据网络安全研究人员称，关于ChatGPT的讨论已经开始充斥在暗网的论坛上，因为黑客们正在寻求利用人工智能（AI）聊天机器人的方法。 在暗网上，也就是通过传统网络浏览器无法访问的互联网部分，有关ChatGPT的新帖子数量在1月至2月期间增长了7倍，而线程的受欢迎程度上升了145%。 Check Point Software Technologies本月早些时候报告称，网络犯罪分子绕过了ChatGPT的安全措施来生成恶意软件。Check Point研究人员在ChatGPT发布后监控了暗网论坛，发现了威胁行为者讨论使用聊天机器人“改进”恶意软件代码的实例。研究人员测试了聊天机器人的编码能力，看看它能为黑客提供什么帮助。 “使用ChatGPT 和 ChatGPT-3，我们没有看到创建真正复杂的东西的能力。”Check Point威胁情报组经理Sergey Shykevich说，“这主要是关于更多的人将进入他们的潜在开发者网络犯罪分子圈子并开发工具，它可以提高复杂威胁的成本效率。” 尽管聊天机器人在编码方面不那么复杂，但ChatGPT可以帮助简化流程。聊天机器人是创建简单恶意软件或为需要帮助的人（例如低技能黑客和脚本小子）改进恶意软件的有用平台。 “他们可以提交代码块并验证勒索软件代码中没有错误或漏洞，或者改进代码或编写网络钓鱼电子邮件作为其感染链的一部分，”Shykevich说。“一个从来都不是开发人员并且从未创建过代码或恶意代码的人现在突然能够尝试创建恶意代码。” 多个安全公司对此进行了分析，并将ChatGPT的利用描述为“暗网最热门的话题”。 论坛上讨论的主题包括让人工智能创建恶意软件的方法、如何利用ChatGPT以及使用它进行网络攻击的方法。 网络安全公司Norton的一份单独报告警告说，网络犯罪分子可能会被这种先进的聊天机器人吸引，因为它能够产生对人类来说无法区分的反应。 使用人工智能软件的一种潜在攻击形式被称为网络钓鱼，目标被诱骗泄露个人信息，从而危及他们的在线账户。 黑客一直在寻找让人工智能执行此类攻击的方法，以克服ChatGPT的创建者OpenAI设置的障碍。 这家人工智能研究公司声称其技术“经过训练可以拒绝不适当的请求”，但是之前已经暴露了某些漏洞，这些漏洞允许用户生成基本的恶意软件。 网络安全专家称：“像ChatGPT这样的聊天机器人可以在很多方面让我们的生活更轻松，比如执行平凡的书面任务、总结复杂的主题或建议假期行程。然而，对于网络犯罪分子来说，革命性的人工智能可能是许多骗局中缺失的一块拼图。” “令人担忧的是，在上个月，暗网上有关ChatGPT的讨论已经从简单的‘作弊’和变通办法——旨在鼓励ChatGPT做一些有趣或意想不到的事情——演变为完全控制该工具并将其武器化。” 非法使用ChatGPT 早在2022年12月，Reddit用户就已经讨论过“越狱”或某些提示，成功推翻了ChatGPT的防御系统。用户分享他们欺骗聊天机器人做出歧视性或荒谬的陈述。 虽然戳破聊天机器人的防御系统最初是为了展示聊天机器人的缺陷，但威胁者已经非法利用了其弱点。Check Point研究人员观察到，威胁行为者通过三种方式利用OpenAI的API生成恶意软件。 2022年12月21日，一名用户名为USDoD的威胁行为者在暗网论坛上透露，他使用ChatGPT生成了他的第一个脚本。这个多层加密的Python工具可以用来加密一个人的文件，但它也可以作为一个勒索软件的模型。 USDoD承认他以前从未创建过脚本，这引起了人们的担忧，即聊天机器人会让那些没有技术技能的人创建恶意软件并造成重大损害。NCC Group的首席科学家Chris Anley称，虽然ChatGPT可能无法生产完整的勒索软件，但用户很容易请求生成一个可以被恶意使用的加密脚本。 尽管这段代码可能存在潜在危害，但Shykevich表示，源自ChatGPT的编码USDoD“确实需要一些小的调整才能真正使其正常工作。” 在早些时候的一份报告中，Check Point发现另一名黑客解释说，他在一周后使用ChatGPT重新创建了一个基于python的信息窃取程序代码，该代码可用于从系统中复制和泄露PDF、图像和Office文档等文件。同一位用户随后分享了他编写的一个简单的Java代码，该代码使用PowerShell下载PuTTY软件客户端，但它可以被修改为下载和操作任何程序。 CheckPoint研究人员还发现一名黑客展示了ChatGPT在创建暗网市场中的作用。黑客发布了带有第三方API的代码，该API包含当前加密货币价格，可用于进行非法购买。 绕过ChatGPT限制 一开始，一些安全研究人员认为ChatGPT用户界面中的限制很薄弱，并发现威胁行为者可以轻松绕过障碍。从那以后，Shykevich说OpenAI一直在努力改进聊天机器人的限制。 “我们看到ChatGPT的用户界面的限制每周都会提高很多。所以现在使用ChatGPT进行恶意或滥用活动更加困难。”他说。 但网络犯罪分子仍然可以通过使用和避免某些允许用户绕过限制的词语或短语来滥用该程序。NCC Group商业研究总监Matt Lewis将与在线模型的交互称为涉及计算的“艺术形式”。 Lewis说：“如果你避免使用恶意软件这个词，而只是要求它向你展示加密文件的代码示例，那么它就会故意这样做。”“它有一种喜欢被指示的方式，并且有一些有趣的方法可以让你以多种不同的方式让它做你想让它做的事情。” Lewis展示了该程序将如何“编写一个加密脚本”，尽管没有达到完整的勒索软件的要求，但它仍然可能很危险。“这将是一个很难解决的问题，”Lewis谈到绕过时说，并补充说，对于OpenAI来说，针对上下文和意图的语言监管将极其困难。 更复杂的是，Check Point研究人员观察到，威胁行为者采用Telegram机器人的GPT-3模型的API，称为text-davinci-003，而不是ChatGPT，来推翻聊天机器人的限制。 