就在北京时间今天上午,第三版BreachForums再次遭受了巨大打击,明网与暗网网站无法访问,管理员ShinyHunters的Telegram账户被删除,BreachForums的新频道与Jacuzzi 2.0的聊天群组同样被删除。
vx-underground发布推文称,ShinyHunters,负责管理Breached的小组(个人?)Breached 在明网和暗网上都已下线。此外,Shiny的Telegram和Telegram频道已被删除。人们猜测他们已经被捕。
vx-underground戏称,我们唯一可以确定的是,今天是星期天。我们不喜欢周日发生事情。(美国时间,现在为周日)
DarkWebInformer总结了BreachForums的最后一小时:
Clearnet 和 Tor 网站瘫痪 Shiny 的 Telegram 帐户被删除 BreachForums 公告 Telegram 频道变为空白 Jacuzzi 2.0 Telegram 聊天被删除。 经”暗网下/AWX“测试,BreachForums的明网网站(breachforums.st)目前提示502错误:
502 – Bad Gateway . That’s an error.
Looks like we have got an invalid response from the upstream server. That’s all we know.
访问BreachForums暗网网站(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion)提示“Onionsite Not Found”:
Onionsite Not Found
Details: 0xF0 — The requested onion service descriptor can’t be found on the hashring and therefore the service is not reachable by the client.
2021年12月,暗网论坛Dread的版主”HeadJanitor“曾经发布一个主题帖子”接受门罗币(XMR)的VPS和云服务/托管提供商“,列出了一份全面的VPS和云服务/托管提供商列表,这些提供商要么(a)对Tor友好,要么(b)接受Monero(XMR),并且注重隐私。
近日,DarkWebInformer发推表示,时过境迁,虽然这篇文章已经发表了近3年,但仍有很大的现实意义。
当时”HeadJanitor“发布的列表(并提示了要求用户自行验证)如下:
1 https://www.trilightzone.org/ [privacy-based]
2 https://www.xmrvps.com/ [privacy-based]
3 https://ablative.hosting/ [privacy-based]
4 https://ablative.hosting/shared-single-hop-onion-hosting [privacy-based]
5 https://anycolo.net/
6 https://flokinet.is/ [privacy-based]
7 https://www.swisslayer.com/ [privacy-based]
8 https://koddos.net
9 https://www.privex.io/ [privacy-based]
10 https://www.epio.host/ [privacy-based]
11 https://incognet.io/ [privacy-based]
12 https://5wire.co.uk/
13 https://userbase.com/
14 https://nicevps.net/
15 https://cryptoho.st/ [privacy-based]
16 https://cryptwerk.com/
17 https://host-world.com/monero-vps [privacy-based]
18 https://abacohosting.com/
19 https://evolution-host.com/
20 https://qhoster.com/
21 https://whattheserver.com/
22 https://codify.global/
23 https://www.superbytehosting.com/
24 https://www.superbithost.com/ [privacy-based]
25 https://www.nexwave.ca/
26 https://www.hostingssi.com/
27 https://blazinhosting.net/
“ICANN和FBI强迫我们暂停您帐户下的所有域名,感谢您的理解。”
整个5月份,“暗网下/AWX”在持续关注BreachForums,报道了第二版BreachForums被FBI摧毁以及第三版BreachForums重新回归的故事。5月30日,BreachForums的现管理员ShinyHunters突然发帖讲述他们戏弄FBI的细节,但是根据Telegram的投票,广大网友们依然认为第三版BreachForums是FBI的蜜罐。
5月30日,ShinyHunters在公告版块发布主题帖“我们是如何戏弄FBI的”,介绍了第二版BreachForums的创建者Baphomet被FBI逮捕后,他们是如何与FBI斗智斗勇、与域名提供商NiceNIC周旋、成功夺回BreachForums的明网.st域名的经历。
