Amnesty International(国家特赦组织)近期发布了一篇介绍Tor原理的科普文章,被Tor项目等人权组织推荐了,本文将介绍该篇文章。
Amnesty写道,我们在网上的隐私权和信息公开权比以往任何时候都更岌岌可危。许多国家的政府利用间谍软件打击人权捍卫者,封锁所有谈论人权的网站。事实上,生活在俄罗斯、伊朗和朝鲜等国家的人们完全无法访问国家特赦组织的网站,就因为我们敢于直面这些国家侵犯人权的行为。
Amnesty表示,幸运的是,有人正在寻找应对这一威胁的方法。其中包括Tor项目,这是一个非营利组织,致力于开发可帮助用户保持网络安全的技术 。
什么是Tor? Tor是“洋葱路由器”(The Onion Router)的首字母缩写,它的软件让追踪网络用户的上网行为变得异常困难。它就像一个虚拟私人网络(VPN)或私人浏览器,但更加安全。
当用户使用Tor浏览器或基于Tor网络的洋葱服务时,用户在网络活动的信息会通过Tor项目志愿者运行的全球中继网络进行加密。这意味着有多层加密保护用户的隐私,就像洋葱有很多层一样。
Tor浏览器与其他普通浏览器有何不同? 在解释Tor浏览器与其他浏览器的区别之前,应该首先了解一下普通浏览器的基本工作原理。
Chrome、Safari或Firefox等普通浏览器使用DNS(域名系统)搜索网站。DNS使用分布式系统网络来定位用户需要访问的网站所在的Web服务器。然后,用户的设备将直接连接到该网络服务器。该网络服务器和你用来连接该服务器的互联网路由器都掌握用户自身的IP地址,因为这是它们需要知道将内容发送到哪里。
这类似于我们通过邮寄发送实体信件的方式。您的信件要经过一系列邮局才能最终到达目的地。就像信件上有寄信人地址一样,您的IP地址也包含在所传递的信息中。
这就是隐私成为问题的地方。当一个普通人浏览网页时,他会在互联网上留下他的IP地址痕迹,这样就有可能在别人不知情的情况下追踪到他的网上活动。
使用Tor浏览器会在将任何信息发送到用户正在访问的网站之前通过多层加密和Tor网络中继点来隐藏用户的真实IP地址,从而使浏览更加安全、更加私密。
什么是洋葱域名? 使用Tor可以建立的最安全、最私密的连接是与在洋葱域名(.onion)上发布的网站建立的连接。这些网站在Tor网络内部创建,并进行端到端加密,这意味着离开Tor网络后,任何信息都不会通过公共互联网传递。
根据官方公告,2023年起,Amnesty已经开始在.onion域名上发布他们的研究和活动,使他们的支持者能够在不损害隐私的情况下更好地访问人权信息。
虽然Tor浏览器是避免上网的时候共享IP地址的好方法,但使用正常的互联网基础设施仍然存在风险。即使用户的IP 地址已经被隐藏了,但是网络也很有可能知道其正在使用Tor,这可能会带来额外的挑战。为了应对这种情况,Tor还提供了更多的网络桥梁,使任何监视用户的互联网流量的人更难确定该用户正在使用Tor。
如何使用Tor? Amnesty介绍道,用户可以通过下载Tor浏览器来访问Tor网络,其工作方式与其他浏览器相同,只是它连接到了Tor网络,可以打开.onion后缀的域名。
Tor如何帮助促进人权? Amnesty最后说,我们都有隐私权。这项权利在世界各地的法律中都有详细记载,包括《世界人权宣言》。然而,我们仍然能够看到有国家使用监控系统来追踪互联网浏览和消息应用程序的使用的报道。
有的政府还使用高度侵入性的间谍软件和有针对性的监视系统来监视那些反对他们的人。这些风险不仅影响最直言不讳的人权捍卫者。2021年,飞马计划(Pegasus)项目揭露了监控公司 NSO Group 的间谍软件被用来代表政府客户攻击多达5万部手机的真相。
Amnesty与全球一起呼吁结束这种侵入性和系统性的监视,但他们知道这些计划仍然是一个严重的威胁。这就是为什么像Tor这样的举措对于对抗当今的互联网监控危害如此重要。Tor提供了一条通往网络的替代路径,让人们可以从开放和自由的信息中获益,而不必被迫泄露自己的隐私。
卡巴斯基数字足迹情报服务近日发布的一份报告发现,在2023年,有近3000个暗网帖子在讨论如何使用ChatGPT和其他大型语言模型(LLM)进行非法活动。
这些讨论包括创建聊天机器人的恶意替代品、越狱(突破语言设置的恶意使用限制)技术、恶意提示列表以及有关如何滥用这些工具的其他一般对话,以及讨论可访问ChatGPT付费版本的被盗帐户的帖子。
主要见解 卡巴斯基的数字足迹情报服务在2023年发现了近3000个暗网帖子,讨论涉及ChatGPT和其他大型语言模型(LLM)的非法活动。
其中包括创建恶意版本、越狱技术、有害提示列表以及有关被盗帐户的讨论。
暗网上的威胁参与者积极分享有关利用ChatGPT的知识,讨论创建恶意软件、使用人工智能处理用户数据转储以及共享越狱以绕过内容审核策略等主题。
