新西兰通常以成为世界领先者而感到自豪,但有一个说法可能并不被普遍推崇:它是所谓的暗网上运行时间最长的英文非法毒品市场的所在地。
它被称为“Tor Market”,自2018年3月以来一直处于活跃状态,并且已经超过了“Dream Market”、“Hydra Market”和“Empire Market”等(目前都已经被关闭)几个更大、更知名的暗网交易市场。鉴于如此多的暗网毒品市场只持续了相对短暂的时间,“Tor Market”的长寿令人惊讶。
这并不意味着您可以轻松找到它。暗网是互联网的加密部分,没有被搜索引擎索引和收录。它需要特定的匿名浏览器软件才能访问,通常是I2P或Tor软件——因此是这个市场的名称来源。
“Tor Market”曾经因为毒贩“freshkiwiproduce”被判入狱而被“暗网下/AWX”报道过,“Tor Market”的暗网域名地址为:
http://nzdnmfcf2z5pd3vwfyfy3jhwoubv6qnumdglspqhurqnuvr52khatdad.onion
许多暗网交易市场匿名销售非法毒品,通过传统的邮政或快递送货,类似于亚马逊等合法的电子商务网站。
对2010年至2017年间100多个暗网市场的分析发现,网站的平均活跃(存活)时间仅仅为8个月多点。在2010年至2019年活跃的110多个暗网毒品市场中,到2019年只有10个仍在全面运作。
支离破碎的暗网生态系统 暗网市场的消失是由于越来越复杂和成功的执法行动,包括秘密地长期接管网站以收集供应商和买家的证据。
另外,网站管理员利用机会进行“退出骗局”,带着账户中的加密货币潜逃。
自从“Dream Market”于2019年“自愿关闭”以来,没有出现任何占主导地位的国际暗网市场。而由于这些执法部门的关闭和退出骗局,人们似乎对暗网毒品供应普遍失去了信心。
虽然所有暗网市场的总销售额在2020年有所增加,并在2021年第一季度再次增加,但2021年第四季度的数据显示销售额下降了多达50%。
这使得“Tor Market”在同一时期的表现更加引人注目。其市场商品列表从“Dream Market”于2019年初关闭前几个月的不到10种商品增长到当年7月的100多种商品。
在2020年平均有255件商品和2021年379件商品的稳定时期之后,2022年初出现了另一个增长时期。到2022年年中,“Tor Market”上有超过1000种商品上市销售。
这种扩张是由国际销售额的稳步增长推动的,到2022年初,国际销售额的增长超过了新西兰国内的销售额。
填补市场空白 从表面上看,新西兰似乎不太可能成为国际暗网毒品市场商品的崛起之地。它在地理上与欧洲和美国的大型毒品市场隔绝,人口少,而且历史上没有任何大量的可卡因和海洛因供应,这些都对它不利。
然而,这些因素可能正是推动这一市场创新的原因。
暗网提供了匿名和直接接触国际毒品卖家的机会,他们有MDMA、可卡因和阿片类药物出售——在新西兰的实体毒品市场上不容易获得的毒品类型。否则,这些国际卖家不太可能对供应如此小的、遥远的市场感兴趣。
通过提供来自数十家国际毒品卖家的商品和一个集中的买家论坛,“Tor Market”解决了新西兰毒品领域“市场稀缺”这一非常现实的经济问题,那里根本没有足够的买家来维持某些毒品类型的卖家的销售量。
通常情况下,买家和卖家很难联系在一起,因此也就没有理由进行大规模的国际贩运。暗网通过向买家直接提供传统上难以获得的毒品类型(如MDMA)的零售数量来解决这一问题。
规模和审查 新西兰人对所谓的“距离因素”有着创新解决方案的历史。按照国际标准,他们还具有相对较高的数字参与程度和网上购物习惯,也许暗网提供了一种熟悉的在线购物体验。
“Tor Market”网站的管理员声称(根据他们自己网站的帮助手册)提供了一系列设计创新和功能,以确保“Tor Market”的安全。
这种吹嘘在暗网交易市场运营商中并不少见,作为吸引新供应商加盟网站的营销策略。但是讲真,目前还不清楚“Tor Market”与其他网站相比,是否真的提供了任何优越的安全功能或编码基础设施。
更可信的是,“Tor Market”声称的商业战略,即与大型国际网站相比,有意保持低调。事实上,早期“Tor Market”上的许多供应商都是新西兰人,他们只卖给当地买家。
“Tor Market”上不断增加的国际商品列表可能反映了暗网生态系统中更广泛的问题,包括以前占主导地位的暗网市场的关闭以及由于拒绝服务攻击导致许多网站的不可靠性。
最后,“Tor Market”的成功可能会导致它的毁灭。考虑到国际执法部门对它的关注的相关风险,它是否能维持其国际增长并以更高的国际形象运作,还有待观察。
含有恶意Tor浏览器下载链接的YouTube视频截图(卡巴斯基) 网络安全研究人员卡巴斯基公司周二表示,一个Tor浏览器的修改版本至少从3月开始收集中国用户的敏感数据,也许早在1月就开始了,其中包括浏览历史、表单数据、计算机名称和位置、用户名和网络适配器的MAC地址。
在一个名为“工具大师i”的中文YouTube频道发布的视频下方简介里,有一个指向恶意版本的Tor浏览器安装程序的链接(蓝奏云链接)。卡巴斯基研究人员Leonid Bezvershenko和Georgy Kucherin在周二公布的研究结果中说,该频道有超过18万名订阅者,该视频已被观看了64000多次。
卡巴斯基称,这个名为“工具大师i”的YouTube帐户于2022年1月上传了该视频,卡巴斯基研究人员在注意到恶意Tor浏览器安装程序下载集群后,于3月开始在他们的数据中看到受害者。
卡巴斯基对“洋葱毒药”的分析 卡巴斯基研究人员将此活动称为“洋葱毒药”(OnionPoison),指的是通过修改“洋葱路由”(The Onion Router)进行投毒。“洋葱路由”是最初由美国海军研究实验室开发的匿名路由,合法的Tor浏览器使用了“洋葱路由”的技术。
研究人员表示,恶意安装程序加载了一个带后门版本的Tor浏览器,其中包括一个间谍软件库,旨在收集个人数据并将其发送到攻击者控制的服务器,还可以让攻击者有能力在受害者的机器上执行shell命令。
非营利组织Tor项目的执行董事Isabela Fernandes告诉CyberScoop,该组织在周二部署了一个补丁。
