针对MOVEit开展黑客攻击窃取的数百万条记录在暗网上发布 一名昵称为“Nam3L3ss”运作的威胁行为者在BreachForums黑客网站上发布了至少25个CSV数据集,其中包含来自领先公司的数百万条记录——这些数据可能是在去年针对MOVEit漏洞开展的网络攻击中被窃取的。
针对MOVEit的黑客攻击是2023年最大的一次入侵事件,是由黑客利用Progress Software的MOVEit传输软件中的零日漏洞造成的。Clop勒索软件团伙声称对该事件负责,攻击了1000多个企业。
以色列网络安全公司HudsonRock在11月11日的一篇博客文章中表示,被盗数据包括25家主要企业的员工名录,其中包括亚马逊、大都会人寿、康德纳健康、汇丰银行、富达投资和美国银行。
HudsonRock公司的研究人员表示,这些目录包含详细的员工信息,包括姓名、电子邮件地址、电话号码、成本中心代码,在某些情况下还包括整个组织结构。
研究人员写道:“这些数据可能成为网络犯罪分子进行大规模网络钓鱼、身份盗窃甚至社会工程攻击的金矿。”
亚马逊在此次事件中受到的负面报道最多,因为据报道有280万条亚马逊记录被泄露。接下来最大的两个受影响者是大都会人寿保险公司(MetLife,585,130条记录被泄露)和Cardinal Health(407,437条记录被泄露)。亚马逊也陷入了困境,因为它公开证实,它经历了与报道的数据泄露有关的“安全事件”。
亚马逊公司发言人亚当·蒙哥马利(Adam Montgomery)强调,亚马逊和亚马逊网络服务系统仍然安全,而且这家大型科技公司从未经历过安全事故。蒙哥马利分享了以下声明:
“值得注意的是,亚马逊是HudsonRock报告中提到的众多公司之一。我们收到了有关我们的一家物业管理供应商发生安全事件的通知[与数据泄露报告有关],该事件影响了包括亚马逊在内的多家客户。涉及的亚马逊信息只有员工的工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。受影响的供应商仅收到员工联系信息。他们无权访问敏感的员工信息,例如社会安全号码、政府身份证明或财务信息。我们已确认供应商已修复导致此事件的安全漏洞。”
MOVEit事件凸显供应链漏洞与暗网监控的重要性 Spektion首席执行官乔·席尔瓦(Joe Silva)表示,这一最新消息再次证明,第三方软件仍然是企业面临的最大且最难管理的网络安全风险之一,大型技术先进的企业也不例外。席尔瓦表示,当任何公司对第三方软件风险和漏洞做出反应时,这些风险和漏洞已经在被积极利用,而这些风险和漏洞才刚刚被公开披露。同时,“暗网下/AWX“认为,暗网监控也显得尤为重要。
“现在是时候采用新方法来处理我们的软件供应链了,”席尔瓦说。“首席信息安全官及其团队不应该落后并仅仅对CVE做出反应,而应该专注于对第三方软件采取主动的方法,通过左移和利用数据来快速、准确且可操作地评估软件在被利用之前的风险。”
不仅仅是MOVEit——仅今年一年,我们就在其他托管文件传输解决方案中发现了新的CVE,包括SolarWinds SERV-U和CRUSHFTP,它们可能导致与去年的MoveIT事件一样严重的数据盗窃,Ionix现场首席技术官霍夫曼(Billy Hoffman)指出。
霍夫曼表示,这些产品的挑战在于,它们通常不为安全团队所注意。它们通常由财务、人力资源或采购等后端部门使用,用于与合作伙伴交换数据或共享合规文件等不起眼的工作。
“正因为如此,安全团队通常不知道谁在使用这些工具、这些工具是如何配置的,或者这些工具是否向公众公开,”霍夫曼说。“因此,当漏洞被披露时,组织可能会反应迟缓——或者更糟的是,他们认为自己没有受到影响,而实际上他们受到了影响。公司可以通过不断从外部分析攻击面来避免这些盲点,从而全面了解暴露的内容和需要保护的内容。”
Lineaje高级副总裁兼首席信息安全官Nick Mistry表示,这一最新事件提醒我们,有效的第三方风险管理不应是“可有可无”,而应是“必须有”。Mistry表示,制定一个针对第三方威胁的强大事件响应计划至关重要,这样组织才能及时识别和降低由供应商合作关系导致的任何风险。
“企业必须制定全面的程序来主动检测和应对风险,例如频繁的安全审计、评估和持续的第三方软件监控,”米斯特里说。“在当今的威胁形势下,生态系统的安全性远远超出了您自己的系统和基础设施的范围。现在是时候重新评估您的第三方安全实践了,以免下一个漏洞成为代价高昂的违规行为和声誉噩梦。”
Bitsight收购暗网安全公司Cybersixgill BitSight Technologies, Inc. 是一家网络安全评级公司,负责分析公司、政府机构和教育机构。该公司总部位于波士顿后湾区。Bitsight的最新估值为24亿美元,评级公司穆迪于2021年入股该公司并成为其最大股东。
总部位于波士顿的Bitsight专注于网络风险管理。该公司与企业合作,评估其风险状况,特别是其被入侵的可能性,这不仅包括评估公司在其网络和其他数字资产中的攻击面,还包括公司用于防御这些资产的产品。
Bitsight是全球网络风险管理的领导者,致力于改变公司管理自身和第三方风险敞口、绩效和风险的方式。BitSight提供的安全评级被银行、保险公司和其他组织使用。
随着更多数据在暗网出售,暗网监控重要性凸显,网络安全领域正在发生更多整合。目前,Bitsight公司宣布,该公司将以1.15亿美元收购致力于暗网监控的网络安全公司Cybersixgill。
Cybersixgill将为Bitsight提供另一层次的可见性:这家规模较小的初创公司专门分析暗网活动,以主动寻找数据泄露以及潜在漏洞和新技术的迹象。它关注的集体领域称为“网络威胁情报”,并表示它涵盖仅限邀请的消息组、代码存储库、粘贴网站和清晰的网络平台。
两家公司在工作中都大量依赖人工智能,听起来他们在关注的重点上会相互补充。
Cybersixgill成立于2014年,拥有80名员工,筹集了5600万美元的外部资金,最近一次是在2022年3月完成的3500万美元B轮融资,由MoreProvident和PensionFunds以及REVVenturePartners领投。该公司自2019年5月以来一直由SharonWagner领导,她之前曾创立并领导Cloudyn,后来以5000万至7000万美元的价格将其出售给微软。
这家规模较小的公司总部位于以色列,最初以Sixgill的名称成立。根据PitchBook的数据,该公司从CrowdStrike、OurCrowd和TerraVenture等投资者那里筹集了近5600万美元。但PitchBook还指出,这家初创公司上次估值是在2022年,略高于1.62亿美元。过去几年,网络安全一直是融资市场的热门领域,但水涨船高并不能让所有纸船都升值。
这笔交易将使Cybersixgill投入更多资金来开发其正在开发的技术。Bitsight首席执行官史蒂夫哈维在一份声明中表示:“我们致力于投资Cybersixgill行业领先的产品,并将继续推动创新,为客户带来更大的价值。”该公司正在引进技术和团队。
Cybersixgill带来了什么 首席风险官德里克·瓦达拉 (Derek Vadala) 表示,Bitsight 计划将总部位于特拉维夫的 Cybersixgill 的自动化威胁情报平台与这家总部位于波士顿的公司现有的网络风险暴露数据相结合,以提供更全面、更全面的解决方案。将暴露数据与威胁情报洞察相结合将增强 Bitsight 提供全面、综合的网络风险管理的能力。
