加拿大执法部门近日对网络犯罪进行了有力打击,实施了该国历史上最大规模的数字资产扣押行动,捣毁了基于Tor的暗网加密货币交易所TradeOgre,并从该交易所没收了超过5600万加元(约合4000万美元)。
加密货币交易所TradeOgre被控洗钱超过5600万美元,涉嫌盗取超过5600万美元的数字资产。此次行动由加拿大皇家骑警(RCMP)牵头,是迄今为止最引人注目的捣毁地下加密货币市场的执法行动之一,也标志着加拿大执法部门首次有效捣毁一家数字资产交易所。
加拿大皇家骑警(RCMP)表示,此次查获是其洗钱调查小组(MLIT)历时一年调查的结果。该小组于2024年6月根据欧洲刑警组织(Europol)的举报展开调查。当局指控TradeOgre被有组织犯罪集团用作洗钱工具。加拿大皇家骑警在声明中表示,“这也是加拿大执法部门首次捣毁加密货币交易平台。”
9月18日上午,加拿大皇家骑警根据法院授权,对与TradeOgre相关的多个数据中心和服务器进行了搜查和扣押。目前该平台的暗网网站上展示了一条扣押通知,称:“该网站及其加密资产已被加拿大皇家骑警查封。”该扣押通知已经取代了交易所的交易界面,并显示了举报相关犯罪活动的联系电话。
加拿大皇家骑警在一份声明中表示:“TradeOgre未能向加拿大金融交易和报告分析中心(FINTRAC)注册为货币服务公司,也未披露其客户的身份。这种平台不需要用户身份识别,通常被用来掩盖非法资金的来源。”
暗网加密货币交易所TradeOgre的崛起 暗网加密货币交易所TradeOgre于2021年以来一直作为未注册的“隐私优先”加密货币交易所运营,允许用户无需提供个人身份信息即可进行交易,TradeOgre定位为注重隐私的交易者的天堂,提供比特币、门罗币、以太坊以及一系列山寨币的匿名交易服务。由于完全在Tor网络上运营,该交易平台避开了监管和传统的反洗钱检查。至关重要的是,它避开了所有“了解你的客户”(KYC)要求,使用户无需透露任何身份信息即可进行交易。
TradeOgre虽然标榜自己是一个“去中心化”交易平台,但却迅速吸引了犯罪分子客户。调查人员发现,它已成为清洗勒索软件资金、暗网市场收益以及被黑客入侵的加密货币钱包的主要场所。其专有的基于API的交易界面(只能通过.onion地址访问)进一步巩固了其作为网络犯罪工具的地位。
加拿大皇家骑警缴获4000万美元赃款 经过数月的区块链交易监控,加拿大皇家骑警发现了异常流量和聚类分析指标,这些指标将TradeOgre与多个司法管辖区的高价值盗窃案联系起来。2025年9月18日,加拿大当局果断采取行动,查获了超过4000万美元的非法加密资产。
此次执法行动是协调情报收集工作的成果,涉及区块链追踪取证以及跨多个Tor网络链路的流量分析。当局强调,此次扣押行动不仅破坏了地下非法金融秩序,更是在降低人们对网络犯罪滋生的匿名交易所的信任方面取得的象征性胜利。
TradeOgre平台的复杂代码与逃避检测的技术手段 调查发现,TradeOgre的运营者故意构建服务器位置和通信协议以逃避检测,通过将网络流量路由到多个司法管辖区并拒绝了解您的客户(KYC)程序,他们使源源不断的犯罪收益收入该平台。
对TradeOgre后端的取证检查揭示了其混合基础设施,该基础设施由开源组件和自定义脚本组成,依赖于一套使用专有脚本修补的开源组件来自动化订单匹配和存款处理。调查人员恢复了用于自动订单匹配、管理存款和协调热钱包转账的Shell和Python代码片段。
为了保持匿名和逃避检测,该交易所使用了基于Tor线路的多跳代理链,并将操作托管在所谓的“防弹”托管服务提供商的虚拟机集群上。这种设置使该平台能够逃避数月的常规检测,同时继续从全球网络犯罪网络吸引非法资金。
调查人员恢复了代理设置脚本的片段,该脚本演示了TradeOgre如何维护其隐藏服务:
# Proxy chaining for TradeOgre hidden service sudo apt-get install tor privoxy cat << EOF > /etc/privoxy/config listen-address 127.0.0.1:8118 forward-socks5t / 127.0.0.1:9050 . EOF systemctl restart privoxy # Access API through Tor proxy curl --socks5-hostname 127.0.0.1:9050 http://tradeogrehidden.onion/api/v1/markets 这种多层次的方法阻碍了归因并使传统的威胁情报追踪变得复杂,凸显了打击暗网金融犯罪的挑战。
加拿大皇家骑警与国际执法伙伴携手合作,在欧洲和亚洲采取了多次同步行动,破坏了运营商的防御能力,最终导致上周该平台的基础设施被查封。
从TradeOgre数据库中提取的交易数据目前正在接受进一步分析。加拿大皇家骑警专家正在将钱包地址与犯罪分子档案进行匹配,旨在识别嫌疑人并建立可起诉的案件。
本案对加密货币监管的更广泛影响 TradeOgre的解散凸显了监管机构和执法部门在平衡隐私、金融创新和安全方面面临的日益严峻的挑战。虽然以隐私为中心的技术本身并非犯罪,但像TradeOgre这样的平台却表明,匿名工具可能会被威胁行为者利用,用于洗钱和非法贸易。
当局称此次查获是全球打击加密货币犯罪的关键里程碑,并警告称类似的暗网市场仍在继续运作。他们强调,国际合作对于打击跨境金融犯罪仍然至关重要。
加拿大皇家骑警尚未透露是否逮捕了嫌疑人,但其表示,一旦证据收集和法律审查结束,将对TradeOgre的管理人员和同谋参与者提出刑事指控。在更广泛的行动呼吁中,加拿大皇家骑警敦促公众提供与洗钱、加密货币欺诈或金融犯罪相关的信息。
此次行动凸显了加拿大打击数字资产犯罪和维护金融体系完整性的决心。通过摧毁TradeOgre,加拿大皇家骑警展示了其在去中心化网络中追捕非法行为者的能力,为未来在快速发展的加密货币领域中的执法树立了先例。对于全球执法部门而言,此案件堪称摧毁助长网络犯罪的匿名金融生态系统的典范。
教育行业已成为全球网络犯罪的首要目标,而印度的高校和研究机构更是重灾区。根据Check Point Research(CPR)2025年最新数据,在过去六个月中,印度教育机构平均每周遭受8487次网络攻击,几乎是全球平均水平(4368次/机构)的两倍。这一惊人数字凸显了印度教育系统在数字化浪潮下面临的严峻安全挑战。从勒索软件到人工智能驱动的网络钓鱼,攻击者利用高校的开放网络和有限预算,窃取学生数据并在暗网上出售,威胁学术诚信与学生未来。面对这一危机,专家呼吁采取预防为主的策略,以保护数百万学习者的知识资本和教育生态的完整性。
印度教育行业为何成为攻击焦点 印度教育机构因其独特的数字化环境成为网络犯罪的温床。混合学习模式的普及、校园网络的互联互通以及学生和教职工的个人设备使用,极大地扩展了攻击面。CPR报告显示,印度教育行业的攻击频率远超其他领域:相比之下,印度其他行业组织每周平均遭受3278次攻击,高于全球基准1934次,但仍远低于教育行业的8487次。此外,许多高校缺乏专门的网络安全团队,预算限制使其难以部署先进的防御系统。2024年,印度教育部的调查显示,70%的公立大学网络安全预算不足IT支出的5%,远低于全球推荐的15%。
