暗网交易:搜索引擎之外的至暗空间

暗网纵论
暗网通常被认为是和非法活动关系紧密,为犯罪分子提供低风险的协作平台,和挑战“边界”的机会。基于匿名通信系统的隐蔽网络发展至今,已经具有了复杂的形态。不过,不只是犯罪分子依赖暗网的匿名性,执法人员、军事机构和情报机关也需要利用暗网,他们可以对暗网进行在线监控、钓鱼执法以及保护匿名的情报渠道、绝密计划。 暗网被长期频繁用作非法交易平台,维持其稳定运营与发展的要素与暗网市场信任构建机制有紧密联系。理解暗网市场交易过程的复杂性,探究影响暗网交易活动的信任机制,对了解并破坏暗网交易环节,为维护网络空间秩序,构建和谐的数字治理体系,有重要的参考意义。 1.暗网:从表层网络下探的空间 2006年,第一个“家喻户晓”的“暗网”——“农夫市场”(The Farmer’s Market) 诞生。美国缉毒局 (DEA) 数据显示,自2006至2009年,“农夫市场”在美国全部50个州和其他34个国家、地区发展用户逾3000人。至2011年,年交易总额突破100万美金。“农夫市场”经营几乎所有种类的违禁品,其中又以毒品和管制药品为主,靠提取佣金维持暗网运转,全盛时期号称“非法交易领域的亚马逊”。2012年4月,美国缉毒局和荷兰、哥伦比亚、苏格兰等当地警方和情报部门合作,击溃“农夫市场”并逮捕马克·威廉姆等不同国籍的八名组织者。2014年9月,创建者威廉姆以贩毒、洗钱罪名被判处有期徒刑10年,其余7人除1人死于狱中外均被定罪。 2013年10月,销售非法药品、提供恶意软件和盗版媒体等数字商品、伪造证件、提供非法入侵计算机服务的“丝绸之路(Silk Road)”被查封,其创建者乌尔布里特被判处终身监禁,这一事件让“暗网”再次浮出水面,引起关注。 暗网又称隐蔽网络,隐藏的服务器,包含于“深网”之中,与表层网相对,它存在于隐蔽网络中的万维网,传统搜索引擎无法抓取到的内容,需要特殊的软件、配置或权限才能登入。值得注意的是,万维网(World Wide Web)和互联网(Internet)并不是同义词,万维网只是互联网的一部分,而我们能通过传统搜索引擎搜索到的网站也仅仅是万维网的一部分——表层网。暗网的域名数量是表层网络的400倍到500倍,访问者在上面不会留下任何痕迹,暗网中包含的被刻意隐藏的内容可能被用于合法目的,也可能被用于隐藏犯罪行为或其他恶意活动,对暗网的利用已经引起有关部门和学者们的注意。 目前最为流行与实用的匿名通信系统Tor(洋葱路由简称),是个人访问暗网的常用方式。Tor的通信依赖于使用该软件的志愿者计算机节点组成的网络,用户的所有网络流量将通过该网络的一系列其他用户的计算机节点加密传输,使流量不能追溯到原始用户。通过建立“隐藏服务”,服务提供者与服务请求者在整个通信过程中彼此匿名,基于Tor的暗网正是采用该协议,维护暗网使用者的匿名性。 用户在暗网中,可使用隐蔽的目录网页浏览分类百科内容,使用隐蔽搜索引擎对违禁品等交易内容进行搜索,也可以使用隐蔽论坛、隐蔽聊天室、隐蔽电子邮件,通过私人搭建的通信方式进行交流。正如学者们所说:“相当大量的信息由于隐藏在深处而被搜索引擎错失,这个互联网的深层领域具有未知的广度、深度、内容和用户。”暗网为非法商品销售等活动以及罪犯、恐怖分子、间谍等一系列恶意攻击者的组织、沟通和协作提供了匿名服务和平台,令用户规避审查,访问被封禁的内容,保护敏感通信。暗网主要以比特币或其他数字货币进行交易,邮件是暗网市场的主要通信方式,对于卖家而言,客户评价是商家信誉的重要佐证。 需要指出的是,不只是犯罪分子依赖暗网的匿名性,执法人员也可以其人之道还治其人之身。其实,执法人员、军事机构和情报机关也需要利用暗网。他们可以对暗网进行在线监控、钓鱼执法以及保护匿名的情报渠道、绝密计划。暗网中的匿名性可以用来避免被审查识别和被黑客攻击,可以保障用户不被监视和窃听,可以攻击、关停非法网站,中断服务器攻击和通信。 虽然个人可能对活动进行匿名化,但研究人员已在探索利用安全漏洞渗透,去匿名化,并追踪恶意行为的方法。为在线识别恶意攻击来源,侦查访问暗网站点的网络流量的真实目的地,研究人员正不断研发可识别隐藏服务和个人的“去匿名化”技术,抵御来自暗网的犯罪势力的侵袭。暗网中的匿名性还可以用来保护战场上的军事指挥和控制系统,使其免受敌人的识别和攻击;同时,还可关停网站或中断网络攻击,拦截敌人通信;也可用于反间谍活动,散布虚假消息等。如美国国防部高级研究计划局(DARPA)高级情报研究项目(IARPA)的研究人员所探索的各种“找那些不想被发现的人”的方法。 2.双刃剑:匿名技术与暗网资源挖掘 暗网经济的发展推动匿名服务器、匿名邮箱、匿名邮寄业务等等服务的兴起。加密货币进入普通用户的视野,但加密货币在给人们带来便利的同时也为洗钱等经济犯罪行为打开了一扇新的大门,暗网市场为用户非法交易提供了更低风险的平台。