ChatGPT只是OpenAI模型的一个用户界面。这些模型可供开发人员将后端模型与他们自己的应用程序集成。用户通过API消费这些模型，而这些API并没有受到限制的保护。 “从我们看来，OpenAI对ChatGPT界面设置的障碍和限制主要针对那些通过API使用模型的人。”Shykevich说。 威胁行为者还可以通过向聊天机器人发出准确的提示来规避限制。Cyber​​Ark自ChatGPT推出以来就对其进行了测试，并发现了限制中的盲点。通过反复的坚持和要求，它将提供所需的编码产品。Cyber​​Ark研究人员还报告说，通过不断要求ChatGPT并每次渲染新的代码，用户可以创建高度规避的多态恶意软件。 多态病毒可能非常危险。但Anley指出，已经有在线工具和框架可以用来制作它们。ChatGPT的创建能力对于不熟练的编码人员和脚本小子来说是最有益的。 “就攻击者而言，这不是一种新的能力……也不是一种特别有效的方法来生成你的恶意软件的变种。”Anley说，“已经有一些工具在这方面做得更好。它有可能是新的，因为它可能允许不太熟练的攻击者生成可能危险的代码。” 赌注有多高？ 因为ChatGPT的输出往往是不完美的，只有伴随着熟练的黑客的作用，能够对代码进行必要的调整和补充，它们才很可能是有害的。 “可能需要知识渊博的人才能将其转化为武器化的漏洞，一种武器化的恶意软件。”Anley说。 让聊天机器人在创建恶意软件方面更不实用的是，已经有许多工具可用于创建功能性恶意软件。在我们看到AI程序的进步之前，以这种方式使用ChatGPT并不是完全有利的。 “虽然你确实可以以这种方式使用模型来生成一些不好的东西，但我们已经可以以一种从攻击者的角度来看可能更有效、更安全的方式来生成这种类型的恶意软件。”Anley说。 然而，ChatGPT在生成逼真的网络钓鱼电子邮件方面一直很有效，这些电子邮件在标有拼写错误和语法错误时通常无法令人信服。但是使用OpenAI的GPT-3大型语言模型系列构建，ChatGPT可以生成有说服力的电子邮件。 “语言非常好，非常紧凑，所以你可能无法像以前那样区分它，”Lewis说。 为了解决这个问题，OpenAI将继续打击ChatGPT的限制。但威胁行为者很可能会继续寻找滥用该技术的方法。Shykevich警告说，虽然关于聊天机器人节制、限制和审查的讨论很重要，但保障措施永远不足以完全终止恶意活动。 “如果我们不讨论或者限制措施没有从一开始就实施，那么滥用就会变成一个怪物。”Shykevich说。“但也没有办法将滥用减少到零。” 有关ChatGPT ChatGPT目前是世界上增长最快的应用程序，在推出后的头两个月内在全球范围内拥有1亿用户。OpenAI 聊天机器人已帮助超过1亿用户（每天约1300万人）根据请求编写文本、音乐、诗歌、故事和戏剧。它还可以回答测试问题，甚至可以编写软件代码。 推出三个多月后，它的受欢迎程度持续增长。根据数据智能平台Similarweb的数据，2月份聊天机器人的访问量增长了83%，日访问量达到约4500万次。 瑞银分析师在1月份的一份报告中写道：“在关注互联网领域的20年中，我们无法回忆起消费者互联网应用的快速增长。” 相比之下，TikTok在全球推出后用了9个月才达到类似的受众，而Instagram则用了2.5年多。

自Dread论坛管理员1月底称网站有可能在一周内恢复，又已经过去了一个月。转眼已到3月份，“暗网下/AWX”发现，随着Dread论坛的管理员又陆续更新了网站公告以及私人“金丝雀”（canary），并且其暗网网站状态已经显示绿色的“在线”（online）。 根据Dread暗网网站，在2月11日，其发布公告称： 现在的更新是故意的，由于进一步的问题，因为我试图急于求成，过度简化了打算重写的理论，我们已经留下了一些艰难的决定，这将使重新启动可能不符合我想提供的目标。DoS解决方法的概念正处于最后的测试阶段，只是由于与一些市场管理员的接触有限而被保留，我们希望确保他们的服务能够提供有机流量的可访问性。我目前正在将一些小的新功能/更新迁移到以前的Dread代码库中，我们将在这个时候以最好的能力重新启动。我现在正在避开Reddit，因为那里有大量的投诉和疑虑，这只会给我们所有人带来更多的头痛。我们正在努力工作，很快就会恢复我们所有人的平衡。 2月25日，新的公告称： Dread现在已经在生产服务器上进行了私人测试。暂时邀请了服务管理员和一些Dread版主。我将在Reddit上发布更多有关信息。 2月28日，Dread管理员HugBunter更新金丝雀称依旧活着，并完全控制着Dread网络和相关服务。在Dread中断期间，将继续更新金丝雀专门发布在Dread的网络状态页面。但是如果其洋葱网络不可访问，他将通过/r/DreadAlert在reddit进行紧急更新。 —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 I, HugBunter am alive and free as of Tuesday, February 28th, 2023 and in full control of the Dread Network and related services. I have signed this canary for publishing specifically on our network status page during the current outage. Bitcoin block hash: 0000000000000000000503b050e7e39453cf479711c5c04df95f672de3300804 Emergency updates are available here or at reddit via /r/DreadAlert if our onion becomes unavailable.