2024年,班加罗尔一所知名技术学院遭受勒索软件攻击,导致在线考试系统瘫痪数天。攻击者通过暗网出售窃取的学生个人信息,包括身份证号码和学术记录,勒索赎金高达500万美元。学校最终支付部分赎金,但数据恢复耗时两周,严重影响学期进程。此案凸显了印度高校在网络安全资源上的匮乏。
印度拥有超过4000万在校大学生和1000多所大学,数字化转型(如在线课程和考试门户)使其成为全球最大的教育市场之一。然而,开放的Wi-Fi网络和未加密的数据库为黑客提供了可乘之机。Darktrace的2024年报告指出,印度教育机构的未修补漏洞平均暴露时间长达90天,是全球平均水平的2倍。
攻击后果:从系统瘫痪到暗网交易 网络攻击的后果远超IT系统宕机,直接威胁学术运作和学生权益。勒索软件不仅导致考试延期和课程中断,还造成巨额经济损失。Sophos 2023年报告显示,高等教育机构的勒索软件赎金中位数高达660万美元,中小学为440万美元,但仅有30%的受害机构能在一周内完全恢复系统。更严重的是,数据泄露推动了暗网交易的激增,学生成绩单、个人信息甚至伪造的学位证书被公开售卖,助长了身份盗窃和学历欺诈。2024年,Chainalysis发现印度教育相关数据在暗网市场的交易额同比增长45%,成为全球增长最快的市场之一。
2022年,美国伊利诺伊州的林肯学院因勒索软件攻击导致系统全面瘫痪,最终无力承担恢复成本和声誉损失,在运营157年后永久关闭。类似事件在印度也有发生:2024年,德里一所私立大学因数据泄露导致学生记录在暗网流通,引发家长抗议和政府调查,学校招生率下降20%。
暗网平台如AlphaBay和Nemesis已成为学生数据交易的中心,价格从每条记录0.5美元到完整学历证书5000美元不等。这些数据不仅用于诈骗,还为人口贩运和金融犯罪提供了便利,凸显了教育数据泄露的广泛社会影响。
人工智能驱动的威胁升级 人工智能(AI)的滥用为网络攻击注入了新威胁。CPR报告显示,2025年7月,全球新增的18,000个教育相关域名中,每57个就有一个被标记为恶意。这些域名多由AI生成,用于伪装成考试门户、支付系统或学术平台,诱导用户泄露凭证。AI还被用于深度伪造网络钓鱼(如伪造教授的语音邮件)、大规模凭证盗窃以及快速开发针对零日漏洞的恶意软件。2024年,IBM X-Force发现,AI驱动的攻击能在漏洞公开后的10分钟内发起,远超传统攻击的速度。
2025年初,孟买一所大学的学生收到伪造的“考试缴费通知”邮件,链接指向一个AI生成的虚假支付网站。数千名学生输入了银行卡信息,导致集体身份盗窃事件,损失估计达200万美元。此攻击利用了ChatGPT类似技术生成的逼真邮件模板,凸显AI在网络犯罪中的破坏力。
随着生成式AI工具的普及,黑客无需深厚技术背景即可发起复杂攻击。2024年,Dark Web Intelligence报告称,暗网论坛上出售的AI生成恶意软件工具包价格低至50美元,降低了犯罪门槛,进一步加剧了教育行业的威胁。
专家建议:预防为主的防御策略 面对日益复杂的威胁,专家呼吁印度教育机构采取预防为主的网络安全策略。Check Point印度和南亚区董事总经理Sundar Balasubramanian警告:“AI驱动的攻击不仅窃取数据,还威胁数百万学生的学业连续性。”他建议采用AI驱动的防御工具、混合网格安全架构、云原生保护和实时威胁情报。此外,多因素身份验证(MFA)、定期系统修补、员工网络钓鱼培训和学生家长网络意识教育是关键措施。2024年,印度理工学院(IIT)试点MFA后,成功将钓鱼攻击成功率降低60%。
2024年,海得拉巴一所大学通过部署CrowdStrike的AI威胁检测平台,成功拦截了一起针对在线考试系统的勒索软件攻击。系统在攻击发起的30秒内识别并隔离恶意流量,避免了数据泄露和考试中断。此案例证明了主动防御在教育安全中的价值。
印度政府于2023年推出《国家网络安全战略》,要求教育机构在2025年前实现100% MFA覆盖。然而,截至2024年,仅40%的高校完成部署,中小学覆盖率更低,凸显实施差距。
结论:保护教育生态的迫切使命 印度高校每周遭受8487次网络攻击的严峻现实,揭示了教育行业在数字化转型中的脆弱性。从勒索软件导致的考试中断到学生数据在暗网的泛滥,网络犯罪不仅威胁学术运作,还侵蚀了学术诚信和学生未来的安全。AI驱动的攻击进一步放大了这一危机,使高校成为黑客的“高价值目标”。然而,通过多因素身份验证、AI防御工具、定期修补和全面培训,教育机构可以显著提升韧性。印度理工学院和海得拉巴大学的成功案例表明,预防为主的策略能够有效抵御威胁。
随着课堂日益数字化,网络安全已不再是IT部门的孤立任务,而是保护知识资本和数百万学习者未来的核心要求。政府、院校和行业必须协同合作,加大投入、弥合差距,确保教育生态免受暗网的侵蚀。只有通过技术创新与政策执行的结合,印度才能守护其教育系统的完整性,让学习者在数字时代安全前行。
英国对外情报机构军情六处(MI6,正式名称为秘密情报局(SIS))最新推出了一个新的暗网门户网站,以在包括俄罗斯在内的世界各地招募“能够获取与恐怖主义或敌对情报活动有关的敏感信息的间谍”,促进潜在外国线人之间的信息交换。
英国外交大臣伊薇特·库珀(Yvette Cooper)在“无声信使”(“Silent Courier”)暗网平台发布前对英国国内媒体表示:“随着世界的变化,我们面临的威胁成倍增加,我们必须确保英国始终领先于我们的对手一步。”
她补充道:“我们世界一流的情报机构正处于应对这一挑战的最前线,在幕后努力保护英国人民的安全。现在我们正在利用尖端技术支持他们的努力,以便军情六处能够在俄罗斯和世界各地为英国招募新的间谍。”
发布会上播放了一段电影视频,该视频呼应了詹姆斯邦德的经典间谍形象,其中特工们穿越森林和沙漠,还有一个“无声信使”的模型,显示文件上传,其中用俄语写着“传输信息”。
英国军情六处此前曾鼓励线人使用与其身份无关的Tor、VPN和新电子邮件账户,这反映出现代间谍活动中数字工具的采用日益增多。本次招募外国特工的行动类似于美国中央情报局在2023年领导的一项活动,当时华盛顿在一系列社交媒体视频中瞄准了潜在的俄罗斯线人。
军情六处的暗网门户网站“Silent Courier” ”暗网下/AWX“看到,“Silent Courier”确实托管在洋葱网站上——即在Tor网络上设置的暗网网站,旨在实现匿名通信。
周五,军情六处在其官方YouTube频道发布了一系列视频来推广该平台并解释其工作原理,使用说明包含了英语、法语、西班牙语、阿拉伯语、乌尔都语、印地语和俄语,在一段视频中,一位解说员说道:“一百多年来,军情六处的工作基石一直是面对面的工作。而现在,我们可以使用升级后的暗网门户网站Silent Courier来确保这些在线连接更加安全。”
解说员解释道:“如果您有权访问与全球不稳定或敌对情报活动有关的敏感信息,您现在可以联系军情六处并使用Silent Courier安全地共享这些信息。”