Vadala表示,通过将Bitsight的暴露数据与Cybersixgill的威胁情报数据合并,公司将使组织能够以统一的方式了解其漏洞和威胁。整合互补的数据集将使客户能够从漏洞洞察和实时威胁检测中受益。
“这里主要的协调点实际上是Bitsight为提供评级而构建的底层数据和底层数据引擎,”Vadala说道。“如果你想想我们为建立评级所做的事情,你会发现这实际上是为了了解与互联网相关的漏洞和风险,这些漏洞和风险归因于不同的企业和组织。”
Vadala表示,将Bitsight的暴露数据与Cybersixgill的情报相结合,还将帮助企业监控暗网论坛并将网络安全工具整合到统一平台中,从而减少CISO的供应商扩张。将Cybersixgill的数据集与现有的Bitsight平台相结合,将提高公司检测威胁和将漏洞映射到企业资产的能力。
“能够识别各种网站和其他国外论坛上流行的威胁,客户确实受益匪浅,”Vadala说道。“数据集成的一部分就是将这些信息带入资产和公司。”
Cybersixgill先进的自动化和人工智能驱动的威胁情报平台因其无需人工干预即可扩展数据收集的能力而脱颖而出,Vadala表示这对于监控Bitsight跟踪的数百万个组织至关重要。Vadala表示,这使得数据收集更具可扩展性和效率。
“Cybersixgill的自动化能力使他们能够大规模收集数据,而无需人工干预,”Vadala说道。“对我们来说,这非常关键,因为我们每天都在监控数百万家公司和组织,我们需要一个能够大规模收集数据的平台。”
暗网,通常被称为互联网的阴暗面,拥有着蓬勃发展的网络犯罪经济。这部分互联网不被传统搜索引擎索引收录,是几乎所有非法活动的平台,从贩卖被盗数据、信用卡信息到出售企业机密。由于网络犯罪分子利用漏洞通过暗网泄露机密信息,企业面临巨大风险。
以下是一些反映暗网威胁的统计数据:
在2024年,数据泄露的平均成本达到了488万美元,创历史新高,这说明了暗网活动所产生的网络威胁的经济影响。 几乎88%的网络安全漏洞是由于人为错误造成的,这可能导致数据在暗网上出售。即使已实施暗网监控,企业也应该致力于安全培训和提高风险防范意识。 识别安全漏洞需要大约194天,而从识别到控制一个漏洞的平均时间是292天。这种长时间的暴露使得暗网监控和其他主动监控解决方案成为绝对的必要。 在美国,被发现并起诉的网络犯罪实体的概率估计为0.05%,这显示了执法部门对抗暗网犯罪活动的巨大挑战。 在本文中,”暗网下/AWX“将深入探讨暗网监控相关的内容,在2025年投资于暗网监控服务是否值得考虑,以及暗网监控能否在防御暗网威胁方面发挥重要作用。我们将分析暗网监控工具的工作原理,寻找的功能,以及为什么企业需要将其作为网络安全战略的一部分。
什么是暗网监控? 暗网监控是网络安全实践中跟踪、扫描和爬取暗网以寻找敏感或被盗数据的做法。这为企业提供了一种防护能力,可以识别用户的机密信息,如密码、账户详情或个人记录,是否遭到泄露。暗网监控工具扫描隐藏的暗网论坛、暗网市场和加密聊天室,从而在企业面临日益严重的网络安全威胁时保持领先。
暗网监控意味着持续跟踪有关数据泄露的任何线索来源,一旦发现某些凭证被泄露,就会立即标记出来。这种主动的方法可以帮助企业及时采取行动,最大限度地减少数据访问或利用造成的损失。随着时间的推移,暗网监控解决方案已从一种选择变成了处理大量敏感数据的企业的必需品。
暗网监控的必要性 对于企业来说,现在暗网监控的需求从未如此高。暗网几乎已成为网络犯罪的市场,企业需要对来自互联网这一隐藏部分的任何威胁保持警惕。以下是暗网监控对企业至关重要的几个原因:
日益猖獗的网络犯罪和暗网活动:网络犯罪的增长已使暗网成为犯罪分子交易被盗数据、恶意软件和黑客工具的重要平台。企业应关注来自互联网黑暗面的威胁,因为他们的敏感信息正处于被暴露的危险中。除非进行主动监控,否则企业可能错过关键的警告信号,这些信号可能导致昂贵的数据泄露风险。 保护敏感数据:客户凭证、知识产权和财务信息已成为暗网论坛上经常买卖的商品。如果此类关键信息泄露,可能会导致无法弥补的声誉损失和潜在的业务损失。暗网监控因此帮助公司追踪敏感信息的销售情况,从而立即采取补救措施,保护公司资产和客户信任。 将声誉和财务后果降至最低:数据泄露可能对公司的声誉产生关键影响,并导致严重的财务后果,包括监管罚款和业务损失。暗网监控有助于尽早识别被泄露的数据,为企业提供采取措施减少此类风险的机会,防止事态失控。通过这种方式的预防,可以避免一次成功的网络攻击可能造成的长期损害。 监管合规和法律义务:随着数据隐私法规的日益严格,如GDPR、CCPA、HIPAA和PCI DSS,每个企业都应采取措施确保客户对其数据安全有信心。暗网监控在企业的合规行动中发挥着重要作用。这意味着要实时洞察任何可能的数据泄露。这不仅能降低监管罚款的风险,还能确保企业免受不断演变的数据保护相关法律的影响。 主动威胁检测和响应:暗网监控工具主动检测和响应威胁,从而让企业通过早期发现获得优势。这样,企业就可以详细调查即将发生的入侵事件,并采取相应行动,如立即更改密码、通知受影响各方、加强系统防御等。这种积极主动的策略降低了因网络攻击而影响业务运营的几率。 暗网监控的特点 大多数暗网监控系统内置了各种关键功能来帮助保持企业数据的安全。每个功能在发现潜在风险和提供早期预警方面都扮演着重要作用,这些预警可能会帮助避免网络攻击。以下是暗网监控的一些常用功能:
实时警报:可能暗网监控最有价值的功能之一是实时警报。这意味着,一旦发现被泄露的数据,企业将立即收到警报,采取必要行动保护敏感信息。这样,通过在最初阶段对威胁做出反应,可以避免巨大的经济损失,而不会损害企业声誉。 全面的暗网覆盖:暗网监控系统有效地扫描大量来源,包括暗网市场、暗网论坛和隐藏的聊天室。通过这种方式,暗网上的任何地方都不会被此类工具放过。这个功能让企业安心,因为它们的敏感信息在暗网服务的所有平台上都被监控。 AI驱动的检测:人工智能驱动的暗网监控服务使检测变得更快更有效,AI算法能轻易识别出可疑模式。这样,企业就能在威胁失控之前得到预警。值得注意的是,实时识别暴露数据的速度大大加快,从而降低了这些风险。 可定制的监控功能:暗网监控功能可以针对每个企业定制设计,以满足特定的需求。从监控员工凭证到知识产权,再到支付信息,都存在可定制的选项,以满足有针对性的相关保护需求。这种灵活性使得暗网监控系统能够很好地适应各行各业。 详细的风险评估报告:暗网监控服务通常提供详细的报告,对任何检测到的威胁所造成的风险程度进行评估。这些报告对于理解潜在泄露的全面情况至关重要,且有助于规划合适的响应措施。企业可以放心,资源将被分配到最需要的地方,以便尽早处理高风险问题。 724小时持续监控:网络威胁可以随时发生,因此暗网监控服务必须做到724小时让企业受到保护。这种持续监控确保了公司在常规业务时间之外的安全。这些全天候服务非常重要,因为它们能尽可能避免停机并保持系统正常运行。 为什么使用暗网监控? 暗网监控为企业带来多种优势,特别是在网络犯罪持续增长的今天。对于企业来说,投资于这些暗网监控系统有时是区分早期发现和昂贵后果的界线。以下是支持企业应该使用暗网监控的一些因素:
保护敏感数据:监控暗网有助于保护包括客户信息、财务记录和知识产权在内的敏感数据。通过积极主动的暗网扫描,企业可以快速识别其数据是否存在外泄风险,并采取必要的措施加以缓解。这种保护非常宝贵,可以防止网络犯罪分子进一步破坏数据。 早期威胁检测:可以说,建立暗网监控服务的最关键原因与早期威胁检测有关。换句话说,企业能够越快发现数据被泄露,就能越快开始对泄露的响应和隔离。早期检测可以控制损害,并限制攻击的范围。 维持客户信任:数据泄露可以严重损害公司的声誉。通过暗网监控,企业在发现泄露的瞬间就能立即采取行动,从而保持客户的信任。同样,通过展示自己在网络安全方面的保障,企业可以让客户放心其数据的安全性。 确保监管合规:像许多行业,如医疗保健或金融,在很大程度上依赖于严格的数据保护政策,如GDPR或CCPA。任何敏感数据的泄露都可能导致大额罚款和严重的处罚。暗网监控将帮助企业通过确保他们对潜在泄露的及时掌握并能及时行动来维持应有的合规性。 限制经济损失:一次成功的网络攻击可能会导致基于恢复成本、法律费用和收入损失的巨大经济损失。暗网监控工具可以及早发现风险,帮助防止此类攻击,从而使企业在经济损失升级之前就能减轻损失。 操作连续性:当一个企业受到攻击时,它会导致数据泄露使业务运营完全停止。这时,暗网监控服务就能尽快识别威胁,以防止更长时间的停机,从而保证业务连续性。 暗网监控如何工作? 暗网监控是一个多步骤过程,帮助企业保护其数据,并领先于网络犯罪分子一步。在发现和应对暗网威胁的过程中,每个步骤都有其合理的重要性。因此,让我们详细讨论一下这些步骤:
数据爬取:暗网监控系统的爬虫以自动化的方式扫描暗网论坛、市场和聊天室寻找敏感信息。他们寻找特定的数据,如登录凭证、个人数据或财务记录。全面的搜索过程确保没有遗漏。通过早期发现泄露,企业可以保护自己免受潜在的泄露。 数据匹配:在爬虫收集到数据后,会将这些数据与企业的资产进行匹配。例如,暗网监控系统会将检测到的数据与员工凭证、客户记录或专有信息进行匹配。通过这种方式,企业可以确定是否有属于自己企业的信息受到损害,从而做出适当的响应。 威胁情报收集:暗网监控通过从暗网内部的来源收集情报来了解网络犯罪的行为和策略。这样,如果企业监控网络威胁的演变方式,它们就能意识到新出现的风险,以更好地防备任何未来的攻击。这些积极主动的步骤加强了整体的网络安全防御。 实时通知:一旦发现被泄露的数据,该企业会收到实时通知,以便可以立即采取行动。这个功能允许企业立即采取行动,最大限度地减少数据泄露可能造成的损害。快速通知可以防止进一步的风险,并将暴露数据的损害降至最低。 持续监视:暗网监控工具对暗网进行持续搜索以发现威胁。因此,这将使企业始终受到保护。这是防止数据暴露长时间未被发现的重要环节。在此过程中,持续的检查增强了整体的安全态势并减少了漏洞的数量。 暗网上常见的威胁 暗网是一个非法活动的地下黑市,网络犯罪分子在此出售被盗数据、恶意软件和黑客工具。这些威胁对企业和个人构成严重风险。了解这些常见威胁有助于巩固网络安全措施。
被盗凭证:被盗凭证仍然是暗网上最大的威胁之一,包括用户名和密码的被盗凭证在暗网里出售。这些凭证被用于对企业网络进行未经授权的访问,然后被用于数据泄露和金融欺诈。 信用卡信息:包括信用卡号在内的金融数据在暗网中交易非常活跃。此外,黑客还利用这些信息进行欺诈交易,给公司或相关人员造成巨大损失。 企业间谍活动:在暗网上,敏感的企业数据可能被泄露,这可能包括商业机密甚至是您的知识产权。这对企业构成严重风险,因为竞争对手或恶意行为者有机会利用这些数据为自己谋利。 网络钓鱼套件:暗网是一个销售网络钓鱼套件(工具包)的市场,这些套件被用来发起各种针对员工或企业自身的电子邮件以及基于网站的攻击。大多数时候,网络钓鱼攻击会导致数据泄露,没有积极的监控会非常难以察觉。 勒索软件/恶意软件:暗网市场经常出售恶意软件和勒索软件,攻击者用这些来入侵企业系统。此类攻击会造成巨大的破坏和经济损失,进一步影响大多数企业的声誉。 暗网监控揭示的风险类型 暗网监控帮助企业意识到它们可能永远不会知道的风险。暗网监控实践可以帮助企业发现几类风险,而这些风险可能是企业在为时已晚时才意识到的。以下是暗网监控发现的一些风险:
身份盗窃:网络犯罪分子通常在暗网上窃取并出售个人信息。这可能导致身份盗窃,可能会对个人和公司产生长久的影响。它也为欺诈活动和随之而来的许多法律问题打开了大门。 勒索软件攻击:曾经有案例,凭证在暗网上出现,这往往导致了勒索软件攻击。黑客利用这些数据,在未经授权的情况下访问系统并锁定关键文件,直到支付赎金才能解密。 欺诈交易:诈骗者可以利用被盗的金融信息,如信用卡号或银行账户号码进行欺诈交易。这可能给企业带来严重的损失,对于预算有限的中小企业来说处理起来尤其困难。 声誉损害:如果敏感的公司数据流入暗网,涉及的业务声誉肯定会受到打击。客户不会继续信任无法保护其数据的企业,这将导致收入骤减,最重要的是,从长远来看会影响品牌形象。 监管罚款:未能保护敏感信息将导致监管罚款,特别是在那些有数据保护相关法律的行业,如GDPR和CCPA。暗网监控可以帮助企业及早发现风险,使其符合法规要求。 业务中断:通过暗网发起的网络攻击可能对业务运作造成关键性中断。大多数时候,这种中断的业务恢复需要很多时间。因此,监控这些风险确保了企业能在受到网络威胁干扰时继续运营。 实施暗网监控的好处 将暗网监控纳入企业网络安全策略带来的好处包括从早期发现数据泄露,到使公司能迅速对任何潜在威胁采取行动,并随后减少泄露的影响。以下是实施暗网监控的一些关键好处:
早期威胁检测:暗网监控系统使企业能够主动检测威胁,在威胁演变成全面攻击之前,安全团队就能迅速采取行动。这种可能性为他们节省了时间和金钱。 实时警报:通过实时警报,一旦注意到潜在威胁,企业的应急响应就会更快。这使得对数据泄露或其他网络威胁的响应更迅速,从而最大限度地减少业务停机时间。 成本效益:通过早期识别和预防网络威胁,暗网监控可使企业免于承担数据泄露的高昂成本,其中还包括法律费用、监管罚款和恢复成本。 提高合规性:正如我们在之前的部分了解到的,许多行业都有各种法规要求企业保护数据不受暗网侵害。通过实时识别受损数据,监控可确保企业遵守法规要求。 增强数据安全:暗网监控服务为对抗网络犯罪分子的活动提供了额外一层对敏感数据的安全保障。企业可以放心,因为他们知道自己的信息受到持续监控,以防出现泄露迹象。 增加客户信任:应用暗网监控的企业获得客户更多的信任。这些服务强化了数据安全和保护,这反过来建立了客户信任,这是数字时代企业蓬勃发展的关键要素。 暗网威胁的真实案例 几个真实的数据泄露事件显示了暗网监控在维护企业安全方面的重要性。被泄露的客户详情、被盗的财务数据以及员工凭证通常在这些暗网论坛上进行交易。以下是一些实际案例,展示了暗网监控对于网络安全策略的重要性。
丝绸之路(销售毒品的在线暗网市场):丝绸之路是最臭名昭著的暗网市场之一,通过它可以购买从非法毒品到伪造文件,甚至包括雇佣杀手服务的任何东西。由罗斯·乌布利希(Ross Ulbricht)创建,该网站于2011年启动,并在2013年10月被FBI关闭。该网站因揭露暗网犯罪交易方法的广泛程度以及执法机构无法干预此类网站而声名鹊起。 Ashley Madison数据泄露:在2015年,Ashley Madison遭受了由一个自称The Impact Team的团体的大规模数据泄露。他们公开发布了关于用户的敏感信息,使数百万人面临敲诈勒索和公开羞辱的危险。这是网络平台上的数据所面临的最严重的隐私威胁之一。 勒索软件即服务(RaaS):现在已经出现了勒索软件即服务市场。在暗网上,越来越多的地方允许购买勒索软件工具或租用黑客进行攻击。像WannaCry和NotPetya的事件已经对全球的企业造成了数百万美元的经济损失,这表明认真对待网络安全对企业来说刻不容缓。 被盗数据的市场:在这些暗网市场中交易的被盗个人信息包括信用卡详情和登录凭证,警示了身份盗窃和金融诈骗的风险。例如,2017年的Equifax 数据泄露事件使敏感数据暴露于黑客,影响了大约1.