维护Tor匿名网络和相关浏览器的组织Tor Project正在继续将其基础设施从以前由Team Cymru提供的基础设施转移出去，Team Cymru是一家互联网监测公司，它捐赠了硬件和其他资源。该组织在一份声明中告诉Motherboard，Tor项目现在预计迁移工作将在春季完成。 在Motherboard报道称Team Cymru向美国军方的多个分支机构出售了一种名为“Augury”的互联网监控工具后，Tor项目于10月宣布了这一举措。Augury部分基于互联网服务提供商提供的数据，并声称覆盖了全球90%的互联网流量。一名举报人还声称，隶属于海军的民事执法机构NCIS参与了未经授权的使用和购买这些数据。 Tor项目的通信主管Pavel Zoneff告诉Motherboard，该组织已经“取得了很大进展，包括进行重大投资以扩展我们自己的服务器基础设施。我们已经迁移了最关键的功能，目前正在跟踪今年春季结束前的完成情况。一旦过渡完成，我们将分享更新信息。” 在Tor项目10月的公告中，Tor项目执行董事Isabela Fernandes提到Team Cymru多年来向Tor捐赠了“硬件和大量带宽。这些主要是网络镜像，用于构建和模拟机器等内部项目。”Fernandes写道，Tor社区对Tor项目使用Team Cymru的基础设施表示担忧。 鉴于Tor项目与Team Cymru的任务之间存在冲突，“继续接受Team Cymru的基础设施捐赠是不可行的，”Fernandes写道，并补充说，自2022年初以来，Tor项目一直在计划搬出一些东西。在Motherboard的报道之后，这些努力似乎更加认真地进行了。 Team Cymru的首席执行官Rob Thomas也是Tor项目的董事会成员，Motherboard在其报告中指出了这一点。他于2022年8月4日离开。在10月的博客文章中，Fernandes解释说，Tor项目的工作人员和志愿者在2021年底对Thomas的董事会职位表示担忧。这引发了内部讨论。“在这些谈话中，很明显，尽管Cymru团队可能提供与Tor使命背道而驰的服务，但没有迹象表明Rob Thomas在提供这些服务方面的作用对Tor用户造成了任何直接风险，这是我们最关心的问题。”Fernandes写道。 “但当然，不积极危害我们的用户是一个低标准，”Fernandes继续说道。“对Team Cymru的商业模式和Tor的使命之间的内在脱节提出质疑是合理的，Tor的使命包括为所有人提供私人和匿名的互联网访问。Rob Thomas选择从董事会辞职的原因是他自己的，但自从我们最初的谈话以来的几个月里，Team Cymru的工作如何与Tor项目的使命相抵触，已经变得越来越清楚。” 互联网监控平台Augury 互联网监控平台Augury由网络安全公司Team Cymru开发，捆绑了大量数据，并作为付费服务提供给政府和企业客户。在私营行业，网络安全分析师使用它来跟踪黑客的活动或确定网络攻击的原因。在政府领域，分析师也可以做同样的事情，但处理刑事调查的机构也购买了这种能力。军事机构没有描述他们对该工具的使用情况。然而，该工具的销售仍然突出了Team Cymru如何获得这种有争议的数据，然后作为一项业务出售，这一点让网络安全行业的多个来源感到震惊。 “网络数据包括来自全球550多个收集点的数据，包括欧洲、中东、北美/南美、非洲和亚洲的收集点，并且每天至少有1000亿条新记录的更新。”Motherboard审查的一份美国政府采购记录中对Augury平台的描述是这样的。它补充说，Augury提供对“PB级”的当前和历史数据的访问。 Motherboard发现，美国海军、陆军、网络司令部以及国防反情报和安全局总共支付了至少350万美元来访问Augury。这使得军方可以使用数量惊人的敏感信息来跟踪互联网的使用情况。Motherboard已经广泛报道了美国机构如何通过简单地购买私营公司的商业数据来获得在某些情况下需要搜查令或其他法律机制的数据。最常见的情况是，这些销售围绕着从智能手机上获取的位置数据。Augury的购买行为表明，这种购买数据的方式也延伸到了与互联网使用更直接相关的信息。 Team Cymru在其网站上表示，其解决方案提供了“对互联网上绝大多数活动的访问权限”。“Augury是93%的互联网流量的可见性，”另一个描述该工具的网站写道。根据Team Cymru的网站，一些客户可以使用不同品牌名称Pure Signal RECON来访问该平台。 Augury平台有哪些数据 根据在线采购记录，Augury平台为其用户提供了大量不同类型的互联网数据。这些类型的数据包括与电子邮件、远程桌面和文件共享协议有关的包捕获数据（PCAP）。 PCAP通常指的是完整的数据捕获，包含了非常详细的网络活动信息。PCAP数据包括从一个服务器发送到另一个服务器的请求，以及该服务器的响应。Augury的数据还可以包括网络浏览器活动，例如访问的URL和Cookie等详细信息。

加拿大最大的电信供应商之一Telus正在调查其系统可能遭到的重大破坏，此前一名黑客在暗网论坛上发布了样本，该人声称这些样本是来自该公司的敏感数据。 泄露的数据包括对手声称的员工工资记录样本、该电信公司私有GitHub存储库的源代码以及其他信息。 据报道，在BreachForums上的一篇帖子中，自称为“Seize”的威胁行为者出售一个电子邮件数据库，声称包含Telus每位员工的电子邮件地址。该数据库的价格为7000美元。另一个数据库据称包含电信公司高层管理人员（包括其总裁）的工资单信息，售价为6000美元。 该威胁行为者还以50000美元的价格出售了一个数据集，该人声称该数据集包含属于Telus的1000多个私人GitHub存储库。可供出售的源代码显然包含一个API，该API允许恶意行为者进行SIM卡交换——在这个过程中，攻击者通过将号码转移到自己的SIM卡上来劫持另一个人的手机。 一次完全的泄露？ “这是一次完全的泄露，”被指控的黑客在BreachForums的帖子中写道。