未来,这些网络黑市不再是“丝绸之路”这类集中管理的网站,而是将商品、信息、支付、反馈流程分散,更加难以撬动的形式。 暗网资源信息的数量和质量都优于表层网络,对这些资源信息的需求使得研究人员们不断探索能够高效填充暗网查询接口,获取暗网资源的方法。如南开大学的学者对暗网资源信息按照领域进行分类,包括金融、互联网、文学、化学等十几个类别,并各自包含详细子类。暗网可以通过许多网络上去中心化的匿名节点访问,包括Tor或I2P,在使用这些匿名交流工具时,用户的IP地址一直保持隐藏,与任何目标网站的连接显示的IP地址可以在实际上的任何地方,因此难以捕捉用户来源和位置。使用Tor时,网站网址会更改格式,网站通常以“ion”后缀结尾,标识“隐藏的服务”,而不是以.com、.org、.net等结尾。当使用Tor搜索网络时,通常会显示一个洋葱图标Tor浏览器,该服务最大的缺点是慢。 2017年美国国会研究服务局公布的《暗网报告》中称,美国每日Tor用户平均数量为353783人,占每日Tor用户平均总量的19.2%。美国Tor日均用户数量最多,其次是俄罗斯(11.9%),德国(9.9%)和阿联酋(9.2%)。而暗网上的交流方式,个人用户通常会选择以社交新闻网站Reddit入手,在该网站中的暗网子版块常常会提供暗网入口,且该网站为用户讨论开辟了一个平台,但并不加密或匿名。希望使用更安全通信形式的个人可以选择使用Tor上托管的电子邮件,网络聊天室或私人搭建的通信,许多匿名的即时聊天室都托管在Tor上,一些不要求用户提供任何信息,也有一些需要用户通过电子邮箱注册。 暗网的匿名性与不可追溯性使得任何使用者在接入暗网时都会实时处于匿名状态,而不会向服务器泄露身份,包括进行非法活动的犯罪分子。如2016年某暗网交易平台官网受到黑客攻击,导致数据库中大量信息被泄露,无数信用卡信息和上千用户账号被窃取,“黑吃黑”的攻击不仅影响到网络犯罪团伙的门户网站,还影响到数据原本的持有者。 但匿名服务也并不是非法活动“畅行”网络的绝对利器。2011年10月,著名黑客组织Hacktivist就曾发起一场针对暗网的攻击行动,摧毁了一个在Tor上运营的名为Freedom Hosting的网站,该网站托管了40多个儿童色情网站。Hacktivist获取了该网站的用户数据库,使得美国联邦调查局对应追踪到个人真实身份,目前已成功对其中185人提出刑事指控。 3.暗网支付:非法活动的冰山一角 除了使用者的匿名和不可追踪之外,暗网世界的交易者还需要解决交易结算的匿名问题。由于各国对于银行系统都有严密的监控手段,基于暗网的犯罪行为经由传统银行账户实现交易结算势必会招致银行系统的追踪风险。有学者认为,比特币等虚拟货币的兴起,则恰好解决这个问题。 作为一种支付媒介,比特币自出现以来,就让大众对其匿名性和隐私性印象深刻。在数字公共总账的每一个比特币付款记录都被称作区块链,区块链记录比特币在用户之间的转移(实质是一种交易)。区块链是一种分布式的记账技术,每一笔交易都会记录在上面,每一个接入区块链的都会有这个账本,所以比特币本身又具有一定的透明性,因为每个人都会获得交易记录。虽然比特币钱包有唯一的编码标识符,但它并不指向交易者当事人的身份,因此无法知道背后的交易者究竟是谁。 比特币诞生于2009年,但诞生之初的比特币仅仅是一种加密数字。直到2010年的“比特币比萨日”,一名美国程序员用1万枚比特币购买了价值30美金的比萨,才令比特币第一次获得0.003美金的价值。2011年“丝绸之路”诞生,加密货币正式成为暗网市场的“官方”流通货币。解决了暗网市场的交易者交易结算的匿名问题,使犯罪行为摆脱被传统金融系统追踪的风险。 简而言之,比特币是一种去中心化的数字货币,使用匿名的点对点交易。用户的地址关联并存储在“电子钱包”中,其中包含个人的“私人密钥”——一串秘密号码,允许该人员从对应的电子钱包中花费比特币,类似于密码。交易地址和加密签名用于验证交易,钱包和私人密钥不记录在公开分类账簿中,电子钱包可以托管在网络上。 由于比特币没有发行机构,也就不存在像普通货币一样被冻结的危机,因此成为犯罪分子进行勒索的新方式。2017年5月,流行全世界的Wanna Cry勒索病毒,病毒制造者锁定“中毒”用户,要求支付一定数额的比特币作为解锁的代价。 暗网通常被认为和非法活动关系紧密,为犯罪分子提供低风险的协作平台,如利用匿名聊天室和通信服务来规划犯罪,散布犯罪技巧。各种违禁品、赃物以及被盗取的信息等均可以出售获利。 前两年发生的Facebook泄露用户信息事件,有黑客透露相关用户信息在暗网中的销售金额十分廉价,真正抢手的信息还是银行账户及密码。打击恐怖组织的黑客组织Ghost Sec就曾追踪到一个价值300万美金的比特币钱包,证实虚拟货币已经成为恐怖组织筹集资金的渠道之一。 然而,关于银行账户及密码这部分暗网网站的活跃度数据紧缺,据估计,只有约1.5%的Tor用户能够访问隐藏服务网页或暗网网页,有多少Tor流量会流向任何这些网站尚不可知。