从新出售的恶意软件、数据泄露、勒索软件服务和网络钓鱼工具包可以看出——全球网络犯罪世界的最显眼的元素都隐藏在暗网上。
为了领先攻击者一步,我们发现执法部门、政府和公司都在监控暗网,在浩瀚的数据海洋中寻找违法犯罪的信号。
但是,要在暗网上找到任何有价值的东西,说起来容易做起来难。暗网监控服务并不新鲜,但现在出现了一个新玩家——人工智能(AI)。
“暗网下/AWX”在本文中将揭露,人工智能暗网监控的工作原理、挑战和局限性,以及企业如何部署这些解决方案,将安全性提升到新的水平。
到2030年,暗网监控的市场规模将达到17亿美元 全球暗网威胁情报市场正在蓬勃发展。Data Intelligence的一份报告估计,到2030年,该行业的产值将达到17亿美元。
在数字威胁日益频繁的推动下,ZeroFox、CrowdStrike、Digital Shadows、Flare、IBMX-force等公司和其他领先企业正在投资创新和人工智能,以构建下一代暗网监控技术。
随着暗网市场的发展,威胁暴露管理公司Flare在AI领域占据领先地位,最近推出了新的人工智能暗网解决方案——Threat Flow。该公司声称,Threat Flow首个透明的生成式人工智能应用,能及时提供相关的、可信的暗网威胁行为者活动报告。
Flare高级产品营销经理Mark MacDonald表示: “没有一种语言模型能够有效地完成所有任务。使用人工智能为客户创造价值,就需要针对不同的高度特定任务采用不同的工具。”
“我们使用自然语言处理(NLP)来追踪暗网论坛和暗网市场上的威胁行为者,使用大型语言模型(LLM)来识别可能使特定犯罪团伙受益的高价值帖子,并使用传统的机器学习来对特定事件进行评分。”
最好的方法是将每种“类型”的人工智能应用于它最适合的特定任务。
Threat Flow对最具价值的暗网论坛中的每个暗网论坛主题进行分类。然后,语言模型对威胁进行总结,并允许在各种暗网论坛对话中轻松切换,使客户能够无缝识别高价值的暗网情报。
不排除犯罪分子使用人工智能暗网技术的可能性 Flare的MacDonald称,网络犯罪分子不太可能通过对其技术进行逆向工程而获得任何好处。不过,MacDonald也承认,确实认识到威胁行为者利用人工智能来更好地检测“卧底”执法人员并禁止他们使用该平台的可能性。
HackerOne解决方案架构师Dane Sherrets描述了暗网中人工智能的恶意使用:
“网络犯罪分子可以将生成式人工智能融入类似于网络爬虫和相关技术的工具中,这简化了犯罪分子查找凭证转储和其他信息的方式,从而帮助他们策划或实施网络攻击。”
Sherrets解释说,暗网上的人工智能之所以能发挥作用,是因为有大量数据需要分析。手动处理这些海量数据非常困难,因为这些数据的结构与网络的其他部分不同。
“人工智能可以大规模解决这两个问题。”
为不同行业提供检测和响应服务的网络安全咨询公司Secure Cyber的首席执行官兼创始人Shawn Waldman则表示:
“人工智能通过速度和效率来加强暗网监控。与传统方法相比,人工智能可以维持更长的生命周期,并承担更大的监控负荷。
“此外,人工智能不仅可以进行更深入的挖掘,还能将来自各种搜索的数据关联起来,从而有可能发出更高质量的警报。”
然而,Shawn警告称,人工智能能够学习的东西是有限的。
“虽然人工智能很强大,但它也有其局限性,因此拥有人类的专业知识至关重要。”
Shawn表示,人类的参与对于所谓的“基本真相”尤为重要,这种真相是读取和解释暗网上的每个新数据或需要上下文理解的数据的能力。
HackerOne的Sherrets对此表示赞同,并表示人类的专业知识仍然至关重要,因为自动化可以发现已经披露的漏洞以及其他情报威胁信号。
Sherrets说:“但安全研究人员群体在发现新的漏洞方面发挥着巨大作用。”
Flare的MacDonald也强调了人类专业知识在人工智能驱动的暗网监控解决方案中发挥的重要作用。
“人工智能作为人类的助推器,帮助他们更快地识别相关信息,更快地找到上下文,并优先处理正确的事件。”
“最终,人类必须决定如何处理这些信息,并将其与与他们的业务相关的其他更广泛的背景以及他们正在消费的其他信息结合起来。”
传统暗网监控 Vs. 人工智能驱动 传统的暗网监控包括分析师使用关键字在庞大的暗网数据库中识别相关帖子。但借助人工智能,分析师可以将搜索范围缩小到符合客户兴趣的特定事件或元素,MacDonald解释道。
此外,人工智能还可以发现其他技术无法发现的内容。
例如,Threat Flow在暗网数据集合中添加了一层语言模型,以实现该公司所谓的“上下文语义搜索”。得益于这一增强功能,AI可以识别出传统关键字搜索无法找到的高度相关的结果。
“想象一下,一个威胁行为者讲俄语,提到一家大公司,但却拼写错误了公司名称,”MacDonald说,“有两个因素会让关键字搜索失效,即语言和拼写”。
Flare的AI暗网监控不会搜索未编入索引的洋葱地址,但MacDonald表示它没有必要这样做。
“是的,暗网由许多未编入索引的网站组成……但犯罪分子和威胁行为者的活动通常集中在相对较少的已知论坛和平台下,这些论坛和平台受到与合法互联网平台相同的网络效应的影响。”
“暗网并非如此黑暗” 纽约理工学院(NYIT)创业与技术创新中心和网络防御教育主任Michael Nizich博士表示,暗网就是数据,就像我们数字世界中的其他一切事物一样。
“现代人工智能解决方案可以从暗网监控中快速识别实时发生的异常,而这些异常需要人类甚至当前的台式计算机花费数年时间才能处理完毕。”
Nizich解释说,准确识别异常情况(例如,攻击者使用已知的MAC地址从陌生位置多次尝试登录)可以自动触发操作,从而阻止攻击者的行为,并确保个人信息安全。
“暗网并不像看上去那么黑暗。”
Nizich将暗网比作一个游乐园,没有人能看到或知道它就在自己的城市里。然而,这个公园仍然有接入点。“一旦进入公园,许多常见的景点都会照常运行,”Nizich 说,“暗网监控使用这些接入点来监控(公园内)网络中的流量和数据包内容,而将AI应用于这些过程只会使监控更加有效。”
总结 几十年来,犯罪团伙和不法分子一直享受着暗网匿名、模糊的特性所带来的特权。尽管人工智能暗网技术仍处于起步阶段,其能力还很有限,但该领域的进步可能会动摇网络犯罪世界的根基。
传统的暗网监控发挥了至关重要的作用。现在,借助人工智能暗网监控,企业可以识别模式并分析大量数据,同时生成定制的威胁信号报告。
与暗网网络犯罪的战斗仍在继续……
自去年以来,谷歌一直在监控Google One用户被盗账户信息的暗网泄露情况,如果您是美国的Google One用户,则可以使用“暗网报告”功能扫描暗网中的个人信息,例如电子邮件、地址、社会保险号、电话号码和出生日期。如果Google在扫描过程中发现任何此类信息,您将收到通知,其中包含有关下一步操作的建议。这类似于Google为所有人提供的功能,如果您的个人信息出现在搜索结果中,则会提醒您。