“您将收到与Telus相关的所有内容”，包括完整的子域列表和活动站点的屏幕截图，该帖子继续说道。目前尚不清楚所谓的攻击者似乎拥有的任何数据是否真实或是否如所声称的那样属于Telus。 Telus发言人Richard Gilhooley称：“我们正在调查有关少量与Telus内部源代码相关的数据和选定的Telus团队成员的信息出现在暗网上的说法。”“我们可以确认，到目前为止，我们在得知该事件后立即展开的调查尚未发现任何公司或零售客户数据。” 暗网是指需要特定浏览器和其他配置才能访问的互联网子集。这个似乎不太受欢迎的网络不仅仅用于非法活动，而且通常被希望逃避监视或执法工作的个人使用。 针对电信运营商的网络攻击越来越多 如果Telus的漏洞如威胁行为者所声称的那样发生，这将是最近针对电信公司的一系列攻击中的最新一起。就在今年年初，攻击者已经攻破了多家大型电信公司，包括澳大利亚最大的三家公司：Optus、Telestra和Dialog。本月早些时候，SentinelOne的研究人员报告称，他们观察到一个以前未知的不良行为者针对中东地区的电信公司，似乎是一场网络间谍活动。 就在上个月，另一家运营商T-Mobile US承认了一起数据泄露事件，其中有人滥用API下载了属于3700万用户的个人信息。这是该网络运营商在五年内发生的第六次安全事故。 分析师认为有几个因素正在推动这一趋势。例如，用于多因素身份验证（MFA）的移动设备的广泛使用和不断增长，使电信公司及其网络成为目标。希望访问在线账户的出于经济动机的网络犯罪分子也开始越来越多地以电信提供商为目标，进行所谓的SIM交换攻击，以劫持手机并拦截用于双因素身份验证的SMS授权。 另一个使电信公司成为重要目标的因素——一个长期存在的因素——是它们为对监视感兴趣的人提供了机会。近年来发生了多起事件，伊朗、土耳其等国家支持的威胁行为者闯入电信网络，窃取通话数据记录以监控目标个人和团体的对话。 针对加拿大零售商的网络攻击越来越多 数据泄露已成为企业和公共部门领域的一个常见特征，近几个月来加拿大零售商遭受的网络攻击越来越多。 2020年，Telsus旗下的另一家公司Medisys Health Group成为勒索软件攻击的受害者，骗子在攻击中窃取了属于约6万名客户的个人信息。 该事件影响了该公司约5%的客户，其中包括姓名、联系信息、省级健康号码和测试结果。该公司当时说，财务信息和社会保险号码没有在这次攻击中被盗。 在Telus再次发起调查之际，连锁书店Indigo证实其在2月8日遭到勒索软件攻击，该攻击泄露了一些前任和现任员工的信息。 加拿大第二大连锁超市Sobeys的母公司Empire Co. Ltd.去年11月遭遇安全漏洞。该事件导致其连锁药店四天内无法配药，而自助结账机、礼品卡使用和忠诚度积分兑换等其他店内功能则关闭了大约一周。

网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上，但部分论坛也可以通过明网访问，是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分，为出售被盗证书、勒索软件即服务和恶意软件提供便利，而一个单独的部分则保留用于一般的网络犯罪讨论。 众所周知，俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明，74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外，俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。 从威胁情报的角度来看，监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象，或者揭露出售的用户凭据，然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛，企业需要重点对这些暗网论坛进行监控。 Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一，早在2005年就已启动。顾名思义，该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛，从社会工程技术到破解密码算法的教程。 该论坛是一个以俄语为主的论坛，有一个市场板块，网络犯罪分子在这里交易被盗的信用卡信息、恶意软件，甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是，这个论坛既可以通过表网上的标准互联网浏览器访问，也可以使用Tor浏览器通过暗网访问。 但是，要访问论坛和参与讨论，威胁行为者要么支付100美元的自动访问费用，要么他们可以尝试获得免费访问权限，条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛，但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。 Exploit.in的明网地址： https://exploit.in/ Exploit.in的暗网地址： https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion XSS.is XSS.is是另一个封闭的俄语论坛，可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户，包括禁用所有用户登录和用户操作的IP地址日志，以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题，然后等待网站管理员的批准。 XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易，这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前，XSS.is被广泛用于为勒索软件即服务团伙招募成员，但论坛管理员在2021年禁止了勒索软件话题。 