在”暗网下/AWX“最近的独家报道中透露，BreachForums.vc在臭名昭著的ShinyHunters黑客的控制下卷土重来，这些黑客与原BreachForums的管理团队进行合作。 在旧的BreachForums论坛被联邦调查局查封之后，其所有者PomPomPurin（真名：Conor Brian Fitzpatrick）在纽约被捕，后来，因为担心数据被FBI掌握，继任管理员Baphomet宣布关闭旧的BreachForums论坛。 现在，新恢复的论坛已成为数据泄露的受害者，导致4202多名注册会员的个人信息暴露。 OnniForums的管理员宣布入侵了BreachForums.vc 在Telegram上的一次交流中，一位名为“Weep”（The Jacuzzi聊天的版主之一）的网友证实了网络攻击的发生。Weep向BreachForums.vc的成员发表讲话，并将数据泄露归因于名为OnniForums的竞争对手论坛，该论坛是一个专注于安全和匿名的暗网论坛。Weep敦促论坛成员重置密码，并透露黑客利用了MyBB论坛程序的0day漏洞。 与此同时，据称来自OnniForums官方推特账户的推文声称对这次袭击负责。来自同一论坛的另一条推文声称他们参与了破坏另一个名为“Exposed”的黑客论坛。值得注意的是，2022年5月，ExposedForum上泄露了一个部分数据库，其中包含来自现已被FBI查封的RaidForums的46万多名成员的详细信息。 泄露的数据包括4202名注册会员的信息 经多位用户确认，泄露数据是真实的，包括4202名注册会员的信息。 泄露的信息包括以下内容：登录密钥、用户名、电子邮件地址、IP地址、密码哈希、注册日期、成员的上次访问和帖子、帖子数和上次活动、社交媒体、个人资料链接等等。 BreachForums曾因促进被盗数据的讨论和交易而臭名昭著，该论坛重新启动后再次成为网络安全问题的焦点。 BreachForums.vc论坛现已恢复访问 BreachForums.vc自2023年6月19日星期一凌晨以来一直处于离线状态，但目前，该论坛已恢复在线。新的公告透露，数据泄露是由竞争对手的黑客论坛实施的，该论坛利用了免费开源论坛软件MyBB中的0day漏洞。 公告介绍，BreachForums.vc仍处于论坛的早期阶段，他们已经必须每天7*24处理来自竞争对手的DDOS攻击。同一个人在服务器上发现了MyBB的备份，其中包含约4000的电子邮件、密码（使用argon2i进行哈希处理）和IP（主要是VPN/Tor）。 公告表示，目前无法确定现在有多少人可以访问用户数据库。为了以防万一，请用户重设密码。并称，有些人担心论坛会消失，但他们不会，他们正在为这个错误承担全部责任，并将确保生存下去。

安全研究员Sh1ttyKids近日发布了一种新方法的详细信息，该方法基于HTTP响应标头中的实体标签（ETag）对Tor服务器进行去匿名化，从而找到暗网网站的真实IP。 该技术最初于2020年11月发现，并私下捐赠给了美国安全部队。 调查主要通过Shodan和Censys等开源资产扫描服务以及暗网社区的来源进行。 原因是勒索软件团伙Ragnar Locker对视频游戏公司Capcom的攻击事件，勒索者从中窃取了1TB的数据。 对泄漏站点的分析使研究人员能够找到用于托管受损数据的洋葱地址的原始IP地址。 同时，使用Etag发现的去匿名化方法至今几乎不为公众所知。 并且FBI似乎成功地使用这种技术对勒索软件组织Ragnar Locker的暗网泄密站点进行了去匿名化处理，并且嫌疑人受到了指控。 原来该勒索组织是臭名昭著的Wazawaka（又名m1x，又名Boriselcin，又名Uhodiransomwar）。 原文的一些流程： 介绍 臭名昭著的勒索软件团伙Ragnar Locker攻击了视频游戏公司Capcom，声称窃取了1TB的数据。Capcom拒绝了Ragnar Locker的要求，并将67GB的被盗文件发布在了暗网上。 研究 该泄漏站点仅包含一个链接，不包含文件本身。相反，有一个专门的Onion地址（http://rgleaktxuey67yrgspmhvtnrqtgogur35lwdrup4d3igtbm3pupc4lyd.onion/，该勒索组织的暗网网站）用于托管泄露数据等文件，这似乎是由Ragnar Locker勒索组织背后的运营者准备的。文件本身被分成多个文件并托管在以t2w…开头的Onion地址上（t2w5byhtkqkaw6m543i6ax3mamfdy7jkkqsduzzfwhfcep4shqqsd5id.onion）。 直接访问这个Onion地址会出现一个空白页面，这让我推测这是一个专门用于托管Capcom泄露数据的地址，且没有证据表明该地址用于托管Capcom泄露的数据以外的任何用途。 空页面和响应头 一般在暗网上寻找网站的源站IP地址时，会检查网站的源代码、SSL证书、响应头等，获取唯一字符串和指纹信息，然后扫描Shodan等服务，Censys等用于搜索IP地址。很多时候是使用Shodan、Censys等扫描服务来查找IP地址，但在这种情况下，我无法获取到网站源代码等信息。 然后，我检查了响应标头。除了源代码之外，扫描服务还获取响应标头。因此，如果响应头中包含一个唯一的字符串，就有可能获取到源IP地址。 