ShinyHunters称,这真是糟糕的一个月!他们相信所有用户都感到担心、困惑和忧虑。ShinyHunters说请大家放心,他们已经控制住了一切。FBI尚未公布有关逮捕BreachForums前任管理员Baphomet的任何细节,因此关于此事,大家都只能猜测。但是,为了向所有人透明,他们希望确认,FBI确实通过Baphomet获得了数据库。每个用户都需要采取适当的预防措施。ShinyHunters称希望每个人都能从第一版BreachForums(BF1)被扣押的事件中吸取教训,采取适当的行动安全措施。
接着,ShinyHunters表示让大家看看FBI与NiceNIC的绝对愚蠢行为,以及仅仅为了获取用户数据而完全关闭整个数据中心的行为。
正如之前介绍,FBI要求NiceNIC将DNS指向其域名服务器以用于扣押页面,ShinyHunters称,对此,他们决定最好的做法是要求域名注册商NiceNIC归还域名,出乎意料的是,NiceNIC竟然同意了。然后,他们使用新电报组和N.W.A.的歌曲“Fuck Tha Police”替换了FBI的扣押横幅。
ShinyHunters表示,FBI在扣押页面被删除后感到非常尴尬,他们一边擦眼泪,泪水短路了键盘,一边给NiceNIC写了以下邮件(前次报道已经详细介绍),并要求将域名转移到他们的账户。
ShinyHunters继续称,这引发了FBI的第二轮尴尬。因为FBI并不知道,ShinyHunters已经使用EPP代码将域名转移到了另一家域名注册商。
ShinyHunters骂道,事实证明,肖恩先生(Mr. Sean)和 “特别探员 ”麦凯尔维(McKelvey)是个彻头彻尾的白痴,他们把扣押工作搞得如此糟糕,现已被置于自杀式监视之下。这还不是结束,FBI为了获得托管数据,竟然查封了整个数据中心的所有服务器,完全关闭了一家合法企业。ShinyHunters在公告中表示要向NiceVPS道歉,因为他们的行为导致FBI关闭了NiceVPS的业务。
如上图,NiceVPS称瑞士警方扣押了他们的基础设施。NiceVPS是一家匿名主机提供商,允许使用比特币、门罗币等加密货币支付。本站(anwangxia.com)发现,在此次扣押之后,NiceVPS在其网站首页最底部加上了一句红色的显著提醒”BEWARE: We do NOT allow any kind of illegal activity.“(注意:我们不允许任何形式的非法活动。)
公告最后,ShinyHunters提醒用户保存可在暗网访问的.onion地址,因为显然,明网域名不会永远存在,但如果情况像目前这样发展,很难永远保留.st。
经“暗网下/AWX”测试,截至目前,BreachForums的明网.st域名可正常访问。ShinyHunters似乎将域名转向了.st域名的官方注册商:ST Registry(https://www.nic.st/)
“暗网下/AWX”注意到,知名暗网研究媒体DarkWebInformer在其Telegram频道发起了一个针对BreachForums的投票”Still a honeypot?“(是否还是一个蜜罐?),有100多网友参与了投票,其中91%的网友认为,现在的BreachForums论坛依旧是FBI的蜜罐。
诸位“暗网下/AWX”的网友,你们觉得呢?现在的BreachForums论坛是否是FBI的蜜罐?
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”前年11月曝光了骗人的暗网市场BlackMart,介绍了该诈骗暗网市场的骗术很低级,配送页面、星级评价、担保商看起来像一个正常的暗网市场,其实都是骗子伪造的,这是一个迷惑性极强的网站。
最近,又有热心网友“justin”在评论中向“暗网下/AWX”举报“BlackMart”还在继续行骗,并且已经更换了新的暗网域名,他说:
所以我刚刚读了你关于BlackMart的文章,虽然有点晚了。我以65美元的价格购买了价值1000美元的PayPal,但总成本是140加元。我向BlackMart下订单的钱包发送了价值95美元的比特币。但一直没有收到任何东西,然后今天钱包就空了。请尽你们所能去宣传他们仍在运营和诈骗的消息。我还有交易的截图。这是他们现在使用的网站。
经测试,“暗网下/AWX”发现诈骗暗网市场“BlackMart”之前的暗网域名(blackma6xtzkajcy2eahws4q65ayhnsa6kghu6oa6sci2ul47fq66jqd.onion)已经无法访问,“justin”提供的新暗网域名可以正常访问,“BlackMart”新更换的暗网onion域名为:
http://blackma333zetynnrblc7uidfp2tewhtwpojxxvmty3n4cdsc7iyukad.onion
诈骗暗网市场“BlackMart”功能与上次的介绍相差不大,整体清新简洁的网站设计也没改变,只是Logo的颜色由橙色改成了绿色,除此之外,细节上也有几点变化。
一是虚假的星级评价不再只是英文,添加了各国语言。打开商品页面,映入眼帘的许多好评,有中文评价“做的好”,匈牙利语评价“非常好”,瑞典语评价“交货快”,罗马利亚语评价“交货快捷,礼品卡精选”,日本语评价“快速运输,很棒的礼品卡选择”等等。
二是新增了诈骗话术,页面商品介绍下增添了“买家保障”的提醒:如果您没有收到订单,可全额退款。如果商品与描述不符,可全额或部分退款。
三是该市场提供的所谓暗网担保网站(The Escrow)更加逼真。该诈骗市场的担保网站(escrowkwttyhfyab3clkln7lfveyg7pfdwsv5vner35mhg7oaqz5uiid.onion)的诈骗话术相当迷惑人:“The Escrow自2015年起为客户提供服务,是您全天候的深度网络购物合作伙伴。您的资金安全是我们的第一要务,因此我们全天候为您提供服务,确保您的交易安全无忧。”。