研究还发现,围绕WormGPT、XXXGPT和FraudGPT等工具进行了大量讨论,这些工具被作为ChatGPT的替代品销售,限制较少。
卡巴斯基的研究发布前不久,OpenAI暂停了一名开发者的资格,原因是他创建了一个模仿美国国会议员迪恩·飞利浦(DeanPhilips)的聊天机器人。该组织表示,这一行为违反了其关于政治竞选或未经同意冒充个人的规则。
ChatGPT如何被利用?主要发现 虽然企业和消费者将ChatGPT作为改善日常生活的工具,但威胁行为者正在尝试利用它来攻击毫无戒心的个人和组织。
在随附的研究博客上分享的一系列帖子中,可以看到暗网用户讨论如何使用GPT创建可以修改其代码的多态恶意软件,以及如何使用人工智能(AI)处理用户数据转储。
另一位用户分享了著名的ChatGPT的“Do Anything Now“(DAN)越狱,旨在绕过OpenAI的内容审核政策。研究发现,在2023年,暗网上有249项分发和销售提示信息的提议。
总的来说,这些发现不仅凸显了ChatGPT可能被滥用,而且还表明网络犯罪分子正在积极分享如何利用它的知识。正如一位匿名用户评论的那样,“AI帮了我很多,GPT-4是我最好的朋友。”
卡巴斯基数字足迹分析师阿丽萨·库利申科(Alisa Kulishenko)表示:“威胁行为者正在积极探索实施ChatGPT和人工智能的各种方案。”
“主题通常包括恶意软件的开发和其他类型的非法使用语言模型,例如处理被盗用户数据、解析受感染设备中的文件等。
“人工智能工具的普及导致ChatGPT或其同类工具的自动响应被集成到一些网络犯罪论坛中。”
“此外,威胁行为者倾向于通过各种暗网渠道分享越狱信息(可以解锁附加功能的特殊提示集),并设计出利用基于模型的合法工具的方法,例如基于恶意目的模型的渗透测试工具。”
到目前为止有什么风险? 虽然库里申科认为“生成式人工智能和聊天机器人不太可能彻底改变攻击格局”,但这项研究表明,威胁行为者对利用这项技术达到自己的目的产生了浓厚的兴趣。
到目前为止,生成式技术最大的风险似乎来自于他们创建网络钓鱼电子邮件的能力。例如,网络安全供应商SlashNext于2023年11月发布的一项研究发现,自2022年第四季度ChatGPT发布以来,恶意网络钓鱼电子邮件增加了1265%。
尽管OpenAI等供应商已尝试使用内容审核策略来阻止ChatGPT产生恶意输出,但事实证明这些策略不足以防止滥用,而且很容易通过越狱和其他技术来规避。
简要测试下ChatGPT的内容审核功能,要求ChatGPT生成一封网络钓鱼电子邮件,“作为网络钓鱼防范意识计划的一部分”,通过该电子邮件可以说服收件人更新其在线帐户支付详细信息,聊天机器人对此做出了回应,生成了一封基本的钓鱼邮件。
现实情况是,如果有人想恶意使用LLM,他们有很多变通办法可以做到这一点。
底线 该研究强调,暗网正热衷于使用人工智能来自动化网络攻击。尽管不必惊慌,但必须认识到网络犯罪有可能增加。
如果黑客论坛和其他地下社区继续就如何恶意使用这项技术进行合作,网络犯罪将不可避免地增加。
如今,人工智能初创公司已超过67000家,谁知道这条崎岖的道路将会把人类带向何方?
暗网常常笼罩在神秘和阴谋之中,是传统搜索引擎无法触及的互联网领域。有许多好奇的不明真相的吃瓜群众想知道进入暗网的方法,想知道访问暗网违法吗还是不违法,想知道暗网里有什么,想知道暗网可怕不可怕,想知道暗网是不是有红房子那些恐怖视频。虽然暗网确实因为容纳了非法活动而臭名昭著、声名狼藉,但它也包含有价值的信息和资源,对从事网络安全研究、威胁情报调查的专业人士来说是非常有益的。
本文“暗网下/AWX”将分享2024年访问暗网新手入门的方法,讲述如何以专业和合法的角度进入暗网、访问暗网、监控暗网、收集信息的全面指南教程。
了解暗网 在深入研究暗网搜索的复杂性之前,了解其结构至关重要。互联网包括三层:表网、深网和暗网。
表网:这是由谷歌、必应、百度等搜索引擎索引并可供公众访问的互联网部分。
深网:深网包括未由搜索引擎索引的网站和数据库。这些通常受密码保护或位于付费模块后面,例如网上银行或电子邮件帐户。
暗网:暗网是一个隐藏的网站组成的网络,只能使用专门的软件(例如 Tor洋葱代理)访问,或者使用Tor浏览器、Brave浏览器直接访问。它的目的是隐藏用户和主机的身份。虽然暗网以非法市场著称,但也包括合法网站和论坛。
法律提醒 “暗网下/AWX”郑重提醒,访问暗网需要对法律行为做出坚定的承诺,必须严格遵守法律和道德界限。以下是一些重要的考虑因素:
合法合规。 确保您的活动在法律范围内。严禁从事任何违法犯罪活动,如购买非法商品。
使用加密。访问暗网时,请始终使用Tor浏览器等加密工具来保护您的身份并保持匿名。
确保安全。核实所发现信息的合法性。错误信息、恶意软件、各类骗局在暗网上十分普遍。