普通用户很难触及这些网站的边界,有些网站必须要用户获得邀请码才能访问。 同时,暗网为犯罪分子提供了挑战“边界”的机会,包括物理边界,物理—网络边界,和网络边界。只要网络可以触及的地方,就有犯罪的可能。大量研究倾向于将暗网描述成非法活动的“避风港”,并呼吁对暗网进行监管以减少滋生犯罪的可能。基于暗网接入容易、隐匿性强、交易方式特殊、交易内容对公共安全危害性大的特点,暗网极易成为淫秽信息传播渠道、非法物品交易平台及恐怖主义的避风港,部分研究人员认为完善暗网监管机制首先要加强关于暗网的宣传信息防控,加强对物流行业的监管,以及提高用户保密意识。也有学者认为,暗网问题很难解决,其中最重要的一点是跨国犯罪的复杂性与匿名机制使得暗网所构成的威胁不受地域限制,尤其是区块链技术的优点给暗网的犯罪活动提供了极大的便利。针对暗网恐怖主义犯罪进行研究的学者认为,纵然相对表层网上的犯罪活动,暗网的犯罪分子在方式和手段上呈现更强的隐蔽性,但为提高匿名和安全程度,用户需要经常更新工具,并需要熟悉各种辅助软件,由此提升了利用暗网的技术门槛,因此暗网犯罪活动在功能上具有辅助性,并非犯罪活动猖獗的“罪魁祸首”。 4.暗网卖家:如何构建信任 尽管信任是非常私人的情感,暗网的卖家在匿名技术的“保驾护航”下,也必须通过构建和买家之间的信任,扩大自己的用户群体,为自己的产品、技术和服务进行营销。名声对于暗网卖家而言,和表层网及现实中的买家同样重要。对于无法进行当面交易,也不存在任何交易法规约束的暗网,买家通常情况下本应无法与卖家建立信任。但实际情况恰恰相反,不发货或出售次品的情况在暗网上鲜少发生,且基于卡耐基梅隆大学的学者Nicolas Christin利用8个月的时间对“丝绸之路”上的184804条反馈意见进行的研究,暗网上产品的好评率高达97.8%。 像Airbnb房东或表层网购平台卖家一样,在暗网中的“供应商”中也非常注重自己“品牌”的声誉以及客户满意度。一般而言,暗网的供应商界面会包含如下信息:完成交易总量,供应商注册时间,供应商上次登录时间,供应商其他重要化名,竞争优势,退款策略,邮资,运送方式。确保即便买家最终不会购买他们提供的商品,也会对该卖家的可信度留下深刻印象。 事实上,暗网中使用的营销策略是一种对普通电商营销策略的模仿。他们不仅会在页面上呈现产品图片,并标注价格,发货地,送货地,库存,创建和更新时间,卖家评价等,而且还会有折扣活动(如买二赠一),会员特价及附加优惠,为不满意的买家提供退款保证。暗网卖家甚至也会通过“库存有限”“限时供应”等营销技巧来促进销售。一些急于占据市场或新成立的供应商会通过提供“免费样品”“全网最低”“评价交易”等服务,树立“品牌”形象,也会通过设立暗网中的“节日”来推进促销活动。比如,暗网中也会庆祝“黑色星期五”而进行折扣活动等。暗网市场的未来并非依赖于匿名网络、比特币,或是其他加密手段,真正能留住客户的还是极佳的用户服务和体验。 竞争力、可信度与真诚,是暗网卖家建构信任的三个基本要素。为了突出可靠,买家鼓励卖家在评论里对回复速度,沟通是否流畅,运送货物的方式是否足够安全作出评价。买家的反馈信息无论正面还是负面,都无法被删除。“良好的信用机制”吸引卖家从线下市场转向暗网。通常来说,我们不会把暗网等同于普通的网络社区,但暗网市场确实存在强烈的社区意识,如用户会在Reddit(社交媒体平台)上的社区进行分区聊天,公开谴责令其不满意的暗网卖家。正如美国管理和信息专家詹姆斯·马丁在他的暗网毒品研究中阐述,暗网有其自己的秩序,暗网中的用户也以诚信标准审视他人的行为,无须依赖经验或是个体的评价,而是可以依靠整个暗网社区的群体判断来进行选择。 一些相关产业应运而生,如一些网站会利用专业检测人员提供对暗网中出售的药物进行随机测试的服务。如某暗网网站上面还会即时更新好评率最高的暗网市场排名及产品检测进度。用户可将购买的样品送到一个由社区自主成立的药物测试实验室进行检测,随后他们会把检测结果反馈给用户,无论是“偷工减料”还是“以次充好”,结果都会公布在这一网站上,披露销售此类产品的供应商信息,不被信任的供应商将被驱逐出暗网市场。 正如前文所述,在数字公共总账的每一个比特币付款记录都被称作区块链,区块链记录比特币在用户之间的转移。这种分布式的记账技术,使得暗网可以构成独立的虚拟社会,拥有自己独立、封闭的信用体系,不受线下信用系统的控制,也难以被监管犯罪行为的手段所追踪。 日前,美国证券交易委员会官员发表声明称比特币和以太币都不属于证券,在此前,他们也对比特币交易风险对用户发出警告。我国政府全面禁止比特币等虚拟货币ICO(首次币发行,区块链术语),使得加密货币在主流市场的交易前景扑朔迷离。尽管受到流通的束缚,投资者对比特币未来发展仍抱持期许,寄望于通过限制加密货币退出交易的手段削弱暗网交易及其隐蔽性,显然不妥。 (作者:邓冰,单位:北京大学新媒体研究院)