这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB，直到2018年一名管理员被捕，之后它被重新命名为XSS。 XSS.is的明网地址： https://xss.is/ XSS.is的暗网地址： https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion RAMP 2.0 2021年RAMP 2.0（俄罗斯匿名市场）论坛的成立有一个有趣的背景故事，它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。 Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名，在受害者拒绝屈服于他们的勒索要求时发布被盗数据。 从2012年到2018年，RAMP的前一个版本存在于一个不同的域名上，但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本，但出现了一个新版本，重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划，恶意软件板块，以及另一个专门出售企业账户访问权的板块。 注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0，在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。 RAMP 2.0的明网地址： https://ramp4u.io/ RAMP 2.0的暗网地址： http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion

一周前，“暗网下/AWX”曾做出提醒，AlphaBay暗网市场的管理员失踪数周，供应商与使用2FA的用户无法登录。本周，“暗网下/AWX”发现，2021年重新启动的AlphaBay暗网市场已经完全无法访问，无论是通过Tor还是I2P。 dark.fail网站也更新了上周的警告： 警告：AlphaBay的管理员消失了，该网站可能退出诈骗。 tor.taxi也在其网站上写道： PSA：AlphaBay高级管理员建议用户不要使用该市场。 AlphaBay的高级管理员TheCypriot在Reddit上发布了PGP签名消息，警告该市场的用户远离它，直到因其创建者DeSnake的缺席而产生的问题得到解决。在2月13日星期一发布的相当冗长的警告中，AlphaBay管理员TheCypriot向reddit的网友提供了一些关于市场通常如何运作的见解，为什么某些用户无法登录，也许最重要的是，为什么他们觉得暂时人们应该不要使用它。 TheCypriot称其是AlphaBay暗网市场的管理员，而不是控制者： AlphaBay市场层次结构如下： DeSnake – 所有者 – 私钥服务器访问权限，完全控制 TheCypriot – 管理员 – 管理日常的市场和运行时的工作人员。没有私钥或服务器访问权限，但拥有大部分管理权限 Tempest – 高级版主 Amades – 初级版主 Wxmaz – 初级版主 EvZen – 初级版主 Parsed – 诈骗观察和公关。难以置信的耐心，通常处理这些类型的事情 Peke – 论坛版主 我是市场的管理员。我不是主人。我无权解除市场上的2FA锁定。 “不要使用该市场，”TheCypriot在他的Reddit帖子中写道。“说起来容易，因为你想用市场也用不了。”TheCypriot接着解释了DeSnake维护的两个金丝雀之间的区别，并指出DeSnake明显未能更新第二个金丝雀导致市场无法读取和处理PGP签名消息。塞浦路斯人还说明了为什么他们不认为由此产生的问题是执法部门的行为： “根据我多年来的经验，这不是LE。请自由讨论，你们中的许多人都会认为是，但只是没有迹象。如果是这样，那将是市场历史上计划和执行最糟糕的LE行动。他们甚至没有设置一个花哨的扣押屏幕……并不意味着它不是。” 根据TheCypriot帖子中提供的额外信息，DeSnake最后一次登录AlphaBay市场是在1月25日，也就是三周多前。该市场用户出现访问问题始于2月初，因为启用了2FA的用户（包括所有供应商）发现自己无法登录市场。TheCypriot还提到他们认为应该不是“退出骗局”，尽管不能完全排除这种可能性。 与Tor网络类似，I2P网络上正在遭受的DDOS攻击已经使访问I2P网络的站点变得困难。I2P网络的用户被要求升级到网络的最新版本2.1.0，该版本已将一些攻击者的节点列入黑名单，但大多数用户仍然无法访问。 AlphaBay的Tor网络网址为： http://alphabay522szl32u4ci5e3iokdsyth56ei7rwngr2wm7i5jo54j2eid.onion AlphaBay的I2P网络的网址为： http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p 截至2月20日晚，AlphaBay暗网市场仍然无法通过Tor网络或I2P网络进行访问。 更多暗网新闻动态，请关注“暗网下/AWX”。