HTTP/1.1 304 Not Modified Date: Wed, 11 Nov 2020 17:09:12 GMT Server: Apache/2.4.6 (CentOS) mpm-itk/2.4.7–04 OpenSSL/1.0.2k-fips PHP/5.4.16 Connection: Keep-Alive Keep-Alive: timeout=5, max=100 ETag: "0–5a4a8aa76f2f0" 我尝试在服务器标头和其他地方搜索，但无法像我希望的那样缩小搜索范围，可能是因为它不是唯一的字符串。看了下有没有其他地方可以用来缩小搜索范围，想到可以利用response header中的ETag信息来进行识别。 ETag是响应头中包含的信息，它是为每个内容生成的，作为响应头的一部分发送给浏览器。使用Shodan，我搜索了ETag信息0–5a4a8aa76f2f0并找到了一个命中。 如果您尝试直接访问该IP地址，您将看到一个空白页面，就像您直接访问t2w5by….的onion地址一样。 我检查了响应头，发现它是相同的ETag；服务器不匹配等其他标头的原因未知。 我尝试在Onion地址和IP地址上下载同名文件，并确认同名文件位于如下图所示的位置。所以，可以说t2w5by….onion的Onion地址的源IP地址是5[.]45[.]65[.]52。 根据托管Capcom被窃取数据的洋葱地址(t2w5by….onion)，一项使用Etag信息的研究揭示了原始IP地址(5[.]45[.]65[.]52)。例如，如果当地执法部门获得了这些信息，他们可能会没收服务器并将其用于调查。 后来从FBI Flash Report中得知，5[.]45[.] 65[.]52，是FBI Flash Report 中提到的一个IP地址。它没有提及有关此IP地址的任何进一步信息，但正如上面的研究所示，它被用作托管Capcom被窃取数据的服务器。

五月初，“暗网下/AWX”曾提醒，英文暗网市场Vice City已经无法提款，有可能是“退出骗局”。经过一个多月的断断续续的可用性和延续几个月的无法提款举报后，尽管目前该暗网交易市场仍保持在线状态，但暗网论坛Dread的版主Solar已经正式宣布长期存在的暗网市场Vice City正在经历”退出骗局“。 几个月来，Vice City一直受到一系列问题的困扰，由于长时间的停机、不处理提款和存款的问题以及市场工作人员和管理人员整体缺乏沟通，用户逐渐失去了信心。在上个月的某个时间里，该暗网市场的URL地址已从可信赖的暗网链接提供商tor.taxi中移除，这让人相信它存在某些问题。 两周前，有网友在reddit说，他还以为是被警方查处了，”退出骗局“也好，总之，与他的40美元（Vice City里的资金）说拜拜了。 在Dread版主Solar的一篇标题为“此时不要使用Vice City市场”的一句话帖子中，该暗网市场的不利形势似乎得到了证实，至少在过去几周内许多用户的担忧得到了印证。“该暗网市场很可能是退出诈骗，”Solar写道，但没有提供任何额外的背景或证明信息。 目前为止，Vice City暗网市场似乎是完全保持运作的，看起来也没有什么问题，尽管有许多举报说它已经停止处理提款。 暗网论坛Dread上的Vice City官方账号最后一次发帖，是在2023年4月19日。尽管该账号从未特别活跃，但它并没有费心去解决用户的任何担忧或对其消亡的多种猜测。至少从2022年12月开始，有关”退出骗局“的传言就一直在流传，尽管暗网市场总是在长时间离线后返回，以证明反对者是错误的。 目前，暗网论坛Dread上的普遍共识是，该暗网市场的”退出骗局“酝酿已久，最近在Vice City分论坛上的帖子反映了市场的一系列问题，从提款请求不被处理到登录问题，再到缺乏关于客服票据和纠纷的支持。 暗网市场Vice City于2020年5月推出，在其运营的三年中一直备受争议。除了上面提到的问题——其中许多问题一直困扰着它的整个生命周期——市场的基本功能经常失修，导致一些人质疑它的可信度。尽管存在问题，但由于其相对较大的商品选择和直接支付（按订单）的支付系统，Vice City也取得了不错的人气。 更多暗网新闻动态，请关注“暗网下/AWX”。

Omnipotent，臭名昭著的RaidForums的前任管理员，今天发布了一条带有PGP签名的声明，PGP签名的存在基本证实了也许确实是他自己发布的。声明的大概内容是：”你们都是好人，看到pom因经营自己的Raidforums后继者BreachForums而遭受打击，以及他自杀，我很难过。我也处在这个相同的位置。在这些时候，也请大家支持其他受害者。我现在没有任何重启Raidforums的计划，不能为其他人担保。我也对Raidforums的数据库泄露感到非常震惊。不知道它是如何发生的。它是有效的，可以追溯到2020年底。据我所知，没有工作人员从raidforums被捕。“ 这是一条有趣的声明，有点意味深长，“暗网下/AWX”详细描述该声明，建议大家阅读。 Omnipotent是现在已经被FBI捣毁的Raidforums背后的所有者，今天突然给他的网站（rf.to）提供了一个带签名的更新声明。所有人可以在其网站查看：https://rf.to/statement-1.txt，打开该网址：https://rf.to/statements，可以阅读所有其他声明。 在声明中，他首先表示，要感谢“每一位向我伸出援手，传递善意和支持的信息”的用户。