在另一段视频中,军情六处指示那些希望与该机构联系的人使用“干净”的设备,阻止潜在线人使用他们的个人手机或电脑,以及任何属于家人或朋友的设备。
英国情报机构还建议位于“高风险国家”的线人除了使用推荐程序Tor浏览器——一种用于私密匿名互联网浏览的免费开源网络浏览器外,还要使用可信赖的VPN和不与自己关联的设备。
在视频下方,军情六处发布了“Silent Courier”的暗网V3域名,希望人们通过Tor联系MI6,地址:http://mi6govukbfxe5pzxqw3otzd2t4nhi7v6x4dljwba3jmsczozcolx2vqd.onion。
如果无法访问Tor,MI6建议使用商业VPN的免费试用版来访问其明网网站,并提供为与间谍聊天而建立的电子邮件地址。
军情六处的视频声明该机构“将审慎评估所有传递给我们的情报,那么,[email protected],您好,欢迎加入军情六处的新线人招募计划。“
军情六处即将换帅,女掌门人将上任 即将离任的军情六处负责人理查德·摩尔(Richard Moore)已执掌该间谍机构近五年,他曾担任英国驻土耳其大使,对伊斯坦布尔非常熟悉,他周五在伊斯坦布尔的一次讲话中确认了“沉默信使”项目的启动。
摩尔在演讲中表示:“今天,我们希望那些掌握全球不稳定、国际恐怖主义或敌对国家情报活动敏感信息的人通过安全的在线方式联系军情六处。我们的虚拟大门向你们敞开。”摩尔特别邀请了俄罗斯人:“对于那些愿意分享真相并有勇气分享真相的俄罗斯男男女女,我邀请你们联系军情六处。”
布莱斯·梅特雷韦利(Blaise Metreweli)将于10月接替摩尔,她将成为第一位领导该部门的女性。
根据美国司法部的消息,运营全球最大暗网网络犯罪和黑客论坛之一BreachForums的一名纽约男子被联邦上诉法院撤销了原判的17天监禁,现被重新改判为三年监禁。
康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick),在BreachForums上的网名为pompompurin,22岁,是臭名昭著的暗网数据交易论坛BreachForums的创始人和管理员,BreachForums被认为是最大的英语网络犯罪交易市场,该论坛允许犯罪分子在该暗网网站上买卖被盗的登录凭证、数据库、网络访问权限、恶意软件和其他非法物品。
2023年7月,菲茨帕特里克承认了多项罪名,包括密谋贩卖被盗数据和持有儿童性虐待(CSAM)材料。尽管罪行严重,但他最初仅被判处17天监禁(他已经服刑),以及20年的监外执行。由于他年轻且患有自闭症,因此量刑较轻。
然而,检察官立即提起上诉,并于2025年1月,美国上诉法院推翻了原判。法院指出菲茨帕特里克“缺乏悔意”,并且他使用VPN访问在线聊天室违反了保释规定。
BreachForums的创立与pompompurin的被捕 2022年3月,执法部门关闭了一个名为“RaidForums”的暗网数据交易网站后,菲茨帕特里克创办了BreachForums,立即填补了RaidForums消失后留下的空白。他的网站会员数量迅速增长,在不到一年的时间内积累了超过33万名会员,存储了超过140亿条被盗记录,其中包括社保号码和银行账户信息等敏感的各国公民个人数据。
官员指出,这些数据库“属于各种各样的美国和外国公司、组织、关键基础设施和政府机构”,其中包括AT&T、T-Mobile、ADT、EPA、InfraGuard、Beeline、宏碁、Activision和WhatsApp等公司,以及最近的TikTok 、OpenAI和特朗普酒店等数百家公司。
根据美国司法部的新闻稿,在调查的关键环节,卧底的联邦调查局特工于2022年7月潜入该网站,购买了1500万美国人的记录,最终经过侦察,使得菲茨帕特里克于2023年3月在其父母位于纽约州皮克斯基尔的家中被捕,并在接受联邦调查局的采访时承认自己是“pompompurin”——BreachForums的主要管理员。被捕后不久,联邦调查局查封了BreachForums,并下线了该网站(自菲茨帕特里克被捕以来,执法部门一直试图将BreachForums从暗网里彻底清除,但每次摧毁后都会有新版本卷土重来)。
法庭文件显示,菲茨帕特里克个人从BreachForums获利约69.8万美元。该平台还成为黑客买卖被盗数据的中心,菲茨帕特里克本人也经常充当中间人。
菲茨帕特里克去年承认了一系列指控,包括持有儿童色情制品和合谋贩卖被盗个人身份信息。尽管检察官要求判处菲茨帕特里克15年以上的监禁,但法官认为,菲茨帕特里克的年龄和自闭症谱系障碍诊断使他在狱中容易遭受暴力。
2024年1月,菲茨帕特里克被判处17天监禁和20年监督释放。根据该判决,他被监禁在家中并接受GPS监控两年,获释后第一年禁止访问互联网,并被要求在其设备上安装监控软件,同时还被要求接受心理健康治疗。
这一判决备受争议,美国弗吉尼亚州东区检察官埃里克·西伯特表示,这些犯罪行为造成的损害难以衡量,儿童虐待材料对人类的影响更是无法计算。
除了监禁之外,菲茨帕特里克还必须交出100多个域名、十几台电子设备以及他通过非法活动赚取的所有加密货币。此案是美国司法部全国性“儿童安全计划”的一部分,该计划于2006年5月启动,旨在打击儿童性剥削和性虐待。
检察官提起上诉,上诉法院合议庭法官撤销之前判决 法庭记录显示,此次轻判考虑了菲茨帕特里克的减刑情节,包括他患有自闭症以及他年幼。量刑备忘录指出,即使在法律程序进行期间,菲茨帕特里克仍违反法院规定,使用VPN通过Discord访问在线聊天室。在这些情况下,他质疑自己认罪的合法性,对未对指控提出抗辩表示遗憾,并发表声明,将向外国利益集团出售敏感数据的行为轻描淡写。
鉴于菲茨帕特里克承认的罪名,以及他在审判前多次违反法院的释放条件,访问互联网并通过Discord聊天室聊天,检察官对释放菲茨帕特里克的决定感到愤怒,称该判刑“实质上不合理”,并迅速作出反应,提起上诉。
今年1月,美国第四巡回上诉法院由三名法官组成的合议庭撤销了地方法院一项备受争议的判决,认为判决不足,并将案件发回重审。美国上诉法院法官保罗·V·尼迈耶撰写了撤销原判的意见书,称菲茨帕特里克的行为表明他“缺乏悔意”,并指出地方法院“从未提及其罪行的严重性,也未解释其判决如何符合法律要求”。
尼迈耶在1月份提交的意见中表示,法庭未能承认菲茨帕特里克罪行的严重性,而菲茨帕特里克对此表示认罪。“在该网站长达一年的运营期间,菲茨帕特里克充当中间人,协助非法信息的买卖,赚取了698,714美元,并给许多受害者造成了金钱和声誉损失。”此外,菲茨帕特里克收集的儿童性虐待材料还涵盖“至少600张图片”,当局发现他之前“观看过描绘青春期前儿童从事性行为的视频”。
检察官建议判处15年刑期,律师寻求降低刑期 在最近的法庭文件中,检察官认为菲茨帕特里克的罪行太严重,却几乎不需要服刑——建议判处15年有期徒刑。 检察官表示:“被告策划并实施了大规模网络犯罪,其范围之广、程度之深、行为之肆无忌惮,足以判处其相当长的监禁时间。”