“基本上,这个‘中毒’的Tor浏览器会修改更新URL,所以它不能正常更新。”她说。“我们所做的是添加一个重定向,以便我们响应修改后的URL,这样人们就会更新。现在他们的URL是一个有效的更新URL。”
研究人员表示,目前尚不清楚该活动的幕后策划者,但它显然针对的是中国用户。他们说,命令和控制服务器检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述中包括一个有效的Tor浏览器链接,但由于Tor网站在中国被封锁,用户更有可能点击下方的蓝奏云链接,将他们定向到托管在第三方“蓝奏云”共享网站上的可下载文件。
研究人员表示,有趣的是,修改后的浏览器不会自动收集用户密码、cookie或钱包,而是专注于浏览历史记录、社交网络帐户ID和Wi-Fi网络。
据卡巴斯基分析,“洋葱毒药”定制的Tor浏览器可以保存浏览历史、启用网页缓存、存储登录凭据以及从访问过的网站收集额外的会话数据。此外,收集到的数据会发送回攻击者。其中包括安装的软件、在Tor浏览器、Chrome和Edge中访问的网站、微信和QQ的用户账号ID,以及受害者已经或曾经连接到的Wi-Fi网络的SSID和MAC地址。
研究人员写道:“攻击者可以搜索泄露的浏览器历史记录,寻找非法活动的痕迹,通过社交网络联系受害者,并威胁要向政府举报。”
历史上Tor浏览器曾出现多个恶意篡改版本 网络犯罪分子和民族国家的黑客过去曾多次部署过修改过的Tor浏览器版本。2019年,斯洛伐克网络安全公司ESET的研究人员报告了一个旨在从讲俄语的人那里窃取加密货币的Tor版本。在另一个例子中,大约10年前,与俄罗斯有关的黑客使用Tor出口节点部署了名为OnionDuke的恶意软件。
联邦调查局(FBI)也曾经被指控与承包商和潜在的大学生合作,修改Tor软件或利用0day,揭露Tor用户身份并调查涉及暗网恋童癖网站(联邦调查局当时含糊地否认了这一说法)。
研究人员表示,避免“洋葱毒药”(OnionPoison)的最佳方法是从官方网站下载Tor浏览器,或者,如果不能这样做,必须从第三方网站下载,则需要检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,其证书中指定的公司名称应与软件开发人员的名称相匹配。
使用“洋葱毒药”投毒的Youtube频道“工具大师i” 卡巴斯基称,“洋葱毒药”(OnionPoison)案例中,恶意Tor安装程序的链接被发布在一个流行的中文YouTube频道上,该频道致力于互联网上的匿名性。该频道拥有超过180,000名订阅者,而带有恶意链接的视频的观看次数超过64,000次。
从卡巴斯基的视频截图可以看出,该Youtube恶意频道名为“工具大师i”,地址为:
https://www.youtube.com/c/%E5%B7%A5%E5%85%B7%E5%A4%A7%E5%B8%88i
该视频(https://www.youtube.com/watch?v=qob8gqQ2_3k)名称为“2022年最新暗网进入方法!什么是暗网暗网有什么如何使用科学上网工具访问暗网暗网怎么进2022丨暗网网址丨dark web 2022丨By工具大师i”,已经因违反YouTube规定并YouTube移除(This video has been removed for violating YouTube’s Community Guidelines),已经无法观看,但是从第三方网站NoxInfluencer(https://cn.noxinfluencer.com/youtube/video-analytics/qob8gqQ2_3k)的记录中可以看到,该视频发布时间为2022年1月9日,观看量为6.06万,投放恶意软件的蓝奏云地址为:https://wwi.lanzouo.com/i6iLaym6fsf。
此外,该YouTube频道并不是第一次修改Tor浏览器,“暗网下/AWX”发现了该频道的另一个视频(https://www.youtube.com/watch?v=0nwDOd_xl3Y),名称为“2020年最新 暗网登录 方法教程,哪种方式最快最好用?配合Tor洋葱浏览器,SSR,Vray科学上网!让你网络隐私至极!”,已经于北京时间2022年10月5日中午被设置为私有视频(This video is private),目前同样无法观看,但是从第三方网站(https://cn.noxinfluencer.com/youtube/video-analytics/0nwDOd_xl3Y)的记录中可以看到,该视频发布时间为2020年11月28日,观看量为7.82万,投放恶意软件的蓝奏云地址为:https://www.lanzoui.com/i5cDbix01if。
据统计,YouTube频道“工具大师i”创建于2018年11月18日,发布地点为香港,拥有超过18万粉丝,总计发布视频166个,总观看量超过1100万。
但是,在卡巴斯基曝光之后,目前访问该频道,发现视频仅剩79个,将近90个视频被设置为“私有”,而隐去的视频基本都是其发布的多个VPN工具、加速工具、翻墙工具、挖矿工具等等。若工具为exe文件基本上每个视频均提供了蓝奏云的下载地址链接,如果是安卓应用,均提供了apk的下载地址,如果是苹果应用,提供的是testflight.apple.com的下载地址。根据其“此地无银三百两”的做法判断,但凡是该频道提供的工具,均带有后门,请警惕该频道的分享。
卡巴斯基对恶意Tor浏览器的分析 恶意的Tor浏览器文件名为:torbrowser-install-win64-11.0.3_zh-CN.exe,安装程序的用户界面与原始程序用户界面相同,但是,恶意安装程序没有数字签名。卡巴斯基称,根据其测试,“洋葱毒药”针对的受害者必须位于中国,因为C2服务器会检查受害者机器的外网IP地址是否来自中国。
攻击者降低了恶意的Tor浏览器的私密性,通过修改存储在 browser\omni.ja 存档中的 \defaults\preferences\000-tor-browser.js 配置文件,他们将Tor浏览器配置为:
存储浏览历史;
启用磁盘上的页面缓存;