有些人“甚至每天都与我联系并保持友好的交谈”，并从心底里感谢他们。 第2点，他说了一些关于“pompompurin”和他经营自己的BreachForums的事情，他说：“得知他所谓的自杀企图，我很痛苦，我想告诉他坚持住，我也发现自己处于同样的困境。有一部分的我背负着罪恶感，特别是当我考虑到那些可能觉得有必要继续我的遗产的人，后来又面临着正是这样做的后果。不管怎么样，我还是要感谢我们社区的成员，他们挺身而出，填补了RaidForums离开后留下的空白，创造了空间和论坛，使社区保持活力。” 接着，他说：”我请求你们向那些发现自己被卷入RaidForums活动的法律后果的人提供支持。现在比以往任何时候都更需要你们的同情心。我最近看到Euronews的一篇文章，详细介绍了其中一名嫌疑人的困境：https://www.euronews.com/next/2023/06/02/raidforums-the-child-hacker-facing-extradition-to-the-us，情况相当糟糕。此外，我不禁质疑当局在这件事上的一些行为背后的道德，但美国的不道德行为由来已久，所以这并不令我惊讶“。 对于重建RaidForums，他再次澄清，RaidForums已被FBI查封并下线，他目前没有任何建造替代品的计划。他为这个社区奉献了他生命中的重要部分，因此他希望大家能够尊重这个决定。并表示，社区中还有其他人建立了替代平台。虽然他个人不能保证它们的安全性或可靠性，但它们可供希望找到它们的人使用。 然后，他谈到了RaidForums数据库泄漏事件，说他不知道它是如何发生的，因为除了他自己之外，没有人被允许访问数据库。但他确认了泄漏数据库的真实性，说”泄露的数据库似乎是真实的，可以追溯到2020年底。“他从发布泄漏数据库的人那里得到的说法是，泄露数据库是由管理员Jaw通过管理面板下载的。他还抨击了ExposedForums或泄露数据的论坛，声称”他们在计划为RaidForums社区建立一个替代论坛时，居然自愿暴露自己社区的数据，我觉得信任这样的人令人深感不安和反常”。 最后，他陈述了关于工作人员被捕的情况，声称“有三个人因涉嫌与我们社区有关而被捕，其中两人后来被释放，等待进一步调查。第三个人目前正面临可能被引渡到美国的情况。”他还表示，”然而，我想平息任何关于Jaw、Moot或任何其他工作人员是否被逮捕的猜测——他们没有”。 该声明的详细内容： -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 This is a PGP signed message from Omnipotent; First and foremost, I want to express gratitude to every one of you who has reached out to me, bearing messages of goodwill and support. Some have even contacted me daily and kept friendly chatter flowing, I thank you for this much needed distraction. To those of you offering this outpouring of support—you know who you are—I thank you from the bottom of my heart.

6月13日，英文暗网圈子爆出大的新闻，“暗网下/AWX”进行了追踪。 BreachForums宣布回归重启 Breached论坛的创始人“Pompompurin”的合伙人“Baphomet”，在关闭Breached论坛数周后，终于宣布重新启动Breached论坛。他在其Telegram群组里称论坛恢复了，并公开了新的Breached论坛的地址：https://breachforums.vc。他说，当你注册时，请检查你的垃圾邮件文件夹，因为邮件可能没有到达收件箱。他还表示，如果你发现任何错误，请告诉我，如果网站已关闭，可能因为“impotent”（Exposed论坛的管理员）正在进行DDoS攻击。 Baphomet在其个人站点发布了Breached论坛恢复的公告，并提醒大家确认PGP签名，该公告表示： 这是Baphomet，不仅确认了我自己，而且确认了官方论坛：breakforums.vc 这是我们唯一的域名，其他域名都不值得信任。包括任何旧的被破坏的域名。 请耐心等待，因为我们正在解决一些与电子邮件验证和停机时间有关的预期问题。在BF上拥有等级的成员可以在论坛上PM我（或电报），以恢复他们在我们论坛上的账户。如果你没有收到验证邮件，请让我知道，我们可以确保你的账户被激活。 意味着目前重启的Breached论坛是一个新论坛，并没有导入关闭前Breached论坛的老数据，“Baphomet”表示可以手工恢复用户等级，他也在群组里说： 如前所述，我们唯一的域名是https://breachforums.vc 如果你需要从BF恢复你的等级，如果我不在这里回应，请在论坛上给我发邮件。提供任何可以验证你的信息，从截图，到账户信息（电子邮件，等等）。 我们正在努力解决电子邮件的问题，但在这之前，我将手动验证任何人。谢谢你的耐心。 