到人。
“它的范围从信息的完整程度,或信息包的复杂程度。例如,社会安全号码等识别号码可能约为2至3美元。但是,如果您有一个完整的包裹,例如企业、员工识别号、Dun&Bradstreet号,则企业的所有识别信息都会更加昂贵,我看到的是大约70美元。” 特林布尔说。
销售产品或用户信息的网站看起来像任何普通的零售网站,甚至还有一个评论和推荐部分。
“一个用户说不好,或者这个产品对我来说是合法的、成功的。”特林布尔说。”他们是否能信任他们所购买的人或机构,这是一个高度关注的问题。”
根据研究网站Cybersecurity Ventures的数据,全球网络犯罪的经济成本每年都在增长,预计到2025年将达到10.5万亿美元。它说这代表了历史上最大的经济财富转移。
特林布尔说,我们有理由认为,你的信息已经被泄露,或在未来会被泄露。
“作为一个在联邦政府工作了25年的雇员,我假设我的信息已经通过专注于OPM和政府其他地方的不同黑客攻击被窃取。”他说。”倘若这真的落到了我们身上,我们所能做的就是让他们无法利用这些个人信息。因为如果他们有信息,但不能建立一个账户,或者对他们来说太困难,他们就会转移到其他地方。 ” 他建议你持续更新数字软件,监控你的财务活动,并对你在网上下载或点击的内容保持警惕。联邦调查局也有一个建议清单,以减少你的风险。国土安全部下属的网络安全和基础设施安全局也提供有关一般安全、电子邮件通信和威胁的信息。
中国的暗网已经产生了一个由黑客寄居的独特在线生态系统。 东京的研究专家说,中国暗网上的用户交易黑客技巧和其他信息,有助于推动数据盗窃和其他网络犯罪的上升浪潮。
“寻找能够入侵韩国或日本网站的人。如果你没有技术或经验,不需要回复,”一个中国暗网上的帖子说。该请求是由韩国信息安全服务提供商CNsecurity在1月25日发现的。
据CNsecurity报道,该帖子将求职和招聘网站列为目标,包括由东京公司Mynavi和Recruit运营的网站,以及日本的公共就业服务网络,称为Hello Work。
中国的互联网在很多方面都与众不同,部分原因是当局试图将外国信息和平台拒之门外。这催生了一个由黑客寄居的专业网络生态系统。
根据CNsecurity日本代理机构SouthPlume的说法,中国的暗网在两个方面是独特的。首先,中国的黑客们通过当地的社交媒体相互交流,这就形成了一个相当于会员制的组织,与一般的暗网不同,暗网的网站只能通过Tor等匿名浏览器访问。
中国的暗网也缺乏典型的毒品、武器或儿童色情等地下交易的列表。根据SouthPlume的报道,它们主要传播倒卖个人信息和黑客入侵公司网站的技巧。
Mynavi在2月份报告说,在1月17日至2月9日期间,其网站上有超过21万份简历被未经授权的登录,尽管该公司说它还没有证实中国黑客对此负责。
自2017年左右以来,日本的信用卡欺诈行为有所增加。这与访问日本的中国游客激增相吻合,尽管这些趋势之间的任何联系仍然难以证明。
日本保险集团Sompo Holdings旗下的Sompo Risk Management报道了2020年7月的一个帖子,其中一个人自称是一家中国上市公司数据分析部门的负责人,试图交易泄露的数据。
暗网上的信息不断变化,使得事后打击数据泄露变得困难。
Sompo风险管理公司网络安全部门的高级研究员Toru Atsumi说:”有风险意识的企业应对这一问题的唯一方法是他们每个人都采取某种预防措施。”
近期,德国最大的小报《图片报》报道了一起来自俄罗斯对德国银行系统的重大黑客攻击,并将 “来自’Fancy Lazarus’组织的俄罗斯国家黑客 “列为罪魁祸首。如果攻击真的发生了–到目前为止还没有官方确认–像往常一样,即使网络安全专家指责他们,也很难明确地归咎于俄罗斯国家行为者,被称为 “Fancy Lazarus “的网络勒索组织可能俄罗斯、朝鲜等政府有联系。
由于俄罗斯一直否认,美国总统拜登在上个月的峰会上试图为俄罗斯总统弗拉基米尔-普京划定 “红线 “时不得不小心翼翼,他不能直接告诉普京要停止网络攻击。相反,他谈到不要为网络犯罪分子提供庇护–普京试图通过说俄罗斯会考虑向美国移交网络犯罪分子来转移讨论的话题,但要在对等的基础上。作为一个全面的系统,这是一个不可能的事情–理论上只能安排具体的交换。
一方面,俄罗斯国家参与网络攻击的可否认性要强于其在乌克兰的掠夺行为,例如。另一方面,对任何一个了解俄罗斯重要机构的人来说,这似乎都是无稽之谈:一个名为Hydra的暗网交易市场,它可能是世界上最大的,而且不可能存在于其他地方。除了作为一个主要的毒品中介,它还帮助建立了一个非俄罗斯人难以使用的黑客洗钱渠道网络。