访问暗网 首先下载各个版本的Tor浏览器,这是一款免费的开源软件,可让您在隐藏IP地址的同时访问暗网。不管在哪里,一般都需要将虚拟专用网络(VPN)与Tor浏览器结合使用。
PC电脑桌面端访问暗网 必须先具备访问外网的条件,如果在境内,必须先FanQiang,才能访问Tor官方网站。下载Tor浏览器(PC桌面版),直接访问Tor项目官方网站的下载页面:
https://www.torproject.org/zh-CN/download/
Android安卓手机访问暗网 必须先具备访问外网的条件,如果在境内,必须先FanQiang才能访问。以下两个方法都可以用来下载安卓版本的Tor浏览器。
通过Google Play Store下载,在谷歌商店Play Store搜索“Tor Browser”。如果你的Android手机可以使用”Play Store“,最好就用这种方式安装。 通过Tor浏览器的官方网站下载。访问https://www.torproject.org/zh-CN/download/#android,在官方网站页面里,根据手机CPU架构选择对应的apk文件,下载并把它传输到手机上面点击安装。 IOS苹果手机访问暗网 Tor项目官方没有发布IOS版本的Tor浏览器,能够在IOS系统上面运行的、具有Tor浏览器功能的浏览器是Onion Browser,它由第三方团队开发和维护,Tor官方也在官网推荐使用该浏览器,该浏览器只能在非大陆区下载。请注意,如果没有定制的网桥,使用该浏览器之前,苹果手机必须使用境外流量卡或者已经连接具备外网访问条件(路由器带Fanqiang功能)的WIFI,否则无法访问。
在苹果手机的App Store(切换到港区或者美区)搜索两个应用,一是下载“Onion Browser”,开发者名称是“Mike Tigas”;二是下载“Orbot“,开发者名称是 “The Tor Project”。 Onion Browser浏览器依赖Orbot来连接到Tor网络。Orbot是由Tor官方开发和维护的手机VPN软件。 请注意,由于Orbot自身就是VPN软件,如果已经在手机系统使用了其他VPN软件,Orbot将无法使用。 Orbot默认网桥在境内无法连接,如果需要在不具备外网访问条件的状况下连接,需要使用自定义网桥。 暗网网站 搜索引擎。DuckDuckGo、Torch和notEvil等暗网搜索引擎可用于查找特定网站和内容。这些搜索引擎可以搜索暗网独有的 .onion 域名。
暗网导航。暗网导航就像隐藏服务的黄页,它们列出了暗网网站及其类别,使您可以更轻松地找到所需内容。著名的导航包括Onion666暗网导航、Dark.fail、Tor.taxi。
论坛社区。暗网拥有众多涵盖广泛主题的论坛、讨论区和社区。其中一些可能是有价值的信息来源。但是,请务必谨慎行事,因为许多论坛都与非法活动有关。如果您决定加入暗网论坛或社区,请避免透露个人信息或参与可能危及您安全的讨论,通常使用匿名。
文件共享。暗网上的文件共享服务可能包含丰富的数据,包括文件、报告和档案。研究人员和调查人员可能会对其中一些文件感兴趣。
暗网市场。非法的暗网交易市场在暗网上盛行,并一直在“退出骗局”收割用户,但也存在销售合法产品和服务的合法市场。其中包括技术解决方案、电子书等。目前暗网上最大的中文暗网交易市场应该是”长安不夜城“。
举报平台。暗网是各种举报平台的所在地,个人可以在其中提交敏感信息,同时保护自己的匿名性。其中最著名的是SecureDrop,媒体机构使用它来接收机密信息。
隐藏维基。类似于导航网站,隐藏wiki是提供各种.onion站点链接的目录,使暗网网站更容易访问。它们通常包括新闻、论坛等部分。
科学研究。一些科学界利用暗网分享研究和发现,但不透露自己的身份,特别是在审查严格的地区。
专业应用 威胁情报。网络安全专业人员可以监控暗网论坛和市场,以获取与新出现的威胁和漏洞相关的信息。
暗网调查。执法机构可能会使用暗网收集与违法犯罪活动有关的证据。
数据泄露监控。暗网里有许多泄露的数据,暗网里也有社工库,除了安全公司要监控暗网外,企业也可以在暗网搜索被盗数据(例如登录凭据),并采取措施保护其系统。
结论 对于各领域的专业人士来说,搜索暗网收集信息是一种有价值的工具。但是,保持道德操守、尊重法律界限以及使用加密和匿名工具来保护自己的身份至关重要。
暗网仍然是非法活动和宝贵资源共存的领域,因此必须谨慎和专业地对待它。作为专业人士,我们有责任确保我们获得的知识用于合法和道德的目的,为更安全的网络安全环境做出贡献。
北美因吸毒过量死亡的人数急剧上升,这主要是由于非法制造的芬太尼的蔓延。在一项新研究中,研究人员分析了暗网上一个早期且著名的芬太尼销售团伙。该团伙保持了显著的增长速度,这使其能够为消费者提供大幅折扣。根据这些研究成果,作者得出的结论是,通过打击个别团伙来限制供应可能具有挑战性,因为剩余的团伙可能会迅速发展以填补未满足的需求。