一个神秘组织劫持了Tor出口节点以进行SSL剥离攻击

暗网动态, 美国暗网动态
自2020年1月以来,一个神秘的威胁参与者一直在向Tor网络中添加服务器,以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击。 该组织的攻击是如此的庞大和持久,以至于到2020年5月,他们运行了所有Tor出口中继的四分之一 -用户流量通过这些服务器离开Tor网络并访问公共互联网。 根据 独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份报告,在Tor团队采取三项干预措施中的第一项来淘汰该网络之前,该小组在高峰期管理了380个恶意Tor出口中继。 对比特币用户的SSL剥离攻击 努瑟努在周末写道:“他们运作的全部细节还不得而知,但是动机似乎很简单:利润。” 研究人员说,该小组正在“通过操纵流过出口中继的流量来对Tor用户进行中间人攻击”,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。 中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级到不太安全的HTTP替代方案,从而执行“ SSL剥离”攻击。 根据调查,Nusenu说,这些SSL剥离攻击的主要目标是使该组织能够替换进入比特币混合服务的HTTP流量内的比特币地址。 比特币混合器是一个网站,通过将少量资金分成零碎资金并通过数千个中间地址进行转移,然后再在目标地址重新加入资金,用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址,攻击者有效地劫持了用户的资金,而无需用户或比特币混合器的了解。 艰难的突破 研究人员说:“比特币地址重写攻击并不新鲜,但是其操作规模却很大。” Nusenu表示,根据用于恶意服务器的联系电子邮件地址,他们跟踪了至少七个不同的恶意Tor出口中继群集,这些群集在过去七个月内被添加。 图片:Nusenu 研究人员说,恶意网络在5月22日达到380台服务器的峰值,当时所有Tor出口中继的23.95%受该组织控制,这使Tor用户有四分之一的机会登陆到恶意出口中继。 Nusenu表示,自5月以来,他一直在向Tor管理员报告恶意出口中继,并且在6月21日最近一次撤离后,威胁参与者的能力已大大降低。 图片:Nusenu 尽管如此,Nusenu还补充说,自从上次下台以来,“有多个指标表明攻击者的Tor网络出口容量仍然超过10%(截至2020-08-08)。” 研究人员认为,由于Tor项目对可加入其网络的实体没有适当的审查流程,威胁者可能会继续进行攻击。虽然匿名是Tor网络的核心特征,但研究人员认为,至少对出口中继运营商而言,可以进行更好的审查。 2018年发生了类似的攻击 在2018年发生了类似的攻击; 但是,它不是针对Tor出口中继,而是针对Tor-to-web(Tor2Web)代理-公共互联网上的Web门户,允许用户访问通常只能通过Tor浏览器访问的.onion地址。 当时,美国安全公司Proofpoint报告说,至少有一个Tor-to-web代理运营商正在悄悄地为访问打算支付赎金要求的勒索软件支付门户的用户替换比特币地址-有效劫持了付款,使受害者没有解密密钥,即使他们支付了赎金。

法国警方宣布逮捕“暗网”恋童癖网站运营者

其他国家动态, 暗网动态
法国检察官周一说,警方逮捕了一名涉嫌在秘密的“暗网”互联网上经营恋童癖网站的男子,该网络向全世界成千上万的人提供色情录像和图片。 检察官称,7月7日在西南城市波尔多附近被捕的40岁男子是全球打击儿童性犯罪行为的当局的“十大目标之一”。 波尔多检察官弗雷德里克·波特里(Frederique Porterie)说,嫌疑人似乎还“在制作儿童色情图片和录像中扮演了积极角色”。 Porterie说,在接受讯问之后,他还被指控对未成年人进行了乱伦强奸,并对一名15岁的年轻人进行了性骚扰。 她补充说,犯罪嫌疑人承认对他的指控。 法国警察及其专门的反暴力机构的调查员与欧盟的欧洲刑警组织共同工作。