新冠疫情流行驱使我们尝试不同的事物，寻找新的爱好，或发现可以使自己保持精神稳定和清醒的事物。长时间观看YouTube视频、连续观看连续剧和电影并没有给我们带来足够的兴奋。 对于那些全天候24×7上网的人来说，他们有充分的理由留在家里。每个人都在家工作，我们每个人都想成为技术达人，因为我们不能走出家门，小工具成了我们唯一的朋友。群组通话、视频聊天、刷抖音视频、同时玩在线游戏和聊天、狂看奈飞节目成为每个人的事。在所有这些让我们迷上互联网的新趋势中，出现了一种新的成瘾，那就是沉迷于暗网！ 对暗网的成瘾，不是某种阶段性的上瘾，也不是那种需要你进入康复中心的上瘾，而是一种真正的上瘾，是会对你的心灵造成最严重的伤害。虽然网络成瘾并不是一个众所周知的新现象，但特定于暗网的成瘾却是一种新趋势。 2020年进行的一项研究表明，暗网成瘾，可以说是一种心理障碍，在许多国家仍然不常见。暗网，是指存在于暗网的万维网（www）内容。暗网在整个万维网中形成了一小部分（6%），深网（90%）和表网（4%）。它包括较小的点对点网络，以及较大的流行网络，例如Tor、Freenet、12P和Riffle，由组织或个人经营。该研究还发现，对暗网的沉迷会导致个人的心理健康问题（无论是单一症状还是多种症状）：焦虑和恐惧、偏执、内疚感、失眠、注意力不集中、避免社交接触（孤立）、食欲不振和情绪不稳定。由美国精神病学会（APA）出版的《精神健康疾病诊断与统计手册》第五版（DSM 5）将精神健康定义为一种心理健康的状态，以及对社会和日常生活需求的满意适应。它进一步指出，这并不意味着完全没有压力、挫折和冲突。 DSM5将成瘾（在此背景下归为暗网）归类为强迫症（OCD）。强迫症，这是一种焦虑症，在这种情况下，个人会反复出现不想要的想法或感觉，这被称为强迫症。这些强迫症会迫使并让成瘾者感到不得不重复（强迫性地）访问暗网。这种对暗网的不受控制的沉迷导致受害者（瘾君子）的抑郁（焦虑和恐惧）增加，并可能导致他或她在工作场所表现不佳。 暗网上的网站，如更多血腥的暗网网站，比如Creepy Pasta（恐怖故事）、White Enamel（3D恐怖视频）、Ghost Island Tour of Japan（闹鬼建筑的幽灵之旅），暴力性犯罪者的内心深处，红房子（恐怖视频游戏）、恐怖电子邮件和被盗的信用卡号码等等等等定，这些网站在暗网上吸引了大量的访问者（点击率）或流量。这几个网站是可以被认为对接触它的人员的心理健康具有潜在危险或有害的网站的示例。这些网站上展示了真实的严酷犯罪故事，很难区分事实和虚构。互联网上的用户，特别是那些出于合法或非法原因使用暗网的用户，有很大的可能陷入抑郁并面临严重的心理健康问题。 暗网，也称为深网，是互联网的一部分，不被搜索引擎收录，需要特定的软件或配置才能访问。网络的这一部分通常与非法活动有关，包括贩毒、人口贩运和其他邪恶的活动。 暗网对人类心理健康的影响可能很大，因为接触非法和危险活动会对一个人的心理会产生深远影响。访问暗网的人可能会接触到生动和令人不安的内容，如暴力、虐待、甚至谋杀的图像和视频。 此外，暗网的匿名性可以营造一种脱离现实的感觉，使个人更容易从事危险或非法行为，而不必担心受到影响。这可能导致内疚、羞耻和焦虑的感觉。 暗网也可能成为网络欺凌和在线骚扰的温床，这会对个人的心理健康产生深远影响。暗网缺乏责任感和匿名性，可能使个人有胆量从事攻击性和有害行为。 暗网的成瘾性也是一个重要问题。。参与暗网的人可能会对其提供的危险和刺激感上瘾，从而导致难以打破的冒险行为循环。总之，暗网会对人类的心理健康产生重大的负面影响。暗网的匿名性、接触令人不安的内容和令人上瘾的性质会导致焦虑、内疚和羞耻感。网络机构和执法部门有部分责任提高人们对与暗网相关风险的认识，并为那些可能在暗网影响下挣扎的人提供支持和资源。

当生意好的时候，一般公司都会投入额外的资金和资源来招聘和保留最好的人才，无论是IT支持、网络安全还是其他关键的技术职位。对于网络犯罪集团来说，这也是一样的。 躲藏在暗网的地下经济价值数十亿美元，网络犯罪和其他地下组织需要同样的技术人才和技能来帮助推动地上经济。卡巴斯基最近对155个暗网论坛上发布的招聘广告和简历进行的分析发现，这些非法组织希望通过提供有竞争力的薪水、奖金、晋升和其他津贴来吸引技术人才……这与他们的合法同行很相似。 根据卡巴斯基的分析，这些暗网组织提供了合法、半合法和非法的职位空缺，有些月薪高达20000美元，不过整体而言，提供给技术专家的薪水中位数水平在1300美元到4000美元之间。 在这些暗网群体中，最抢手的职位是开发人员，但是薪水一般，而逆向工程师的月薪中位数可达4000美元。 卡巴斯基研究人员指出：“为了跟上时代，一些公司提供诸如远程工作和弹性工作时间等福利。也就是说，在暗网上，远程工作是必要的，而不是有吸引力的工作，因为匿名在网络犯罪世界中是关键。你还可以在雇佣条款中遇到带薪休假、带薪病假，甚至是一个友好的团队。” 随着地下经济的持续蓬勃发展，在暗网（通常指只能使用匿名Tor浏览器访问的.onion网站）中工作的网络罪犯需要技术人才。联邦调查局（FBI）年度互联网犯罪投诉中心（IC3）报告的最新数据显示，从2020年到2021年，网络犯罪（例如勒索软件、商业电子邮件泄露、身份盗窃和数据泄露）增加了7%，仅在整个美国，损失总额就达69亿美元。 根据一些估计，网络犯罪使全球各地的受害者损失了数万亿美元。安全公司CardinalOps的网络防御战略副总裁Phil Neray说，有了这么多的资金，犯罪组织就需要熟练的技术人员。 “网络犯罪组织正在寻求雇用更多的开发人员和安全专家，这并不奇怪——就像所有其他企业一样，”Neray称，“这里的区别在于，如果你成功地将勒索软件部署到像Colonial Pipeline或JBS这样的组织，你可能最终会进入FBI的‘网络通缉犯’名单。” 网络犯罪的黑镜 在分析中，卡巴斯基研究人员审查了2020年1月至2022年6月期间在这些暗网论坛上发布的约20万个与就业相关的广告。大多数广告帖子在2020年3月达到顶峰，当时COVID-19新冠疫情流行开始重新定义全球经济及其地下经济。 该研究发现，绝大多数招聘广告（约60%）是针对开发人员的，渗透测试人员排名第二，占16%，设计师排名第三，约占10%。研究人员还发现，一些地下工作要求潜在申请人接受多轮面试和“涉及恶意软件可执行文件加密和逃避保护措施的测试任务，以及试用期。” Vulcan Cyber​​的高级技术工程师Mike Parkin表示，继续采用合法企业的招聘和人力资源技术并不奇怪，尤其是随着网络犯罪变得更加有利可图，而且这些团伙组织也越来越复杂。 “多年来，我们一直在观察网络犯罪世界越来越多地采用合法企业的伎俩。