自该服务推出以来,谷歌一直将暗网监控功能限制在每月支付2至20美元(具体取决于套餐)的客户范围内。但从本月晚些时候开始,“暗网报告”功能将于7月下旬从Google One中移除,并将整合到Google应用的“关于您的结果”部分。任何拥有谷歌账户的人都可以查看谷歌的暗网报告。
目前,只有拥有Google One会员资格或订阅的用户才能查看暗网报告。官方文档指出,在设置个人资料后,Google会监控暗网,以便您了解自己的个人数据是否在数据泄露和泄露中被发现。在撰写本文时,这些报告已在46个国家/地区提供。
今天打开Google One应用程序时,弹出的横幅确认该功能“从7月底开始”将不再在应用程序中可用。
7月底,Google One将不再提供暗网报告。如需继续使用暗网报告,请参阅帮助文章了解详情。
所有拥有消费者Google帐户的用户都可以查看暗网报告。暗网报告与“关于您的结果”集成在一起,形成一个综合解决方案,帮助用户保护自己的在线状态。
关于您的结果功能可帮助您查明您的个人联系信息(例如您的家庭住址、电话号码或电子邮件地址)是否显示在搜索结果中。
根据Google关于此次转变的支持页面,这项免费服务将成为Google“关于您的结果”页面的一部分。在这里,您目前可以检查Google已编入索引的信息,其中包含您的家庭住址、电话号码或电子邮件地址等个人联系信息,并请求将其删除,以免出现在搜索结果中。Google表示,此举将创建一个“综合解决方案,帮助用户保护他们的在线状态”。
当然,互联网上已经有几项在线服务(包括付费和免费服务,如Have I Been Pwned?)会扫描暗网中的数据并向用户发送警报。例如ProtonMail也在监控暗网,向用户发出有关数据泄露的警告。但对于Google用户来说,将该公司的两项监控功能合并到一个地方以查看潜在的个人信息泄露,是有较大意义的。
这确实意味着,去年春季为1亿多付费Google One用户(每月1.99美元起)添加的两项福利都已被取消。上个月,谷歌宣布另一项新增服务——Google One的VPN服务将于今年晚些时候关闭。
这些不太可能是人们一开始就注册Google One的原因,但如果看到这些好处消失而价格却没有相应下降,可能会令人沮丧。
注册Google One的主要原因是为您的Google帐户获得更多存储空间,包括照片和Gmail存储空间。虽然还有其他好处——包括高级Google Meet视频通话功能、最多可与5人共享存储空间的能力以及Google日历中增强的预约安排——但没有一个是那么引人注目的。谷歌的Gemini驱动的AI功能可能是您会考虑付费的东西,但这些功能需要更高级别的Google One,起价为每月19.99美元。
暗网不仅仅是一个匿名的领域,它还是一个提供大量非法商品的繁华中心。威胁行为者以各种方式利用暗网,例如:
犯罪论坛和市场:这些平台促进了各种类型的非法交易。威胁广告经常被犯罪分子用来在暗网上宣传他们的非法服务,从零售套现服务到信用卡业务,再到银行内部人员协助盗窃。 安全通信渠道:威胁行为者利用暗网进行安全通信。封闭且经过精心策划的社区、加密聊天群组和私人论坛使他们能够交换信息、协调攻击并共享工具而不被发现。 僵尸网络租赁和购买:在暗网上,威胁行为者可以租赁或购买不同规模和功能的僵尸网络的访问权限,从而使他们能够实施大规模网络攻击、窃取敏感数据或不受惩罚地从事欺诈活动。 还有很多其他的。 激动人心的欧洲足球锦标赛(又名2024年欧洲杯,UEFA)吸引了德国2000多万球迷和全球的数百万球迷。然而,这种兴奋也吸引了威胁行为者的注意,他们正在利用人们对该赛事的期待与关注来实现他们的邪恶目标。
“暗网下/AWX”注意到,Cyberint的一份新报告指出,针对该体育赛事的网络威胁激增。Cyberint的暗网监测显示,威胁行为者讨论的内容涉及欧洲杯、销售账户搜索、门票优惠、免费/廉价流媒体服务以及出售被泄露的客户凭据。
在初步洞察的基础上,Cyberint对2024年欧洲杯网络安全形势的详细研究突出表明,威胁行为者可利用的机会显著增加。随着欧洲最大的足球国家齐聚一堂,庆祝体育盛典,另一方面也揭示了日益严重的威胁形势,数百万人的热情和广泛的数字足迹为网络攻击创造了完美的风暴。
据报道,威胁行为者正在使用泄露的欧洲杯官网的客户凭证进行欺诈活动,例如接管账户和购买门票。他们还可以窃取敏感的个人信息、冒充账户所有者,获得资金或支付卡的访问权限。
自2024年以来,Cyberint已检测到超过15000多个泄露的欧洲杯网站的客户凭证,并且在暗网市场上发现超过2000个欧洲杯网站客户凭证正在出售。这些凭证通常通过“凭证收集恶意软件”窃取的,该恶意软件会感染受害者的机器,并将用户输入的内容(键盘记录)发送给C&C服务背后的控制者。
由于欧洲杯已将其锦标赛的流媒体转播版权出售给媒体网络,这为网络犯罪分子提供了一个创建非法内容网站的机会,可以提供免费直播和实时比分,以吸引没有有线电视或流媒体订阅的球迷。点击这些恶意网站上的链接可能会导致数据泄露或病毒感染。这些网站可能会导致受害者的计算机和网络被控制,并要求受害者支付赎金,或者控制系统以进行欺诈或间谍活动。访问这些网站还可能发生一种恶意软件攻击——路过式下载(Drive-by download)。
冒充欧洲杯官方应用程序的假APK应用 研究人员指出,冒充欧洲杯官方应用程序的移动应用程序在第三方应用商店中随处可见,通常包含恶意代码。这些商店监管较少,允许任何人上传未经授权的应用程序而不受监管。
威胁行为者上传未经授权的应用程序,通常包含恶意代码,使用户面临恶意软件和数据泄露的风险。这些应用程序使用欧洲杯品牌的名称和徽标,以欧洲杯的球迷、客户和志愿者为目标。
此外,2024年欧洲杯的球迷还越来越依赖第三方售票网站,这也为骗子提供了可乘之机。一些卖家利用球迷的热情,兜售假票或不存在的门票,通过社交媒体联系或创建精心设计的钓鱼网站来模仿合法的门票销售商。
另一种欺诈手段是门票抽奖,为粉丝提供获得免费门票的机会。威胁者可利用提供的详细信息锁定受害者进行诈骗,或将信息出售给出价最高者。
研究人员发现,在这种情况下,欧洲杯的网站可能是薄弱环节。
“一个值得注意的方面是欧洲杯官方网站uefa.com的错误配置。此类漏洞带来了切实的风险,可能成为威胁行为者发动攻击的门户,”研究人员在报告中解释道。
Cyberint建议谨慎对待未经请求的通信,验证网站的真实性,并使用安全的付款方式。为避免门票欺诈,请仅从授权来源购买门票,使用PayPal等安全支付平台,优先使用信用卡付款,避免直接银行转账或汇款,以防止2024年欧洲杯被“机会主义威胁行为者”破坏。
