自2020年1月以来,一个神秘的威胁参与者一直在向Tor网络中添加服务器,以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击。
该组织的攻击是如此的庞大和持久,以至于到2020年5月,他们运行了所有Tor出口中继的四分之一 -用户流量通过这些服务器离开Tor网络并访问公共互联网。
根据 独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份报告,在Tor团队采取三项干预措施中的第一项来淘汰该网络之前,该小组在高峰期管理了380个恶意Tor出口中继。
对比特币用户的SSL剥离攻击 努瑟努在周末写道:“他们运作的全部细节还不得而知,但是动机似乎很简单:利润。”
研究人员说,该小组正在“通过操纵流过出口中继的流量来对Tor用户进行中间人攻击”,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。
中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级到不太安全的HTTP替代方案,从而执行“ SSL剥离”攻击。
根据调查,Nusenu说,这些SSL剥离攻击的主要目标是使该组织能够替换进入比特币混合服务的HTTP流量内的比特币地址。
比特币混合器是一个网站,通过将少量资金分成零碎资金并通过数千个中间地址进行转移,然后再在目标地址重新加入资金,用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址,攻击者有效地劫持了用户的资金,而无需用户或比特币混合器的了解。
艰难的突破 研究人员说:“比特币地址重写攻击并不新鲜,但是其操作规模却很大。”
Nusenu表示,根据用于恶意服务器的联系电子邮件地址,他们跟踪了至少七个不同的恶意Tor出口中继群集,这些群集在过去七个月内被添加。
图片:Nusenu 研究人员说,恶意网络在5月22日达到380台服务器的峰值,当时所有Tor出口中继的23.95%受该组织控制,这使Tor用户有四分之一的机会登陆到恶意出口中继。
Nusenu表示,自5月以来,他一直在向Tor管理员报告恶意出口中继,并且在6月21日最近一次撤离后,威胁参与者的能力已大大降低。
图片:Nusenu 尽管如此,Nusenu还补充说,自从上次下台以来,“有多个指标表明攻击者的Tor网络出口容量仍然超过10%(截至2020-08-08)。”
研究人员认为,由于Tor项目对可加入其网络的实体没有适当的审查流程,威胁者可能会继续进行攻击。虽然匿名是Tor网络的核心特征,但研究人员认为,至少对出口中继运营商而言,可以进行更好的审查。
2018年发生了类似的攻击 在2018年发生了类似的攻击; 但是,它不是针对Tor出口中继,而是针对Tor-to-web(Tor2Web)代理-公共互联网上的Web门户,允许用户访问通常只能通过Tor浏览器访问的.onion地址。
当时,美国安全公司Proofpoint报告说,至少有一个Tor-to-web代理运营商正在悄悄地为访问打算支付赎金要求的勒索软件支付门户的用户替换比特币地址-有效劫持了付款,使受害者没有解密密钥,即使他们支付了赎金。
本周, 由自己管理多个Tor节点的网络安全专家Neal Krawetz发布了两个零日漏洞的详细信息,这些漏洞影响了Tor网络本身和Tor浏览器。
研究人员说,Tor开发人员一再拒绝解决他发现的问题,因此他决定公开这些漏洞。更糟糕的是,Kravets承诺不久将再发布三个0天漏洞,其中一个可以用来揭示Tor服务器的真实IP地址。
专家在2020年7月23日的博客中描述了第一个0day问题。在本文中,他讨论了公司和ISP如何阻止用户连接到Tor网络。为此,您只需扫描网络连接以查找Tor流量独有的特征性数据包签名。
第二个0day的漏洞 Kravets在今天(2020年7月30日)的博客文章中进行了描述。第二个漏洞还允许网络运营商检测Tor流量。但是,如果第一个问题可用于检测到Tor网络(到Tor保护节点)的直接连接,则第二个漏洞可用于检测间接连接。这些是用户与Tor桥的连接。