Exposed论坛宣布寻找新的主人 Exposed论坛曾因泄露Raidforums的用户数据库而收获了广泛的知名度，一度被认为是已宣布关闭的Breached论坛的替代品。 6月13日上午，版主“Purism”在相应的论坛帖子中写道将出售Exposed论坛，随即该网站断开数据库连接，取而代之的一个”我们正在寻找新的所有者！“的首页，内容称：“因为我们没有足够的时间来管理网站，我们正在为它寻找新的所有者。如果您想成为所有者，请在Telegram上联系：@purism12或@ImpotentDude”，并留了一个电子邮件地址：[email protected] 首页提到了Breached论坛，发布了“关于 breachforums.vc 的更新！！！”： 不要使用 BreachForums.VC！ShinyHunters 和 Baphomet 未能通过 OPSEC.. 论坛后端真实IP（BreachForums.vc）：45.140.17.4 后端 CDN IP (cdn.breachforums.vc)：host-18.dedicated.vsys.host :806 – 基于 vsys.host！ 但是，可能由Medusa勒索软件团伙运营的Telegram频道已经发布了警告，其称：“别尝试联系@purism12或@ImpotentDude来购买https://exposed.vc论坛，这是一个彻底的诈骗。他们确实有该论坛的访问权限，但只是想在退出前诈骗2000~3000美元。已经有超过4人被诈骗。”也就是该论坛团队正在进行退出骗局。 更奇怪的是，Exposed网站出售的公告的同时，BreachForums也发布了宣布恢复的公告。 论坛欢迎信息说：“论坛回来了，它将由同一个团队管理。” 为何如此巧合 著名网络安全分析组织vx-underground的Telegram频道发布消息： ExposedExposed，这个旨在取代Breached的论坛，正在出售。 同时，Breached论坛已经回归。与Pompompurin合作的前主人Baphomet现在正与臭名昭著的ShinyHunters集团一起工作。 vx-underground直接将BreachForums的重新启动与Baphomet加入ShinyHanters这一事实联系起来。Pompompurin本人于2023年3月被FBI逮捕，此后Baphomet宣布关闭BreachForums。 消息称，ShinyHanters黑客组织专门从网站和各种服务窃取用户数据。它至少从2020年开始活跃，在2020年，他们设法从该公司已关闭的GitHub帐户中窃取了约500GB的微软产品软件代码。在此之前，他们窃取了印尼零售巨头Tokopedia的9100万个账户数据。其他受害者包括Wattpad、PlutoTV和Bonobos。 早在2023年6月上旬，暗网圈中均认为Exposed论坛是Breached论坛的潜在替代品，特别是，“Purism”向Breached论坛宣战，称其创始人“不知道如何保护用户的安全”。但是，是否是Breached论坛的重启导致了Exposed论坛的关闭，“暗网下/AWX”将持续跟进。 更多暗网新闻动态，请关注“暗网下/AWX”。

代码签名证书应该有助于验证软件发布者的身份，并提供加密保证，确保已签名的软件未被更改或篡改。这两种特性使得被盗或不正当获得的代码签名证书对网络犯罪集团具有吸引力，他们看重的是其为恶意软件增加隐蔽性和持久性的能力。 独立记者布莱恩·克雷布斯（Brian Krebs）近期发布了一项调查，在调查中，他多次对知名暗网用户“Megatraffer”进行了人肉，将他与过去十年中期居住在莫斯科的某个人联系起来。文章中称，这位俄罗斯资深黑客自2015年以来几乎垄断了以恶意软件为中心的代码签名证书的地下市场。 在文章开头，克雷布斯对“Megatraffer”在俄罗斯犯罪论坛Exploit.in上的帖子的审查后显示，“Megatraffer”于2015年开始在Exploit上交易被盗的代码签名证书。他的业务很快扩展到销售用于对设计为在Microsoft Windows、Java、Adobe AIR、Mac 和 Microsoft Office上运行的应用程序和文件进行加密签名的证书。 根据“Megatraffer”的说法，恶意软件供应商需要证书，因为许多防病毒产品对未签名的软件更感兴趣，而且从互联网下载的签名文件往往不会被现代网络浏览器内置的安全功能阻止。Krebs详细说明，在2016年，“Megatraffer”以每张700美元的价格出售独特的代码签名证书，并针对“扩展验证”或EV代码签名证书收取两倍多的费用（1900美元）。根据“Megatraffer”的说法，如果您想签署能够在较新的Windows操作系统中可靠运行的恶意软件或硬件驱动程序，则EV证书是“必备”证书。 “Megatraffer”继续在六个以上的其他俄语网络犯罪论坛上提供代码签名服务，主要以 Thawte 和 Comodo 等主要供应商偶尔提供的 EV 和非 EV 代码签名证书的形式提供。 据网络情报公司Intel 471称，从2009年9月到今天，“Megatraffer”一直是至少七个最大的暗网站点的积极参与者。在大多数情况下，他使用的电子邮件地址是“[email protected]”，这个电子邮件地址还与两个论坛账户中一个名为“O.R.Z.”的用户相联系。 