启用自动表单填写和登录数据的记忆;
为网站存储额外的会话数据。
恶意的Tor浏览器启动后,会伪随机地选择以下C2服务器URL之一并向其发出POST请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
其针对中国用户加载的恶意Dll文件会检索以下系统信息:
操作系统磁盘卷的GUID;
机器GUID;
计算机名称;
计算机语言环境;
当前用户名;
网络适配器的MAC地址。
且会请求收集以下附加信息:
已安装的软件;
根据卡巴斯基针对亚太地区的数字足迹情报(DFI)报告,该地区的数据库泄露占广告总数的95%。如果以GDP(国内生产总值)加权的订单数量来看,新加坡和澳大利亚的数据泄露市场是迄今为止最大的。
该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动,包括暗网上讨论的主题。
对卡巴斯基数字足迹情报(Kaspersky Digital Footprint Intelligence)服务中的外部数据源(包括暗网资源)进行监控,可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中,该公司介绍了暗网分析的结果。
在分析组织的数字足迹时,发现了两种主要类型的数据:欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象,但报告中的重点仍然是攻击检测。
与攻击影响相关的暗网活动(关于出售数据泄露和受损数据的广告)在统计数据中占主导地位,因为它随着时间的推移而蔓延,网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。
第一阶段:创建购买访问权限的需求 提供访问邀请的网络犯罪分子发现,这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。
巴基斯坦和澳大利亚吸引了大量的兴趣,从按其国内生产总值加权(GDP)的订单数量可以看出。
在基础设施、商业和工业化程度方面,中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。
购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。
然而,购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务,信息收集服务的来源(例如,根据要求销毁PII数据)。
最有希望的发现是在攻击的执行阶段:人工分析指出,对手有能力或已经进入组织的网络或服务,但还没有对业务产生影响。在暗网的广告方面,显示正在进行的攻击,澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。
第二阶段:访问的命令,准备执行 发现的证据表明,攻击者有能力或有权访问组织的系统或服务,但没有企业受到影响。至于暗网上的广告,这意味着攻击已经完成,澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。
这类广告分为三种权限类型:
初始访问经纪人——提供特定企业的权限订单,或向按行业和/或地区分组的企业批量权限的订单。
内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。
分发恶意软件——窃取凭据的恶意软件会收集凭据,将其转化为可以转售或通过帐户用户名和密码访问的数据。
按国内生产总值加权计算,菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。
菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。
第三阶段:数据泄露和数据出售 一旦发生数据泄漏,销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据,包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。
来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。
从按GDP加权的订单数量来看,新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。
应该指出的是,菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一,但数据泄露的数量与中间组的其他国家相当。
卡巴斯基亚太区董事总经理Chris Connell表示:“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行,到数据泄露的影响,再到出售和转售被盗信息,这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。”
“出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售,网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御,包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。”
暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击,请确保通过此协议的连接是安全的:
仅授予通过 VPN 访问服务(例如 RDP)的权限
使用强密码和网络级身份验证
对所有服务使用双重身份验证
监控数据访问泄漏,Kaspersky Threat Intelligence提供暗网监控服务。
卡巴斯基主要发现 Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。
在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本,43%的未打补丁的服务中都发现了这个漏洞。