美国弗吉尼亚州东区检察官埃里克·西伯特(Erik S. Siebert)表示:“康纳·菲茨帕特里克个人通过出售大量被盗信息获利,这些信息包括从私人个人信息到商业数据。”西伯特说道,“这些罪行范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将运用一切法律手段将他们绳之以法,”
司法部表示,BreachForums为获取数百万美国公民的敏感个人信息提供了便利,而菲茨帕特里克参与了多起网络犯罪案件,涉及窃取联邦调查局以及华盛顿特区医疗保健市场的信息。 该平台参与了针对华盛顿特区健康保险市场的网络攻击,导致联邦立法者、工作人员和数千名城市居民的敏感信息泄露。
而被告菲茨帕特里克对其罪行几乎没有表现出悔意:他违反了审前释放的条件;破坏了合作协议;并且否认对其儿童色情罪行负有责任。在致法院的信函和第一次宣判中,被告虽然承认了自己的罪行,但随后却将自己的罪行归咎于周围的人。
据检察官称,菲茨帕特里克是一位热情的领导者,他召集黑客加入其暗网论坛,并利用其管理员的角色获利——经常充当网络犯罪分子之间的中间人。
他们补充说,菲茨帕特里克的自闭症谱系障碍诊断结果为“轻度”,并且没有证据表明他“无法适应监狱环境”。他们引用了一位执业心理学家的评估,称菲茨帕特里克“因自闭症谱系障碍而导致的损伤程度较低”。医生指出,菲茨帕特里克“在没有任何残疾的情况下顺利完成了学业,并在没有住宿的情况下就读了一段时间的社区大学”。
菲茨帕特里克的律师提交了其父母和医生的来信,称自20个月前首次被判刑以来,他一直完全遵守法庭规定。自那以后,他一直被限制在家中,没有使用过任何电子设备。 他们还表示,鉴于他曾两次试图自杀,监禁“不符合社会利益”,而且会使他处于危险之中。
菲茨帕特里克被重新判处3年监禁 本周二,康纳·菲茨帕特里克被重新判处三年有期徒刑。此外,作为重新判刑的一部分,菲茨帕特里克必须额外支付1,016,786.51美元的赔偿金。
美国司法部发布的消息称, “作为最初认罪协议的一部分,菲茨帕特里克同意交出100多个域名和十几台电子设备”,并向其中一名受害者、医疗保健提供商Nonstop Health赔偿70万美元,向每位受影响的受害者赔偿3000美元。判决文件称,菲茨帕特里克需要受到严厉的判决,“以震慑未来网络犯罪生态系统的领导者”。
美国司法部宣布重新判刑时,美国检察官埃里克·西伯特表示,菲茨帕特里克“通过出售大量被盗信息从个人隐私到商业数据等各种信息中获利”。 他说:“这些犯罪行为范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将使用一切法律手段将他们绳之以法。”
检察官写道:“被告的行为——即他多年来使用并随后管理在线网络犯罪论坛、他试图逃避执法侦查、他在审前违反规定且未能明确表明对他的罪行负责——凸显了对被告进行长期监督释放的必要性,以确保被告受到适当的监控并能够获得康复服务。”
代理助理检察长马修·加莱奥蒂(Matthew Galeotti)对菲茨帕特里克的重新判刑表示赞赏,他在一份声明中写道,在执法行动摧毁了BreachForums的前身RaidForums之后,菲茨帕特里克有意领导了BreachForums的创建。
FBI助理局长布雷特·莱瑟曼表示:“FBI正在不懈努力地摧毁BreachForums等犯罪市场,我们正在追捕运营这些平台的所有参与者。”
保守派激进分子查理·柯克(Charlie Kirk)令人震惊的遇刺案仍在调查中,但犹他州州长斯宾塞·考克斯(Spencer Cox)透露,调查人员越来越担心,22岁的嫌疑人泰勒·罗宾逊(Tyler Robinson)可能是在暗网里被极端主义所影响,在访问暗网后被极端化。
查理·柯克惨遭暗杀后,唐纳德·特朗普父子将袭击归咎于“激进左翼”——CNN的凯特兰·柯林斯强烈驳斥了这一说法。柯林斯在电视直播中强调,双方都存在政治暴力,并警告不要利用虚假信息谋取政治利益。CNN记者玛吉·哈伯曼发表评论,质疑特朗普言论缺乏证据,并敦促各方在对枪手背景和动机的调查仍在继续之际保持谨慎。
据报道,涉嫌枪杀右翼活动家查理·柯克的22岁犹他州男子泰勒·罗宾逊拒绝配合调查。罗宾逊在历时两天的追捕后落网,目前被羁押于犹他县监狱且不得保释。尽管枪击动机尚未查明,犹他州州长斯宾塞·考克斯已指出罗宾逊与游戏圈及“暗网”存在关联。
犹他州州长斯宾塞·考克斯在接受美国全国广播公司(NBC)《会见媒体》(Meet the Press)节目采访时援引了罗宾逊家人和朋友的描述:“他显然持有左翼思想。” 他还在美国有线电视新闻网(CNN)的《国情咨文》(State of the Union)节目中补充道:“这些信息来自他周围的人、他的家人和朋友。” 州长表示,罗宾逊“拒绝配合”调查人员,但朋友们形容他越来越沉迷于“暗网”。
“这件事似乎是在他搬回犹他州南部之后发生的,”考克斯说。“显然,当时有很多人在玩梗……就像我们当今社会正在发生的模因化一样。” 调查人员还在子弹壳上发现了与网络模因文化相关的铭文,这些铭文含义隐晦,甚至考克斯也承认自己“根本不知道这些铭文的含义”。
案发现场发现的弹壳刻有反法西斯的嘲讽言论和网络模因风格的口号以及暗示游戏亚文化的各类信息,其中一个弹壳上写着:“嘿,法西斯!抓我!”,还有一个写着“注意到凸起,呜呜呜这是什么”可关联到以动物化身角色扮演著称的兽人社群。
另一条信息“嘿,法西斯!接招!↑→↓↓↓”包含箭头符号,对应游戏《地狱潜者2》中玩家扮演法西斯势力打击敌军时投放炸弹的操作指令。
其中一枚弹壳刻着“嗨,再见,再见,再见,再见,再见!”,这句源自意大利反墨索里尼抗议歌曲的歌词,同样出现在射击游戏《孤岛惊魂6》中。另一枚则带有恐同歧视:“看到这句你就是基佬哈哈”。
考克斯详细描述了罗宾逊如何花费大量时间玩游戏和探索一些鲜为人知的网络空间,包括Reddit和其他塑造他世界观的神秘暗网论坛。这位州长警告称,由模因驱动的极端主义在年轻人中的影响日益增强。
考克斯证实,罗宾逊的伴侣——一位跨性别女性——一直在配合警方调查。尽管一些政界人士推测柯克的反跨性别观点可能是导致罗宾逊事件的原因之一,但调查人员尚未透露这是否与此相关。
法庭记录显示,罗宾逊在犹他州圣乔治长大,成绩优异。他曾获得奖学金就读犹他州立大学,但一个学期后就辍学,后来进入一所技术学院学习。社交媒体上的帖子将他描绘成一个充满活力的家庭,喜欢户外活动和旅行,还附有年轻时罗宾逊手持枪支的照片。
尽管提供了这些细节,考克斯坚称自己并非想从政治上捞好处。“我跟这场斗争真的没有任何关系。如果对方是个激进的‘让美国再次伟大’(MAGA)人士,我也会这么说。”
罗宾逊因涉嫌加重谋杀被捕,本周首次出庭时将面临正式指控。与此同时,悼念柯克的人们纷至沓来,美国转折点组织计划在亚利桑那州州立农场体育场举行追悼会。他的遗孀埃里卡·柯克承诺将继承已故丈夫的事业,并宣称:“我丈夫创立的运动永不消亡。”
8月14日,捷克警方逮捕了已被关闭的暗网市场创始人托马斯·伊日科夫斯基(Tomáš Jiřikovský),伊日科夫斯基曾向捷克国司法部捐赠了数十亿美元的比特币。9月初,其因比特币案被拘留一事提出的申诉,被提交至捷克布尔诺地区法院。