这项研究是由卡内基梅隆大学、亚利桑那大学图森分校和马里兰大学学院帕克分校的研究人员进行的。该研究发表在《全球犯罪杂志》上。
“互联网毒品销售有可能变得更加普遍,”领导这项研究的卡内基梅隆海因茨学院运筹学和公共政策教授乔纳森·考尔金斯 (Jonathan P. Caulkins) 解释道,“这就提出了一个问题,即它们与传统的面对面分发系统有何不同;为了回答这个问题,我们研究了该团伙的运作方式、盈利能力以及漏洞所在。”
研究人员首次使用详细的定性数据和大规模交易层面的数据,分析了通过AlphaBay售出的5500多笔毒品交易,涉及87万多件商品,交易额约为280万美元;AlphaBay市场从2014年运营到2017年,被认为是最大的暗网市场,拥有20多万用户。
暗网交易市场与eBay和亚马逊等合法互联网市场一样,允许供应商和买家用货币兑换商品,订单主要通过与包裹递送服务签订合同来履行。然而,暗网市场(也称为加密市场)通常涉及使用加密货币,提供匿名性。
这项研究重点关注一家位于犹他州的著名团伙,该团伙主要制造含有芬太尼的假冒处方药,并通过美国邮政进行分销。研究人员对该团伙特别感兴趣,因为它允许研究人员获取卖家层面的数据,从而深入了解团伙战略。该研究还分析了与起诉该团伙相关的法庭文件。该团伙至少在2015年7月至2016年11月期间运营,作为供应商,使用店面名称是Pharma-Master。Pharma-Master销售的大部分产品都是假冒的羟考酮药丸,其中含有芬太尼,但不含羟考酮。
研究发现,Pharma-Master的销售额每周保持约15%的增长率。将订单量提高10倍后,该团伙销售的羟考酮和赞安诺(Xanax)的单价分别降低了约25%和50%。当在分销链中进一步销售时,这些大幅的数量折扣导致价格大幅增加。
作者认为,贩毒团伙的高增长率和高加价率使得执法部门很难迅速取缔贩毒团伙,以防止其他团伙扩大规模来满足消费者的需求。他们还得出以下结论:
通过互联网毒品市场(暗网毒品市场)销售毒品的贩毒团伙可能与合法公司具有相同的特征(例如,它们是定期生产并向客户销售产品的营利实体,其员工具有专门的角色,所有权与工人分开运作),但与在传统毒品市场销售毒品的贩毒团伙不同(例如,它们可能从朋友和熟人的内部圈子招募员工,这些人没有犯罪前科或与毒品分销没有联系)。 网络贩毒能够迅速扩张,部分原因是他们不受地域限制。 网络销售之所以可以盈利,因为成本低廉,并且能够在多个市场层面接触到许多客户,而不必进行有风险的面谈。 在该研究的局限性中,作者指出,他们不确定他们分析的数据中代表了Pharma-Master销售额的比例,因此这些数据可能仅占该团伙所有实际交易的四分之一到一半左右。此外,Pharma-Master可能并不典型:大多数在线供应商规模较小且寿命较短。最后,自 2016 年以来市场状况发生了变化,大多数芬太尼现在从墨西哥进入美国,而不是直接从中国进入。
“Pharma-Master只是一个贩毒团伙,虽然它是一个成功的团伙,但它的寿命并不长,”Philippe C. Schicker指出,他在卡内基梅隆大学海因茨学院攻读公共政策和数据分析硕士学位时与他人共同撰写了这份研究报告。
“但研究这个贩毒团伙仍然具有重要价值,因为它促成了含有芬太尼的假冒处方药制造的早期兴起,多年来芬太尼一直是美国和加拿大药物过量死亡的主要原因。”
中美关系与芬太尼 芬太尼是一种合成阿片类药物,毒性比海洛因强50倍,而且越来越多地与其他非法药物混合使用,往往造成致命后果。
美国缉毒署表示,墨西哥贩毒集团对芬太尼的出口负有主要责任,而这些贩毒集团通常使用中国的原料来制造芬太尼。
在2023年的中美首脑峰会上,中国国家主席习近平与美国总统拜登达成协议,将合作打击毒品贩运。中国同意打击化学品公司,以阻止非法芬太尼流入美国。
2023年底,“数世咨询”公众号发布了《2023年数据泄露态势报告》,该报告称基于零零信安0.zone安全开源情报平台,对2023年深网和暗网数据泄露情报进行采集分析,为未来采取有效措施提供有价值的参考,该报告细数了对中国危害最大的前十大暗网网站,其中包括两大中文暗网网站。
报告称,深网和暗网中数据买卖活动与去年相近,呈现较平稳态势。2023年全球深网、暗网中的各类网站已达万余个以上,包括黑客论坛、交易市场、暗网社区、新闻社群、以及各类型网站等。在其监控中,数据交易买卖情报共达到113016起。
报告分析了泄露的数据类别 在2023年度获取到的11万余份数据泄露交易记录中,非结构化数据和结构化数据库大约占比接近20%,二要素数据和日志数据的占比大约在80%以上。针对泄露的数据发布和交易记录分析,所有泄露的数据大致分为四种类型,分别是:
非结构化数据:包含大量文档、图纸、表单、文件等数据; 结构化数据库:泄露的某个完整项目数据库; 二要素数据:邮件/密码;账号/密码等,通常是洗库或脱库、破解所得; 日志数据:LOG;URL/LOG/PASS等。 报告统计了泄露数据的国家 在全球数据泄露的国家中,按照泄露量排序TOP10依次为:美国、中国、法国、印度、德国、英国、俄罗斯、巴西、意大利、日本。其中美国占51%,而中国也占13%。
报告细数了对中国危害最大的前十大暗网网站 从获悉的数据分析,当前全球深网和暗网中参与数据买卖交易的“玩家”总数量或已达到近百万人,活跃的“卖家”破坏者大约在万余人左右。而2023年对中国危害最大的TOP10深网和暗网泄露源分别是:长安不夜城、Niflheim World、Breachforums、Crackingx、中文暗网交易市场、Crax、LeakBase、Hellofhackers、XSS.is、Cybercarders,其中包括两大中文暗网网站:长安不夜城、中文暗网交易市场(原暗网中文论坛)。
报告列举了典型的国际数据泄露事件 北约军事档案数据泄露 北约军事档案数据泄露 美国教育部数据泄露 美国教育部数据泄露 安哥拉国家石油公司数据泄露 以色列国防部数据泄露 以色列国防部数据泄露 FBI数据泄露 宗教极端主义组织ISIS数据泄露 黎巴嫩卫生部数据泄露 报告分析了暗网市场发展趋势 报告称,2023年黑客攻击行为和非法数据交易不降反增,并且随着各暗网市场和论坛的取缔,黑客们对于暗网的安全性逐渐失去信任,现已有超过半数的暗网网站在明网和深网中建立了镜像,甚至完全脱离暗网入驻深网。
深网的访问门槛远低于暗网,这使得非法数据交易的参与者不降反增。同时借助公开互联网的带宽和防御资源,新兴的非法交易市场和黑客论坛的访问速度、数据下载速度、安全防御能力、抗DDOS攻击能力、安全验证体系、数据反爬机制迅速提升。
报告表示,由于非法数据买卖市场和黑客论坛逐渐从暗网向明网、深网的发展,各平台为了提高“真玩家”的认证门槛、提高安全监控难度,以及增加运营利润,大量升级了其会员体系。当前已有八成以上的交易市场和黑客论坛实行付费会员制,注册用户仅能浏览有限资源和参与受限制的互动。而需要进行高价值互动和浏览更有价值的资源时,均需付费参与平台会员体系。
例如EXPLOIT、Ramp4u、Russian Market等平台已执行全收费制会员,各论坛平台已有九成以上实现半收费制会员,各交易市场平台已有半数以上实现不同程度的收费制会员。
“暗网下/AWX”跟踪暗网发展多年,对于该报告,只能部分赞成该报告的内容与分析,一方面,对中国危害最大的前十大暗网网站并不准确,很多网站只是倒买倒卖而已,并非第一手数据,危害甚至不如Telegram;另一方面,随着Tor项目的努力,暗网的发展才是大势所趋,而在明网建立镜像的网站基本都被各国警方打击,暗网的匿名性无法替代。
但是“暗网下/AWX”非常欣慰中文安全界对暗网的关注,希望能引起重视,更好的保护国民的个人信息与数据安全。
全球每年都会发生大量重大数据泄露、新的最大的数据泄露和黑客事件,引起媒体的广泛关注(例如Medibank、Optus、Twitter 的数据泄露以及2022 年的 Uber 和 Rockstar 的数据泄露以及 2023 年的T-Mobile、MailChimp和 OpenAI) 。
卡巴斯基在 2022 年创建了一份包含全球 700 家公司的名单,这些公司来自不同行业:工业、电信、金融、零售等。然后卡巴斯基在暗网中进行搜索,试图回答“这些公司遭受破坏的可能性有多大?”的问题。
卡巴斯基实验室的随机抽样显示,全球大约每三家公司中就有一家的被盗数据在暗网上出售。在近两年的时间里,他们发现了近 40000 条提供购买、出售或交换被泄露公司数据的信息。
在暗网上出售公司基础设施访问权对公司的威胁越来越大。与前一年相比增加了 16%。
40000 条数据泄露信息 2022 年 1 月至 2023 年 11 月期间,卡巴斯基数字足迹情报中心在论坛、博客和 Telegram 聊天工具的频道中发现了总计约 40000 条围绕公司内部数据库和文件交易的信息。然而,Telegram 通常被认为是聊天工具,不属于暗网的一部分。
大小公司都面临危险 有些邮件甚至提供了对公司基础设施的访问权限。卡巴斯基专家在近 24 个月的时间里发现了 6000 多条此类邮件。而且这一趋势仍在上升。从去年到2023年,每月此类信息的平均数量增加了16%,从246条增加到286条。 关于2024年的供应链攻击威胁预测,小公司的数据泄露也可能对全球大量个人和公司造成重大影响。
