瑞士网络安全威胁情报公司Prodaft正在为暗网网络犯罪论坛的用户提供一项新交易:该网络公司将付费从网络犯罪分子手中夺取账户,同时保证卖家的匿名性。
Prodaft公司正在启动的这项新计划名为“出售你的来源”(Sell your Source)的新计划,又称SYS计划,该公司声称长期购买暗网里的黑客论坛上经过验证的旧账户,目的是利用这些账户渗透到网络犯罪空间和社区,收集可能导致恶意操作和平台曝光的有价值的情报。
Prodaft目前正在从五个暗网论坛购买经过审查的账户,且愿意为高权限用户支付额外费用,其希望进入到这些暗网论坛中,以增强其威胁情报的能力。
这五个暗网里最知名的网络犯罪论坛分别是:XSS、Exploit in、RAMP4U、Verified和BreachForums。该公司尚未公布其定价清单,但表示其团队将仔细分析提供的账户,评估其价值并验证其访问权限,并将为拥有版主或管理员角色的论坛账户支付额外费用。
Prodaft公司为SYS计划创建了一个子网站(sys.prodaft.com),这个网站提供了英语及俄语的双语言版本,以希望全球拥有账号的人都能够出售自己的账号。
该公司在倡议声明中表示:“对于任何参与过这些活动并希望翻开新篇章的人来说,你无需解释你的过去或回答任何问题。没有评判,没有疑问——只是一项简单、安全的交易,对双方都有利,并帮助你告别过去的生活。”
“由于这些活动通常与深网、暗网、地下论坛或非法市场等地方有关,我们希望确保我们的覆盖范围不会受到任何限制。”“这就是为什么我们决定购买特定的论坛账户,以便我们进入这些网络并了解敌对领域中发生的事情。”
该公司只接受2022年12月之前创建的账户,且这些账户过去没有参与过网络犯罪或其他不道德活动,因此需要进行一些调查来确认。此外,如果账户被列入FBI或其他执法部门的通缉名单,也不会被购买。
Prodaft表示,转账过程是匿名的,虽然 Prodaft 表示会向执法部门报告账户购买情况,但承诺不会泄露敏感信息。
卖家可以通过 TOX 或电子邮件匿名联系 Prodaft,并分享帐户审核流程的详细信息以开始。
一旦账户获得购买批准,该公司将向卖方发出报价。付款方式包括比特币、门罗币以及卖方选择的任何其他加密货币。
该公司表示,此举旨在更好地收集威胁情报。感兴趣的用户可以通过论坛向Prodaft提交请求,具体流程如下:
通过ToX聊天联系该公司,或发送电子邮件至tips[at]prodaft.com 告知其有可用的帐户。 该账户将被分析并评估其价值。审核完成后,Prodaft将向用户提供报价以及付款方式的详细信息。 如果用户接受该提议,付款将得到安全处理。 所有购买的论坛帐户都将报告给公司的执法合作伙伴以确保透明度,但卖家的身份将受到保护。 账户必须于2022年12月前注册,且不能被列入FBI或任何其他执法部门的通缉名单。账户支付方式为比特币、门罗币或其他加密货币。 什么是SYS计划 “这是一个大胆的举措还是唯一的出路?”Prodaft称,作为一家威胁情报公司,其专注于洞察网络犯罪分子的基础设施,探寻其中的模式、策略、技术和程序,从而帮助理解敌对网络,并检测和缓解潜在的网络攻击。由于这些活动通常与深网、暗网、地下论坛或非法市场等场所相关,该公司希望确保自己的覆盖范围不受到任何限制。
正因如此,该公司决定购买特定的论坛账号,以便进入这些网络,了解敌对势力的动态。或者更确切地说,他们希望利用这些账号进行人力情报(HUMINT)工作,确保尽可能深入地了解暗网。