网友”justin“提供了其与诈骗网站站长的交涉的详尽截图,让我们一睹骗子的嘴脸:
1、网友”justin“下单,根据要求进行BTC转账,没有收到所谓的Paypal商品。
2、发送邮件至[email protected],告知已经按照要求转账,但没有收到商品。
3、骗子回复道,感谢订单,但是这个65美元商品出现技术问题,120美元与175美元的商品正常,请继续转账,然后顶多2小时就可以收到商品了。
4、网友”justin“发现被骗。
5、网友”justin“联系担保网站The Escrow,其要求在该网站再次下单,准备再次诈骗。
“暗网下/AWX”对该“justin”的购买PayPal被骗的比特币支付进行了分析:
1、支付地址为:1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT,交易hash为:cadde8547bda075484dd94207842e27bc8dbe11c68f476baf87f38b6d1ce437c,时间为:2022-03-31 08:47:15
2、该地址1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT仅诈骗了这一笔,共计0.00135690个BTC。
本站(anwangxia.com)已经将“BlackMart”的新暗网域名向合作伙伴“onion666暗网导航”进行了通报。“暗网下/AWX”将持续曝光暗网里的各种诈骗网站,感谢热心网友“justin”提供的截图与线索,希望被骗的其他网友都能站出来积极举报,请将截图发至[email protected]。
更多暗网新闻动态,请关注“暗网下/AWX”。
“道高一尺魔高一丈”,这是一个令网络犯罪群体振奋的故事,也是让世界最顶级执法机构尴尬的故事。
正如“暗网下/AWX”前期报道的,网络犯罪分子正计划全面恢复BreachForums网站。在美国联邦调查局(FBI)查封BreachForums基础设施并逮捕两名管理员仅两周后,暗网上最大的数据泄露论坛BreachForums再次重返明网和暗网。尽管FBI做出了十足的努力,但第二版BreachForums管理员之一ShinyHunters还是重新获得了明网域名,并开启了新的暗网域名。
针对BreachForums的执法行动于2024年5月15日开始,本站(anwangxia.com)做了及时详尽的报道,当时FBI在国际执法协调努力下查封了属于BreachForums网站的基础设施,包括所有域名。同时据称,FBI在此执法过程中逮捕了两名管理员。然而没过几天,BreachForums的主要管理员ShinyHunters(同时也是黑客)通过联系位于中国香港的域名注册商NiceNIC,在FBI眼皮底下成功夺回被扣押的明网域名“breachforums.st”,.st为圣多美和普林西比国家及地区顶级域(ccTLD)的域名。
ShinyHunters如何夺回明网域名 由于FBI已经掌握BreachForums的暗网域名私钥,之前的暗网域名处于与FBI的争夺战中,已经无法正常使用。因此该论坛已经为暗网采用了一个新域名(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion),同时也已使用原始明网域名(breachforums.st)重新上线。其他BreachForums相关的明网域名,包括escrow.breachforums.st、breached.in和另外两个停放域名,也已从FBI的扣押中收回。
ShinyHunters分享了一封电子邮件,声称这是联邦调查局网络部门的一名计算机科学家与域名注册商NiceNIC之间的正式对话。这封电子邮件提供了有关明网域名争夺事件的深入背景,并解释了ShinyHunters如何重新获得对被扣押域名的访问权限。
根据这封电子邮件,FBI的网络部门于2024年5月15日对BreachForums进行了一次行动,扣押了多个域名,包括在NiceNIC注册的域名breachforums.st。这些域名是通过法院下达的搜查令合法扣押的。
然而,在扣押几个小时后,breachforums.st域名被归还给原所有者ShinyHunters,而FBI的NiceNIC账户(注册为“bf_fbi”)被暂停。
随后,FBI要求NiceNIC重新激活其账户并归还被扣押的域名,理由是NiceNIC的服务条款禁止宣传网络犯罪。FBI敦促,如果无法归还域名,则应该将该域名解析的服务器更改为FBI拥有的服务器,或者应该暂停解析这些域名以防止进一步的伤害。
目前无法得知NiceNIC对FBI的回应。然而,该域名以原始形式归还给ShinyHunters的事实表明该公司没有遵循FBI的要求。
ShinyHunters在TG频道宣布了新的消息 5月28日,ShinyHunters先是在其Telegram频道发布了breachforums.st域名,Telegram的预览已经显示了该网站的介绍,证明该明网域名已经可以访问了,该域名赢得了很多红心点赞。
接着,15个小时后,ShinyHunters又发布新的公告“Registrations now open”,至此BreachForums完全恢复了被FBI查封前的状态,也恢复了往日的繁华。
电子邮件对话 FBI发给域名注册商NiceNIC的邮件:
我是联邦调查局网络部的计算机科学家,也是联邦调查局域名业务的主要联系人之一。本周早些时候,即2024年5月15日,联邦调查局针对非法论坛和市场“BreachForums”采取了行动。