16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。
在暗网上,黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。
澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。
可能涉及国家利益的问题,根据黑客在Breached.to论坛发布贴子的最新状态,目前黑客并未如期发布“被窃听”的总理府的秘密对话,多个网友正在回帖咨询其何时发布。同时根据Twitter的用户状态显示,该黑客@Indishellgp的Twitter账户已经被停用。
暗网黑客宣布周五发布“被窃听”的总理府的秘密对话 由于音频泄露丑闻在社交网站上持续了一周的时间,专家称所有政府和私人网站的数据,包括高级军民领导人的数据都被黑客入侵,并且可以在暗网上获得。
据称,这一可能令人尴尬的音频泄露事件成为头条新闻,同时也暴露了一个安全漏洞,由于包括总理谢赫巴兹·谢里夫、玛丽亚姆·纳瓦兹、伊姆兰汗和其他人在内的政府高层人物之间的对话音频片段被浮出水面,从而演变成了一场全面的国家安全事件。
早些时候,黑客在社交媒体帖子中透露,与现任政府为改善国家而进行的谈判已经结束,并表示所有音频将在周五发布。
根据互联网上流传的一张图片,这些音频包括与记者、政府官员、军事人员、总理军事首脑的互动、个人和政府交往、第一家庭和大家庭之间的互动、与司法任命人员有关的对话、与外国政要的接触以及有关人员的命令。
自第一次发布以来,黑客发布了许多推文,警告几位军民领袖,而群众正在等待下一次泄密。
早前音频泄露事件背后的黑客做出了令人震惊的披露 在一系列推文中,这位名为@Indishellgp的“黑客”声称,“在两个不承认以色列的伊斯兰国家中,较小的一个帮助较大的一个从犹太国家获得受控软件提供了便利。较小的国家由一位女性领导。”
Pegasus是一家以色列公司开发的间谍软件,几个月来一直是头条新闻,因为这家“雇佣黑客”公司为世界各地的情报机构和政府提供服务,用于监视竞争对手、记者、活动家和持不同政见者。
根据“黑客”的推文,“来自战略计划司、信号部队、ISSRA、ISI和PS-COAS的官员,率领一个秘密代表团前往较小的国家,正式确定采购。设备和培训都是协议的一部分。“
“这里的要点是,军方最高指挥部不相信三军情报局是这一项目中的唯一操作机构。这可能表明军方长期以来一直担心情报部门过于强大。”
“在受害者的设备中注入了后门,可以随意用于监视。“
“总理办公室从来没有被窃听过。但是,在接下来的几年里;在巴基斯坦感兴趣的每一部电话都被Pegasus锁定了。政治领袖、行政人员、省/联邦立法者、参议员、司法成员、记者、秘书,甚至是高层/中层被监视了。”
这位“黑客”进一步声称,“由于军队中的政治忠诚度不同,一场拉锯战开始了,不同派系发布了对他们有利的不同的音频片段。”
“当某位担任非常重要职务的将军开始进行某种积极的宣传,以支持现任政府时,他被撤职并重新安置。这造成了一个直到今天都无法填补的空白。”其中一条推文写道。
最后,这位“黑客”强调,”军方总是比平民拥有一个优势:信息”。
“但现在风向变了。我拥有军方多年来一直收集的同一批音频和材料数据。我拥有一切。让游戏开始吧。”
在之前的一条推文中,“黑客”曾警告“13先生”(暗指某个陆军将军):“你的时间到了,将军……”。
史无前例的泄露行为,包括私人谈话记录、政府业务在互联网上出售,对话中透露出关于财政部长的尴尬交流,要求为玛丽亚姆女婿提供便利
巴基斯坦历史上最大的数据泄露事件 有关敏感的政府事务和总理与其政府成员之间的私人对话的信息显然已被泄露并在暗网上出售,这将是巴基斯坦历史上最大的数据泄露事件之一。
数据泄露的帖子发布在Breached.to论坛上,这是个泄露数据发布论坛,在明网与暗网均可以访问,深受热衷于泄露并出卖数据的黑客们的欢迎。
泄露的数据——主要是巴基斯坦总理谢赫巴兹·谢里夫(Shehbaz Sharif)和一位身份未透露的前总理的电话记录集合,总时长约100小时——定价为180比特币,这是一种数字货币,按目前的交易价格计算,相当于超过345万美元。
该数据大小为8GB,还包括总理与“所有知名人士,包括那些有影响力但没有权力的人”之间的对话,这位名叫Indishell的卖家还公布了四段对话样本,包括媒体已经报道的谢里夫与他团队中一位身份不明的成员之间的一次谈话,讨论了前者的亲戚可能进口机械的可能性。
Question : Why were all these conversations recorded in the first place? Did they know that their discussions were on tape? If so, why weren't security protocols followed? pic.twitter.com/TmicPmMkIk
— Shoaib Taimur (@shobz) September 24, 2022 根据开源情报(OSINT)账户的分析,该卖家在Breached论坛上没有任何历史发帖。“看起来他创建这个账户只是为了发布关于这些泄漏的信息。”OSINT Insider在推特上说。
Now that one alleged audio leak is out, here is my OSINT report about its origin and what can be its implications.
似乎在上一次停机升级后,中文暗网交易市场“长安不夜城”在中文暗网圈的名气以及信誉度都有所提升,,从几个Telegram群组的聊天来看,大家对“长安不夜城”提供的服务比较认可,有网友称“长安不夜城有血气方刚而且耐心负责的管理员”,大概指的是在Telegram群组负责的管理员@ganmao。
“暗网下/AWX”特地去其Telegram群组@cabyc进行了验证,发现该管理员自称在缅北,跟很多大佬都很熟悉,对该暗网交易市场的纠纷、充提现等事务处理比较积极,回应处置都很迅速。更为关键的是,“暗网下/AWX”发现该暗网交易市场在官方Telegram频道@cabycout提供担保业务,这个频道的介绍是“不定期推送平台广告、优质商品、骗子信息。”