据估计,2018年暗网交易市场(Tor等加密和匿名网络上的在线购物网站)的平均寿命约为八个月。它们在骗局的重压下崩溃,或成为执法行动的受害者,有时是由竞争对手促成的。外面是一片森林–而客户和卖家都习惯于迁移到新的场所,暗网中老牌的例外情况极为罕见。
Hydra是一个例外,以结束所有的例外。它开始于2015年,第二年的营业额约为940万美元,在2020年成功增长到14亿美元,目前仍在持续增长。这些数字来自网络安全风险情报公司Flashpoint和加密货币分析公司Chainalysis的一份报告,该报告还估计,Hydra占全球暗网收入的75%以上。
所有这些营业额都是加密货币。Chainalysis认为,来自非法活动的比特币流量份额为1%的一小部分,但是,正如该分析公司在其2021年 “加密货币犯罪报告 “中写道,”首先突出的是俄罗斯从暗网市场资金中获得了不成比例的巨大份额,这主要归功于Hydra。” 这也难怪。在莫斯科和其他俄罗斯城市,Hydra是采购毒品的地方,大部分是由年轻的Kladmen团队作为 “隐藏的宝藏 “分发,他们每月可以赚取数千美元,将订单藏在公园的长椅下,埋在树下,粘在邮箱的底部。
像这样一个庞大而古老的非法市场,必然是一个完整的生态系统。它催生了对洗钱服务的大量需求,这些服务也可以用来使毒品交易以外的其他类型的网络犯罪的收益合法化。 Chainalysis和Flashpoint描述了2018年Hydra的资金处理方式发生的一个重大变化。为了能够从Hydra提取资金,卖家必须通过特定范围的当地供应商将其转换为俄罗斯卢布。这几乎没有让卖家感到高兴,根据该报告,一些毒品卖家现在更喜欢在Hydra之外用现金结算,像毒品 “宝藏 “一样埋藏货币。但是,根据Flashpoint-Chainalysis的报告,对当地服务和卢布的依赖使得通往Hydra的洗钱路径 “很难,几乎不可能追踪”。
当然,这使得Hydra的资金基础设施对各种本地网络犯罪分子很有价值。Chainalysis的 “加密货币犯罪报告 “包含了一个关于俄罗斯场外网络货币经纪商的案例研究,该经纪商自从在(也许是巧合)2018年开始活跃以来,已经收到2.65亿美元的加密货币。这笔钱的很大一部分来自Hydra,但其他资金则来自各种勒索软件和骗局。该场外交易经纪人还帮助客户将其非法获得的比特币转换成现金。
美国司法部表示,它设法追回了今年早些时候支付给攻击瘫痪Colonial Pipeline的黑客的部分赎金–但当比特币被追回时,勒索软件的创造者们已经可以利用Hydra周围的渠道将其转换成卢布,而Hydra的可靠数量正是这些渠道的来源。
在任何关于Hydra的谈话中,它的krysha,或保护,是房间里的大象。普京的俄罗斯越来越成为一个警察国家,大量权力集中在执法机构手中。合法的企业经常被这些机构突袭、扣押或毁掉。然而,Hydra却像没有受到影响,依旧蓬勃发展(即使有,也是少之又少)。它的创造者曾经关注过国际扩张,但似乎已经放弃了,至少是暂时放弃了,显然在俄罗斯感到安全。他们对基于卢布的金融基础设施的完全依赖就是证明。引用Flashpoint和Chainalysis的话。
执法检查和竞争者的诡计到目前为止对Hydra造成影响,这可能只是一个巧合,也可能表明Hydra对摇摆不定的地缘政治和执法努力更有弹性。Hydra在没有重大破坏的情况下运作的时间越长,后一种选择就越现实,区域性的财务激励的利益相关者是唯一合理的解释。
这是一种谨慎的方式,即指称Hydra在俄罗斯机构的最高层有强大的保护者。俄罗斯一再否认与网络攻击有任何官方联系。然而,正如Flashpoint和Chainalysis所指出的,如果没有某种半官方的保护,Hydra现象的规模是不可能的。
俄罗斯很少有具有国际竞争力的科技公司,但有很多工程人才,包括具有冒险精神的那种人才。腐败、尖端技术和地缘政治立场的独特结合,使任何对西方机构的攻击在某种程度上对政府有用,使俄罗斯成为网络犯罪领域的主要参与者。在采用加密货币方面,俄罗斯仅次于乌克兰,它正在建立一种技术能力,其他国家似乎都没有厚颜无耻地发展这种能力。
普京对此能做什么吗?这可能不是一个正确的问题。到目前为止,他没有真正的动机去尝试打击,尤其是如果非法业务对他认识和信任的人来说是透明的,从而在需要的时候可以为国家提供服务。美国的报复性行动的威胁还不够有说服力。随着事态的发展,普京可以让Hydra这样的人担心这个前景。如果他们被击溃,其他人可以取代他们的位置。如果没有弹性,暗网就不会有任何问题。