让我提醒您,网桥充当一种代理,将连接从用户转移到Tor网络本身。由于它们是Tor基础架构中高度敏感的部分,因此桥列表会不断更新,以使提供商更难阻止它们。Kravets写道,使用TCP数据包跟踪技术可以轻松发现与Tor桥的连接。
“在我的上一篇博客文章和这篇文章之后,您拥有执行实时数据包检查来执行策略(阻止Tor)所需的一切。专家写道,无论他们是直接连接还是使用网桥,您都可以阻止所有用户连接到Tor。
专家还说,他认为,Tor Project工程师对网络,工具和用户的安全性不够重视。他指的是他以前的经验,并尝试过多次尝试使Tor开发人员了解各种错误,这些错误最终都没有得到解决。其中:
自2017年6月起,漏洞使网站能够通过开发人员意识到的滚动条宽度检测和识别Tor浏览器用户 ;一个漏洞,允许您使用八年前发现的 Tor桥使用OR(洋葱路由)端口进行检测 ;该漏洞允许识别Tor服务器使用的SSL库, 发现于2017年12月27日 …… 2020年7月上旬,Kravets宣布他已决定最终放弃与Tor项目的合作,现在打算公开讨论这些问题。
我放弃了向Tor Project报告错误。Tor有需要解决的严重问题,他们了解许多问题,因此拒绝采取任何措施。
我正在推迟放送Tor 0days,直到抗议结束为止。(即使有bug,我们现在也需要Tor。)抗议活动开始后0天。
–尼尔·克拉维兹博士(@hackerfactor) ,2020年6月4日
网络威胁情报和违规数据库公司DataViper据称已被黑客攻击,其数据库中的违规凭证在被称为暗网的阴暗部分互联网上提供出售。
遭受黑客攻击的人声称已经窃取了8200多个数据库,其中包含数十亿用户的信息,这些信息是从过去从其他公司窃取的数据汇编而来的。
与市场上的其他几家公司一样,DataViper会收集遭到破坏的帐户凭据的详细信息,这些凭据使用户(在DataViper的情况下,企业客户和警察服务)可以检查凭据是否以前曾受到破坏。DataViper的客户中值得注意的是迪拜警察局,欧洲刑警组织和美国联邦调查局。
所谓的数据泄露如何发生的细节还不清楚。公司创始人Vinny Troia 告诉ZDNet,黑客确实可以访问DataViper的一台服务器,但是该服务器只是一个测试实例。Troia声称,由黑客提供的数据库是黑客自己的,而不是从DataViper窃取的信息,这些数据库与包括TheDarkOverlord,ShinyHunters和GnosticPlayers在内的多个黑客组织有关。
故事引人关注的地方是Troia声称骇客是个人的,因为他在今年早些时候出版了一本书,详细介绍了骇客团体的活动。此外,他声称泄漏是为了损害他的声誉而定的,之后他计划在本周晚些时候在SecurityWorld会议上针对同一批黑客发表演讲。
网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko对SiliconANGLE说:“此案似乎是一次个人报复事件,主要是为了破坏据称遭到破坏的网络安全公司的声誉。” “鉴于事件的细节,刑事调查可能会在相当大的程度上成功地发现事件链并确定攻击者。”
应用程序安全平台提供商WhiteHat Security Inc.的首席解决方案架构师和联盟的雷·凯利(Ray Kelly)指出,这次黑客攻击说明了没有组织能够避免潜在的数据泄露。他说:“在这种情况下,一家网络安全公司几个月来都没有发现其网络内的恶意行为者。” “它还显示了使用从Web应用程序安全到可能已捕获到此类东西的入侵检测系统的多层安全的重要性。”
根据Privacy Affairs的说法,信用卡详细信息,在线银行登录名和社交媒体凭据可以在暗网中以低廉的价格获得。
网上银行登录的平均费用为$ 35完整的信用卡详细信息,包括相关数据,价格为$ 12-20可以获得身份盗窃的全套文件和帐户详细信息,价格为1,500美元 可以订购包括驾照,护照和自动保险卡在内的伪造文件,以匹配被盗的数据。
研究小组 扫描了 暗网市场,论坛和网站,以创建与个人数据,伪造文件和社交媒体相关的一系列产品和服务的价格指数。
网上银行登录的平均费用为$ 35 网上银行凭证通常包括登录信息,以及帐户持有人的姓名和地址,以及未发现的有关如何访问帐户的特定详细信息。