该频道自9月6日建立以来,除了发布了该暗网交易市场的平台维护相关的公告外,重点推出了其数据交易的担保服务,且不需要支付广告费,该频道称“各位如果有优质商品和数据,可以跟我联系,告诉我数据来源、优质原因并且提前验货以后推荐到本频道和群组,不需要支付广告费,本平台竭诚为黑灰玩家提供真实、有保障的交易,仅有@cabyc群和@cabycout频道为官方频道,如有问题请联系@ganmao。”,并且发布新规则要求“9月27日起卖家在数据类商品中必须标注来源(只能标注自己渗透、其他渠道一手数据、N手数据、已公开数据四个来源),一旦来源标注错误被其他用户举报坐实,将作封号处理。”。
“长安不夜城”交易市场上的比较受欢迎的商品就是数据了,如果有官方的担保,虽然不一定达到breached.to论坛的那种规模,但是确实做到了中文圈提供有保证的数据交易平台。
对于提供假数据的供应商,如@dahu2022收钱后编造假数据,官方频道都能及时发布消息预警所有人,除此之外,还及时预警了假数据以及带欺骗性质的数据。从平台而言,此举做的相当有公德心,只是不知道是否能持续负责任下去。
平心而论,就目前“长安不夜城”暗网网站的稳定性以及其管理员的负责任程度而言,“长安不夜城”都是目前最靠谱的中文暗网交易市场。当然,还是那句老话,能否继续靠谱下去,“暗网下/AWX”与大家共同拭目以待。
更多暗网新闻动态,请关注“暗网下/AWX”。
据称,基于俄罗斯的勒索组织Snatch在试图敲诈英国最豪华的农场商店未果后,在暗网上发布了英国著名电视节目主持人杰里米·克拉克森(Jeremy Clarkson)和“世界自然纪录片之父”大卫·阿滕伯勒爵士等名人客户的详细信息。
科茨沃尔德公司豪华农场商店戴尔斯福特(Daylesford Organic)据说被一个名为Snatch的勒索团伙盯上了,这个来自俄罗斯的团伙是以2000年杰森·斯坦森主演、盖·里奇导演的电影Snatch命名的,该电影以伦敦的犯罪黑社会为背景,拥有许多狂热的追随者。
位于格洛斯特郡的这家公司被称为英国最豪华的农场商店,很早之前就已成为勒索组织黑客攻击的目标,黑客使用网络攻击渗透了公司内部网络,然后秘密收集用户数据。
美国、加拿大和欧洲已经有许多公司已成为Snatch勒索组织的目标,勒索行为通常是在最初的黑客攻击发生后的一段时间。现在,这家在伦敦也有四家卫星商店和一家在线业务的格洛斯特郡公司据说已成为该团伙的最新发布的受害者。在Daylesford拒绝支付比特币赎金后,约80GB的被盗文件已被上传到暗网。
据说其中包括杰里米·克拉克森等名人,他是Daylesford的常客,这激发了他为他的亚马逊电视剧《克拉克森的农场》设立Diddly Squat农场商店。前女友菲利帕·佩奇(Philippa Page)在她的书中透露,这是他最喜欢的商店,讲述了她与这位前Top Gear主持人相处的时光。
据说其他著名的受害者包括约克公爵夫人莎拉·弗格森(Sarah Ferguson)、网球明星蒂姆·亨曼(Tim Henman)和斯诺克王牌罗尼·奥沙利文(Ronnie O’Sullivan)。据报道,这些文件还包括员工的不满、保密协议和银行信息,以及有关所有者的信息。
该公司的所有者是有影响力的卡罗尔·班福德(Carole Bamford)女士,她是JCB亿万富翁班福德(Bamford)爵士的妻子。这位保守党捐赠者最近在科茨沃尔德的家Daylesford之家举办了前首相鲍里斯·约翰逊(Boris Johnson)与凯莉·西蒙兹(Carrie Symonds)的婚礼。报告称,尽管他在疫情流行期间将Daylesford送到了唐宁街10号,但约翰逊先生的详细信息尚未在暗网上公布。
该公司透露,它在2021年6月被黑客攻击,黑客现在已经发布了个人详细信息和快递单,显示了使用该商店的一些富人和名人客户的家庭地址。
该公司的一位发言人周一表示:“Daylesford Organic在2021年6月成为网络攻击的受害者。当时已向ICO报告,并由ICO进行了彻底调查,此后没有再发生任何事件。Daylesford Organic非常重视客户数据的保护,在2021年的攻击之后,采取了额外的安全措施来保护企业。”
网络攻击正在增加,去年12月,俄罗斯黑客被指责攻击格洛斯特市议会的计算机系统。安全公司表示,该团伙会说俄语,而Daylesford正是他们想获得经济赎金和“提供对克里姆林宫有用的信息”的公司。
英国国家网络安全中心表示,俄罗斯入侵乌克兰后,对英国的威胁仍然加剧。Daylesford尚未回复置评请求,但信息专员办公室表示:“戴尔斯福特有机公司让我们知道了一起事件。在审查了信息后,我们提供了数据保护建议并结案。”
Optus是新加坡电信旗下的一家公司,自2001年起由新加坡电信完全拥有。Optus目前是澳大利亚第二大电信供应商,仅次于澳大利亚电信公司。据悉,该电信公司近期发生了数据泄露事件,数据在暗网网站Breached.to上被出售。
被盗的Optus数据可能在暗网上被出售 BreachForums暗网网站上的一篇帖子声称正在出售这些数据,其中包括电子邮件地址、出生日期、名字和姓氏、电话号码、驾驶执照和护照号码。
提到的数据集尚未得到电信运营商Optus公司、警方或情报机构的确认或核实,但一些数字已得到记者的验证。
警方发言人告诉澳大利亚广播公司:“澳大利亚联邦调查局(AFP)知道有报告称,被盗的Optus客户数据和证书可能通过一些论坛出售,包括暗网。”
“AFP正在使用专业能力和其他技术来监控暗网,并将毫不犹豫地对那些违法的人采取行动。”
网络安全公司Internet2.0的联合创始人罗伯特·波特(Robert Potter)曾就网络攻击向美国和澳大利亚政府提供建议,他说这些数据是真实的。
波特先生告诉澳大利亚广播公司:“我可以肯定地说,这些数据是真实的信息,其中包括以前在其他违规事件中没有看到的电子邮件地址。”
“一些数据仍然是加密的。Optus应该确认这是否来自他们的系统。”
在澳大利亚,网上购买被盗凭证是一种犯罪行为,最高可判处10年监禁。