因此SYS计划不仅仅是出售论坛账户。
该公司同时表示,如果遇到不道德或违背价值观的事情,或者想举报网络犯罪,用户也可以联系他们进行匿名举报。
改变永远不会太晚 以下是Prodaft的倡议内容:
如果在您人生的任何时候,您在暗网论坛上创建了一个不属于通常社交媒体的帐户,或者您准备放弃过去,那么这条信息就是为您准备的。
想想互联网上那些隐藏得更深的地方,那些东西不那么容易找到或访问。人们会去这些地方搜索常规谷歌搜索不到的信息。我们指的是暗网、地下论坛、隐藏的群聊,或者任何其他能激起你好奇心或让你感到兴奋的空间。也许是在2015年,你曾深入研究过那些风险过高、无法在谷歌上搜索的话题?又或许是在2020年,你曾试图在网上购买那些看起来可疑或危险的东西,比如那些声称可以治愈病毒的物质?你当时做了什么并不重要。现在重要的是,你是否想彻底告别那段生活,永远地远离它。
对于任何曾经参与过这些活动并希望翻开新篇章的人来说,你无需解释你的过去,也无需回答任何问题。重要的是,你已经准备好告别过去。这是为那些想要告别过去的人准备的。无论你是想举报你参与的网络犯罪,还是你是一个信仰和平、反对战争的人,你并不孤单。你可能直接受到冲突的影响,也可能想要支持和平努力。这里是为所有准备好放下过去行为(无论过去是什么)并彻底决裂的人准备的。
不评判,不提问——只需简单、安全的交易,双方都能受益,并帮助您告别旧生活。这是您告别旧生活、开启无忧生活的机会,不再被过去的重担所束缚。
网络犯罪分子通常被视为寄生虫,以各种大小和类型的大量受害者为食。但事实证明,它们本身已成为目标,大量以底部为食的“元寄生虫”涌向暗网市场,寻找自己的目标。
这种现象有一个很好的副作用,就是向研究人员暴露了丰富的威胁情报,包括网络犯罪分子的联系和位置细节。
在2022年欧洲黑帽会议(BlackHat Europe 2022)的舞台上,Sophos高级威胁研究员Matt Wixey在题为“骗子骗骗子,黑客骗黑客”的会议中,讨论了元寄生虫生态系统。根据他与研究员安吉拉·冈恩(Angela Gunn)进行的研究,地下经济充斥着各种各样的欺诈者,他们每年成功地从网络犯罪伙伴那里榨取数百万美元。
这对搭档研究了三个暗网论坛(讲俄语的Exploit论坛和XSS论坛,以及讲英语的Breach论坛)的12个月的数据,并发现了数以千计的成功骗局。
“这是相当丰富的收获,”Wixey说。“在12个月的时间里,骗子从这些论坛的用户那里骗走了大约250万美元。每次骗局的金额低至2美元,最高可达六位数。”
策略各不相同,但最常见也是最粗暴的策略之一是被称为“拔腿就跑”的策略。这指的是两种“跑路”变体之一:买家收到货物(漏洞、敏感数据、有效凭证、信用卡号码等)但不付款;或者,卖家收到货款后却从未兑现承诺。“逃跑”部分是指骗子从市场上消失并拒绝回答任何询问,可以认为这是暗网版本的”吃霸王餐“。
还有很多骗子兜售假货——例如不存在的加密货币账户、没有构建任何恶意的宏构建器、虚假数据,或者已经公开的数据库,或者以前被泄露的数据库。
Wixey解释说,其中一些可以发挥创意。
“我们发现了一项声称能够将.EXE文件绑定到PDF的服务,这样当受害者单击PDF时,它会在后台加载,.EXE会静默运行,”他说。“诈骗者实际上只是将带有PDF图标的文件发回给他们,该文件实际上不是PDF,也不包含.EXE。他们希望买家并不知道他们要的是什么或者如何检查它。”