伊日科夫斯基曾因运营一个名为“绵羊市场”(Sheep Marketplace)的暗网毒品交易平台而被判有罪并服刑。他于2016年被捕,随后因挪用资金和贩毒罪被判处九年有期徒刑,但服刑四年后其被释放。
捷克警方逮捕涉嫌数十亿美元比特币丑闻的捐赠者 据报道,捷克警方逮捕了暗网市场创始人托马斯·伊日科夫斯基,他涉嫌今年早些时候给捷克司法部捐赠了价值4500万美元比特币,导致前司法部长帕维尔·布拉泽克(Pavel Blazek)辞职。
此次逮捕发生在8月14日晚上,是捷克警方对伊日科夫斯基在布热茨拉夫所住的一所房屋进行突袭后进行的,犯罪嫌疑人在突袭期间试图爬上自家屋顶以躲避警方追捕。
两天后,伊日科夫斯基被指控两项与洗钱非法资金有关的刑事指控,这两项罪名分别发生在2015年和2025年。警方称,他向犯罪活动隐瞒了比特币的来源。今年的罪名还包括向司法部捐赠比特币。
伊日科夫斯基对拘留的申诉已送达地区法院 伊日科夫斯基就其因比特币案被拘留一事提出的申诉,已于9月初提交至布尔诺地区法院。法院发言人克拉拉·贝尔科沃娃(Klára Belkovová)称,预计该申诉将像其他拘留案件一样优先审理。类似案件的审理期限最多为数周。
贝尔科沃娃补充道:“地区法院将在正在进行的准备程序框架内对被告的申诉作出裁决,根据法律,这些程序不公开,因此在刑事诉讼的这个阶段,它不会提供任何进一步的信息,例如,文件内容或下令听证的日期。”
州检察官请求拘留涉案男子。她辩称,这一提议的合理性在于担心其逃脱、妨碍调查以及重复犯罪,而这三点恰恰符合《刑事诉讼法》中关于拘留被告的三个规定。市法院基于这三个理由将伊日科夫斯基拘留。州检察官放弃了提起诉讼的权利。
负责对申诉作出裁决的法庭小组可以在不下令举行听证会的情况下作出裁决,即所谓的依职权裁决。但是,法庭小组也可以下令举行发回重审听证会。
伊日科夫斯基是已关闭的暗网市场Sheep Marketplace的创始人 伊日科夫斯基是一名捷克程序员,也是是已关闭的暗网市场“绵羊市场”(Sheep Marketplace)的创始人,该暗网市场域名是sheep5u64fi457aw.onion,与贩毒、武器销售和假冒商品等犯罪有关。
Sheep Marketplace是伊日科夫斯基在2013年初推出的,当时比特币的价格约为100美元。在当时最大的暗网市场“丝绸之路”(Silk Road)关闭后,Sheep Marketplace成为名声大噪的暗网市场之一。直到2013年12月,因为网站存在漏洞导致5400个比特币被盗后,伊日科夫斯基于终止该暗网市场的运营,并从该平台的买家和卖家那里卷走了另外841个比特币,使他的个人比特币财富达到至少1500个比特币。
2017年,布尔诺地区法院以与“绵羊市场”相关的贪污、贩毒和非法持有武器罪名判处伊日科夫斯基9年监禁。2021年,他服完一半刑期后,因表现良好获得假释,但捷克当局从未追回其持有的比特币(据怀疑数量远远超过1500枚BTC)。
伊日科夫斯基向前任司法部长捐赠了468枚BTC 2021年获释后,伊日科夫斯基试图追回被扣押的设备,包括一台笔记本电脑,里面装着一个比特币钱包,里面有大约1560枚比特币。
该案件在法庭上陷入僵局,但是在2025年3月前任部长帕维尔·布拉热克(Pavel Blažek,ODS)执政期间,伊日科夫斯基通过律师将没收资产中的468枚比特币(30%)捐赠给了捷克司法部。
捷克司法部在3月至5月期间举办了78场拍卖会,有意向的个人和公司均参与了拍卖。最终,该部根据41份购买合同,向买家转让了235枚比特币,总价值4.466亿捷克克朗。剩余的233枚比特币仍由该部持有,存放在国家财产事务代表办公室。
该事件引发捷克共和国的腐败丑闻,导致前司法部长帕维尔·布拉热克辞职,反对派指责他收受贿赂并暗中出售资产。
新任司法部长埃娃·德克鲁瓦(Eva Decroix,ODS)表示,除非刑事诉讼程序能够解答这些比特币是否来自犯罪活动,否则她不会对这些比特币采取任何行动。
最高检察院已介入此案,新任司法部长委托了独立审计 据捷克新闻网站Echo24报道,捷克最高检察院周四表示,国家打击有组织犯罪中心(NCOZ)已介入此案,确保人员和证据安全。目前,该调查针对的是涉嫌洗钱和非法毒品交易,这与一项更广泛的调查分开进行,该调查还调查了滥用职权的情况。
新任司法部长埃娃·德克鲁瓦委托了均富会计师事务所(Grant Thornton)进行独立审计。审计公司均富会计师事务所(Grant Thornton)于7月底公布了审计报告的第一部分。审计报告指出,司法部不应该接受这笔比特币捐款,因为司法部意识到一些情况表明,这笔捐款可能来自犯罪所得,存在重大风险。审计报告显示,即使在时任部长布拉热克得知捐赠者的部分加密货币已被警方作为可能的犯罪所得没收后,司法部仍指示将捐赠的比特币转交给竞标者。
近期,一份新的研究报告显示, 自从英国的《网络安全法》(Online Safety Act)生效以来,人们对审查、监视及其意外后果的担忧日益加剧。
《网络安全法》是英国议会为规范网络内容而制定的一项旨在保护儿童和成人网络安全的法案,该法案于2023年10月26日通过,赋予相关国务大臣指定、禁止和记录英国认为非法或对儿童有害的各种网络内容的权力。
英国政府在《网络安全法》正式生效时声称 ,它将使英国成为“世界上最安全的网络国家”。《网络安全法》表面上旨在保护儿童并遏制网络有害内容,因此它有提出了许多网络服务提供商与网民无法接受的要求,如要求对成人网站进行年龄验证,对客户端的加密信息进行扫描等。
《网络安全法》授权监管机构要求WhatsApp和Signal等即时通讯服务在加密消息之前对用户设备进行客户端扫描,以查找违禁内容(例如 CSAM),这可能会破坏端到端加密,一旦该技术变得“可行”,当局就可以通过该法案获得访问私人通信的途径,此类扫描将使“每个人的私人数据都遭到持续的大规模监控”。因此,WhatsApp和Signal都威胁称,如果被迫遵守该法,它们将退出英国。目前,欧盟27个国家中有15个国家支持“聊天控制”提案,该提案将强制要求即时通讯服务提供商扫描私人消息中的CSAM。
然而,“暗网下/AWX”发现,英国《网络安全法》的生效带来了诸多影响,研究显示,与法律相关的博客文章以及使用VPN访问受限内容的指南的浏览量增长了56%,VPN使用正在飙升,越来越多的人正在搜索虚假身份证件、暗网访问方法以及种子下载服务。
英国VPN的使用量激增 尽管初衷看似良好,但研究报告发现,早期数据表明,该法案非但没有遏制用户的风险行为,反而促使用户做出更危险的行为。该法案推出后,虚拟专用网络(VPN)的使用量立即飙升,NordVPN的购买量增长了1000%,ProtonVPN的下载量增长了1800%。
该法案生效当天,VPN使用教程与使用指南的点击量也激增了943%。目前,世界上其他178个国家中,有8个国家已经完全禁止使用VPN,另有34个国家实施或曾经实施过VPN限制。
尽管英国官员目前坚称不会禁止VPN,但他们已承诺将对推广规避工具的提供商采取行动。报告警告称,英国可能会考虑对VPN进行年龄检查,甚至采用深度包检测技术,这是俄罗斯使用的一种策略。
报告总结道:“虽然任何减少(虐童内容)传播的尝试都值得称赞,但很明显,英国的《网络安全法》伴随着许多令人担忧的侵犯隐私的做法。”