“黑客”披露了Tor和Tor浏览器两个0day漏洞

暗网动态, 美国暗网动态
本周, 由自己管理多个Tor节点的网络安全专家Neal Krawetz发布了两个零日漏洞的详细信息,这些漏洞影响了Tor网络本身和Tor浏览器。 研究人员说,Tor开发人员一再拒绝解决他发现的问题,因此他决定公开这些漏洞。更糟糕的是,Kravets承诺不久将再发布三个0天漏洞,其中一个可以用来揭示Tor服务器的真实IP地址。 专家在2020年7月23日的博客中描述了第一个0day问题。在本文中,他讨论了公司和ISP如何阻止用户连接到Tor网络。为此,您只需扫描网络连接以查找Tor流量独有的特征性数据包签名。 第二个0day的漏洞 Kravets在今天(2020年7月30日)的博客文章中进行了描述。第二个漏洞还允许网络运营商检测Tor流量。但是,如果第一个问题可用于检测到Tor网络(到Tor保护节点)的直接连接,则第二个漏洞可用于检测间接连接。这些是用户与Tor桥的连接。 让我提醒您,网桥充当一种代理,将连接从用户转移到Tor网络本身。由于它们是Tor基础架构中高度敏感的部分,因此桥列表会不断更新,以使提供商更难阻止它们。Kravets写道,使用TCP数据包跟踪技术可以轻松发现与Tor桥的连接。 “在我的上一篇博客文章和这篇文章之后,您拥有执行实时数据包检查来执行策略(阻止Tor)所需的一切。专家写道,无论他们是直接连接还是使用网桥,您都可以阻止所有用户连接到Tor。 专家还说,他认为,Tor Project工程师对网络,工具和用户的安全性不够重视。他指的是他以前的经验,并尝试过多次尝试使Tor开发人员了解各种错误,这些错误最终都没有得到解决。其中: 自2017年6月起,漏洞使网站能够通过开发人员意识到的滚动条宽度检测和识别Tor浏览器用户 ;一个漏洞,允许您使用八年前发现的 Tor桥使用OR(洋葱路由)端口进行检测 ;该漏洞允许识别Tor服务器使用的SSL库, 发现于2017年12月27日 …… 2020年7月上旬,Kravets宣布他已决定最终放弃与Tor项目的合作,现在打算公开讨论这些问题。 我放弃了向Tor Project报告错误。Tor有需要解决的严重问题,他们了解许多问题,因此拒绝采取任何措施。 我正在推迟放送Tor 0days,直到抗议结束为止。(即使有bug,我们现在也需要Tor。)抗议活动开始后0天。 –尼尔·克拉维兹博士(@hackerfactor) ,2020年6月4日