看到他们采用与合法商业世界中相同的人力资源招聘技术，这并不奇怪，”Parkin称。 卡巴斯基报告补充说，现在对开发人员的需求很大，原因之一是攻击越来越频繁，恶意软件也越来越复杂。 “这可能表明，网络攻击的复杂性正在增加。对开发人员的更高需求可以解释为需要创建和配置新的、更复杂的工具，”根据该分析。 随着网络威胁的增加，Keeper Security的首席执行官兼联合创始人Darren Guccione指出，拥有资金和手段的地下组织将继续这些招募工作。 “更令人不安的是，对网络安全专业人员不断增长的需求在很大程度上是由于网络攻击和数据泄露的频率不断增加。随着雇主、政府和高等教育机构努力解决当前的人才缺口，预计未来十年这种需求将保持高位。”Guccione称。 网络犯罪能否赚钱 虽然网络犯罪组织提供的薪水和福利对某些人来说似乎很诱人，但几位专家指出，大部分报酬低于美国合法网络安全或IT工作提供的报酬。 正如Kaspeksey的报告里明确显示的那样，这些招聘广告大多是针对俄罗斯和东欧国家的求职者，那里的成本较低，高薪工作往往很稀缺。 安全咨询公司Coalfire的副总裁Andrew Barratt说：“由于犯罪是游戏的名称，当然几乎不需要担心税法、移民签证、居住情况和货币转移——这意味着有组织的网络犯罪集团可以专注于招聘拥有非常具体的技能的人，他们需要将这些技能应用到他们的企业中。” Barratt补充说，暗网网站提供的报酬吸引了某些类型的开发人员或技术专业人士，他们需要钱来补充合法收入。 Barratt说：“世界各地有大量高标准的软件工程师，由于这样或那样的原因，他们无法进入美国经济，因此，在一些国家，4000到2万美元的副业可能会改变他们的生活，因为在一些国家，仍然可以找到低于10万美元的房产，在一些地方，甚至低于5万美元。” Parkin还指出，这些广告旨在吸引美国以外的工人。“他们的大部分人才库将来自那些为网络犯罪团伙工作的地区，在那里为犯罪企业工作既没有像在美国那样的耻辱[也没有]法律后果。”他补充说。 这些类型的招募工作可能会持续下去，直到做出更大的努力来打击网络犯罪，这将需要美国和国际执法部门做出更多努力。 Parkin指出：“我们可能会看到这种招募活动继续增长，直到国际执法部门采取一致行动来阻止它。”“即使到那时，他们也只会设法将其进一步推向地下，因为只要存在社会、经济、文化和政治理由，这些犯罪企业就会继续存在。”

随着2023年的到来，2022年困扰着暗网市场和暗网论坛的DDoS攻击攻击依然存在、依旧疯狂。 2023年开始了与2022年困扰暗网市场和论坛的相同DDoS攻击。随着Dread论坛、The Majestic Garden、AlphaBay和大多数暗网市场不断受到攻击，用户不能太挑剔他们选择哪个暗网市场来购买他们正在寻找的东西。 令人惊讶的是，在过去的几个月里，大多数暗网市场仍在运行（除了2023年年初下线的DarkFox市场），暗网市场的排行榜与2022年6月相比变化也不是很大。 本文中，“暗网下/AWX”将列出2023年全球顶级暗网市场的名单，排名使用的指标包括真实商品列表的数量、用户和供应商的数量以及社区规模。 “暗网下/AWX”告诫大家，该名单里的暗网市场随时可能下线，可能是由于管理员的贪婪（退出骗局，侵吞用户资金），也可能是服务器被警察查封。如果需要测试这些市场，建议用户永远不要把钱放在市场钱包里，而是使用大多数市场都有的直接支付选项。 一、AlphaBay市场（AlphaBay Market） AlphaBay市场已于2021年8月由原AlphaBay市场联合管理员Desnake重新启动，并重新回到了暗网市场的舞台。此后，WhiteHouse市场、Cannazon市场、CannaHome市场、Dark0de市场、World市场和Versus市场等顶级暗网市场陆续关闭，AlphaBay市场再次成为最大的暗网市场。 AlphaBay拥有超过124万名注册用户、5万个列表和1.8万家供应商、活跃的客户支持服务以及活跃的论坛，且只接受门罗币（Monero）支付。 Tor网络上的AlphaBay市场，在从去年起由于长期遭受DDOS攻击，暗网站点已经关闭，目前支持通过I2P进行访问。 原本该市场可以持续霸占暗网市场榜首，甚至可能比原来的AlphaBay市场做的更大。但该市场的客户近期对AlphaBay暗网市场的状况感到担忧，因为AlphaBay暗网市场管理员Desnake失踪了超过五周，这导致AlphaBay暗网市场的供应商和启用了2FA的用户自2月6日起无法登录访问。 AlphaBay市场的暗网地址：http://alphabay522szl32u4ci5e3iokdsyth56ei7rwngr2wm7i5jo54j2eid.onion AlphaBay市场的I2P网络地址为：http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p 二、Tor2Door市场（Tor2Door Market） Tor2Door市场和AlphaBay市场一样，极大地受益于前面提到的众多大型暗网市场的消亡，并与AlphaBay市场一起上升到暗网市场榜首。 该市场的设计比AlphaBay市场更简单，支持比特币与门罗币，注册和购买程序也更简单，它现在是周围最大的暗网市场之一。 在过去的几个月里，Tor2Door有3万个商品列表和超过2.5万个销售量，是希望使用比特币进行订购的用户人的首选之地。 Tor2Door市场在去年也遇到了很多DDoS攻击问题，并且经常离线很多次，因此访问它有时可能会出现问题。 Tor2Door市场的暗网地址：http://qgma4evyuxoqw6zolgk3y5nsjnd7mbzmuqvajlwop3jbakghe34puuad.onion 三、ASAP市场（ASAP Market） ASAP市场拥有5万个列表，与Tor2Door市场在顶级暗网市场榜单中共享同一位置。ASAP市场过去曾遇到很多问题，包括黑客攻击和长时间停机，包括提款和存款问题，但至少目前还活着。 