卡巴斯基专家还分析了这些访问权限被卖给了哪些公司。为此,他们随机选择了与2022年公司数据泄露有关的700家公司。这些公司出现在暗网上的 233 个帖子中。这些帖子明确提到了数据泄露、基础设施访问权限被盗或账户被黑。
并非暗网上的每条泄密信息都很重要 卡巴斯基数字足迹智能公司的专家 Anna Pavlovskaya 解释说:“并非暗网上的每条信息都包含新的或独特的信息。”有些提议是可以重复的。例如,如果网络犯罪分子想特别快速地出售数据,他们就会在各种地下论坛上发布广告,以便接触到更多的潜在买家。此外,某些数据库可以合并后再次出售。例如,这种合并报价汇总了以前泄露的各种数据库中的信息,如电子邮件地址的密码。
另一方面,价值较低的数据则会被泄露出去,以便在论坛中获得大家的认可。比如,在明网与暗网均有镜像的英文论坛Breachforums,有许多公开下载的数据。
数据泄露 数据泄露会暴露机密、敏感信息,并可能导致重大问题。最常见的例子是数据库和内部文档,因为每个规模的公司都使用有价格的机密数据。泄密可能会影响公司本身、员工和客户。
根据卡巴斯基 DFI 门户网站的数据,暗网上每月会出现约 1700 个与销售、分发或购买数据泄露相关的独特帖子。
应该注意的是,并非每条消息都代表唯一的最新泄漏。其中一些是针对同一泄露内容的重复广告,有些数据库可以按国家/地区合并或划分。
其他流行的循环泄漏类型是从流行的社交网络中删除公共数据的数据库,例如姓名、个人资料 ID 和电子邮件。它们在网络犯罪社会中仍然有效,作为攻击发展的宝贵来源。2021 年,超过 7 亿 LinkedIn 用户和5.33 亿 Facebook 用户的个人信息 被抓取并发布在暗网上。
BDO International(德豪会计师事务所)是世界第五大会计网络,旗下澳大利亚BDO会计师事务所定期发布澳大利亚诈骗文化报告。
在其最新的诈骗文化报告(第三季度)中,BDO表示,随着用户数目的增多和待售社交媒体帐户数量的增加,暗网上的违法犯罪活动也在不断增加。
第三季度的数据显示,每天有 270 万人访问暗网,比去年同期增加了 20 万,而交易量也在上升,其中最受欢迎的是伪造护照、信用评级和信用卡,以及用户ID、密码和知识产权等企业数据。
BDO 表示,值得关注的一个问题是 ChatGPT 账户的交易,目前已有超过 10,000 个账户可供交易。
该事务所表示,暗网里交易商品的价格一直在波动,其中近期许多商品的暗网价格上涨,Facebook、WhatsApp、Instagram 和 Telegram 账户的交易价格约为 310 美元,高于第二季度的约 119 美元。Covid 疫苗接种证书(第二季度同样为 119 美元)售价为 139 美元,数字版售价为 123 美元。
黑客针对帐户进行攻击的价格也更高,针对微信的黑客攻击的价格从 149 美元上涨到 154 美元,而针对电子邮件的黑客攻击价格则从 269 美元跃升至 668 美元。
针对明网的DDoS攻击从第二季度的89美元上涨至139美元,而针对暗网的DDoS攻击从第二季度的160美元上涨至249美元。
来自德国、意大利和法国的身份证件在本季度吸引了更多的交易,尽管澳大利亚驾驶执照的价格从 545 美元下降到 465 美元,而护照(不同国籍)的交易价格从 2800 美元下降到 1399 美元。
报告称:“暗网上的谈判活动有所增加,交易商和买家积极促进交流沟通,以解决问题和分歧。” “与任何市场一样,信任对于在暗网上进行的交易至关重要,因为如果交易未按计划进行,用户虽然无法向警方举报,但总有解决渠道。“
“卖家邀请买家与他们谈判并达成解决方案已经成为一种标准化特征,而不是设定没有空间的固定价格。”
价格跌幅最大的部分是克隆 SIM 卡,下降了三分之一,降至 399 美元,而过去 12 个月里,被黑客入侵的加密货币账户的成本平均下降了 72%。
BDO 表示,由于用户匿名以及购买个人数据和财务信息的能力,传统搜索引擎无法触及的暗网在全球网络犯罪中发挥了重要作用。执法部门也很努力,“一些规模较大、广受欢迎的暗网交易市场的网站已被关闭”,但其他网站如雨后春笋般涌现,“许多网站的供应商都是相同的”。
本季度的一个特点反映了中东发生的事件,围绕冲突、协调威胁行动和信息共享的“议论增多”。
报告称,投资诈骗占网络犯罪损失金额的 70%,身份盗窃和恋爱诈骗仅占很小比例。
常见的投资诈骗包括加密货币诈骗、庞氏骗局、冒名债券和虚假 IPO(公开募股)。其他骗局涉及涉及远程访问、返利诈骗、网上购物、传销和医疗产品。
第三季度的诈骗总损失为 1.05 亿美元,与第二季度相比,下降了 24%。
网络安全公司 NordLayer 分析了暗网上与“黑色星期五”(Black Friday)相关的关键词,发现骗子提前几个月就开始为购物节做准备。数据显示,4月份是暗网上关于“黑色星期五”讨论量最多的月份,8月份则是最不热闹的月份。