一些公共网络安全机构注意到了这些行动,并发布了关于域名查封和随后的扣押页面的文章。在行动当天早上,FBI查封了与BreachForums相关的几个域名,包括由NiceNic托管的breachforums.st和其他域名。我们通过向位于美国的账户所有者送达法院命令的扣押令,合法地扣押了这些域名。
我们从该账户中查封的所有网站都用于窃取、出售和共享从世界各地受害者那里窃取的数据。最终,我们努力关闭BreachForums是为了防止该网站对全球无数受害者造成进一步的伤害。
然而,在域名被扣押几小时后,大约在太平洋标准时间5月15日晚上9点,我们注意到,breachforums.st域名已从我们的监管中释放出来,并归还给最初的威胁行为者。我们还注意到,我们无法登录FBI在NiceNic的官方账户,该账户使用电子邮件[email protected](用户名:bf_fbi)注册,这让我们相信该账户已被暂停。
因此,除了将合法查获的域名归还给FBI的NiceNic账户之外,我还想提供一些有关情况的补充信息,希望能推翻账户被暂停的决定。
此外,在您的域名注册服务条款中,您提到所提供的服务不会用于“促进黑客攻击、破解或其他网络犯罪或活动”,但这些都是BreachForums中常见的活动。
如果无法将域名归还给FBI,我们将根据您的服务条款请求将域名解析的服务器更改为FBI拥有的域名服务器,或通过客户保留(clientHold)以防止其造成进一步损害。目前持有这些域名的NiceNic帐户“vincenzotroia”无视并违反了贵公司的服务协议,继续托管这些域名。
我期待着您的回复–如果您能就这一情况提供任何帮助或指导,我们将不胜感激。
敬上,
S***
FBI的尴尬局面 至此,“暗网下/AWX”认为,联邦调查局的局面略显尴尬。尽管他们努力查封了BreachForums的域名并摧毁其基础设施,但该论坛能够迅速恢复其原始的明网域名。这一事实凸显了几个问题,包括国际执法、运营困难、跨国基础设施、安全漏洞、公众看法以及法律和程序问题。
这也解释了为什么尽管事情已经过去了两周,以至于网站已经恢复,联邦调查局或司法部仍未发布详细扣押情况说明的新闻稿。尽管如此,目前而言,这种情况对网络犯罪分子来说是双赢的,既没有损失,也赚足了眼球。不过联邦调查局和其他参与该行动的执法机构下一步将如何采取行动,也将至关重要。
不过,这也间接证明了新的BreachForums并非FBI的蜜罐,而SecretForums大概就是哗众取宠地蹭热度罢了。
更多暗网新闻动态,请关注“暗网下/AWX”。
最近,BreachForums的竞争对手、另一个数据泄露论坛SecretForums的管理员Astounding在其Telegram连续发布多个公告,质疑第三版BreachForums是否是FBI的蜜罐。
名不见经传的SecretForums是个什么网站 SecretForums也是一个数据泄露论坛,在暗网与明网均可以访问,与BreachForums系列不同的是,SecretForums使用开源CMS程序XenForo搭建,而BreachForums系列一直使用的是开源CMS程序PHPBB。
根据SecretForums网站上的数据统计,该论坛拥有4000多用户,1000多主题帖,因此该网站具备一定的用户底数与访问量。在第二版BreachForums被FBI摧毁后,SecretForums宣布将给予前BreachForums会员与他们在网站上类似的排名。
SecretForums的明网域名是:
https://secretforums.net
SecretForums的暗网域名是:
http://secretsmt222qvdg6rcmgvx4dqqc2673yzyxjrrnabwklnn6qddyv5ad.onion
Astounding是Secretforums的管理员和Blackforums前所有者。本站(anwangxia.com)发现,Astounding连续三次在SecretForums的Telegram频道发布声明,质疑Baphomet以及新成立的BreachForums。当然,由于是竞争关系,也许是趁机打压BreachForums。但是在暗网下,一切皆有可能。
Astounding首次质疑被捕的BreachForums管理员Baphomet 5月17日,SecretForums在其Telegram频道发布公告”关于 Baphomet 和 BreachForums 的官方声明“,质疑Baphomet是FBI的线人,称Baphomet之前表达了协助管理Blackforums基础设施的强烈兴趣,还表示BreachForums存在安全问题。具体声明如下:
为什么我相信Baphomet是线人
大约五个月前,Baphomet 表达了协助管理 Blackforums 基础设施的强烈兴趣。 他多次请求建立堡垒服务器来帮助解析日志并解决安全问题。 但是,我从未授予任何人访问权限,也没有创建堡垒服务器。 我坚信我应该是唯一有权访问基础设施的人。 这项政策全年有效,我管理该网站一个月了。
需要澄清的是,其他管理员(包括 Lemonade、Eom 和 Lucy)都不拥有对Blackforums基础设施的完全访问权限。 我是负责其管理和安全的唯一个人。
当我在 Jacuzzi 2.0 中表达这一立场时,我收到了前论坛运营者ShinyHunters 的禁令。 这种反应增强了我对我的陈述的真实性的信心。
Breachforum 的安全问题
新的 Breachforum 存在切实的安全问题,该论坛将由 ShinyHunters 拥有,并根据旧备份构建。 Baphomet 作为该网站的开发者,对旧备份的使用提出了进一步的担忧。