完整的信用卡详细信息,包括相关数据费用:12-20美元 信用卡详细信息通常采用简单的代码格式,包括卡号,关联的日期和CVV,以及帐户持有人的数据(例如地址,邮政编码,电子邮件地址和电话号码)。
可以获得身份盗窃的全套文档和帐户详细信息,价格为$ 1285。
犯罪分子可以额外花费950美元转换美国护照的欧洲身份证,使总数达到2,235美元,以便足够的数据和文件来进行任何数量的欺诈交易。
在受感染的系统上普遍存在恶意软件安装 一次可在1000台计算机上远程安装软件,使犯罪分子可以利用恶意软件(如勒索软件)在各个国家/地区将目标锁定在公众上,成功率达到70%。
被盗数据很容易获得 公众不仅需要意识到身份盗用威胁的普遍性,而且还需要通过 在日常生活的各个方面进行尽职调查来减轻这种威胁 。
几乎每天都不会有新的网站和服务被黑客入侵的报告,也没有公司通过不安全的数据库公开客户数据的消息,但是总共窃取了多少个帐户凭据是个谜。
尽管它无法回答盗窃了多少个帐户凭据,但Digital Shadows Ltd.今天进行的一项新研究 对在暗网中出售的帐户凭据数量进行了统计,深色网络可以通过以下途径访问专用软件:150亿个。
该数字发布在新的白皮书 “从曝光到接管:150亿个被盗凭证允许帐户接管”中,这是通过Digital Shadows的安全研究人员对暗网中的犯罪市场进行18个月的审计而得出的。该研究发现,自2018年进行上次审核以来,流失的用户名和密码的数量已增加300%,其中150亿条记录来自100,000个数据泄露。
在150亿条记录中,据说50亿条是独一无二的。发现大多数记录属于消费者,个人记录平均售价为15.43美元。发现包括银行或其他金融帐户的记录是最有价值的,平均每条记录为70.91美元,其中约有25%的深色网络广告提供了此类记录。
可以使用防病毒程序的帐户也很受欢迎,每个帐户的平均价格为21.67美元,而访问媒体流帐户,社交媒体,文件共享,虚拟专用网络和成人内容网站的价格都在10美元以下。对组织关键系统的访问权交易费用很高,同时还发现许多用于域管理访问权的广告。在许多情况下,它们被拍卖给最高出价者,价格从500美元到120,000美元不等,平均价格为3,139美元。
研究人员还注意到“帐户接管即服务”的增长,在这种情况下,犯罪分子无需购买凭证,而是可以在给定的时间内租用一个身份,通常花费不到10美元。
首席信息安全官兼副总裁Rick Holland表示:“可用凭证的数量惊人,在过去的1.5年中,我们已经确定并提醒客户注意大约2700万个凭证,这些凭证可能会直接影响到它们。”声明称,Digital Shadows的战略。“这些公开帐户中的某些帐户可以(或访问)非常敏感的信息。一次违规暴露的细节可以重新用于破坏其他地方使用的帐户。”
他补充说,信息很简单:“消费者应为每个帐户使用不同的密码,组织应跟踪可能危害其员工和客户详细信息的地方,从而领先于犯罪分子。”
数字身份公司ForgeRock Inc.认证的信息系统安全专家,全球业务和企业发展高级副总裁Ben Goodman 告诉SiliconANGLE,密码已成为数十年来的主要认证方法,大多数用户平均拥有130多个在线帐户。
他说:“用户不太可能会记住130组独特的登录凭据,因此,大多数人选择在大多数(甚至不是全部)帐户中重用相同的密码和用户名。” “事实上,已经被网络钓鱼攻击所骗的人中,仍有57%仍未更改其密码,从而使欺诈者能够利用一个帐户中的受损登录凭据来访问具有更多关键数据的其他配置文件,包括银行和医疗保健信息。”
他的建议:组织必须认识到密码和用户名的安全风险,并采用技术来启用无密码和无用户名的登录。
据Digital Shadows网络安全研究人员称,包括银行账户和网络管理员账户在内的逾150亿条各类账户信息在暗网上“待价而沽”,其中有些信息甚至可供免费访问。
许多账户被多次分享,表明用户不知道自己的账户已遭到攻击。即使信息存在重复,在暗网上“待价而沽”的“独立”账户超过50亿个。
Digital Shadows表示,售价最高的是机构的系统管理员账户信息,其中价格最高可以达到12万美元,这类账户信息的平均售价为3139美元。不过,获取这类账户信息的犯罪分子,通常会对被攻击的组织“狮子大开口”,所以他们认为这样的价格“物有所值”。