同样常见的骗局是,卖家提供的合法商品与宣传的质量不尽相同——例如信用卡数据声称30%有效,而实际上只有10%的卡有效。或者数据库是真实的,但被宣传为“独家”,而卖家实际上是将其转卖给多个购买者。
他补充说,在某些情况下,欺诈者会以更多的方式串联起来,进行长期诈骗。根据Wixey的说法,网站往往是排他性的,这会激发他们可以发挥作用的“一定程度的内在信任”。
“一个人会与目标建立融洽关系,并主动提出提供服务;然后他们会说,他们实际上认识可以更好地完成这项工作的其他人,他是这个问题的专家,”Wixey解释说。“他们通常会将他们指向一个由第二个人工作和运营的虚假论坛,该论坛需要某种存款或注册费。受害者支付注册费,然后两个骗子就都消失了。”
论坛如何反击 Wixey指出,这项活动对暗网论坛的使用产生了不利影响——作为“对犯罪市场的有效征税,使它对其他人来说更昂贵、更危险”。因此,具有讽刺意味的是,许多市场正在实施安全措施,以帮助遏制欺诈浪潮。
在实施保障措施时,论坛面临多项挑战:其一,无法求助于执法或监管机构;其二,这是一种半匿名的文化,因此很难追踪罪魁祸首。因此,已经实施的反欺诈控制往往侧重于跟踪活动和发出警告。
例如,一些网站提供的插件会检查URL以确保它链接到经过验证的网络犯罪论坛,而不是通过虚假“加入费”欺骗用户的虚假网站。其他人可能会运行已确认的诈骗工具和用户名的“黑名单”。大多数都有专门的仲裁程序,用户可以在其中提交欺诈报告。
Wixey说:“如果你在论坛上被另一个用户骗了,你可以去其中一个仲裁室,开始一个新的话题,并提供一些信息。”这可能包括涉嫌诈骗者的用户名和联系方式、购买证明或钱包转移详情,以及尽可能多的诈骗细节——包括屏幕截图和聊天记录。
“版主审查报告,他们要求提供更多必要的信息,然后他们将标记被指控的人,并给他们12至72小时的时间来回应,具体取决于论坛,”Wixey说。“被告可能会做出赔偿,但这种情况非常罕见。更常见的情况是,骗子会对报告提出异议,并声称这是由于对销售条款的误解造成的。”
有些人就是不回应,在这种情况下,他们要么被暂时禁止,要么被永久禁止。
论坛用户的另一个安全选项是使用担保人——一种作为托管帐户的站点验证资源。待交付的钱一直存放在那里,直到商品或服务被确认为完成为止。然而,担保人本身经常被欺诈者冒充。
威胁情报宝库 虽然这项研究提供了对暗网世界中一个有趣的分支的内部运作的看法,但Wixey还指出,特别是仲裁过程为研究人员提供了威胁情报的绝佳来源。
“当涉嫌诈骗时,论坛要求提供证据,包括屏幕截图和聊天记录之类的东西——而受害者通常很乐意提供帮助,”他解释道。“他们中的少数人会编辑或限制证据,因此只有版主才能看到,但大多数人看不到。他们会发布未经编辑的屏幕截图和聊天记录,其中通常包含加密货币地址、交易ID、电子邮件地址的宝库、IP地址、受害者姓名、源代码和其他信息。这与OpSec通常相当不错的大多数其他犯罪市场领域形成鲜明对比。”
一些诈骗报告还包括个人桌面的完整屏幕截图,包括日期、时间、天气、语言和应用程序——提供位置信息的面包屑。
换句话说,正常的预防措施已经过时了。Sophos对三个论坛上最近的250份诈骗报告进行的分析发现,其中近40%包含某种屏幕截图;只有8%的人限制访问证据或提出私下提交证据。
“一般来说,诈骗报告对于技术情报和战略情报都是有用的,”Wixey总结道。
他补充说:“这里最大的收获是,威胁行为者似乎无法免受欺骗、社会工程或欺诈的影响。”“事实上,他们似乎和其他人一样容易受到攻击。这很有趣,因为这些正是他们用来对付其他用户的技术类型。”