从“暗网”坠入法网 镇江市侦破全市首起“暗网”案件

中国暗网动态, 暗网动态
有阳光的地方,就会有阴影。“暗网”,一个很多人听说过但却无法进入的地方,因其极强的匿名性和保密性,自然而然地滋生了许多犯罪。 今年3月份,江苏省镇江市公安局从工作中发现的一条帖子开始着手经营,在江苏省公安厅网安总队的全程指导支撑下,终于在“暗网”上撕开了一个缺口,顺藤摸瓜,捣毁一条销售贩卖公民个人信息的产业链,抓获犯罪嫌疑人3名,涉及公民个人信息2亿余条,这是镇江市公安局成功侦破的全市首起暗网案件,也是镇江公安机关“净网2020”专项行动的重大战果之一。 一个账号引出一条“黑色产业链” 2020年3月,镇江市公安局网安支队民警在对暗网进行巡查时发现了一条售卖银行信用卡办理个人信息数据的帖子,而信息展示的截图上赫然有着多名镇江丹阳籍人员。 镇江市副市长、市公安局长王文生在听取网安支队的案情汇报后,高度重视,明确指示立即抽调全市网安专业技术力量成立专案组,一定要把这起新型网络犯罪“拿下”。 “查,而且要一查到底!”市局党委委员、副局长顾传先作为分管局领导,在了解这一情况之后也提出了明确要求。 暗网是潜藏在互联网之下的“深网”,普通搜索引擎根本无法进行访问浏览,需要通过专业浏览器使用特殊加密技术层层跳转。与生俱来的隐匿性,使得利用暗网实施的犯罪活动难以追踪,即使被发现了,也很难通过一个随机生成的账号锁定嫌疑人身份,镇江公安此次面对的就是这样的挑战。 “利用暗网实施犯罪行为,意味着犯罪嫌疑人的网络技术绝不一般,这为案件的侦破增添了不少难度。”镇江市公安局网安支队支队长杨忆宁说,他立即组织人手对本案线索展开分析研判,侦查人员仔细查阅其他城市侦办同类案件的经验材料,逐个案例分析,逐个归类总结,光是笔记就写满了十几张A4纸,案件思维导图更是画了无数张。几个昼夜交替,在依托大数据分析反复研判的基础上,一条黑色产业链的雏形已初步呈现,但由于暗网数据隐匿太深,追踪溯源异常艰难,仅凭一个账号根本无法直接锁定嫌疑人,如何打开突破口成了案件成败的关键。 民警“黑话”联系嫌疑人 面对僵局,侦查人员决定调整思路,通过暗网主动联系嫌疑人。 “这是一步险棋,在暗网上聊天都是用行话,说错话露个怯就前功尽弃,但一旦成功就会是一个突破口。”侦查民警说。凭借之前对众多案例的熟悉,成功地把自己包装成了一个“合格”的暗网交易者,和对方熟练地使用“行话”交流。同时,技术团队争分夺秒地对嫌疑人暗网账号开展密码破译,电脑屏幕一个个字节在跳动,一行行代码被执行,最后经过一段时间的周旋,终于成功锁定犯罪嫌疑人王某。王某毕业于国内某知名大学计算机系,曾在上海某银行信用卡中心工作,计算机水平异于常人,非常符合最初进行的“脸谱描绘”,且具备作案能力和作案动机,案件至此终于取得重大突破。专案组于6月在贵州成功将犯罪嫌疑人王某抓获,通过循线追踪,很快又于7月初在广西抓获犯罪嫌疑人罗某。专案组在审查嫌疑人王某时发现,与其长期聊天的对象有一个下线,该人长期回收各类网贷、银行数据,并且聊天记录中反映该人手中疑似有近2亿条非法获取的公民个人信息。通过进一步开展侦查,专案组锁定了犯罪嫌疑人廖某某。 三度敲门,险些与嫌疑人擦肩而过 “你是廖某某吧,我们是江苏省镇江市公安局民警,有些情况需要你配合调查。”随着第三次敲门,上海市某小区一户人家的大门终于打开,犯罪嫌疑人廖某某被成功抓获。 原来,民警通过分析王某的暗网交易行为,明确了下线廖某某位于上海,并获知廖某某近期准备回福建老家参加亲戚婚礼的消息。一旦其回到老家将为后续工作带来巨大变数,支队长杨忆宁决定立即派员赶赴上海实施抓捕。 其暂住地的社区民警向抓捕组反映了一个情况:因疫情期间工作要求,各小区对流动人口进行了一次全面彻底的摸排,但廖某某所租住的房屋始终没有人在家,所以无法确认是否是其实际居住地。 经过一番研究,社区民警会同社区工作人员以走访为由先行上门,但是始终无人应答,为了不打草惊蛇,抓捕组决定留一组人员观察,其他人员先行撤退。 7月13日,上海下着大暴雨,打着伞目标明显容易暴露,躲在楼洞里难以观察到情况,伏击民警只得找了一个略有遮挡的角落站着,汗水雨水混杂着将一次性雨衣粘在他们的身上。 过了一个多小时,民警再次上门,依然无人应答。 就在大家都认为廖某某可能不住在这里,准备到其原先就职的单位了解情况时,伏击人员发来信息:“窗帘动了!里面应该有人!”与此同时,另一条信息也佐证了廖某某正在家中。这次,廖某某终于打开了大门,而他口袋里装着第二天回福建的车票。 垂死挣扎,嫌疑人妄图当面删除犯罪痕迹 “不许动!你干什么!?”几名民警一拥而上,将廖某某制服。 原来在民警敲开大门表明来意后,廖某某假意配合,却试图趁民警不备删除电脑上的相关资料。将其制服后,民警询问其几部手机密码,廖某某始终沉默不言、拒绝交代。被民警依法带至当地公安机关进行讯问时,廖某某依然坚决否认自己的犯罪事实。 在对其设备进行勘验时,民警发现电脑硬盘槽内是空的,无法开机,但电脑是现场直接封存,不可能遗失。勘验民警拿出了现场拍摄的录像再次查看,发现廖某某触碰电脑后有一个细微的扔东西的动作,民警根据这个线索对现场搜出的全部设备逐个勘验,最终发现廖某某使用U盘作为系统盘,在被抓捕的一刹那想通过这种方式销毁证据。 始终沉默,竟是害怕“被砍” 被带回镇江后,廖某某依然不配合审查工作,民警一方面对其作案工具进行数据勘验,一方面在审讯中寻找突破口。终于在聊到暗网上有哪些新鲜的事物的时候,廖某某第一次打开了话匣子,向民警介绍起了暗网世界,言语间还有些得意,民警抓住机会追问其为何会在暗网买卖公民个人信息数据,廖某某告诉民警此前他一直在上海一家公司上班,但是因为收入太低离职,一家人在上海生活开销又很大,他这才想到要通过暗网来犯罪。 尽管对于犯罪事实供认不讳,但是他始终不愿交出电脑和手机密码,经过民警循循善诱,才知道其害怕手机电脑交出去之后,暗网交易对象“砍他全家”。最终在民警坚持不懈连续7个小时的开导后,廖某某终于愿意相信国家,相信法律的公正,如实全盘交代了自己的所有犯罪行为和电脑、手机密码,至此案件顺利告破。 “暗网”只是隐蔽却不是隐形,一旦深陷其中,最后必将从“暗网”坠入“法网”。

威胁情报公司DataViper被指遭黑客攻击,数十亿条记录在暗网出售

暗网动态, 美国暗网动态
网络威胁情报和违规数据库公司DataViper据称已被黑客攻击,其数据库中的违规凭证在被称为暗网的阴暗部分互联网上提供出售。 遭受黑客攻击的人声称已经窃取了8200多个数据库,其中包含数十亿用户的信息,这些信息是从过去从其他公司窃取的数据汇编而来的。 与市场上的其他几家公司一样,DataViper会收集遭到破坏的帐户凭据的详细信息,这些凭据使用户(在DataViper的情况下,企业客户和警察服务)可以检查凭据是否以前曾受到破坏。DataViper的客户中值得注意的是迪拜警察局,欧洲刑警组织和美国联邦调查局。 所谓的数据泄露如何发生的细节还不清楚。公司创始人Vinny Troia 告诉ZDNet,黑客确实可以访问DataViper的一台服务器,但是该服务器只是一个测试实例。Troia声称,由黑客提供的数据库是黑客自己的,而不是从DataViper窃取的信息,这些数据库与包括TheDarkOverlord,ShinyHunters和GnosticPlayers在内的多个黑客组织有关。 故事引人关注的地方是Troia声称骇客是个人的,因为他在今年早些时候出版了一本书,详细介绍了骇客团体的活动。此外,他声称泄漏是为了损害他的声誉而定的,之后他计划在本周晚些时候在SecurityWorld会议上针对同一批黑客发表演讲。 网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko对SiliconANGLE说:“此案似乎是一次个人报复事件,主要是为了破坏据称遭到破坏的网络安全公司的声誉。” “鉴于事件的细节,刑事调查可能会在相当大的程度上成功地发现事件链并确定攻击者。” 应用程序安全平台提供商WhiteHat Security Inc.的首席解决方案架构师和联盟的雷·凯利(Ray Kelly)指出,这次黑客攻击说明了没有组织能够避免潜在的数据泄露。他说:“在这种情况下,一家网络安全公司几个月来都没有发现其网络内的恶意行为者。” “它还显示了使用从Web应用程序安全到可能已捕获到此类东西的入侵检测系统的多层安全的重要性。”