瑞士软件开发商Proton宣布为其端到端加密电子邮件服务ProtonMail推出一项新的安全功能,帮助Proton名声大噪。这项新的安全功能称为“暗网监控”,将扫描暗网以查找可能涉及使用ProtonMail地址登录的帐户的任何数据泄露痕迹。
Proton公司在一篇博客文章中说,这项新功能将扫描通常不被公众访问的互联网部分。它将对暗网的这些部分进行扫描,以发现当前19个ProtonMail域名中是否有任何电子邮件地址涉及数据泄露。
如果我们的系统发现您在第三方网站的任何账户的详细信息被泄露,就会向您发出警报。您将收到有关泄露的全面信息,包括哪些数据被泄露以及受影响的服务(如果有)。此外,我们还会向您解释如何保护您的数字身份,并最大限度地降低未来泄露的风险。
要受益于这一新的安全功能,您只需要一个高级ProtonMail帐户。ProtonMail帐户是免费使用的,用户可以不需要花钱使用其电子邮件服务。Proton帐户还允许您使用该公司的其他加密服务。但只有付费帐户才会获得暗网监控支持。
Proton公司确实表示,虽然它不会与第三方共享用户数据,但如果它从第三方网站上发现与Proton邮件地址相关联的个人信息泄露,就会检查第三方的报告。带有暗网监控功能的Proton付费计划价格为每月4.99美元起。
ProtonMail的强大加密功能意味着,只要您使用强密码,您的所有电子邮件都不会受到窥探。但保护ProtonMail收件箱的内容是一回事,保护您使用ProtonMail地址登录的被黑帐户又是另一回事。这就是这个新的安全功能的用武之地。
大多数在线帐户需要电子邮件地址和密码。无论您使用哪个电子邮件提供商作为在线凭据,也无论您的密码有多强,黑客攻击都有可能发生。这是用户无法控制的。
一旦黑客获得了您经常使用的在线服务的凭据,他们就会希望您在其他服务上爆破您的密码。他们会在多个网站上尝试相同的组合,希望获得多个访问权限,他们还会在暗网上出售您的凭据。
互联网公司可能会披露数据泄露事件,但这些披露并不总是及时的。您可能需要一段时间才能发现您的帐户已被泄露,如果您重复使用密码,那就更糟糕了。
对于普通用户而言,暗网监控保护等服务可能会派上用场。如果在暗网上发现涉及ProtonMail帐户的凭据,该服务现在将向ProtonMail用户发出警报。Proton将告诉用户哪些个人信息已被泄露、泄露的来源,并建议采取行动。
根据Proton的博客,包含泄露密码的警报将显示为红色,这意味着用户应该更改与该邮件相关的密码;橙色警报表示没有密码泄露,但包含个人信息的邮箱地址数据仍可能泄露。
您越早采取行动,就能更好地保护自己免受潜在的身份盗窃企图和其他攻击。Proton将建议更改所有受影响服务的密码,启用多因素身份验证,并监控任何相关财务账户是否存在未经授权的交易。
该公司援引Statista的数据称,美国的数据泄露事件数量大幅增加,从2022年的1802起增加到2023年的3205起,影响超过3.53亿人。
一旦数据到达暗网,Proton就能识别数据泄露,这是您永远不想利用的功能。但很高兴看到该功能在ProtonMail上推出。这可能是您放弃当前电子邮件提供商而选择ProtonMail的另一个原因。
如果Proton发现有人在暗网上出售您的凭证,它会在ProtonMail的网页版和桌面版ProtonMail Security Center中向您发送警报。将来,将提供电子邮件和应用内通知。
Proton计划在未来不断为其暗网监控功能添加新功能。这些功能将包括向安卓和iPhone智能手机发送通知、监控自定义电子邮件域以及检查恢复电子邮件地址和外部电子邮件地址。
目前多个厂商提供了暗网监控服务,除了Proton以外,Google还向Google One订阅者提供暗网报告。此外,DuckDuckGo还有一款名为Privacy Pro的新产品,可帮助您从暗网上发现个人信息,并打击身份欺诈。
近年来,网络攻击的频率显着上升。攻击者越来越多地不仅出于经济利益,而且出于政治动机。各类公司正成为各种形式网络犯罪的受害者,例如网络钓鱼攻击和数据泄露。
为了防范这些威胁,专家建议使用专门的数字风险保护(DRP)服务。这些服务不仅有助于识别互联网隐藏角落中的潜在危险,而且在保护个人声誉方面发挥着至关重要的作用。
然而,问题仍然存在:独立监控暗网是否可行,或者是否建议寻求专业帮助?
暗网监控,数字风险防护 互联网的底层,也称为“暗网”,已经发展成为一个多功能平台,可以保证网络犯罪分子完全匿名。暗网的范围不断扩大,包括恶意行为者使用的各种工具。即使是看似合法的网站也变成了黑客的工具,包括即时通讯工具、torrents和论坛。
尤其是Telegram,它已成为非法活动的热点,提供了私人频道和聊天等理想条件。此外,近年来进入网络犯罪世界的门槛大大降低,这导致网络攻击规模不断升级。
网络情报和监控的交叉至关重要,因为它不仅仅是侦查犯罪。它需要了解事件背后的动机,并为未来制定预防措施。对暗网的监控在很大程度上依赖于分析人员的手动工作,涉及诸如渗透人员进入暗网黑客论坛或参与招募活动等策略。
数字风险保护平台在保护公司免受犯罪分子利用客户品牌实施的非法活动方面发挥着至关重要的作用。这些非法行为可能包括滥用个人数据收集、品牌欺诈、针对高层管理人员的攻击以及在暗网上暴露敏感信息。
暗网监控如何帮助降低风险 数字风险保护平台利用人工智能的力量,专门用于识别和减轻数字威胁。安全专家普遍认为,数字风险保护不仅有助于降低网络安全风险,还能解决财务、声誉和法律问题。
有趣的是,不使用暗网监控工具的公司可能仍未意识到机密内部信息的潜在泄漏可能性。此外,并非每个人都了解与此类泄漏相关的内在风险。
以下是DRP团队如何减轻网络攻击后果的实际示例。某DRP团队设法从一个暗网地下论坛招募了一名管理员,他愿意以优惠的报酬进行合作。在该论坛中,犯罪分子发布了有关一家大公司内部服务的泄密信息。通过招募过程,专家能够迅速删除这些敏感数据。该公告的可见时间不超过30分钟,防止其他参与者进行任何未经授权的复制。
当今最流行的窃取信息的工具是各种信息窃取程序和键盘记录程序。这些恶意程序旨在从受感染的计算机和手机收集机密数据,例如工作登录凭据、银行卡详细信息等。专家指出,有几个重要项目值得识别,包括出售基础设施访问权、泄露的登录凭证和密码、文件、源代码、公司重要基础设施的照片以及网络犯罪分子的计划。
尽管专家强调了一系列令人震惊的威胁,并且DRP提供了暗网监控的众多好处,但仍有相当一部分公司不知道它的存在。许多组织可能听说过DRP,但尚未将其纳入其安全措施中。
自行开展暗网监控的可行性和挑战 对泄露信息进行切实有效的监控是一项具有挑战性的任务。主要困难之一是如何选择搜索此类信息的来源。这些来源是高度动态的,有些需要专门的技术解决方案,而另一些则根本无法公开访问。发现相关链接并编制有关网络活动的全面统计数据增加了复杂性。
此外,一个重要的考虑因素是确定公司内部谁应负责监控。应该是由内部团队负责,还是外包给第三方专家?