在消费类账户信息中,银行账户信息价格最高,平均为70.91美元(约合人民币500元)。利用这类信息,犯罪分子通常可以窃取用户银行账户中的钱财,甚至能申领信用卡、申请贷款。
令人颇感意外的是,价格第二高的消费类账户信息是杀毒软件账户,平均价格为21.67美元——远低于正常的杀毒软件年费。
流媒体服务、VPN、文件共享和社交媒体账户信息的价格都不足10美元。
研究人员称,暗网上出现大量账户信息的原因,是人们采用了低强度的密码,这样的密码很容易遭到暴力破解工具破解。
消费者和机构可以用来提高网络账户遭到攻击难度的一个途径,是为每种服务设置唯一的密码。
用户还应当采用多因子认证安全技术,一旦密码遭到破解,系统会提醒用户。
宝马发布安全补丁,解决允许攻击者物理进入车辆的错误。 总部位于特拉维夫的一家暗网威胁情报公司KELA称,KelvinSecurity Team黑客组织正在地下论坛上出售英国384,319名宝马车主的数据库。
黑客组织上周试图出售与美国商业咨询公司Frost&Sullivan有关的数据库,该组织使BMW数据可用,包括姓名的首字母和姓氏,电子邮件,地址,车辆编号,经销商名称以及其他信息。
KELA告诉SC Media KelvinSecurityTeam在地下论坛上非常活跃,仅在2020年6月就提供了16个数据库的出售,其中包括与美国政府承包商和俄罗斯军事武器开发有关的数据。此外,据报道,该组织免费倾销了28个影响墨西哥,伊朗,美国,澳大利亚,瑞典,法国和印度尼西亚等实体的数据库。 KELA说,它还在一个地下论坛上找到了一个要出售的业主数据库。
据KELA称,威胁者声称宝马数据来自“呼叫中心”,该呼叫中心管理着不同汽车供应商的客户。KELA说,它获得了数据库,发现它包含了2016年至2018年的近50万条客户记录,这也影响了其他汽车制造商的英国车主,包括梅赛德斯,西雅特,本田和现代等。
CTV新闻报道,温尼伯一名女子因试图在美国购买生化武器被判刑,现已被北达科他州警方逮捕。
根据法院记录,这名女子现年37岁,是安省温尼伯华裔居民刘诗洁(音译:Shijie Liu)。刘诗洁在2019年2月15日到3月15日间,通过暗网试图购买一种剧毒化学药剂和包括口罩,围裙,手套等处理该化学药药剂的防护设备。而刘诗洁联系的卖家,正是潜伏在暗网的FBI探员。
法庭文件没有具体说明该剧毒化学药剂的名称,目前也尚未有资料透露,刘诗洁购买化学武器是什么用途。但是显示刘诗洁承认自己购买的计量为10毫升。
根据刘诗洁的认罪协议,她于去年3月驾驶一辆带着拖车的白色斯巴鲁森林人SUV,以在Grand Forks购物一日游理由,通过Pembina边境前往美国。但在出境时,边境官员发现她的车后装满了很多可疑包裹。对包裹进一步检查后,边境官员发现刘诗洁使用的是假身份:刘朱莉,并谎称自己的包裹是帮朋友拿的。美国当地警方随即逮捕了刘诗洁,并将她车内的包裹送往国土安全部。
刘诗洁在被捕后承认了自己的罪行并主动表示“我知道自己做错了”。6月22日,刘诗洁因企图获取化学武器被美国北达科他州法院宣判六年有期徒刑,并将其关押在当地监狱,直到可以转移到加拿大服刑为止。
LocalBitcoins声称,在2019年9月通过AML和KYC规定后,平台上与暗网相关的交易下降了70%。
据称,LocalBitcoins是主要的点对点(P2P)加密货币交易所,据称已成功在2020年大幅减少了其平台上的犯罪资金量。
LocalBitcoins称,P2P平台在2019年9月至2020年5月之间的暗网市场交易量下降了70%以上。
LocalBitcoins的首席营销官Jukka Blomberg告诉Cointelegraph,这一下降是为了响应该平台于2019年9月通过的反洗钱和了解您的客户法规。
该公司表示,这些计算是基于主要加密分析公司Elliptic的区块链分析以及LocalBitcoins自己的“集群工具”。
尽管2019年比特币交易崩溃,跌幅仍然显着 与暗网相关的交易减少70%似乎微不足道,因为LocalBitcoins 在2019年经历了比特币(BTC)交易量的大幅下降。因此,该交易所的每周比特币交易量从2019年1月的近14,000 BTC下跌至大约根据Coin Dance的数据,2020年1月为4,000 BTC 。