#MoreOnionsPorfavor:洋葱化您的网站并夺回互联网

Tor官方动态, 暗网动态
从今天(7月8日)开始,Tor项目将进行为期一个月的名为#MoreOnionsPorfavor的活动,以提高人们对洋葱站点(即可通过洋葱服务访问的站点)的认识。我们最近在Tor浏览器中发布了一项名为“洋葱位置”的功能,该功能可向用户宣布网站上是否有可用的洋葱站点。加入我们,打造一个更加安全的网站!要参与,启用Onion-Location,使用您喜欢的社交媒体上的#MoreOnionsPorFavor标签共享您的洋葱站点,我们将选择一些洋葱服务运营商来收取Tor赃物。有关所有详细信息,请参见下文。 随着世界各地的抗议活动如火如荼,我们知道,为建立一个更加公正的社会而进行的斗争正受到当权者的严密监视。我们在网上所做的事情,我们所处的位置,所访问的网站,与之交谈的人……这些数据正在收集和分析,以绘制维权人士的社交图谱,并用来确定监视谁。正如许多数字安全培训师指出的那样:抗议活动可能会结束,但元数据将永远存在。 在Tor项目中,我们开发了隐私保护技术来 保护和促进人权。Tor内部建立的这些技术之一称为 Onion Services。洋葱服务是一种保护用户元数据(如其真实位置)的方法,默认情况下,当用户访问网站时,它提供端到端身份验证和端到端加密。人们可以很容易地发现洋葱服务,因为这些域是编码为以.onion结尾的地址的公共密钥。 由于用户对其在线安全性的关注越来越高,因此开发人员,系统管理员和网站所有者可以而且应该为用户提供更安全的体验。如果您运行网站,则可以通过洋葱服务来提供网站版本,从而提高其安全性。最近,我们实施了一种使用Onion-Location宣布和公开您的洋葱站点的方法。当用户访问同时启用了洋葱服务和Onion-Location的网站时,Tor浏览器将显示一个信息药丸,告知他们该网站的版本更安全,并且将要求用户选择升级到该网站。首次使用洋葱服务。如果用户已经选择进行网络安全升级,那么他们将直接进入洋葱站点。 许多网络管理员已经加入我们,并通过洋葱服务和Onion-Location提供其网站。例如,ProPublica,DEF CON,Privacy International,Riseup.net,Systemli.org和Write.as。现在,我们邀请您加入此广告系列:#MoreOnionsPorfavor。 使用Onion-Location设置洋葱站点 有些洋葱很容易种植,但对于另一些洋葱,您可能需要专业的支持。对于企业级网站,我们建议与我们联系: [email protected]。 首先,您需要配置您的Web服务器,以便它不会泄露有关用户位置的任何信息。与其他任何连接到Internet的服务一样,如果配置错误,可能会带来风险。因此,我们建议阅读并遵循 洋葱服务 文档和 最佳实践。 配置完Web服务器和洋葱服务后,您可以 设置Onion-Location。配置只需几分钟。值得一提的是,仅当您已经为域设置了TLS证书(即“让我们加密”)时,“洋葱位置”才有效。 设置洋葱站点后,将电子邮件发送至<[email protected]>,并使用#MoreOnionsPorfavor标签在您喜欢的社交媒体上进行公告。下个月,我们将选择一些洋葱站点运营商来收取Tor赃物,以感谢您对保护安全互联网的帮助。 设置您的洋葱站点并在8月10日之前通过电子邮件发送给我们以符合资格。

你的数据在暗网上值多少钱?

暗网动态, 美国暗网动态
根据Privacy Affairs的说法,信用卡详细信息,在线银行登录名和社交媒体凭据可以在暗网中以低廉的价格获得。 网上银行登录的平均费用为$ 35完整的信用卡详细信息,包括相关数据,价格为$ 12-20可以获得身份盗窃的全套文件和帐户详细信息,价格为1,500美元 可以订购包括驾照,护照和自动保险卡在内的伪造文件,以匹配被盗的数据。 研究小组 扫描了 暗网市场,论坛和网站,以创建与个人数据,伪造文件和社交媒体相关的一系列产品和服务的价格指数。 网上银行登录的平均费用为$ 35 网上银行凭证通常包括登录信息,以及帐户持有人的姓名和地址,以及未发现的有关如何访问帐户的特定详细信息。 完整的信用卡详细信息,包括相关数据费用:12-20美元 信用卡详细信息通常采用简单的代码格式,包括卡号,关联的日期和CVV,以及帐户持有人的数据(例如地址,邮政编码,电子邮件地址和电话号码)。 可以获得身份盗窃的全套文档和帐户详细信息,价格为$ 1285。 犯罪分子可以额外花费950美元转换美国护照的欧洲身份证,使总数达到2,235美元,以便足够的数据和文件来进行任何数量的欺诈交易。 在受感染的系统上普遍存在恶意软件安装 一次可在1000台计算机上远程安装软件,使犯罪分子可以利用恶意软件(如勒索软件)在各个国家/地区将目标锁定在公众上,成功率达到70%。 被盗数据很容易获得 公众不仅需要意识到身份盗用威胁的普遍性,而且还需要通过 在日常生活的各个方面进行尽职调查来减轻这种威胁 。