如前所述,Baphomet 请求访问解析日志。 然而,值得注意的是,我们在任何情况下都不会保存我们网站的日志。 我们仅记录网站功能所需的关键信息,例如电子邮件地址、用户名和密码哈希值。 IP 仅从我们的反向代理记录,因为我们没有启用 X-Forwarded-For。
确保安全并记住保持您的运营安全达到标准以避免法律纠纷。
~Secretforums 管理员和 Blackforums 前所有者
Astounding在Telegram发布怀疑Baphomet的证据截图 5月23日,Astounding在Telegram频道发布了一些证明baphomet想要帮助维护服务器的聊天截图。
截图看出,2023年12月29日,Astounding说baphomet帮他修改了nginx配置,但并没有更改;2024年1月14日,baphomet要求Astounding创建一个堡垒服务器。
Astounding第三次发布与BreachForums相关声明 5月25日,Astounding在Telegram频道第三次发布了与BreachForums相关声明。称这是其第三次更新BreachForums声明,因为Aegis(”暗网下/AWX“注:BreachForums的另一位管理员)说其已经绝望了。
Astounding在声明中表示,管理员“ShinyHunters”从2024年5月8日的备份中发布了BreachForums的新版本。管理员不仅使用了旧的备份,还禁用了注册。如果大家回顾一下历史,2022年RaidForums还在的时候,FBI也做了同样的事情。他们禁用了注册功能,将网站变成了一个蜜罐。
目前尚未证实BreachForums是一个蜜罐,但Astounding称,必须让大家知道要格外小心,尤其是现在。他给BreachForums管理员“ShinyHunters”发了信息,但“ShinyHunters”不想对此发表评论。而另一位管理员“Aegis”则声称他绝望了。
Astounding还称,第三版BreachForums的暗网网站似乎非常死气沉沉,在过去60分钟内只有50位用户活跃。
第三版Breachforums的故事、SecretForums的故事、FBI蜜罐的故事,“暗网下/AWX”将长期保持高度关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的网络犯罪暗网论坛BreachForums卷土重来! 新的洋葱域名证实了其在暗网的复活,而明网网站可能会在未来几周的某个时候重新启动。
“暗网下/AWX”上周报道,第二版BreachForums的创建者Baphomet被FBI逮捕后,BreachForums管理员ShinyHunters声称已从FBI手中收回域名,并开启了第三版BreachForums的重建。
ShinyHunters既是黑客又是第二版BreachForums的管理员,他声称一直在为恢复BreachForums而努力。
第二版BreachForums于2024年5月15日被FBI扣押,据报道,管理员Baphomet被捕,并向FBI交出了后端服务器凭证,从而导致该论坛的数据、域名(包括暗网和明网域名)被FBI完全控制。
随后,ShinyHunters宣布从FBI处夺回了BreachForums明网域名(BreachForums.st)的访问权限,并在页面提供了跳转至其Telegram频道的链接。但是5月23日,ShinyHunters在新建立的Telegram频道发布公告称:“去你妈的警察,域名转移到了其他地方”(Fuck tha police. Domain transferred elsewhere.)这时候起,BreachForums明网域名(BreachForums.st)已经无法正常访问,似乎被当局转移控制了。
虽然目前美国联邦调查局和美国司法部都没有发布有关扣押BreachForums或任何与该事件相关的新闻稿,但是联邦调查局已承认查获此事,并敦促BreachForums数据泄露的受害者站出来填写表格以方便进一步调查。
5月24日,ShinyHunters在Telegram频道发布公告宣布了第三版BreachForums新的暗网域名:
http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
公告称,新的暗网网站仍在测试中。 除了SMTP和CDN服务之外,请用户报告可能发现的任何其错误。公告提醒用户记得从URL中删除https,因为暗网域名没有使用证书。
New Tor domain for BreachForums is announced
According to the announcement, the site is still being tested.#DarkWeb #BreachForums #cybersecurity pic.twitter.com/XX6Hl9mQXl
— Dark Web Intelligence (@DailyDarkWeb) May 24, 2024 “暗网下/AWX”访问了新建立的BreachForums暗网网站,应使用的与第一版第二版相同的CMS代码(PHPBB),但目前不支持注册,“暗网下”(anwangxia.com)使用了第二版BreachForums中注册的账号密码,也未能成功登录,但是,据称第三版BreachForums使用的是第二版BreachForums的数据库的备份,而并非是一个全新的开始。
第三版BreachForums的多个暗网域名 ShinyHunters在第三版BreachForums的网站上发布了带有PGP签名的新canary公告,宣布了暗网的域名及镜像地址:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Next update by 06-25-2024.