开放式数据库监控公司Constella Intelligence发现邮箱地址[email protected]仅与少数几个密码相关联，但最常见的密码是字母组合“featar24”。对其进行反向搜索后，克雷布斯找到了一个邮箱地址“[email protected]”，Intel 471发现该地址在2008年也与昵称O.R.Z相关联，这个2008年在Verified.ru上注册的帐户。在此之前，[email protected]被用作“Fitis”帐户的电子邮件地址，该帐户在2006年9月至2007年5月期间处于活跃状态。此外，Constella Intelligence发现“featar24”密码关联到电子邮件地址[email protected]，该地址与2008年Carder.su上的另一个O.R.Z.账户相关联。此外，[email protected]地址被用来创建一个名为“Fitis”的Livejournal个人博客，其头像是一只大熊。 “我是一个完美的罪犯。我的指纹每隔几天就会改变，无法辨认。至少我的笔记本电脑是肯定的。”Fitis在他的博客中写道。 2010年，在当时两家最大的垃圾邮件赞助商相互开战并且他们的内部文件、电子邮件和聊天记录落入许多国际研究人员手中之后，“Fitis”的身份被曝光。文件显示，Spamit联盟计划中收入最高的员工之一就是“Fitis”，他吸引了超过75个联盟成员（并从所有75名联盟成员的未来销售中获得佣金）来工作。他收到了一个WebMoney帐户的付款，该帐户的所有者在注册时出示了有效的俄罗斯护照，其姓名为Konstantin Evgenievich Fetisov，出生于1982年11月16日，在莫斯科注册。俄罗斯机动车记录显示，此人在同一莫斯科地址登记了两辆不同的车辆。 此外，注册到[email protected]电子邮件地址的最奇怪的域名是fitis.ru，根据DomainTools.com说这是在2005年注册给来自莫斯科的Konstantin E. Fetisov。 archive.org上的Wayback Machine在早年为fitis.ru收录了索引，其中大部分是空白页面，但在2007年的一段短时间内，该网站似乎无意中将其所有文件目录暴露给了互联网。其中显示了一个ICQ的号码为：165540027，英特尔 471发现该ICQ号码是“Fitis”之前在Exploit论坛中使用的即时通讯地址。 总部位于纽约市的网络情报公司Flashpoint发现“Megatraffer”的ICQ是Himba.ru域名的联系电话，Himba.ru是一项于2012年推出的广告联盟计划，英特尔 471发现Himba是一个活跃的广告联盟计划，直到2019年5月左右停止向其合作伙伴付款。 Flashpoint指出，2015年9月，Megatraffer在Exploit上发布了一则招聘广告，寻求经验丰富的编码人员来处理浏览器插件、安装程序和“加载程序”——基本上是远程访问木马（RAT），它们可以在攻击者和受感染的系统之间建立通信。 奇怪的是，克雷布斯几乎只字未提“Megatraffer”在2015年之后的命运和活动。他的调查更关注的不是Fetisov的个性，而是代码签名证书仍然是暗网上需求的商品这一事实。

一名来自美国马萨诸塞州的18岁男孩被指控试图通过在暗网上销售礼品卡（包括亚马逊和迪克的体育用品礼品卡），为恐怖组织“伊拉克和沙姆伊斯兰国（ISIS）”筹集超过1600美元——但该少年的父亲声称他的儿子一直被人“牵着鼻子走”。 美国马萨诸塞州检察官办公室周四发表声明称，来自马萨诸塞州韦克菲尔德的马特奥·文图拉（Mateo Ventura）周四首次在伍斯特美国地方法院出庭，他将面临故意隐瞒外国恐怖组织物质支持或资源来源的指控。 这名少年是韦克菲尔德纪念高中的学生，他被下令关押在监狱，等待下周三的保释听证会。 文图拉的父亲保罗在法庭外告诉记者，他的儿子因早产而在发育和学习方面存在问题，并补充说他在学校受到欺凌者的折磨。 他强烈否认这名少年支持伊斯兰极端组织。 “我儿子说，’爸爸，我不明白，我没有做错任何事’。”保罗·文图拉（Paul Ventura）描述了联邦调查局周四早上前来逮捕马特奥的那一刻。 “我儿子不是恐怖分子。”他补充道。 18岁的马特奥·文图拉（Mateo Ventura）周四被逮捕，罪名是在资助ISIS的计划中故意隐瞒对外国恐怖组织的物质支持或资源来源。 检察官表示，文图拉被指控参与一项计划，即在暗网上以低于面值的价格出售礼品卡，所得款项用于资助伊斯兰国。 根据一份宣誓书，在2020年8月至2021年8月期间，文图拉向他认为是ISIS支持者但实际上是卧底FBI特工的人发送了大约25张价值965美元的礼品卡。 那段时间，他还未成年。 检察官说，在18岁之后的1月至5月期间，文图拉向假冒的ISIS同情者提供了另外705美元的礼品卡。 马特奥的父亲保罗·文图拉(PaulVentura)告诉记者，他的儿子不是恐怖分子，他被人“牵着鼻子走”了。 这位单身父亲说，他的儿子——有学习和发育问题——试图通过向特工展示在暗网上联系ISIS武装分子是多么容易来帮助FBI。 大多数卡片（每张价值从10美元到100美元不等）都来自Google Play商店。其他则来自GameStop、亚马逊和Dick’s Sporting Goods。 法庭文件显示，这名马萨诸塞州的青少年还在一款加密的消息应用程序上谈到了想要出国旅行并与ISIS作战的想法。 