然而,在2019年9月至2020年5月之间,LocalBitcoins的BTC交易量仅下降了20%,从每周交易的平均5,000 BTC降至4,000 BTC。
LocalBitcoins上的全球BTC交易量。资料来源:coin.dance LocalBitcoins表示最近几个月健康增长 布隆伯格说,除了在解决平台上的非法交易方面取得明显进展外,LocalBitcoins的性能也有所提高。“从过去的2-3个月来看,我们已经看到了健康的增长趋势,并且在所有地区都在发生,这再次表明需求很大,”这位高管补充说。
LocalBitcoins表示,自2020年初以来,他们的新客户注册量已激增50%以上,从大约4,000个新的每日注册到6,000多个。Blomberg指出:“新客户数量的快速增长自然标志着LocalBitcoins的需求健康,而且潜力巨大。” 分析人士说,LocalBitcoins是非法交易的主要场所 一些加密分析师认为,LocalBitcoins促进了大量非法金融交易。
根据CipherTrace 的最新报告,LocalBitcoins在2020年的前五个月中获得了芬兰交易所中超过99%的犯罪资金。该公司还表示,芬兰交易所连续第三年收到的犯罪BTC份额最高,所有BTC中有12%直接来自犯罪来源。
2020年初,威胁情报公司IntSights 发布了另一份报告,声称像LocalBitcoins这样的P2P平台正在助长洗钱活动。该初创公司详细说明,此类非法活动通常与法规的严重缺乏有关。
布隆伯格说,作为一家芬兰公司,LocalBitcoins仅与芬兰当局就加密货币法规进行合作。去年,LocalBitcoins 表示芬兰正在根据欧盟的AML法规,积极与修订其反洗钱法案的新立法合作。
利用Telegram的内置联系人导入功能,可以将数百万用户的个人数据泄漏到Darknet上。
Telegram是一款主要关注用户隐私的聊天工具,已遭受数据泄露,使用户在暗网上暴露了一些个人数据。
一个包含数百万电报用户个人数据的数据库已发布在Darknet论坛上。俄语语言技术出版物Kod.ru于周二首次报道了此问题。
根据该报告,该数据库包含电话号码和唯一的电报用户ID。目前尚不清楚在数据库文件约为900兆字节时泄漏了多少用户数据。
数据库中约40%的条目应该是相关的 据报道,Telegram已经承认Kod.ru泄漏了数据库。据报导,该数据库是在注册时利用Telegram内置的联系人导入功能收集的。
Telegram指出,泄漏的数据库中的数据大多数已过时。根据该报告,数据库中84%的数据条目是在2019年中之前收集的。因此,Telegram在报告中声明,至少有60%的数据库已过时。
此外,泄漏的帐户中有70%来自伊朗,其余30%来自俄罗斯。Telegram说,所有基于电话的应用程序都容易受到此类攻击。
在接受Cointelegraph采访时,Telegram的一位发言人强调指出,所报告的漏洞对于所有基于联系人的信使都是一个主要问题。其中包括该公司最大的竞争对手WhatsApp。该代表说:
“与其他基于电话的Messenger(Facebook Messenger,WhatsApp,Viber)一样,Telegram允许您查看哪些联系人也在使用该应用程序。不幸的是,任何基于联系人的应用程序都面临着恶意用户试图上传许多电话号码并建立与用户ID匹配的数据库的挑战,就像这样。
发言人还强调,泄漏的数据库仅包含电话号码和电报用户ID之间的连接,并且尚未访问任何帐户。“没有密码,没有消息或其他敏感数据,” Telegram阐述道。
只是最新的泄漏 这不是Telegram用户电话号码被泄露的第一个实例。2019年8月,香港激进分子报道了一个漏洞,该漏洞暴露了他们的电话号码,使中国执法机构能够追踪抗议者的身份。
为了应对该漏洞,Telegram在2019年9月扩展了用户隐私工具。Telegram 引入了一项功能,使用户可以向任何人都不显示其电话号码。该功能的说明如下:
“如果将“谁能看到我的电话号码”设置为“没人”,则会在下面显示一个新选项,使您可以控制已拥有该号码的人的可见性。将可以通过我的号码找到我的人设置为“我的联系人”将确保将您的号码添加为联系人的随机用户无法将您的个人资料与该号码匹配。”
该报告是在俄罗斯当局取消对该国电报应用程序的两年禁令之后不久的。