Current:
breachforums.st
breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
Mirrors:
breached4lhlibrqmzj7h2n4unu7wdzkg7gczcggufbqufwmmdraiyqd.onion
breachedetbw6gnud64wvuld3xkyrrbz5eijhvjbbix72izpegjdvcyd.onion
breachedhr2hxxranvbogkth63cpxwdcelsetui4uqavejvsqes4thid.onion
breachedm6qqmtc2ksrdhhtdr6o4erzudgx4blvkcxhyeruudtibizqd.onion
PGP Key: http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion/pgp.txt
Fingerprint: 1FC4 D0B1 DEE9 14BB 05B5 7FAB F1F1 B98A 51C9 89B3
美国司法部(DOJ)周一宣布,打击暗网贩毒的斗争取得重大胜利,逮捕了23岁的林瑞祥(暗网昵称“Pharoah”或“faro”)。
台湾居民林被指控经营“Incognito Market”(隐身市场),这是一个暗网交易市场,“暗网下/AWX”曾多次报道,该暗网市场为全球毒品的销售提供了极大的便利。就在2个多月前,该暗网市场选择了“退出骗局”,并开始敲诈其供应商和买家,威胁要公布拒绝支付100美元到2万美元不等费用的用户的加密货币交易和聊天记录。
根据司法部的一份新闻稿,据称林对Incognito市场拥有“最终决策权”,据估计,该市场处理的毒品交易额超过1亿美元。
5月18日,林在纽约肯尼迪机场被拘留,并在曼哈顿联邦法院出庭受审。
Incognito暗网市场自2020年10月开始运营,已于今年3月关闭,当时本站(anwangxia.com)报道过它的关闭是“推出骗局”。它作为一个暗网市场运作,为海洛因、可卡因、迷幻药(LSD)和摇头丸(MDMA)等非法毒品的买家和卖家提供匿名服务。与传统的在线零售商不同,Incognito市场并不直接销售毒品,而是从每笔销售中收取5%的佣金,从而形成了一个价值数百万美元的复杂的在线业务。
Incognito暗网市场类似于合法的电子商务网站,具有用户友好的界面,具有搜索功能、产品列表,甚至还有“客户服务”功能。Incognito市场可通过Tor网络浏览器在全球范围内访问。据报道,化名为“Pharoah”的林管理着该市场的所有业务,包括监督员工、供应商和客户互动,对平台拥有完全的控制权。
调查人员详细介绍了该平台上品牌错误的处方药的令人担忧的趋势。
例如,一名卧底特工于2023年11月购买了据称是羟考酮的药物,却发现这些药片中含有芬太尼,这是一种可能致命的合成阿片类药物。
为了保持匿名性,Incognito市场使用内置的加密货币钱包进行交易。买家和卖家通过数字钱包存入和提取资金,进一步隐藏了他们的身份。
林的被捕是联邦调查局详细调查工作的结果。
当局追踪了与Incognito市场相关的加密货币转移,最终发现了一个与Lin相关的数字钱包。联邦调查局通过托管钱包的加密货币交易所获取了林的个人信息,包括身份证明文件、电子邮件地址和电话号码。
联邦调查局纽约分局助理主管詹姆斯·史密斯(James Smith)补充说:“在近四年的时间里,林瑞祥涉嫌经营‘隐身市场’(Incognito Market),这是最大的毒品销售在线平台之一,进行了1亿美元的非法毒品交易,并获得了数百万美元的个人利益。”
纽约国土安全调查局负责特工伊万·J·阿维洛(Ivan J. Arvelo)指出:“林瑞祥厚颜无耻的操作导致了超过1亿美元的麻醉品非法销售,其中包括那些被贴错标签、后来被发现含有致命芬太尼的麻醉品。”
美国缉毒局(DEA)纽约分部负责人弗兰克·A·塔伦蒂诺三世(Frank A. Tarentino III)表示:“林先生涉嫌将利润置于公众健康之上的行为不仅鲁莽、危险,而且不合情理。我们将继续确保那些躲在键盘后面、利用暗网牟利的人受到法律的正义审判。”
纽约南区联邦检察官达米安·威廉姆斯(Damian Williams)表示:”如指控所述,林瑞祥经营着一个复杂而危险的网上毒品交易市场,通过该市场,他以社会为代价牟利数百万美元。所谓的‘暗网’并不是那些试图违法者的避风港。“
食品药品管理局刑事调查办公室(FDA-OCI)通过特别主管查尔斯·格林斯特德(Charles Grinstead)强调了他们正在开展的打击网上非法药物销售的工作,因为这种销售“往往会造成悲剧性后果”。
如果罪名成立,林将面临严厉的惩罚。
可能的指控包括因经营持续犯罪企业而被判处强制性无期徒刑、因共谋毒品罪被判处无期徒刑、因洗钱罪被判处20年监禁,以及因串谋销售掺假和伪劣药品被判处5年监禁。
Incognito市场的倒闭提醒人们,暗网中潜藏着危险。
美国司法部长梅里克·B·加兰(Merrick B. Garland)说:“贩毒者如果认为他们可以在暗网上违法经营,那就大错特错了。”