法庭文件显示，有一次，这名18岁的年轻人向卧底特工发送了一段录音，宣誓效忠当时的伊斯兰国领导人阿布·易卜拉欣·哈希米·库拉什（Abu Ibrahim al-Hashimi al-Qurash）。 据称，文图拉甚至购买了一张4月份前往开罗的机票，但他从未成功登机。 检察官说，Mateo向他认为是ISIS支持者的人发送了价值1670美元的礼品卡，但实际上该人是FBI卧底特工。 检察官称，今年4月，文图拉联系了FBI，提出向该机构通报埃及未来发生的恐怖袭击事件，以换取1000万美元和豁免权，但被联邦调查局拒绝了他的提议。 文图拉的父亲保罗·文图拉争辩说，他的儿子，他说他精通电脑，正试图通过向FBI展示美国人可以多么容易地在网上与恐怖分子联系来帮助FBI“并与他们合作”。 “[他是]百分百忠诚的美国人。百分之一百，”单身父亲说。“他不喜欢恐怖主义。他不喜欢。他喜欢了解它。” 如果罪名成立，文图拉将面临最高10年的监禁。

法庭文件显示，美国田纳西州的一名女子被指控从暗网付钱给一名杀手，以杀死她在Match.com上认识的徒步旅行伙伴的妻子，并在一款健身应用程序上跟踪该女子的行踪。 当她的朋友（在最近解封的法庭文件中以首字母D.W.命名）告诉她他将在去年秋天结婚时，Melody Sasser显然不喜欢这样。 根据日期为5月11日的宣誓书，她告诉该男子：“我希望你们都掉下悬崖死去。” 上个月，Sasser在美国东田纳西州地方法院被指控犯有雇佣谋杀罪，如果罪名成立，她将面临最高10年的监禁。 根据宣誓书，一个外部执法机构向阿拉巴马州伯明翰的国土安全调查部门举报了4月份涉嫌的阴谋。 法庭文件称，调查人员收到了在线用户“cattree”与暗网网站”在线杀手市场“（Online Killers Market）管理员之间的消息，该网站宣称提供“雇佣杀手”服务。 根据刑事诉讼，该网站的屏幕截图显示，“cattree”于1月11日下单谋杀。 官员们说，她分享了目标的名称、地址以及描述：“它需要看起来是随机的或意外的。或者是因为吸毒，不希望有长时间的调查。她最近搬去和她的新婚丈夫同住。” 根据刑事诉讼，Sassers被指控的行为发生在四个月的时间里，从年初到2023年4月27日。Sassers所谓订单的报价金额为9750 美元，并以比特币支付。 文件称，“Cattree”还上传了目标的照片，该人物的名字缩写为J.W.。 调查人员向目标居住的阿拉巴马州普拉特维尔市的警方发出警报，并派巡逻队前往受害者家中。 该文件称，当J.W.得知所谓的威胁时，她将“Sasser列为嫌疑人”，并说Sasser和她的丈夫在搬到阿拉巴马州之前是徒步旅行（远足）的朋友。 根据宣誓书，D.W.告诉调查人员，他和Sasser在约会网站Match.com上认识，她通过帮忙预订旅馆和休息点并在他离开时照看他的车辆来帮助他完成阿巴拉契亚步道的徒步旅行。 去年秋天，D.W.告诉Sasser他与J.W.订婚后，Sasser前往他在阿拉巴马州的住所。 J.W.报告说，她的车似乎被人用钥匙撬过，并且她接到了一个使用电子设备伪装声音的人打来的“不愉快的电话”。宣誓书称，“威胁”电话来自无法追踪的计算机生成的电话号码和互联网电话。 Sasser被指控在健身应用Strava上监控这对夫妇的行踪和活动，该应用已连接到他们的智能手表并共享位置数据。 当局称，“Online Killers Market”（在线杀手市场）声称在全球拥有12000名注册会员，提供的服务还包括“黑客攻击、绑架、勒索、泼酸毁容和性暴力”。 刑事起诉书称，该网站包括一个内部消息系统，供用户与接单杀手、管理员或其他用户联系。正是在那里，当局指控Sasser以“cattree”为昵称，曾多次向Online Killers Market发送消息，表达了对这项工作尚未完成的失望。 法庭文件显示，3月22日，“cattree”发来一条消息称，“我已经等了2个月零11天，工作没有完成”。 “2个星期前，你说它已经开始工作，将在一个星期内完成。该工作仍然没有完成。是否需要把它分配给其他人。会不会做，拖延的原因是什么。”根据刑事起诉书，她补充说：“什么时候能完成。” 管理员回应说，这项任务对于同意做这项工作的人来说风险太大。 管理员说：“我可以指派另外两名杀手来完成这项工作。”他指出，两人都想要更多的比特币来完成这项工作。在3月29日的消息中，“cattree”同意支付更多费用：“我将增加比特币。” Sasser于5月18日被捕，目前被关押在监狱中，等待她于周四下一次出庭。 她的律师没有回复置评请求。