研究发现暗网有150亿张被盗凭证用于销售

暗网动态, 美国暗网动态
几乎每天都不会有新的网站和服务被黑客入侵的报告,也没有公司通过不安全的数据库公开客户数据的消息,但是总共窃取了多少个帐户凭据是个谜。 尽管它无法回答盗窃了多少个帐户凭据,但Digital Shadows Ltd.今天进行的一项新研究 对在暗网中出售的帐户凭据数量进行了统计,深色网络可以通过以下途径访问专用软件:150亿个。 该数字发布在新的白皮书 “从曝光到接管:150亿个被盗凭证允许帐户接管”中,这是通过Digital Shadows的安全研究人员对暗网中的犯罪市场进行18个月的审计而得出的。该研究发现,自2018年进行上次审核以来,流失的用户名和密码的数量已增加300%,其中150亿条记录来自100,000个数据泄露。 在150亿条记录中,据说50亿条是独一无二的。发现大多数记录属于消费者,个人记录平均售价为15.43美元。发现包括银行或其他金融帐户的记录是最有价值的,平均每条记录为70.91美元,其中约有25%的深色网络广告提供了此类记录。 可以使用防病毒程序的帐户也很受欢迎,每个帐户的平均价格为21.67美元,而访问媒体流帐户,社交媒体,文件共享,虚拟专用网络和成人内容网站的价格都在10美元以下。对组织关键系统的访问权交易费用很高,同时还发现许多用于域管理访问权的广告。在许多情况下,它们被拍卖给最高出价者,价格从500美元到120,000美元不等,平均价格为3,139美元。 研究人员还注意到“帐户接管即服务”的增长,在这种情况下,犯罪分子无需购买凭证,而是可以在给定的时间内租用一个身份,通常花费不到10美元。 首席信息安全官兼副总裁Rick Holland表示:“可用凭证的数量惊人,在过去的1.5年中,我们已经确定并提醒客户注意大约2700万个凭证,这些凭证可能会直接影响到它们。”声明称,Digital Shadows的战略。“这些公开帐户中的某些帐户可以(或访问)非常敏感的信息。一次违规暴露的细节可以重新用于破坏其他地方使用的帐户。” 他补充说,信息很简单:“消费者应为每个帐户使用不同的密码,组织应跟踪可能危害其员工和客户详细信息的地方,从而领先于犯罪分子。” 数字身份公司ForgeRock Inc.认证的信息系统安全专家,全球业务和企业发展高级副总裁Ben Goodman 告诉SiliconANGLE,密码已成为数十年来的主要认证方法,大多数用户平均拥有130多个在线帐户。 他说:“用户不太可能会记住130组独特的登录凭据,因此,大多数人选择在大多数(甚至不是全部)帐户中重用相同的密码和用户名。” “事实上,已经被网络钓鱼攻击所骗的人中,仍有57%仍未更改其密码,从而使欺诈者能够利用一个帐户中的受损登录凭据来访问具有更多关键数据的其他配置文件,包括银行和医疗保健信息。” 他的建议:组织必须认识到密码和用户名的安全风险,并采用技术来启用无密码和无用户名的登录。

71美元左右在暗网就能买到银行账户 犯罪分子甚至能贷款

暗网动态, 美国暗网动态
据Digital Shadows网络安全研究人员称,包括银行账户和网络管理员账户在内的逾150亿条各类账户信息在暗网上“待价而沽”,其中有些信息甚至可供免费访问。 许多账户被多次分享,表明用户不知道自己的账户已遭到攻击。即使信息存在重复,在暗网上“待价而沽”的“独立”账户超过50亿个。 Digital Shadows表示,售价最高的是机构的系统管理员账户信息,其中价格最高可以达到12万美元,这类账户信息的平均售价为3139美元。不过,获取这类账户信息的犯罪分子,通常会对被攻击的组织“狮子大开口”,所以他们认为这样的价格“物有所值”。 在消费类账户信息中,银行账户信息价格最高,平均为70.91美元(约合人民币500元)。利用这类信息,犯罪分子通常可以窃取用户银行账户中的钱财,甚至能申领信用卡、申请贷款。 令人颇感意外的是,价格第二高的消费类账户信息是杀毒软件账户,平均价格为21.67美元——远低于正常的杀毒软件年费。 流媒体服务、VPN、文件共享和社交媒体账户信息的价格都不足10美元。 研究人员称,暗网上出现大量账户信息的原因,是人们采用了低强度的密码,这样的密码很容易遭到暴力破解工具破解。 消费者和机构可以用来提高网络账户遭到攻击难度的一个途径,是为每种服务设置唯一的密码。 用户还应当采用多因子认证安全技术,一旦密码遭到破解,系统会提醒用户。