公司内部的信息资产通常是分散的,需要与各个不同部门协作进行监控。因此,防范数字风险的责任可能超出了主要负责应对事件的信息安全专家。让市场营销、人力资源和律师等其他部门参与进来,可以为这项工作提供宝贵的支持。
确定开展网络跟踪和监控的基本渠道 在开展监控活动时,重要的是不要只关注预定义的渠道列表。为了有效识别漏洞,不仅需要监控暗网,还需要监控可能出现公司关键信息的深网、社交网络和论坛。然而,不同来源的重复数据会使搜索过程变得复杂。人工处理如此大量的数据是不切实际的。
这些数据源的动态性质凸显了开发数字风险保护系统并使之自动化的重要性。。如果没有这样的系统,监控的有效性就会显着降低。此外,网络上的信息经常被删除或审核。如果公司不能及时发现和应对泄漏的数据,人工检索几乎是不可能的。
DRP解决方案的技术方面涉及一个独特的功能:设计用于搜索公开来源信息的算法不一定总能在更私密和非公开的资源中有效发挥作用。必须审查和修改搜索和选择算法,以确保信息检索的准确性和全面性。
DRP客户的结果和成果 通过实施DRP,公司可以有效地满足其各种需求,从监控和警报到分析和事件响应。实施DRP后,企业将获得全面的覆盖,并由高度专业的专家处理整个过程。他们不仅监控和检测潜在威胁,还立即采取行动减轻威胁。
例如,如果客户遇到网络钓鱼攻击,DRP专家可能会进行干预,以阻止欺诈性资源的操作在机密数据泄露的情况下,专家会负责与相关销售商或分销商沟通。此外,他们还协助创建必要的文件,以便向执法机构报告事件,并与客户的信息安全部门合作,协调事件响应工作。
为了确定DRP服务的内部客户,建议评估信息安全部门以及公共关系(PR)、人力资源(HR)和营销部门的具体需求。不同的部门可能负责处理各种类型的威胁。例如,一个团队可能专门打击网络钓鱼企图,而另一个团队则专注于解决内部泄密和内部威胁。对于客户来说,关键是要在组织内部确定具备处理特定数据所需的专业知识的人员。例如,市场营销部门可以负责监控与媒体相关的风险。
DRP趋势和预测 在过去的一两年里,人们对数字风险保护解决方案的兴趣显着增加,导致其客户群显着扩大。五年前,DRP被认为是一种利基产品,主要由国家机构和大型企业使用。然而,现在的情况已经发生了变化,各部门和各行业的客户情况已经多样化。
如今,DRP已覆盖小型企业、零售机构、电子商务平台和各种服务。预计这一趋势未来仍将持续。对于许多行业和组织来说,DRP正在从可自由选择的选项转变为必需的选项。
结论 并非所有公司都完全了解与数据泄漏相关的风险。有些公司甚至对过去的黑客事件一无所知。然而,越来越多的DRP工具的当前和潜在用户热衷于保护自己的品牌和声誉,以及应对经济风险。
网络攻击的普遍性预计将继续增长,从而推动对数字风险保护解决方案的需求增加。虽然公司可以自行监控暗网以识别潜在威胁,但这种方法并不有效或经济上合理。被盗信息的来源不断变化,监控封闭资源需要额外的财务投资和专业技能。
提供数字风险保护服务的专家可以提供全面的服务,满足客户的所有需求,包括监控、警报、分析和事件响应。这些专业人员拥有驾驭错综复杂的网络威胁所需的专业知识。他们积极介绍和招募影子网络中的个人,以迅速收集和删除危险信息。此外,它们在自动化DRP系统并使其适应不断变化的数据源方面发挥着关键作用。
通过利用DRP专家的专业知识,企业可以有效降低数字风险,确保采取积极有效的方法来保护其资产和声誉。这种方法比自我监控更可取,可以让企业专注于其核心业务,同时将数字风险保护的复杂方面留给专业人士。
2023年4月5日,美国联邦调查局(FBI)和荷兰国家警察局宣布捣毁最大的暗网市场之一Genesis Market。这次行动被称为“饼干怪兽行动”(Operation Cookie Monster),共逮捕了119人,并缴获超过 100 万美元的加密货币。您可以在此处阅读联邦调查局的搜查令,了解此案的具体细节。鉴于这些事件,可以讨论一下暗网威胁情报(OSINT)如何协助暗网调查。
暗网的匿名性吸引了各种各样的用户,从举报人和政治活动家到网络犯罪分子和恐怖分子。有多种技术可用于尝试识别这些网站和角色背后的个人。
技术漏洞 虽然不被视为OSINT,但在某些情况下,用于托管暗网网站的技术中存在技术漏洞。这些漏洞可能存在于软件本身,或者是由于配置错误造成的,但它们有时会泄露站点的真实IP地址。通常,这些软件漏洞需要使用渗透测试工具和技术(例如BurpSuite)来造成包含站点真实IP地址的错误消息。诸如此类的漏洞并不常见,而且很少被利用。
也有暗网网站运营者使用SSL证书或SSH密钥的情况,这些证书或密钥可以使用Shodan、Censys、Zoomeye或Fofa等资产扫描探测服务发现其明网上的真实IP地址。
加密货币追踪 暗网上的交易通常涉及加密货币以支付非法商品和服务。这使得借助区块链分析工具来识别个人身份成为可能。
根据各国”防止洗钱“的法律,任何人都无法以“匿名”名义去银行开设账户。这些要求通常称为反洗钱(AML)和了解您的客户(KYC),并要求客户提供政府颁发的身份证明以证明身份。许多国家对加密货币交易所都有类似的要求。
多年来,一些公司提供了区块链分析工具,试图将加密货币地址与特定交易所(例如Coinbase或Binance)联系起来。一旦加密货币地址与特定交易所存在联系,具有法律权限的执法和/或金融调查人员就可以要求交易所向他们提供该账户所有者的身份识别信息。
一直以来,对于个人来说,这些区块链分析服务购买成本高昂,但是,区块链分析提供商Breadcrumbs最近推出了一个分析平台,提供更实惠的价格和免费计划。
带回到互联网上 如何将需要在暗网上获取的联系方式带回互联网?想象一下,如果您经营着一辆餐车,而城市规定您每月不能在同一地点出现超过两次,您只能被迫不断更换地点。您将如何尝试建立品牌忠诚度,并让潜在客户知道您每天所在的位置?
您可能会尝试让客户在社交媒体上与您联系或访问您的网站等,以便他们知道在哪里可以找到您。不管你相信与否,暗网上也存在着非常相似的动态。
暗网提供的是匿名性,缺乏的是稳定性和安全性。Silk Road、AlphaBay、Hansa、WallStreet以及现在的Genesis等主要暗网市场均已被执法部门取缔。拒绝服务攻击已成为Tor网络上的一个主要问题,最近流行的暗网论坛“Dread”前期也因此类攻击而关闭数月就证明了这一点。您能想象在那种环境下尝试经营暗网生意并获得稳定的收入吗?
卖家尝试实现稳定性和弹性的一种方法是在多个市场上销售,并提供直接联系他们的方法。这种提供稳定性的尝试非常有意义,并且对于OSINT从业者来说非常有用,因为它提供了联系方法或“选择器”,因为可以使用它们在互联网上找到他们,并充分利用所有的知识、经验和资源。如从暗网网站获取电子邮件地址,并将其与使用Google的互联网上的网站关联起来。
一旦我们将个人与互联网上的资源联系起来,我们就有多种选择来对其进行去匿名化。最常用的一些选项包括:
历史WHOIS查询 WHOIS记录等域名注册信息可以提供有关网站所有者或运营者的有用信息。在某些情况下,犯罪分子可能会利用不准确或不完整的隐私保护措施,无意中暴露自己的身份或位置。即使某个网站的WHOIS信息目前是匿名的,但在过去的某个时间点往往不是匿名的。
论坛上的OSINT 暗网上的个人经常参加论坛进行交流、回答问题等,他们可能会无意中透露出可以帮助OSINT从业者更多地了解其真实身份的信息。他们使用的语言和独特的说法非常有用。
泄露数据 即使电子邮件与匿名服务绑定,用户也可能在其他网站上使用过它,包括论坛和社交媒体。如果在法律和道德上允许您能够在调查中使用泄露数据,您也许能够将在线角色与真实姓名、实际地址等联系起来。
事实证明对一些调查人员有帮助的一个泄露示例是2021/2022年来自多家VPN提供商(包括SuperVPN、GeckoVPN和ChatVPN)的10GB数据泄露。这些数据包含所用设备的全名、账单详细信息和潜在的唯一标识符,包括移动设备的国际移动用户身份(IMSI)。