在互联网领域，很少有东西能像暗网那样声名狼藉。它被广泛用于网络犯罪、盗窃、洗钱、恐怖主义和虐待人类，它仍然是无数政府当局和机构的目标，都在争相抓住其犯罪用户并遏制其使用。矛盾的是，暗网的基础是由美国军方开发的，并免费向公众开放。 欢迎来到暗网——一个真正肮脏和险恶的网络角落，或者它也可以成为促进自由和公民权利的工具？暗网下有什么？让我们慢慢解析… 什么是暗网？ 暗网是一个在互联网加密层上运行的网站网络，标准网络浏览器无法访问。它主要通过Tor或I2P访问。这些网络通过将用户数据路由到全球多个服务器，并在每个阶段对其进行加密（称为“洋葱路由”）来匿名化用户数据。这使得数据的来源和内容都难以追踪。 暗网上的网站使用“.onion”或“.i2p”顶级域，并且不被标准搜索引擎收录，提供了一个增强隐私和匿名的环境。 表网、深网和暗网 正如您可能已经知道的那样，互联网（Internet）是一个全球性的计算机网络。在使用该网络的众多数据系统中，有万维网（WWW）。当您使用Web浏览器访问Anwangxia.com等网站时，您的计算机正在请求托管在地球上其他地方的远程计算机上的文件。 许多机器为您无缝地处理这个过程——将您连接到适当的服务器，传输您的浏览器请求的文件，等等。您可以找到我们的任何网页以及数十亿个其他网页，因为它们可以公开访问并且已被Google等搜索引擎编入索引。 这个可访问的网络部分被广泛称为表网，但它仅占通过互联网可访问的总数据的一小部分，其余未被搜索引擎收录的内容通常称为“深网”。 深网数据相对隐蔽，但并非不可见——例如，云存储和在线银行服务，以及基于Web的电子邮件、政府和其他机构都位于深网中。如果您通过其URL或IP地址知道它的确切位置，那么您可以轻松找到它，尽管它可能会通过密码或某种验证系统来保持安全。 这类内容没有被编入索引，因为作为索引过程的一部分，托管数据的计算机阻止自动化程序（称为机器人程序）从网站中爬取。这并不一定意味着计算机包含任何非法内容或被用于任何不法行为（毕竟，它们在互联网上是完全可见的）——这只是提高安全性和隐私性的问题。 但是，有些互联网用户将这些隐私保护措施发挥到极致，使用高度私有的计算机网络，只能使用适当的软件进行访问。此外，这些电脑的位置和登录凭证是特定个人所独有的。 这些机器上托管的内容统称为暗网。 暗网：隐藏在众目睽睽之下 如果您知道使用谷歌、必应等搜索引擎，表网是如此容易访问；在知道确切访问地址的情况下，大多数深网也是如此。于是，您可能想知道究竟如何才能完全隐藏一个最终仍然连接到互联网的服务器集合。 暗网是通过使用覆盖网络（使用另一个网络进行通信的计算机群）来实现的，只有通过使用特定的软件、网络协议或独家授权才能访问。 这些系统的特定版本通常被标记为暗网，用于执行点对点文件共享等操作。然而，使用暗网本身并不意味着一切都是隐藏的——从您的家庭ISP帐户访问一个暗网将会留下可识别的痕迹，并可以追溯到您。 暗网由大量网络组成，它们被用来托管所谓的匿名代理网络——这些网络使用多个服务器充当中继，在机器之间传输数据，并在交易来往时对其进行加密。使用的中继越多，就越难跟踪暗网中的所有内容。 其中最著名系统之一称为Tor，它以技术本身命名：洋葱路由（The Onion Router）。洋葱路由最初由美国海军研究实验室在20世纪90年代中期开发，作为一种通过使用多个加密层（因此称为“洋葱”）保护互联网情报传输的手段。该代码最终在免费许可下发布，很快许多基于它的项目开始出现（Tor只是其中之一）。 Tor暗网中的服务器由志愿者拥有和运营，目前在全球范围内拥有数千台服务器。有些是公开列出的（中继），而另一些则不是（网桥），每天都有数百万人使用。 暗网的用途 这里首先要注意的是，访问位于暗网中的内容并不违法，至少在大多数国家是这样——那些对所有在线活动进行监测和严密监控的国家是例外，无论它位于网络的哪个部分。 拥有一个非常安全的私人网络，积极尝试尽可能隐藏其用户，这将对众多政府机构以及需要保护的个人有用，例如持不同政见者和告密者，或者仅仅是那些希望尽可能保护他们的数字内容的私密性和安全性的用户。 在一些国家，只要公开表达批评政府政策的观点，就可能导致逮捕和更严重的后果，使用暗网提供了与他人安全交流的少数手段之一。不过，这确实意味着那些阴谋迷，那些远远超出了在社交媒体上发布疯狂想法的人，也是这些隐藏网络的频繁用户，通常在表网的公共网站上被反复禁止。 暗网的本质也使其成为那些希望在世界各地开展非法活动或存储更严重和非法内容的人的理想选择。 被盗的数据、假币、伪造的文件、信用卡和社会安全号码通常都是由经常光顾暗网的人出售的。出售廉价毒品的网站与提供枪支、麻醉品或涉及未成年人的色情材料的网站并存。 近年来，由于勒索软件攻击的目标是越来越大的公司，提供网络犯罪服务的数量也在增加，黑客组织经常利用暗网讨论目标、分享软件等（尽管有时是为了法律的利益）。 正是这些赋予了暗网声誉，也不难看出其原因。 访问暗网 值得注意的是，不能简单地通过登录您的家庭互联网帐户并使用常规网络浏览器简单地偶然发现上述任何一种内容，而是需要像Tor浏览器这样的东西来访问暗网中的内容。 这个程序可以像任何其他浏览器一样使用，但它的“隐藏服务”功能允许用户访问整个网络，而无需透露他们的位置或其他识别特征。每天都有成千上万的人出于完全合理和合法的理由使用它。 Tor不是VPN（虚拟专用网络），但它确实对浏览会话中传输的所有数据进行了多层加密，并且可以访问Tor网络，这是其他浏览器无法做到的。这是一个由成千上万的服务器组成的集合，遍布全球，由匿名的志愿者维护。就像托管Anwangxia.com的服务器是表网的一小部分一样，Tor网络也是暗网的一小部分。 现在，虽然有一些国家政府自身也使用Tor来管理秘密信息的传输，但许多其他政府当局对使用该程序的任何人都深表怀疑。考虑到一些（很多？）暗网用户的性质，任何使用Tor网络的尝试都应该谨慎——这意味着要尽可能认真地对待您的在线隐私和安全。 一种方法是使用一台旧电脑，它不是您的主计算机，并使用Tails操作系统之类的东西运行它。这个便携式Linux发行版旨在直接从USB闪存驱动器上运行，并预装了Tor。换句话说，您使用Tails而不是Windows等来启动计算机。 