“‘黑色星期五’已经成为了超值优惠的代名词,因此这个关键词全年都很流行。暗网市场上的供应商知道,当潜在客户看到‘黑色星期五’一词时,他们很可能会被省钱的想法所吸引,无论现在是什么季节。”网络安全专家兼NordLayer网络工程主管卡洛斯·萨拉斯 (Carlos Salas )表示。
“黑色星期五”带来了大量的流量和兴趣。例如,去年“黑色星期五”的在线消费达到 91 亿美元,同比增长 2.3%。然而,高销售额也意味着骗子有了赚钱的好机会。另一项研究显示,去年“黑色星期五”和“网络星期一”造成的损失增长了 22%。
为什么“黑色星期五”话题全年在暗网上流行? “黑色星期五”现在已经与大促销联系在一起,其季节性也变得不再那么重要。暗网上的市场也遵循这一逻辑,针对泄露的数据、非法物质或服务提供“黑色星期五”折扣。各种订阅服务是那里最受欢迎的特价商品之一。
萨拉斯解释说:“‘黑色星期五’已成为暗网上诈骗和欺诈活动的滋生地。网络犯罪分子也在准备利用消费者和企业的兴奋感和脆弱性。” 他补充道,“企业可能会遭遇双重风险,因为欺诈者通常会复制其网站或以可信企业的名义发送钓鱼邮件,从而造成声誉风险。”
“黑色星期五”诈骗季什么时候开始? 虽然“黑色星期五”是每年 11 月感恩节后的第二天,但与该活动相关的诈骗活动通常早在很久以前就已开始策划和执行。研究结果表明,每年 4 月份是“黑色星期五”关键词搜索量最高的月份,而 8 月份是“黑色星期五”搜索量最不突出的月份。然而,紧接着在 9 月份,这些搜索量比 8 月份翻了一番。
“‘黑色星期五’提前启动背后的可能原因是,网络犯罪分子需要建立一个资源网络,从被盗的个人数据到受损的帐户,以便在‘黑色星期五’到来时为他们的诈骗提供便利。犯罪分子还试图利用节日期间的紧迫感和兴奋感来欺骗毫无戒心的购物者。”萨拉斯说。
热门的电子商务网站是主要目标 研究表明,暗网上的网络犯罪分子主要针对流行的在线零售商(电子商务网站平台),其中亚马逊、eBay 和 Target 位居榜首。这些平台拥有庞大的客户群,产品种类繁多,是欺诈者的理想目标。
例如,与过去 12 个月的平均水平相比,全球最大的电子商务平台之一“亚马逊”等关键词的搜索量在 1 月份增长了 45% 以上,5 月份增长了 15%,3 月份增长了 13%。印度最近一次打击网络犯罪的行动显示,作为全邦打击网络犯罪行动的一部分,当局突袭了 76 个冒充微软和亚马逊的非法呼叫中心。
对于eBay而言,1月份也是最受欢迎的月份,其搜索关键词增长了68%。此外,3 月份的搜索量增加了 46%,4 月份的搜索量增加了 19%。Target 的搜索量 3 月份增长了 41%,1 月份增长了 31%,4 月份增长了 15%。
“‘黑色星期五’是欺诈者试图利用数据或金钱的一个便利时机,成功率较高。然而,即使在这一活动结束后,欺诈网站也不会消失,因此,必须全年保持批判性思维和仔细的网站检查,”萨拉斯说,“诈骗者会克隆热门零售商的网站,因为这些网站很熟悉。这些网站会给人一种值得信赖的错觉。因此,一些买家就被骗了。”
从观察到的数据可以说,对于欺诈者来说,“黑色星期五”是一场贯穿全年的活动,不限于某个特定的月份或庆祝活动。然而,受欢迎的零售商总是有更高的被骗概率。
“黑色星期五”最常见的诈骗类型有哪些? 萨拉斯说,想帮助防范与打击各种诈骗者,最重要的是通过掌握更多的信息来识别他们。下面是他分享的今年人们可能会遇到的五种最受欢迎的“黑色星期五”诈骗:
网络钓鱼诈骗。网络钓鱼攻击是最常见的攻击类型,即使在“黑色星期五”也是如此。诈骗者利用抢购的紧迫感,迫使人们快速做出决定,而不过多关注细节。 虚假网站诈骗。诈骗者创建模仿知名零售商外观的假冒在线商店。他们以极低的价格提供产品来吸引购物者,但却从不送货,让人们拿不到所购买的商品,同时也无法收回花出去的钱。请注意原始域名拼写错误、使用数字仿冒字母或网站 URL 代码中包含子域名的网站。 礼品卡诈骗。从第三方卖家那里购买礼品卡时要小心,尤其是在网上。骗子可能会出售假冒礼品卡或空礼品卡,从而让人们买到毫无价值的东西。 虚假订单确认。对于包含您不记得的已交付包裹或已确认订单信息的短信、电话和电子邮件,一定要小心谨慎。 社交媒体诈骗。88% 的购买诈骗都是通过社交媒体获得的。点击之前请三思,不要追逐“好得不真实”的交易。 本文中的这些数据是与专门从事网络安全事件研究的独立研究人员合作完成的。他们分析了最热门的“黑色星期五”主题、零售商和攻击技术的关键词。关键词搜索是在2022年9月至2023年8月期间完成的。
最近,有俄罗斯媒体在Telegram称,从数据分析,他们认为自2006年以来由“Tor项目”(The Tor Project)运营的Tor是美国军事情报机构的产品。该消息说,他们是根据“Tor项目”的财务报告来判断的,统计数据略有变化,但本质保持不变。