如果忽略ASAP市场的那么多存在的问题，它非常多的供应商仍然有吸引力，所以你几乎可以找到任何你正在寻找的东西，特别是如果你没有在AlphaBay市场或Tor2Door市场找到它。 ASAPMarket管理员过去在其市场被黑客入侵且其资金被盗时有几种选择，比如选择“退出骗局”后重启一个新的市场，但他选择重新开放市场并使用自己的资金来弥补被盗的资金，所以一些用户可能觉得使用这个市场比其他大的暗网市场更安全，至少信誉有保证。 与Tor2Door和许多其他暗网市场一样，ASAP市场支持比特币和门罗币。 ASAP市场的暗网地址：http://52a66fzozetb4j2nucqpbr2aima7nnlwjv3v56xnbrfojgui6sc5hqyd.onion 四、Abacus市场（Abacus Market） 早在2021年，Abacus市场被命名为AlphaBet市场，是AlphaBay市场的另一个克隆版，但它的运气不好，它与新的AlphaBay市场几乎同时启动，遭到暗网社区的强烈反对，管理员决定重新命名市场为现在的名字。 Abacus市场已经获得了许多用户和供应商，同时支持比特币和门罗币，并拥有超过2万个列表。 Abacus市场的设计与原来的AlphaBay市场几乎相同，只是它的主题是蓝色的，而不是橙色的，所以使用原来AlphaBay市场的用户会有宾至如归的感觉。 Abacus市场的暗网地址：http://abacusnoepyuw5qqq5ymqsz56eh7eggxibpst3hve5siimmtz5kydtyd.onion 五、Vice City市场（Vice City Market） Vice City市场是最近DDoS攻击中受打击最严重的市场，过去几个月的大部分时间都在离线。在过去的几周里，管理员似乎已经设法解决了这个问题，Vice City市场又一次大部分时间在线。 但与任何其他暗网市场相比，Vice City市场的管理员似乎没有那么活跃，虽然有超过1万个商品列表，但是缺少市场必须的客户支持服务。并且该市场直到最近才添加了门罗币（Monero）支持。 Vice City市场的暗网地址：http://oxsfyfyf3rmxwzvsozhze4awcwtbomwd2butx7fvdkl2nfks4tmmo4qd.onion

AlphaBay暗网市场自从重启后一直深受客户信任，用户注册量在持续飙升商家超过1.7万，买家超过124万。从2022年下半年起，AlphaBay暗网市场长期遭受DDOS攻击，无法使用Tor浏览器访问，但是通过I2P可以正常访问。 但是近期“暗网下/AWX”发现，客户对AlphaBay暗网市场的状况感到困惑，因为AlphaBay暗网市场管理员Desnake失踪了超过五周，用于网站签名的金丝雀（canary）一直没有得到更新。这导致AlphaBay暗网市场的供应商和启用了2FA（双重验证）的用户自2月6日起无法登录访问AlphaBay。启用了2FA的用户收到错误提示消息“错误：数据签名失败”。 这是该暗网市场的设计机制，因此不是第一次发生，早在2022年，同样的问题就发生在AlphaBay暗网市场上，不过几天后DeSnake重新登录并更新了他的canary，当时这个问题得到了修复。 dark.fail近日在网站做出警告：”由于admin canary已过期，AlphaBay不接受存款。“，并发布推文称： AlphaBay，最大的”暗网“加密市场，由于管理员的”金丝雀“（canary）过期而被打破。当其管理员DeSnake意外离开时，核心功能似乎被设计锁定。 用户无法存入加密货币，这种不寻常的情况感觉不像是故意退出的骗局。究竟是逮捕，骗局，还是管理员受伤？我们可能永远不会知道。 早在2021年和2022年AlphaBay市场重新启动时，DeSnake每天都很活跃，每小时回复用户一次，但到了2022年底，他已经不再那么活跃，并停止在Dread论坛上回复消息。 目前还不清楚DeSnake何时以及是否会重新上线来解决这个问题，到目前为止，供应商无法登录网站和处理订单，用户可能没有注意到出了问题，只是因为每次供应商试图登录时，他的资料中都显示他确实在线。 虽然一些用户仍然可以通过I2P访问AlphaBay，但由于canary过期，可以登录的用户无法生成新的XMR存款地址，尝试生成新地址时提示以下错误： 错误：管理员必须执行每月金丝雀以启用存款地址/PGP 登录消息的签名。该错误并不严重，但如果您看到此错误，请通过支持票据提醒我们，以确保管理员签署每月金丝雀，从而证明对AlphaBay基础设施的控制。 Reddit网友Boblegal发表了一些见解供网友们参考： 金丝雀是最新的，这不是手头的问题，正如之前所想的那样。尽管如此，2fa 问题需要 DeSnake（负责人）登录才能修复它（没有什么需要“修复”。据我所知，这是一个安全协议，他们需要他的许可级别才能签署）。至于可用的信息，仅此而已。但截至目前，DeSnakes 的手机已关机 – 其他管理员正在发表声明，例如“我们只能希望他决定本周去迪斯尼世界/露营旅行并关闭手机”。 这是一个非常非常简单的修复。但事实是，DeSnake 可能有 1 小时或 1 周不登录。我相信我们很好，就这么简单。非 2fa 账户的存款和取款已成功（5 分钟前确认）。 我建议人们取消 – 撤回 – 并暂时在其他地方找到你要找的东西。当然对于那些有能力的人。 Tor网络上的AlphaBay暗网市场的URL一直无法访问，目前所有用户都可以在I2P网络上访问该市场。 AlphaBay暗网市场的I2P网络为：http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p/ 更多暗网新闻动态，请关注“暗网下/AWX”。 什么是金丝雀 PGP？ Canary中的加密基于PGP密钥对。每个密钥对都有两个密钥，一个公钥和一个秘密密钥。要加密电子邮件，发件人需要收件人的公钥。收件人将使用他们的密钥来解密发件人发送给他们的消息。