在周五的媒体发布会上,Optus首席执行官Kelly Bayer Rosmarin表示,该公司知道有报道称Optus的数据在网上被出售。
Bayer Rosmarin女士说:“当你将这类信息公开时,其中一个挑战是你可以让很多人声称很多事情。”
“据我们所知,没有任何已被验证和出售的东西,但团队正在研究每一种可能性。”
周六,Optus以警方的建议为由,不愿对该暗网帖子发表评论。
发言人说:“我们正在与澳大利亚联邦调查局协调,因为这现在是一项刑事调查。”
“鉴于调查,Optus不会对声称由第三方持有的客户数据的合法性发表评论,并敦促所有客户在他们的网上交易中保持谨慎。我们再次表示歉意。”
一些网络专家呼吁对网上出售数据的报道持谨慎态度,警告说这可能是试图利用媒体的关注。
Optus正在核实数据泄露事件 Optus的首席执行官Kelly Bayer Rosmarin将数据泄露描述为“老练的犯罪分子”的结果。虽然网络攻击背后的动机尚不清楚,但她说需要“提高警惕” 。Optus首席执行官表示,在最坏的情况下,980万客户可能会受到数据攻击的影响。
Optus正在继续联系所有涉及网络攻击的客户。
发言人说:“我们将从身份证号码可能已被泄露的客户开始,所有这些客户将在今天之前得到通知。”
Optus还建议客户在网上保持警惕,小心诈骗。
“如果客户收到声称来自Optus的链接的电子邮件或短信,请他们注意这不是来自Optus的通信。请不要点击任何链接。”发言人说。
“我们被告知,我们宣布这次袭击可能会引发犯罪分子的一些索赔和诈骗。”
Optus客户现在应该怎么做? Optus仍在鼓励客户“格外警惕”。这家电信运营商警告: 留意您的在线账户的任何可疑或意外活动,并立即向您的供应商报告任何欺诈活动。
留意社交媒体上的可疑电子邮件、短信、电话或信息。
切勿点击任何看起来可疑或要求提供密码、个人或财务信息的链接
Scamwatch建议Optus客户通过更改在线账户密码和启用银行业务的多因素身份验证来保护他们的个人信息。
澳大利亚消费者和竞争委员会(ACCC)表示,任何怀疑自己是欺诈受害者的Optus客户都应该要求禁止其信用记录,并对来自声称代表银行或政府机构的意外电话保持高度怀疑。
谁会受到Optus数据泄露事件的威胁? Optus还不确定。Optus称:这是一次复杂的攻击。
“不说太多,IP地址不断移动,来自欧洲的各个国家。”Bayer Rosmarin女士周五早上说。
在客户数据方面,Bayer Rosmarin女士表示,这次攻击影响的Optus的客户,可以追溯到2017年。
Optus周四证实,客户的姓名、出生日期、电话号码、电子邮件地址、驾驶执照号码、护照号码或地址可能在攻击中被访问。
客户的付款详情和账户密码没有被泄露。
印度尼西亚社会事务部发生重大数据泄露事件 印度尼西亚再次因被认为来自社会事务部(Kemensos)的数据泄露而活跃起来,暗网网站Breached.to上共有1.02亿条公共数据被泄露和出售。
名为sspX的帐户上传的数据名为“来自印度尼西亚社会事务部的印度尼西亚公民数据库”,帖子描述自9月13日开始上传。该文件被认为来自印度尼西亚社会事务部的最新数据,更新至2022年9月,包含85GB的数据,数据量总计102,533,211条。
黑客还提供了上传数据的信息,包括NIK、KK编号、全名、出生日期、年龄和性别。以及一些泄露的数据样本,包括身份证(KTP)的照片和家庭卡(KK)的照片。
DarkTracer披露数据泄露事件 DarkTracer黑客调查平台通过其Twitter帐户@DarkTracker_int也报告了社会事务部的数据泄露,该帐户被称为来自新加坡的暗网威胁调查平台。
他在推特上说:“一个恶意行为者似乎在出售一个数据库,声称是从印度尼西亚共和国社会事务部泄露的1.02亿公民数据库。”
在他的推文中,他还展示了一张来自社会事务部的数据信息形式的照片,该照片泄露了多达16GB的压缩数据、85GB的未压缩数据,总计102,533,221条数据。
“他泄露了数十张带照片的身份证作为样本。这对于确保他的说法属实是必要的,”他补充说。
[ALERT] A bad actor has emerged selling databases that claim to be 102 million INDONESIAN CITIZENSHIP DATABASE leaked from the Indonesian Ministry of Social Affairs. He leaked dozens of national ID card photos as samples. It is necessary to make sure that his claim is true. pic.twitter.com/T7OwyuqYb1
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) September 14, 2022 印度尼西亚社会事务部一直是黑客的目标 在一系列泄露13亿张SIM卡注册、1700万PLN数据和2600万IndiHome-Telkom客户数据之后,社会事务部成为黑客攻击的目标。
目前,社会事务部无法就所谓的泄密提供进一步确认。也不知道是谁闯入数据并在暗网上出售数据的帐户。
最近,好几个Telegram群中有传言,称最大的中文暗网交易市场之一“茶马古道”之所以关闭,是因为被浙江椒江警方打击。根据群内的消息记录,这个传言来自于“平安浙江网”的一则报道:《“茶马古道”上,2270万条公民个人信息被贩卖——警方天南地北追击,逮住犯罪嫌疑人13人》。这篇报道内容如下:
通过各种非法渠道收集公民个人信息,再登录“暗网”,利用TG(俗称“飞机”)等聊天软件,在群组内叫卖各种“黑料”。买主有房产中介、保险推销、房屋装修等从业人员……近日,台州椒江警方破获一起特大侵犯公民个人信息案,抓获犯罪嫌疑人13人,查获被侵犯的各类公民个人信息2270万余条。
一条隐秘的“茶马古道”
“出售电话号码、保险资料、车辆信息等各种料……有需要可合作。”今年5月份,椒江警方在工作中发现有人在“暗网”“茶马古道”网站里,贩卖椒江籍公民个人信息。
叫卖者是个人还是团伙?为何能掌握这么多人的信息?