上周,FBI和多个国家的执法机构成功查封了BreachForums的网站和Telegram频道,BreachForums是一个提供被盗数据、黑客工具和其他非法服务的知名在线市场。
今年早些时候,司法部宣布成功结束对暗网市场xDedic的跨国网络犯罪调查,导致全球19人受到指控。
“暗网下/AWX”去年曾经报道,当时最大的暗网交易市场ASAP正式宣布退休。本月,ASAP暗网市场的管理员LeChacal又回到暗网论坛Dread,并发布了该暗网市场最后的退休声明。他们表示,他们不会再回来了,但要感谢社区。他们还表示,他们都不再联系了。
虽然ASAP暗网市场已经退休快一年了,但后续一直没有新的消息。LeChacal在声明中感谢该市场的所有用户帮助他们顺利退休,称这是一段美好而难忘的旅程,祝福大家一切顺利。
LeChacal说,虽然有些人对他们的退休提出了疯狂的阴谋论,但这些都不是真的。他们选择退休只是因为需要休息。LeChacal称,与ASAP团队的合作是他在暗网中遇到的最好的事情。ASAP团队的每个人都很诚实,工作积极性很高。
LeChacal表示,目前,他们并不打算以同样的名字或者新的名字重新启动。ASAP团队已经退休,他们没有与任何人联系。他相信团队里的每一个人都在享受这来之不易的退休生活。现在一切听起来都像一场梦。
LeChacal还在在声明中称,经营一个暗网市场并不简单,非常累,压力也很大,他们面临着很多挑战。
LeChacal提到了ASAP暗网市场被攻击、资金被盗的事情(参见/post/0b3875d047176101b005),当时传言“退出骗局”引发了巨大的恐慌,本站(anwangxia.com)也做了及时的报道。LeChacal称那是他们运营该市场遇到的最糟糕的事情。那时候有人抢走了我们所有的资金,大约有460万美元被盗。虽然已经一无所有了,但是团队并没有放弃,而是从自己口袋里掏钱还给所有人。
LeChacal说,只有这样,ASAP Market才能不断发展壮大,成为暗网上最大的市场之一。当选择退休时,ASAP的托管资金大约有1000万至1200万美元。但是大家都知道,ASAP团队并没有带着这些资金跑路,他们选择了有尊严的退休,因为所有用户的快乐就是ASAP的一切。尽管不可能十全十美,但ASAP团队尽了最大努力经营一个成功的市场,并履行了所有承诺。
该声明赢得了大多数网友的赞誉。“StuckInTheMiddleWithYou”回复道:“很少有市场能够跻身榜首,能够信守对客户的承诺的市场也更少。为此,您值得永远的尊重和认可。”;“FokkingFire420”回复:“ASAP团队将永远被人们铭记。 您理所当然地在暗网传奇人物的候选名单中赢得了一席之地。”;“happyfive”回复:“感谢你,你赢得了我的尊重! 你向DN的每个人证明,你是与众不同的。”
回顾2022年ASAP Market加密货币钱包被盗的历史 诚然,根据“暗网下/AWX”长期以来对暗网的追踪监控,ASAP Market是一个优秀的暗网市场运营的案例。在2022年8月,当该暗网市场钱包被盗后,为客户弥补了资金的损失,因此能够在充满了谎言与欺骗的暗网中,赢得了大家的认可。
这里给大家回顾下ASAP暗网市场加密货币钱包被盗的历史,当时修复漏洞后,LeChacal在Dread发布主题帖“ASAP已恢复上线,提款功能已启用,已修补漏洞。”,帖子内容是:
正如我们承诺的那样,我们已经修补了漏洞,现在您可以顺利取款了。您可以下订单,也可以存入新的资金。还有一件事,我们已经更改了所有存款地址。现在每个人都有了新的存款地址。请不要在旧地址存款,您的钱包将无法注册,并将永久丢失。
在此,我不想详述一切细节,也不想透露我们在这次灾难中损失的硬币的确切数量。我只想告诉大家,我们损失了大量加密货币。在这种损失之后,大多数市场都会退出,但我们还在这里。我们本可以通过使用冷钱包和手动取款来避免这种情况,但我们不想让供应商等待他们的资金。冷钱包和手动提现可确保资金百分之百的安全,但如果管理员发生意外(意外死亡、COVID-19 或其他情况),也会给所有供应商造成巨大损失。您的钱比我们的舒适度更重要。我们付出了代价。无论如何,这是商业的一部分,这样的事情时有发生。最后,我们与您同在,并承诺尽可能长久地忠诚于您。
感谢大家对我们的信任。
感谢大家对我们的信任。
感谢大家使用我们。
如果您能继续支持我们,我们将不胜感激。
臭名昭著的网络犯罪中心BreachForums在被联邦调查局查封后,可能会以相同的域名重新上线。黑客声称已经重新获得了明网域名的访问权,而暗网版本仍处于拉锯战中。
“暗网下/AWX”昨天根据媒体报道,第二版BreachForums的两名管理员Shinyhunter和Baphomet已经被FBI逮捕。但是经过多个消息源确认,Baphomet是第一版BreachForums的管理员,也是第二版BreachForums的创建者,确已被FBI逮捕,但是Shinyhunter是个黑客团伙,应还逍遥法外。
黑客组织ShinyHunters——BreachForums的主要管理员表示,他们已经于2024年5月16日重新获得了对BreachForums论坛明网域名BreachForums.st和暗网域名的访问权限。这还包括托管域名和一个停放域名 Breached.in。