未来的发展和趋势 未来的暗网市场打击将使用本文讨论的方法,并且毫无疑问将采用新兴技术。最明显的发展是在OSINT中使用人工智能(AI)和机器学习(ML)。例如,人工智能可以帮助构建网络爬取工具,可以快速收集和分析来自多个来源的数据,而机器学习算法可以经过训练来识别数据中的模式和关系。这些进步有可能为调查人员节省大量时间和资源,使他们能够专注于调查的其他方面。
谷歌(Google)公司今天宣布,美国的所有Gmail用户将很快能够使用其专业提供的暗网报告安全功能,来发现他们的电子邮件地址是否在暗网上被泄露。
这家搜索巨头还在谷歌I/O年度开发者大会上表示,该功能将在未来几周内推出,以后该功能的使用权限也将扩展到选定的国际市场。
谷歌的暗网报告工具并不是一项新功能 由于您可能注册的服务和平台的数据泄露,电子邮件地址等个人信息可能会进入暗网。然后,这些信息可以被网络犯罪分子以各种方式出售和使用,包括身份盗用、银行欺诈和网络钓鱼诈骗。
谷歌的暗网报告工具并不是一项新功能,但它以前只适用于订阅该公司扩展的云存储平台Google One的美国用户。谷歌还表示,该工具最终将可用于“选定的国际市场”,但没有具体说明哪些国家可以获得访问权限。
一旦启用该功能,它将允许Gmail用户在暗网上扫描他们的电子邮件地址,并根据谷歌提供的指导采取行动保护他们的数据。
例如,他们会被建议开启两步验证,以保护他们的谷歌账户免遭劫持企图。
“以前仅适用于美国的Google One订阅者,我们将在接下来的几周内扩大对暗网报告的访问,因此在美国拥有Gmail帐户的任何人都可以运行扫描,以查看您的Gmail地址是否出现在暗网上,并获得关于采取什么行动来保护自己的指导。”谷歌核心服务高级副总裁Jen Fitzpatrick说。
谷歌还将定期通知Gmail用户,检查他们的电子邮件是否与最终出现在地下网络犯罪论坛上的任何数据泄露有关。
暗网报告于2023年3月开始向美国所有Google One计划的成员推出,提供一种简单的方式,当他们的个人信息在暗网上被发现时,可以得到通知。
“Google One的暗网报告可帮助您在暗网上扫描您的个人信息——例如您的姓名、地址、电子邮件、电话号码和社会安全号码——并在找到时通知您。”Google One产品管理总监Esteban Kozak在3月首次宣布该功能时说。
如何启用暗网监控功能 GoogleOne订阅者可以通过在进入Google One并单击“暗网报告”下的“设置>开始监控”后,使用他们的信息创建监控配置文件来启用它。
谷歌公司表示,所有添加到配置文件的个人信息都可以从监控配置文件中删除,或者通过在暗网报告设置中删除配置文件来进行删除。
Kozak补充说,Google One用户还会看到结果,并“可能在这些数据泄露中找到的其他相关信息”。
“如果在暗网上找到任何匹配的信息,我们会通知您,并提供有关如何保护该信息的指导。”Kozak说。
谷歌将推出一系列新功能保护用户安全 在今天的谷歌I/O大会上,谷歌还宣布升级了安全浏览服务,以在Chrome和Android上捕获和阻止25%以上的网络钓鱼尝试。
该公司还在Google Drive中添加了新的垃圾邮件视图,旨在帮助用户控制他们想要指定为垃圾邮件的内容。Drive会自动将明显的违规者分类到垃圾邮件视图中,以防止用户意外访问任何“不需要或滥用的内容”,谷歌声称新视图使分离和审查文件变得更加容易。
删除Google地图中的搜索历史记录也变得更加容易。您已经可以通过帐户设置中的“Web & App Activity”选项卡清除您的搜索历史记录,但现在,谷歌添加了直接在地图中单击即可删除最近搜索的功能。
谷歌还向其他平台和组织提供安全服务 Google的内容安全API被Facebook和Yubo等公司用来识别和删除网络中的儿童性虐待材料(CSAM),今天正在扩展到包括视频内容。
这是以前由CSAI Match管理的内容,CSAI Match是YouTube用于检测在线视频中的CSAM的专有技术。谷歌没有提及API的新视频功能是否正在取代CSAI Match或这两种服务有何不同。
互联网让人们更容易买卖各种各样、种类繁多的野生动植物——从兰花、仙人掌和真菌到数以千计的鸟类、哺乳动物、爬行动物、两栖动物和鱼类,以及昆虫、珊瑚和其他无脊椎动物。
但是,除了合法的野生动物贸易之外,还有一些在黑暗的买卖勾当——野生动物的非法贸易。濒临灭绝的鸟类,在野外所剩无几。被射杀的犀牛,牛角锯掉了。非法野生动物贸易是一种祸害,它给大自然带来了更大的压力,加剧了生物多样性的丧失,并威胁到全球的生物安全、可持续发展和人类福祉。
在澳大利亚阿德莱德大学生态与进化生物学系最新的研究中,学者们探索了暗网——一个特意在搜索引擎视线之外设置的互联网秘密部分。大多数人将暗网与非法毒品市场联系在一起。学者们想看看那里出售的是什么类型的野生动物。
结果?在51个暗网市场中,学者们发现有153个生物物种在被出售。这些几乎完全是具有精神作用的植物和真菌,表明它们是众所周知的暗网毒品交易的一部分。只有少数的暗网广告提供脊椎动物,例如臭名昭著的科罗拉多河蟾蜍,它面临着偷猎的危险,因为它的皮肤会分泌精神活性毒素作为防御。
为什么非法野生动物交易商不使用暗网?主要是因为非法交易的动物和动物器官的交易并不需要隐蔽——它在公开的互联网上到处可见。例如,在2019年杀死一名Mullumbimby妇女的仪式中使用的青蛙毒素kambo仍在公开销售。
在暗网上出售的是什么? 2014年至2020年间,学者们在暗网市场上发现了3000多个销售野生动物物种的广告。学者们在这些市场上搜索了与野生动物贸易和物种名称相关的关键词。
出售的是什么?在学者们发现的153种物种中,学者们证实了68种含有精神活性化学物质。
最常交易的物种是南美树含羞草(Mimosa tenuiflora),俗称jurema preta,其树皮含有极强的致幻剂DMT。植物构成了所售物种的大部分,其中许多来自中美洲和南美洲。
学者们还发现了19种被出售的裸盖菇属(Psilocybe)真菌。
许多物种因其所谓的医疗特性而被出售,还有少数物种被出售后用于服装、装饰或宠物。
学者们在暗网上发现的许多动物都有被非法交易的悠久历史,例如活的非洲灰鹦鹉,以及象牙、犀牛角以及老虎和狮子的牙齿和皮毛。
学者们还发现了少量不太常见的野生动物,包括歌利亚甲虫、中国金蝎子和日本海参。
非法野生动物贸易难以制止 在全球范围内,野生动植物贸易受《濒危野生动植物种国际贸易公约》(CITES)的监管。但受监管的市场只是整个市场的一小部分。到目前为止,CITES保护的贸易物种还不到交易量的5%。根据一些估计,活体贸易的物种数量至少是受管制贸易的三倍。
迄今为止,几乎没有有效的抑制措施来阻止贩运者在网上出售非法野生动物。对被定罪的野生动物贩运者的惩罚并不有效,澳大利亚的贩运者即使在被捕后仍继续收获动物。
打击网上贩运野生动物的力度正在加大。最近一项积极的举措是成立终止野生动物网络贩运联盟,这是一个由动物非政府组织与Facebook、阿里巴巴和eBay等网络平台之间的合作组织,旨在根除在线贩运。
虽然打击非法的公开网络贸易是至关重要的,但此处的打击行动更有可能让更多的野生动物出现在暗网上。
人们可以做什么? 澳大利亚和所有其他已签署CITES的国家有责任跟踪基于互联网的野生动物贸易。在最近的CITES会议上,通过了跟踪和报告所有互联网交易(包括暗网交易)的决议,以加强对网上贩运野生动物的监控和执法。
一个绊脚石是网上交易的合法性,这取决于相关国家或地区的法律以及销售是否实际发生等因素。
为了阻止贩卖石首蜥蜴和红尾黑凤头鹦鹉等澳大利亚标志性物种,这里的政府必须监控在网上买卖的本地物种,以及贩运到澳大利亚和通过澳大利亚贩运的物种。
自2019年以来,学者们一直在监测澳大利亚的野生动物贸易,从80多个网站和论坛中提取数据。
像这样的数据集对于监控和打击互联网促成的野生动物犯罪至关重要,因为它继续增长——特别是如果执法部门将贩运者赶到互联网上更难进入的部分,如暗网。