因案件被侵犯对象广,嫌疑人不用常规社交工具和银行卡走账,而是用更为隐蔽的社交软件,侦查难度较大。椒江警方在上级业务部门的支持下,依据线索开展专案侦查。
“就像在商场一样,只要买家肯付钱,想要的信息类型都有……”办案民警介绍说,随着调查的深入,“茶马古道”里叫卖的人,逐渐进入警方视野。
“回马枪”+13天蹲守
警方发现,犯罪嫌疑人作案时使用虚拟货币交易。通过大数据分析,警方锁定了黑龙江人周某、佟某有重大作案嫌疑。
6月10日,警方组织警力直扑黑龙江哈尔滨某小区,准备一举摧毁这个隐藏已久的窝点。不料,犯罪嫌疑人十分狡猾,专门安排人员在附近放风,侦查人员赶到时,已人去楼空。
侦查人员在现场扣押的涉案物品中发现大量公民个人信息及作案证据。
犯罪嫌疑人销声匿迹,警方在后续侦查中发现,李某在犯罪团伙中属于关键人物,家人马某负责财务管理等。
7月9日,侦查人员再次赶赴哈尔滨,连续蹲点守候13天,终将马某抓获。
马某落网后,侦查人员乘胜追击,将犯罪嫌疑人周某、佟某等3人抓获,查获各类公民个人信息770余万条。李某见大势已去,向警方投案。
南下深圳抓“王老板”
随着侦查的深入,警方发现李某还有“上家”王某,窝点在广东深圳,其信息源也被侦查人员掌握。8月20日,警方马不停蹄南下深圳,摸清了王某窝点的准确位置。
由于团伙人员都是同一村人,且集中居住、办公。因当天下了一场暴雨,全部人员提前下班回家。侦查人员分析现场情况,觉得抓捕条件复杂,困难大、时间紧,需要大量警力增援。
接到报告后,椒江警方连夜组织警力、安排车辆,赶赴深圳增援。第二天中午,收网行动展开,警方抓获9名涉案人员,查获电脑、手机20余台,各类公民个人信息1500余万条。
该案历经数月侦查,警方将13名犯罪嫌疑人全部抓获,彻底铲除了这条收集、贩卖公民个人信息的犯罪链。
王某交代,他以前从事中介工作,收入不高,一直希望能找一份轻松赚钱的行当。他偶然发现贩卖公民个人信息与其他商品不同,可以重复贩卖,利用到房产、保险、炒股等多个行业,而且在“暗网”销售,不会轻易被人发现,是一条“生财之道”。于是,他招了本村人做业务员,联系广告、销售信息,按20%提成,每月工资高达18000元。而用于联系业务的“飞机”聊天群,竟有上万人。
办案人员介绍,犯罪嫌疑人把公民个人信息称为“料”。这些跟每个人都息息相关的“料”被贩卖后,不仅干扰公民的日常生活,还严重威胁到个人安全。不法分子可根据这些信息编造家人车祸、生病等各种虚假内容,也可诱导被害人“投资理财”,实施电信诈骗,欺骗性和危害性极强。截至目前,椒江警方共抓获犯罪嫌疑人13人,查获被侵犯的各类公民个人信息2270万余条。
“暗网下/AWX”仔细逐字阅读了该报道,并没有看到有描述浙江椒江警方摧毁“茶马古道”网站的细节,只看到浙江椒江警方抓获“茶马古道”里叫卖个人信息的人及其团伙共13名犯罪嫌疑人,“彻底铲除了这条收集、贩卖公民个人信息的犯罪链”。也就是说,浙江椒江警方只是抓获了在暗网交易市场“茶马古道”网站上贩卖椒江籍公民个人信息的犯罪团伙而已,而这种大型中文暗网市场上少说也有成百上千个犯罪团伙,打击其中一个团伙离剿灭整个网站还很远。
“暗网下/AWX”之前曾经报道,江苏徐州检察的年终总结点到了“‘茶马古道’暗网交易市场案等一批重点案件”,并配了“茶马古道”暗网交易市场的网站截图,足以证明“茶马古道”暗网交易市场已被江苏徐州警方打击并移交检察机关受理审查起诉了。这个依据来源于2022年1月12日江苏发行的报纸《扬子晚报》发表了一篇文章《徐州检察从严打击电信网络诈骗犯罪 以这两个罪名去年共起诉1724人》,这属于官方报道。
谣言止于智者,“暗网下/AWX”一直以事实为依据,以法律为准绳,还原公众真实的暗网故事。
更多暗网新闻动态,请关注“暗网下/AWX”。
暗网,也称为暗网,是互联网的一部分,无法通过标准网络浏览器访问。它只能通过Tor浏览器等专用软件访问。
暗网通常与网络犯罪等非法活动有关,包括毒品交易、虐待儿童和恐怖主义。然而,暗网也有许多合法用途,如为举报人和记者提供匿名服务。Facebook和Twitter也有自己的暗网域名。
尽管它享有盛誉,但暗网在整个互联网中只是相对较小的一部分。据估计,只有大约4%的网站可以通过Tor浏览器访问。
什么是Tor浏览器? Tor浏览器是一个免费和开源的网络浏览器,是基于Mozilla Firefox网络浏览器的。Tor 浏览器旨在保护您在使用互联网时的隐私和匿名性。
Tor浏览器通过服务器网络路由您的互联网流量,使任何人都难以跟踪您的在线活动。Tor浏览器适用于Windows、macOS和Linux。
Tor是“洋葱路由器”(The Onion Router)的缩写。Tor网络最初是由美国海军研究实验室开发的,作为政府机构之间安全通信的一种方式。
Tor网络由一系列志愿者运行的服务器组成,这些服务器通过一系列加密隧道路由互联网流量。这使得任何人都难以跟踪您的在线活动或识别您的位置。
如何下载Tor浏览器? 众所周知,Tor浏览器可用于Windows、macOS、Linux和Android。要下载Tor浏览器,请访问Torproject.org的官方网站。进入网站后,单击“下载Tor浏览器”。然后,为您的操作系统选择合适的版本并按照提示完成安装。
安装Tor浏览器后,启动它后会自动“连接”。由于Tor会加密您的流量,因此您的互联网速度可能会比平时慢。但请放心,您的隐私和安全是非常值得的。