这些担忧包括年龄验证系统带来的身份盗窃和欺诈风险、对公民的实时监控、VPN使用的潜在限制,以及强迫用户通过年龄验证系统意味着那些试图规避限制的人可能会发现自己面临不安全的替代方案、诈骗和威胁。
英国的暗网活动量也在上升 英国人在线互动方式的转变不仅仅局限于VPN,谷歌趋势数据显示,虚假身份证件、暗网访问和种子下载服务的搜索量急剧上升,而未实施年龄验证的色情网站的流量则翻了两三倍。因此可以看出,这种趋势惩罚了那些遵守规定的网站,同时迫使用户转向安全性更低的替代方案。
随着法律和年龄验证系统的实施,要求用户提交敏感的身份证件数据,隐私问题也日益严重。报告列举了一些不安全数据库泄露数千份“了解你的客户”(KYC)文件的例子,这些文件可能被网络犯罪分子利用进行身份欺诈。
在暗网上,对伪造和被盗英国证件的需求已经上升,暗网论坛和暗网市场上出现了大量提供大量驾驶执照和护照的报价,这引发了连锁反应。这些人可能在暗网上寻找身份证件进行转售或进行大规模身份欺诈。BreachForums论坛上的一则广告免费提供510份护照,这些护照很可能来自过去的数据泄露事件,虽然这些护照显然无法实际使用,但是可以用于线上认证。
“暗网下/AWX”获悉,9月初,Tor项目悄然在谷歌商店发布了一款适用于Android的新VPN应用,该VPN使用户能够通过Tor网络路由所有互联网流量,说白了就是Tor代理,这标志着非盈利性公益组织Tor项目首次正式涉足移动VPN解决方案。
目前,Tor VPN Beta现已在Google Play商店上架,明确标明为实验性版本,最新更新时间为9月4日,下载次数已经超过1000次。但Tor项目警告用户不要依赖它处理任何敏感信息,因为它仍然可能泄露身份信息。Tor项目称,此Beta版软件主要用于测试、反馈和进一步开发,不适用于高风险用户或敏感用例。
根据该项目GitLab存储库中的信息,该应用程序从2022年1月开始开发,目前为止已提交了600多次代码更新。代码库采用BSD 3-Clause许可证,并且完全开源,这与Tor长期以来对透明度和免费软件的承诺相一致。
因为Tor VPN完全开源,“暗网下/AWX”建议,除了在Google Play商店下载安装以外,用户也可以自行在手机安装此apk,可以从Gitlab软件包存档中下载最新成功构建的软件包,安装方法如下:解压文件,执行adb install app/build/outputs/apk/debug/app-debug.apk。
Tor VPN的技术特性 Tor VPN基于Arti构建,Arti是Tor项目最新开发的基于Rust的Tor协议现代实现,Arti取代了旧版基于C语言的“C-Tor”代码库,提供了更安全的内存处理、更现代的代码架构和更强大的安全基础。Tor VPN允许安卓手机用户通过Tor网络来路由手机里每个App应用的互联网流量,每个App应用都会获得自己的Tor线路和出口IP地址。这种基于应用的路由可以减少关联攻击,并进一步隐藏用户的网络活动。
Tor VPN应用程序提供:
网络级隐私(IP和位置混淆):应用程序和服务看到的是Tor出口节点,而不是用户的真实IP地址和位置; 每个应用程序路由:用户可以选择通过Tor路由哪些应用程序,每个应用都有自己的Tor线路和出口IP,防止用户网上活动被恶意监控,从而创建隔离线路; 应用级抗审查:通过使用Tor的分散路由,Tor VPN可以帮助部分国家用户访问受限制网络中的内容; 洋葱服务支持:与Tor浏览器一样,VPN支持访问.onion域名,以实现匿名通信和无元数据服务。 Tor项目成立于21世纪初,由公众捐款和机构资助,是一个致力于促进人权和网络自由的非营利组织。其最著名的产品Tor浏览器通过志愿者运营的覆盖网络路由流量,实现匿名网页浏览。随着Tor VPN Beta版的推出,该公益性组织正在将其功能扩展到移动平台上,实现更广泛的设备级隐私保护。
Tor VPN目前是测试版本 Tor VPN Beta尚未正式投入生产,并附带明确的警告。根据该应用的文档和商店列表,用户不应使用该应用进行高风险或敏感活动。Android的系统级数据(例如设备标识符)仍可能暴露用户信息,包括Tor在内的任何VPN都无法完全阻止这种情况。
Tor项目表示,Tor VPN Beta面向希望在安全的情况下助力打造移动隐私的早期用户,用户应了解可能出现的错误、崩溃和功能不完善的情况,并可报告问题。该应用最适合愿意向开发团队提供反馈的测试人员、开发人员和隐私爱好者,共同迈向更自由的互联网。
除了Tor VPN外,“暗网下/AWX”发现,目前,Proton VPN也支持Tor over VPN服务,并且速度比预期的要快得多,也可以测试使用。
销售假护照的暗网交易市场以“快速获取国际身份”为诱饵,吸引了无数寻求非法跨境流动的买家。这些伪造或通过欺诈获得的旅行证件在加密论坛上被宣传为“无法检测”或“可通过机场扫描”,价格从数千美元到上万美元不等。
然而,在2025年,全球边境安全系统凭借近场通信(NFC)技术和公钥基础设施(PKI)的普及,正以前所未有的效率揭露伪造护照的真相。现代护照的电子芯片内嵌加密签名,结合生物识别技术和全球数据库,构成了几乎无法突破的防线。暗网购买的假护照不仅无法通过现代化安检,还可能导致持有者面临拘留、起诉甚至终身入境禁令。这种技术与监管的协同作用,让伪造护照的“神话”在现实面前迅速破灭。
暗网市场的虚假承诺 暗网卖家通过夸大宣传和虚假展示吸引买家,声称提供“功能齐全的欧盟护照”或“政府原版芯片护照”。这些护照通常是被盗的空白证件、粗糙涂改的旧护照,或基于数字模板的伪造品。尽管视觉上可能以假乱真,但它们无法通过现代边境的多层验证。国际民航组织(ICAO)制定的9303号标准要求护照芯片存储持证人信息(如数字面部图像、指纹或虹膜数据)并由签发国认证机构进行加密签名。暗网伪造者无法获取主权国家的私钥,因此其芯片要么缺失,要么无法通过验证。
案例: 2024年6月,一名29岁旅客试图使用暗网购买的伪造法国护照通过法兰克福机场的电子通关门(eGate)。护照的凹版印刷和全息图几乎与真品无异,但芯片未能通过欧盟国家公钥目录(NPKD)验证。系统立即报错,旅客被转交边防警察。进一步检查确认该护照为伪造品,旅客因文件欺诈被拘留并面临德国法律指控。此案凸显了暗网销售的假护照在现代技术面前的无力,芯片验证在数秒内即可暴露真相。
补充背景: 暗网市场如Dream Market和Wall Street Market通过加密聊天群组和论坛(如Telegram或Tor网络)推广这些产品,部分卖家甚至提供伪造的扫描视频,营造真实感。然而,2024年欧洲刑警组织(Europol)的报告显示,超过90%的暗网购买的伪造护照在首次边境检查中被拦截,凸显其实际效用接近于零。
航空公司与技术驱动的严密筛查 航空公司因承担遣返费用和罚款的责任,成为边境安全的第一道防线。根据国际航空运输协会(IATA)的规定,航空公司必须通过“旅客信息预报”(API)和“旅客姓名记录”(PNR)系统在登机前验证护照信息。许多航空公司已部署手持式NFC阅读器和紫外线检测设备,预检护照的芯片和安全特征。暗网购买的假护照因缺乏有效数字签名或与数据库不匹配,通常在值机阶段即被发现。即便侥幸通过,边境的生物识别和数据库交叉核查也几乎确保其失败。