BreachForums管理员ShinyHunters声称已从FBI手中收回域名 ShinyHunters透露,BreachForums管理员Baphomet已被执法部门逮捕。 因此,当局获得了BreachForums整个基础设施(包括后台)的登录凭据的访问权限。
然而,上周五,ShinyHunters联系了BreachForums的域名注册商并成功重新获得了访问权限。 因此,目前BreachForums明网域名的查封通知已被删除,并替换为“网站暂时不可用”消息,并且提供了其新创建的Telegram群组的链接。
BreachForums是一个因网络犯罪、黑客攻击、数据泄露和泄密而臭名昭著的平台,就在前一天,BreachForums被联邦调查局扣押,基础设施被摧毁。2024年5月15日,所有与新版BreachForums相关的域名均显示了FBI的扣押通知。
这些网站上的通知显示,联邦调查局(FBI)、司法部(DoJ)以及来自新西兰、澳大利亚、英国、瑞士、乌克兰和冰岛的国际合作伙伴参与了此次行动。虽然这一行动被广泛流传,但各国执法机构尚未正式证实这一行动(暂未发布官方公告)。
此外,ShinyHunters声称自己与当局均拥有暗网域名的私钥,双方都可以通过该私钥创建暗网网站,因此本站(anwangxia.com)认为,预计双方之间会发生拉锯战,除非某一方彻底放弃使用。
BreachForums已经关闭,新论坛即将上线 网络犯罪的循环往复有增无减。 当局捣毁了一个论坛,但几天之内又出现了另一个论坛。 这种趋势在BreachForums的案例中表现得很明显。 BreachForums的一名成员和臭名昭著的威胁行为者USDoD已宣布计划以相同的主题和形式复活该论坛,但使用不同的名称。
USDoD称,新论坛将被称为BreachNation,而不是BreachForums。 这反映了RaidForums的倒闭和BreachForums随后出现的模式。 然而值得注意的是,前BreachForums管理员Pompompurin沿着这一模式并没有好下场,他在纽约被捕并被判处20年监管释放。
总部位于纽约的自动化 SaaS 安全服务提供商 DoControl 的联合创始人兼首席风险官 Omri Weinberg 对此评论道:“尽管FBI成功查封了BreachForums,但它的迅速重新出现并不令人意外,因为它以前就曾重现过,这反映了执法部门在数字时代面临的持续挑战。“
Omri警告说:“虽然执法部门可以暂时瓦解这些非法活动,但网络犯罪分子针对基础设施和经济利益的动机依然强劲,而BreachForums的重新出现意味着之前被泄露的数据可能再次面临暴露的风险。”
他还建议,“组织必须积极主动地监控和保护其数字资产,确保他们有适当的流程来评估暴露数据的重要性并做出适当的反应。”
BreachForums管理员Baphomet被逮捕的思考 “暗网下/AWX”分析,BreachForums的访问可以通过明网域名(BreachForums.st)以及暗网域名(breachedu76kdyavc6szj6ppbplfqoz3pgrk3zw57my4vybgblpfeayd.onion),然后在后端有一台服务器(或云服务器,或虚拟专用服务器),暗网域名无法追踪,FBI显然是通过明网域名或者后端服务器开展追踪。
针对明网域名,FBI可以向域名注册商调取域名注册信息。域名注册商可以提供域名注册者的邮箱、登录访问使用的IP地址以及支付方式。
BreachForums使用了Cloudflare的CDN服务(应是免费套餐),因此FBI可以通过Cloudflare调取注册邮箱、登录使用的IP地址以及后端的服务器真实IP。
针对服务器,FBI在通过Cloudflare调取真实IP后,可以通过司法合作向IP所在国家的服务器注册商调取购买或租赁信息,也可以获取使用者的邮箱、登录访问使用的IP地址以及支付方式。
邮箱与IP地址均可以隐藏,但不一定能做到有效隐藏,而且FBI也有追踪的方法与渠道。支付方式可以锁定到个人,哪怕是加密货币支付,通过链上追踪加密货币的来源,也可以对使用者进行锁定,除非是门罗币。
因此,逮捕Pompompurin、Baphomet之类的管理员只是迟早的事情,除非ShinyHunters成员位于俄罗斯、伊朗、朝鲜、古巴等美国无法管辖的地域,否则也将会被抓获。
“暗网下/AWX”认为,这还是应了中国那句古话:莫伸手,伸手必被捉。
BreachForums竞争者HydraForums曾经曝光了Baphomet的信息 ; BreachForums Administrators ;
`————————————————————————————————————————————‘
; ShinyHunters: ;
; RANK – Administrator ;
; EMAIL – [email protected] ;
; HASH – $argon2i$v=19$m=65536,t=4,p=1$VEUxbDEvMFVvRUJZQ25YQQ$ioLGikaXMY2NE6eykJyCWBFBQ2pR/2HxK+Ff1jbsJ40 ;
; IP – 192.42.116.196 (tor exit node) ;