最佳的暗网搜索引擎与暗网导航 当谈到如何简单的访问暗网时,首先,您需要一个私密且安全的搜索引擎,或者一个可以匿名使用的导航网站。
此外,您需要一个快速高效的搜索引擎,这样您就可以毫不拖延地获得所需的信息。假设这些是您的优先事项,这里有9个可与Tor浏览器一起使用的暗网搜索引擎与导航:
1,Ahmia.fi Ahmia.fi是一个搜索引擎,旨在允许访问所谓的“暗网”或“暗网”——互联网的隐藏部分,只能使用特定软件(例如Tor浏览器)访问。
Ahmia是少数允许用户访问暗网的暗网搜索引擎之一,它因使互联网的这一隐藏部分更容易访问而受到赞扬。
然而,Ahmia还制定了一项反对任何“虐待材料”的政策,这与许多其他暗网搜索引擎不同,其他暗网搜索引擎也索引具有儿童性虐待内容的网站。
Ahmia可在明网上访问,并且还支持在i2p网络上进行搜索。Ahmia的.Onion域名:
http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/
2,Haystak Haystak是为Tor网络设计的暗网搜索引擎之一。该搜索引擎声称已经索引了超过15亿个页面,其中包括超过26万个网站,Haystak确实会脱颖而出,成为名单上一个资源丰富的引擎。
Haystak还有一个付费版本,它提供了许多附加功能,例如使用正则表达式进行搜索、浏览现已不存在的洋葱网站以及访问其API。Haystak的.Onion域名:
http://haystak5njsmn2hqkewecpaxetahtwhsbsa64jom2k22z5afxhnpxfid.onion/
3,The Hidden Wiki The Hidden Wiki是一个只能使用Tor网络访问的暗网导航。该网站包含指向各种不同网站的链接。对于那些希望探索暗网的人来说,The Hidden Wiki是一种宝贵的资源,因为它提供了一种访问各种不同站点的安全且简单的方法。
The Hidden Wiki的.Onion域名:
http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/wiki/index.php/Main_Page
4,Onion666 Onion666是最大的暗网导航,Onion666列出的暗网网站的链接不是很多,但是对很多网站都有标识,并特地单列出了勒索网站类、诈骗网站类。
Onion666可以在明网访问,但是已经关闭了明网的评论。Onion666的.Onion域名:
http://666666666tjjjeweu5iikuj7hkpke5phvdylcless7g4dn6vma2xxcad.onion/
5,Torch Torch是那些持续了足够长的时间(自1996年以来)的暗网搜索引擎之一。与其他搜索引擎一样,Torch会抓取这些地址并为其内容编制索引,使其可供用户搜索。
然而,根据个人经验来说,其搜索结果并不令人印象深刻。例如,我想知道Twitter的洋葱网址,一个非常简单的信息。然而,它却报告了除此之外的所有信息,这表明这些搜索引擎在改进方面还有很多工作要做。
另一方面,它速度很快,无论如何都可以派上用场。Torch的.Onion域名:
http://torchdeedp3i2jigzjdmfpn5ttjhthh5wbmda2rr3jvqjg5p77c54dqd.onion/
6,Recon 这个特殊的搜索引擎是由Hugbunt3r构建的,Hugbunt3r是暗网上流行的Dread论坛的重要成员。它的目的是作为一个数据库,用户可以通过它在暗网的不同市场上搜索不同供应商的产品。
供应商和市场的个人资料查看选项也可用,包括评级、镜像链接、商品数量和正常运行时间百分比等详细信息。Recon的.Onion域名:
http://recon222tttn4ob7ujdhbn3s4gjre7netvzybuvbq2bcqwltkiqinhad.onion/
7,DuckDuckGo 您知道DuckDuckGo在暗网上可用,而且他们也有自己的.Onion域名吗?是的,但即使在Tor浏览器上使用,它也只显示来自表网的结果。
然而,当涉及到匿名问题时,DuckDuckGo有一个成熟的记录,这就是为什么DDG背后的隐私倡导者团队被称为谷歌的长期敌人。DuckDuckGo的.Onion域名:
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
8,Onion Search Onion Search是一个用于暗网的搜索引擎,使用户能够查找和访问Onion网站。该网站旨在与Tor浏览器一起使用,允许用户匿名浏览互联网。
查看其关于页面可以发现,该搜索引擎是在法国运营的,因为该搜索引擎承认“完全符合法国法律”。搜索引擎上另一个值得注意的选项是,人们可以向管理员报告虐待儿童的内容,管理员发誓要将其删除。
Onion Search可通过明网访问,Onion Search的.Onion域名:
http://searchpxsd4vdpf35uk4ycgxolp732zhs7zr4qgftt6qvmgpo6mukbyd.onion/
9,Deep Search Deep Search是一个针对暗网的搜索引擎。它被设计用来索引和搜索洋葱空间,即Tor网络的隐藏服务部分。DeepSearch是开源的,任何人都可以使用。