案例: 2023年末,一名加拿大旅客试图使用暗网购买的中美洲护照,在多伦多皮尔逊国际机场的美国海关预检站被拦截。API系统发现其护照号码与美国数据库不符,触发二次检查。NFC扫描显示芯片缺乏有效加密签名,确认其为伪造品。旅客被逮捕,加拿大媒体将此报道为跨国欺诈案例。此案表明,航空公司与边境系统的无缝整合让伪造护照无处遁形。
补充背景: 根据IATA数据,2024年全球航空公司因伪造证件导致的罚款超过5亿美元,促使行业加速采用先进验证技术。例如,汉莎航空和新加坡航空已试点AI驱动的证件分析工具,可检测护照的微观安全特征,进一步降低欺诈风险。
ICAO 9303与PKI的不可逾越壁垒 现代护照验证的核心是国际民航组织 (ICAO) 9303 号文件,这是机读旅行证件的全球标准。ICAO 9303标准和PKI体系要求护照芯片存储的加密数据必须通过全球公钥目录验证签名有效性。伪造者虽可复制芯片数据,但无法伪造签发国的私钥,导致芯片在主动身份验证或芯片认证协议中失败。此外,生物识别技术(如活体检测和面部匹配)与全球数据库的实时比对,进一步提高了检测精度。暗网销售的假护照因无法满足这些要求,几乎无一例外地在边境被拒。
案例: 2025年初,一名旅客在迪拜国际机场试图使用伪造的欧洲护照入境。芯片验证失败,且其外貌与存储的生物特征模板不符。红外线和紫外线检查进一步暴露了缺失的安全纤维和篡改痕迹。旅客被拘留并面临阿联酋法律的严厉处罚。此案显示,全球高安保机场的多层验证体系让伪造护照毫无立足之地。
补充背景: ICAO报告显示,截至2025年,全球超过90%的国家已采用基于PKI的电子护照,覆盖近20亿本流通证件。国际刑警组织的被盗和丢失旅行证件数据库(SLTD)每天处理数百万次查询,显著提升了边境拦截效率。
执法行动与暗网市场的持续博弈 全球执法机构正通过联合行动和先进技术打击暗网中护照贩卖犯罪。欧洲刑警组织和国际刑警组织通过潜入暗网市场、监控加密货币交易和分析通信记录,成功破获多个伪造团伙。尽管新卖家不断涌现,但买家面临的风险远超预期。区块链分析工具可追踪加密货币支付,而卧底行动常将买家引入执法陷阱。每次拦截不仅挫败欺诈企图,还为后续调查提供情报,逐步瓦解供应链。
案例: 2023年末,一名美国男子因从暗网订购伪造护照被捕。国土安全调查局(HSI)通过潜入供应商网络,追踪了交易和物流链。买家误以为收到的是有效证件,实则落入执法圈套。此案被FBI作为典型案例宣传,警告公众暗网交易的法律风险。
补充背景:“暗网下/AWX”多次报道,2021年以来,欧洲刑警组织(Europol)协调的多个联合执法行动关闭了数个销售伪造护照、证件等文件的暗网市场,查获数千本伪造证件和被盗空白护照。近期,美国和荷兰警方查封出售假身份证与假护照的暗网市场VerifTools。区块链分析公司Chainalysis报告称,2023年在暗网通过比特币和门罗币完成的伪造护照交易超过1亿美元,但80%的交易最终被追踪,凸显匿名性的局限。
使用假护照的代价与后果 暗网购买的护照不仅无用,还带来严重后果。持有者可能面临逮捕、刑事指控、巨额罚款,甚至终身入境禁令。在某些国家,持有伪造护照本身即构成重罪。国际数据库的生物特征共享进一步放大风险,即使初次未被发现,未来旅行也可能触发警报。此外,暗网交易本身并不安全,买家常成为诈骗或执法行动的目标,经济和声誉损失难以挽回。
案例: 2024年末,一名东欧旅客试图使用暗网购买的伪造护照飞往英国。API系统在值机前即发现护照号码与英国数据库不符,边境当局迅速介入。旅客被拦截并遣返,其信息被列入国际监视名单。此案显示,现代边境系统的预检机制让伪造护照几乎无法进入目标国家。
补充背景: 根据国际移民组织(IOM)数据,2023年因使用伪造证件被遣返的旅客超过10万人,部分案例涉及人口贩运和有组织犯罪。销售假护照的暗网市场的存在加剧了这些问题,促使联合国安理会在2024年通过决议,呼吁加强全球反欺诈合作。
结论:技术壁垒与合法途径的必然选择 “暗网下/AWX”认为,销售假护照的暗网市场的虚假承诺在现代边境技术的重压下无处遁形,NFC、PKI和生物识别技术构建了多层次的验证体系,暗网伪造者无法突破加密签名和数据库核查的壁垒。从法兰克福到迪拜,从多伦多到新加坡,全球机场的实时检测让伪造护照寸步难行。航空公司的严格筛查和执法机构的联合行动进一步压缩了欺诈空间,每次失败的尝试都为系统提供更多情报,强化了全球安全网络。
对于寻求国际流动的个人,暗网购买的护照不仅徒劳,还带来毁灭性后果——逮捕、起诉和终身禁令远超其短暂的诱惑。合法途径,如入籍、居留许可或官方更名程序,虽需时间和努力,却是唯一可持续的解决方案。在ICAO标准和全球合作的护航下,边境安全体系确保了真实性与透明度。暗网或许贩卖身份的幻象,但机场的扫描器揭示了真相:伪造护照的冒险注定以失败告终。
7月底,根据“暗网下/AWX”的报道,在法国警方和欧洲刑警组织的协调下,臭名昭著的俄语暗网论坛XSS[.]is的明网域名被摧毁,其中一名管理员“Toha”被捕,当局指控Toha通过勒索软件获利超过700万欧元,并协助进行恶意软件、被盗数据和非法访问的交易。然而,警方对XSS的打击并未让地下网络犯罪销声匿迹。
近日,暗网威胁情报研究团队KELA发布研究报告称,尽管XSS在暗网上仍然在线,但关于其控制者身份的困惑加剧了人们的怀疑,怀疑它可能是执法部门的蜜罐。这种日益增长的不信任感促使许多网络犯罪分子与XSS保持距离,导致大规模网络犯罪分子迁移到名为DamageLib的新平台。
XSS论坛管理员“Toha”被逮捕 2025年7月22日,乌克兰当局在欧洲刑警组织的支持下,逮捕了一名38岁的男子,他涉嫌担任大型俄语网络犯罪论坛XSS[.]is的管理员。此次逮捕是在法国当局、欧洲刑警组织和乌克兰执法部门领导的多年调查之后进行的。XSS论坛自2013年以来一直活跃,前身为DaMaGeLaB,长期以来一直是被盗数据、恶意软件和勒索软件工具交易的中心,拥有近5万名注册用户。该论坛拥有一套信誉系统来促进安全交易,并严格禁止攻击独联体国家。
被捕的XSS管理员是“Toha”,他自2005年以来一直是网络犯罪界的核心人物,在多个大型俄语论坛的发展中发挥了关键作用。“Toha”是Hack-All的创始成员之一,该组织后来更名为Exploit[.]in。2017年,在DaMaGeLaB的管理员“Ar3s”被捕后,他们接管了DaMaGeLaB,继续主导地下网络犯罪活动。2018年,Toha将DaMaGeLaB更名为XSS[.]is,进一步巩固了其在网络犯罪领域的领先地位。
自Toha被捕以来,关于其身份以及XSS论坛未来走向的谣言和猜测愈演愈烈。研究人员认为该威胁行为者与别名“Anton Avdeev”有关。然而,执法部门迄今为止尚未发表任何声明,这可能是由于仍在进行调查并试图识别参与该论坛活动的其他人员。
XSS论坛新管理者的管理操作引发恐慌 研究称,尽管在暗网中,洋葱版本的XSS论坛仍然在线,但人们越来越多地猜测它已经成为执法蜜罐,而新的、声誉较低的版主的任命加剧了这种担忧。