文章称,非营利组织“Tor项目”2021-2022年资金来源的财务报告近期已发布,并提交给美国税务机关,根据财务报告,当期“Tor项目”的收入为700万美元,其中53.5%来自美国政府或者与美国政府有联系。而在2006-2018年,“Tor项目”共获得了3250万美元,其中80%来自美国政府(美国国务院和美国国防部)。
该俄罗斯媒体认为,众所周知,谁付钱谁就说了算。就Tor而言,付了钱的人能够掌握有关用户活动的数据。
该俄罗斯媒体说,有人可能会说他们是阴谋论,但事实证明,在适当的时候,所有的指令和命令都是明确执行的,而如何安排则是技术问题。
该媒体也引用了一个案例,说道,只需回顾一下,据称在一名网络爱好者的帮助下,美国联邦调查局 (FBI)员工成功利用这一技术对RagnarLocker 勒索软件团伙的暗网泄露站点进行了去匿名化,嫌疑人也被起诉;并对臭名昭著的Wazawaka(又名 m1x、又名 Boriselcin、又名 Uhodiransomwar)提出指控。
该媒体最后表示,就在一年前他们这么解读的时候,大多数订阅者都会说他们偏执并且过度散布了阴谋论。但最近发生的事件清楚地表明,在正确的时刻,所有用户权利和自由立即被打上引号。匿名就是这样的匿名。
“暗网下/AWX”认为,该媒体的文章只能当阴谋论看看,毕竟文章中提及的案件有之前的文章可以解释:安全研究人员Sh1ttyKids 发布了一种新方法的详细信息,该方法可根据 HTTP 响应标头中的实体标记 (ETag) 对Tor服务器进行去匿名化。
但是从Tor的原理看,出口节点是能够掌握暗网中的许多流量数据的,因此只要美国政府能够控制着绝大多数的Tor出口节点,那自然可以创造出针对Tor的棱镜。
另外,一旦Tor网络中存在漏洞,或者各种利用方法(如ETag溯源),研究人员都会第一时间提交给美国当局,使得FBI可以更加容易追踪到网络犯罪分子。
因此,“暗网下/AWX”不认为“Tor项目”与美国军事情报机构有关,读者们以为呢?
当Group-IB团队的安全研究人员响应一则加入勒索软件即服务(RaaS)行动的广告时,他们与联盟业务中最活跃的威胁行动者之一进行了一次网络犯罪求职面试,结果发现他是至少五种不同勒索软件的幕后黑手。
我们来认识一下“farnetwork”,他在向Group-IB团队的网络威胁研究人员提供了太多细节后被揭穿真实面目,该研究员假装自己是Nokoyawa勒索软件组织的潜在联盟成员。该团队了解到,该网络犯罪分子的别名还包括 jingo、jsworm、razvrat、piparuka 和 farnetworkit。
在卧底研究人员能够证明他们可以执行权限升级、使用勒索软件加密文件并最终要求现金换取加密密钥后,farnetwork准备好了讨论细节。
在通信过程中,Group-IB研究人员了解到,farnetwork已经在各种企业网络中立足,只需要有人采取下一步行动——即部署勒索软件并收钱。Group IB团队了解到,这笔交易的运作方式如下:Nokoyawa附属公司将获得65%的勒索资金,僵尸网络所有者获得20%,勒索软件所有者获得15%。
Group-IB团队在其最新报告中解释说,Nokayawa只是farnetwork正在运行的最新勒索软件操作。威胁行为者最终提供了足够的详细信息,让Group-IB团队能够追踪远网络早在2019年就正在进行的勒索软件活动。
Farnetwork向研究人员吹嘘了过去对Nefilim和Karma勒索软件的操作,以及接收高达100万美元勒索软件付款的情况。骗子还提到了过去与Hive和Nemty的合作。
这些信息足以让Group-IB团队拼凑出Farnetwork过去多产的勒索软件攻击履历。
Group-IB表示,从2019年到2021年,farnetwork是JSWORM、Karma、Nemty和Nefilim勒索软件病毒的幕后黑手。报告补充说,仅Nefilim的RaaS项目就造成了40多名受害者。
到2022年,farnetwork在Nokoyawa业务中找到了落脚点,并于去年2月积极招募该计划的附属机构。
报告称:“根据其运营时间表,可以合理地推断,Farnetwork一直是RaaS市场中最活跃的参与者之一。”
Nokoyawa此后关闭了其RaaS业务,farnetwork也宣布即将退役,但Group-IB研究人员怀疑,该系列勒索软件运营商很快就会以另一种病毒形式再次出现。
Group-IB 的报告称:“尽管 Farnetwork 宣布退休,并且关闭了该攻击者最新的已知项目 Nokoyawa DLS,但 Group-IB 威胁情报团队并不认为该威胁攻击者会退出。” “正如过去多次发生的那样,我们很可能会目睹新的勒索软件附属计划和由 Farnetwork 精心策划的大规模犯罪活动。”