接下来，如果您想进一步加强您的隐私，不要使用您的家庭互联网服务提供商。相反，连接到公共WiFi热点，但由于这些热点不是很安全，在启动Tor之前使用VPN是绝对必要的。 这么说有点明显，但仍然值得重复——不要使用您自己的姓名或电子邮件地址。随机生成的一次性帐户对于确保您不会留下回溯到您的个人详细信息的痕迹至关重要。尽管暗网中的很多免费文件看起来很诱人，但它们很可能只是恶意软件的载体，因此除非您100%确定文件的完整性和来源，否则不要下载任何内容。 暗网的实际（和合法）用途 如前所述，尽管暗网可能是进行非法活动的场所，但您也可以在遵守当地法律法规的情况下将其用于负责任和合乎道德的用途。 注重隐私的电子邮件服务： ProtonMail是总部位于瑞士的电子邮件服务，可以在暗网上访问，以避免审查，并提供加密的电子邮件服务。它是那些想要秘密沟通的人的理想选择。 向媒体举报的平台： SecureDrop等平台允许匿名信息共享，包括《卫报》和《纽约时报》在内的新闻实体使用它与举报人进行安全通信。 访问脸书与推特： Facebook与Twitter都在暗网上有一个镜像存在，允许人们从它被封锁或审查的区域访问该平台。DuckDuckGo也可以在暗网中作为一个没有追踪器的搜索引擎使用。 隐私和自由的倡导： Tor项目利用暗网为其网站提供有关互联网隐私、安全和免受监控的信息。 加密货币交易： 比特币和其他加密货币可以通过暗网进行交易，为用户提供额外的匿名层。这对生活在有严格金融控制的国家的人来说是很有用的。 最后要提醒大家注意的是 对于世界上的一些人来说，使用Tor网络或类似网络是他们安全访问互联网的唯一途径。 但是，尽管暗网有所有的积极方面，在大多数政府眼中，这个名字现在一直与严重犯罪联系在一起。据研究统计，全球网络犯罪的成本在短短几年内将达到10万亿美元，而大规模的执法机构也在大力关注打击暗网的使用，即使是最合法的用户也可能发现自己成为目标。 因此，通过各种手段，下载Tor并探索黑暗网络的隐秘世界，但请记住还有谁在使用它以及为什么使用它。

“暗网下/AWX”已经四次报道“正版中文担保交易市场”是诈骗网站，同时是以”靠谱中文网址大集合“为首的盘踞在暗网里多年的最大的中文诈骗网站群中的主力诈骗网站。近期，“暗网下/AWX”发现，该诈骗网站再次更换了新的暗网V3域名。 诈骗网站“正版中文担保交易市场”新更换的暗网V3域名为： http://oniov7hgxjiwxl7zzpphriyletrdszj26hhtkiqh5rirttfycilu74id.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新域名）： http://rochmfrq7nnbx56r5wqljilfhbjwuxcuq5e6b2htpikksplf45ubuwad.onion “暗网下/AWX”科普过，在暗网上更换域名很简单，且不要花钱，因此这些诈骗网站可以随便更换。当然，如果没有“暗网下/AWX”的曝光，他肯定是不会更换的，证明本站的曝光起到了关键的作用。 不过骗子的骗术提升了，首先5月27日发布了新的诈骗话术”五周年庆典回馈活动！“： 我站已经五周岁了！在此欢庆之际，新老用户同庆，特设置以下回馈活动。 活动期间（北京时间）：2023年5月28日0点-2023年6月20日24点 1、 单次交易达到2500美元（含）以上者，可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信，你可以用A账号购买用A账号发信，或者用B账号发信，甚至不注册账号完全匿名购买都可以，只要提供以上两项，核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧，返现只奖励到平台钱包内，没注册是没有平台钱包的。 2、活动期间内累计交易10000美元（含）以上，返现累计总金额的6%。此奖励不与第1条重复奖励，如果领取过单次交易奖励的交易，将不能计算到累计交易金额之内。申请奖励方法与第1条相同，请最晚在活动期结束后48小时内发送申请信息给adnmincn。 3、本次活动作为五周年庆典回馈，将与幸运大转盘同时进行，折扣码、返现同时进行，可叠加使用。 4、凡是注册时间超过一年（北京时间2022年5月28日前注册）的用户，满足单笔最大交易达到$500以上且交易次数在三笔以上者，可在此条公告下回复200字以内的文字，需要与本站周年庆相关。采用且公布出来者将获得$100~$300的现金红包奖励。此项回复活动截止时间为北京时间6月1日24:00。 5、感谢五年来一起走过的新老朋友。信任我们，幸福己身。愿每一位陪伴我们走过平凡每一天的人都快乐开心！ 其次，在该话术下面伪造了若干评论，而且每日都在新增评论，且都是很长的情怀语言，显得相当专业。另外，网站的banner也改为庆祝儿童节的”六一“版本。 只能感概，这个时代，连骗子都在努力！ 但“暗网下/AWX”打击暗网诈骗的决心不会改变，挽救一个上当受骗者，就能集一份功德。 继续区块链上分析，该诈骗网站已经诈骗了将近8.3个比特币了，傻子足够多，骗子就会坐家里天上掉钱，这个骗子应该会继续诈骗下去的，预计本次曝光后他会继续更换暗网V3域名，但“暗网下/AWX”将持续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。