在XSS论坛的明网域名被查封并关闭期间,该论坛的暗网域名仍然可以访问。但是大抓捕已经形成了较大威胁,XSS论坛成员开始恐慌地清理他们的帖子和消息,2025年8月3日,XSS论坛的新管理员宣布他们已成功将所有基础设施迁移到新服务器,并推出了新的明网域名(XSS[.]pro)和暗网网站,因为他们担心洋葱网站也已被查封。他们还表示,论坛的后端和Jabber服务器尚未被查封。
继发表声明后,新管理员封禁了之前的版主,并任命了新版主“Flame”(注册于2020年,只发了53条帖子)、“W3W”(注册于2025年8月4日)和“locative”(注册于2022年,是现任版主团队中声誉最高的),负责管理讨论帖和组织事务,同时继续维护论坛基础设施。这一举动立即在该论坛近5.1万名会员中引发了广泛的不信任,论坛成员纷纷对此表示强烈担忧和愤慨,主要是因为新版主无论是在论坛内外都缺乏声誉或知名度。另外,新版主们开始封禁长期用户,原因是他们发布了令人担忧的帖子和负面评论,这进一步引发了论坛成员的新一轮猜测和讨论。
成员们开始担心老用户或信誉良好的用户缺乏活跃度,并提到只有少数几个用户活跃,分别是“c0d3x”、“lisa99”、“stepany4”和“proexp”。KELA可以确认,参与讨论的老用户名单比较少,除了上述名称外,还有“waahoo”、“antikrya”和“p1r0man”。
另外,XSS论坛的新管理员将社区的知名成员“Stallman”添加到版主列表中,此举也引起了论坛用户的担忧。Stallman活跃于各种现有和之前已停用的知名论坛,包括Exploit、XSS、RAMP(Stallman也是RAMP的管理员)、Rutor和Runion,主要专注于漏洞和勒索软件,也就是Stallman在事实上领导勒索软件社区,这一发展引发了人们对新的XSS管理及其潜在动机的新疑问。此外,Stallman上任后,有传言称新的XSS管理员将允许在XSS上发布勒索软件并进行讨论,而这些此前是被禁止的。
XSS论坛的市场版块在整个月内保持活跃,不断推出新的产品和服务。然而,正如论坛中其他论坛成员在有管理员的讨论区中提到的那样,这些新产品和新服务来自新注册且未经验证的成员。此外,针对独联体国家/地区的服务开始变得更加频繁,而且没有受到监管,这也引起了用户的不满,因为XSS一直以严格禁止针对独联体国家的服务而闻名。
XSS论坛的新管理者对存款的处置引发争议 另一个引起XSS论坛社区关注的热门话题是存款(网络犯罪分子为了提高声誉而自愿存入账户的金额)及其支付情况。在专门为此问题创建的讨论帖中,新任管理员表示他们没有足够的资金来偿还所有存款,目前提现请求总额为7.015942 BTC(788,254美元)和480.527 LTC(54,673美元),这些金额将分配给那些要求返还押金的用户。此外,成员们开始讨论,押金债务总额估计约为50-55 BTC(6,170,873美元),他们认为这可以算作整个论坛的成本。值得注意的是,Stallman公开反对这一想法,坚持认为应该先提取版主的押金,然后再支付剩余金额。
2025年8月28日,论坛管理员声称已将部分存款金额转给了要求提现的用户。名单上的一些威胁行为者也在同一帖子中确认资金已转入他们的钱包。
新的XSS论坛管理者对近600万美元有争议的用户存款的处理进一步削弱了信任,也进一步促使前XSS版主推出一个新的竞争平台。
XSS论坛的访问量急速下滑 困惑和恐惧促使相当一部分用户急于寻求替代方案,在XSS出现动荡期间,由于参与者寻求替代方案,Exploit论坛流量激增近24%,而XSS论坛访问量则大幅下降。
XSS论坛上的网络犯罪分子正在讨论如果确定XSS已经被攻破,他们可能会转向何处,其中主要提到了Exploit(但一些论坛成员猜测Exploit也可能是一个蜜罐)、RAMP和Verified论坛。
根据SimilarWeb的统计数据,Exploit论坛在XSS被查封后流量激增,本月总访问量增长了23.99%。然而,在7月24日达到峰值之后,Exploit的流量开始恢复正常水平,而XSS论坛的访问量则急剧下降。值得注意的是,用户也避免访问明网域名XSS[.]pro。
DamageLib的出现与崛起 XSS论坛的一些前版主推出了他们自己的基于洋葱的论坛DamageLib,并向XSS论坛成员发送私信,邀请他们加入新论坛,并声称XSS已被完全控制。DamageLib目前仅存在于暗网版本中;包括“cryptocat”、“fenix”、“sizeof”、“zen”、“stringray”、“rehub”等在内的版主声称,他们不打算支持明网版本的论坛。
KELA的研究显示,DamageLib在成立的第一个月内发展迅猛,截至2025年8月27日,DamageLib拥有33487名用户(占XSS全部50853名注册用户列表的近66%)。然而,目前的统计数据表明,新创建的DamageLib论坛的用户在整个月内仅发布了248个主题和3107条公开消息。根据KELA的内部统计数据,在XSS论坛被查封前的一个月(2025年6月23日至2025年7月23日),威胁行为者共发布了超过14400条公开消息。研究人员表示,这表明,虽然用户在新平台上注册,但整个地下社区仍然保持着谨慎的态度。
最初,注册完全匿名,版主和管理员直接要求新成员避免使用XSS相关的信息,以防止可能的追踪。然而,在最近的帖子中,他们表示能够恢复用户数据,并创建了所谓的“幽灵账户”,首先是为了防止已知用户的冒充,其次,允许那些想要恢复声誉的用户通过验证流程并重新获得昵称的访问权限。不出所料,这一流程引发了担忧。不过,据KELA观察,一些成员,例如“Spy”和“paranoid,已经恢复了他们的昵称。
版主的合法性及其动机令新注册会员感到担忧。在一个专门讨论论坛新闻的帖子中,一位用户请求版主从其Exploit账户发送消息,以确认其身份和所作的声明。2025年8月2日,昵称“Fax”的用户表示,Exploit论坛版主“Quake3”向其发送消息,确认DamageLib版主之一“Rehub”已确认XSS版主团队确实是DamageLib论坛的幕后推手。
此外,KELA观察到一些著名的XSS成员使用他们原来的昵称活跃在当前的XSS和DamageLib论坛上,包括“antikrya”和“Ar3s”(由于缺乏对DamFageLib的验证,KELA无法确认他们是否为同一威胁行为者)。后者证实该论坛是由前XSS版主团队创建的,而“antikrya”主要表达了隐藏昵称毫无意义的观点。
DamageLib的版主和管理员在其他帖子中表示,他们正在考虑屏蔽论坛的商业版块,因为“Toha”在被捕前不久就曾考虑过这个方向。此外,关于允许勒索软件相关讨论和报价的讨论也在DamageLib上进行,并获得了社区的积极反馈。
根据KELA的报道以及“暗网下/AWX”的实际访问探查,目前,这两个暗网论坛的用户群高度重叠,地下犯罪社区更关注论坛平台本身的发展现状、是否正在被警方调查、各自管理者的身份和合法性,以及用户存款的去向,这些方面也是网络犯罪分子决定去留的关键。