VPN网络和暗网将通过一项措辞含糊的法律予以禁止:“使用暗网的人通常是坏人。这种简单的见解也应该反映在我们的法律制度中。“在这种笨拙的陈词滥调和对法律的可疑解释下,信息自由将被限制。但事实上,暗网是受到法律的间接保护。
“这意味着所有的用户也可能受到惩罚”。 “例如,美因茨约翰内斯古腾堡大学公法和信息法教授马蒂亚斯-贝克尔(Matthias Bäcker)博士在一份声明中认为,该法律的制定方式通常是任何使内容能够在暗网上传播的行为都将受到惩罚,无论背后的意图是合法还是非法。这意味着所有使用Tor浏览器和VPN连接来获得合法访问互联网的用户,都将受到谴责,哪怕在那里他们不会被谷歌和其他网络服务跟踪。”
VPN和暗网:“不会被谷歌和其他网络服务持续跟踪” 整个法律草案都基于一个大胆的论点:只有犯罪活动才能在暗网中进行。事实上,那里也可以找到很多正常的信息门户。几乎所有的主要媒体也都提供了一个专门针对暗网的网站。背景:尽管有审查措施,这些网站可以在世界任何地方访问。正是由于这个原因,对暗网的禁令有很不好的味道。因为专制政权特别喜欢诉诸暗网禁令。在广播中收听所谓的“敌人电台”可能是经典之作。
在暗网上找到你自己的信用卡 “Owl威胁情报公司全天候搜索DeepWeb和暗网,以查找与您的个人数据有关的任何异常信息,例如电子邮件地址、信用卡号码等。通过这种方式,可以及早发现潜在的数据泄露与滥用。在紧急情况下,你可以在Owl公司的支持下立即采取适当的防御措施。”
暗网威胁情报:“在早期阶段发现数据滥用” Owl等威胁情报公司也可以访问暗网。这主要用于防止数据滥用。虽然“现金”被认为是当今犯罪活动的驱动力,但大量的欺诈行为往往是通过电子方式进行的。假的信用卡、被黑的银行账户、假的支付网站等等。相比之下,用现金进行的犯罪交易几乎沦为无足轻重的附属品。然而,暗网本身在骗局中并不起主要作用;在这种情况下,它更多地用于转售捕获的“数据商品”。
暗网:声誉是合法的 当然,暗网上有各种各样的交易平台——可与合法门户网站ebay相媲美——几乎所有东西都提供了人类思维——有时甚至超出人类大脑——可以想象的东西。但只有贸易——即销售和购买——才会受到惩罚。观看是(仍然)合法的。事实上,公民有受保障的权利,可以不受阻碍地从可自由获取的来源获得信息。在这种情况下,暗网并不比通常的互联网复杂多少。联邦宪法法院:“每个人都有权利……不受阻碍地从普遍可用的来源获取信息。“
“每个人都有权利……不受阻碍地从普遍可得的来源获得信息” >>联邦宪法法院<<
“在宪法秩序中,信息自由与见解自由和新闻自由处于同等地位。它不仅仅是言论和传播自由权的一个组成部分。诚然,这项权利包括对接受他人意见的保护;但是,仅出于言论自由的考虑,才向发言者提供保护。在这方面,接受者只是扮演被动的角色。相比之下,信息自由恰恰是知情权。另一方面,这种自由权是在表达意见之前形成意见的先决条件。因为只有充分的信息来源提供的综合信息,才能使个人和社区自由形成和表达意见。”
“在宪法秩序中,信息自由与言论自由和新闻自由处于同等地位” 因此,VPN和暗网禁令将直接限制宪法赋予的信息自由权。特别是暗网是一个很好的信息来源。犯罪不会因为禁止进入暗网而消失。总的来说,暗网是否能被关闭是相当值得怀疑的。在不同的国家有无数的服务器被用于这一目的,而德国政府甚至不想承认所有的服务器。关闭几个德国的服务器绝对不会危及暗网。实际上也无法阻止安装必要的软件——如作为访问先决条件的Tor浏览器。