暗网观察

独立研究人员发现了大量用户浏览器Cookie大量泄漏到暗网的情况，在互联网的深层位置发现了超过540亿个Cookie，黑客可以很容易地获取这些Cookie和其中包含的用户隐私信息。

根据分析数据，南非在Cookie泄露方面排名全球第32位，在网上发现的南非用户的cookie中，有30%（即1.76亿）仍处于活动状态，这继续“对该地区的在线隐私和安全构成重大威胁”。

网络安全顾问表示：“许多人没有意识到，如果黑客掌握了您的活动cookie，他们可能不需要知道任何登录名、密码，甚至MFA即可接管您的帐户。”

如今，大多数人在进入新网站时都会遇到Cookie，通常要么接受它们，要么拒绝它们。网站使用它们来记录用户信息，例如浏览行为和搜索历史记录。

“简单来说，一旦用户使用密码和MFA登录，服务器就会给用户一个Cookie。下次同一用户带着此Cookie返回时，服务器会识别该cookie并知道该用户已经登录。”

Cookie在网上浏览过程中已变得司空见惯，但黑客可以利用它们窃取敏感数据。多达12种不同类型的恶意软件被用来窃取这些Cookie。近56%的信息是由流行的信息窃取者和键盘记录程序Redline收集的。

“但是，如果被盗Cookie仍然处于活动状态，则攻击者可能无需知道您的密码或不需要MFA即可登录您的帐户。除了已经提到的会话数据之外，Cookie还可以保存其他敏感信息，例如人名、位置、方向、大小等。”

就Cookie的来源而言。超过25亿来自Google，另有6.92亿来自Youtube。超过5亿来自Microsoft和Bing。在总共540亿个Cookie中，约有17%仍处于活动状态。

“虽然看起来17%并不算多，但重要的是要知道这是一个巨大的个人数据量级——超过90亿个cookie。尽管活跃的Cookie带来了更大的风险，但不活跃的Cookie仍然对用户隐私构成威胁，并且黑客有可能利用存储的信息进行进一步滥用或操纵。”

“来自此类核心帐户的Cookie特别危险，因为它们可能被用来通过密码恢复、公司系统或SSO等方式访问更多登录详细信息。”研究人员说。

南非拥有全球最大的活跃Cookie数量，而巴西拥有在暗网上发现的Cookie总量最多的国家。姓名、电子邮件、城市、密码和地址是Cookie中最常见的个人信息类型。

“如果将所有这些详细信息与年龄、身材、性别或性取向结合起来，您将获得用户的非常私密的信息，从而可以进行有针对性的诈骗或攻击。”

如果您知道如何操作，您可以安全合法地访问暗网。

对于您们中的新手来说，暗网是正常、日常互联网边界之外的虚拟社区（包括您现在正在浏览的网站）。它是谷歌和必应不索引的地方，您需要特殊工具才能进入。

暗网是一个您会发现数据泄漏和非法交易的地方，但也包括了合法的在线活动，用户想要进行这些活动而不引起执法机构或政府的注意。它是互联网的一部分，更少受到监管，更阴暗，有利也有弊。

激起了您的兴趣吗？本文将解释如何进入暗网以及您可以在那里找到什么——当然，Anwang.Li不支持任何违法犯罪行为，所以本文不会告诉您如何做一些违法犯罪的事情。

深网与暗网：有什么区别？

您在互联网上的旅行中经常会看到这些术语，并且对它们的含义有些混淆。本文将从深网开始：这是指一切没有被常规搜索引擎索引的在线内容，因此包括了被锁在付费内容后面的页面、私人数据库、电子邮件、公司内部网络等。

想想您不登录就无法看到的互联网的所有部分，从学术期刊到邮箱账户页面：这就是深网。据一些估计，它占了大约90%的网站，所以本文们谈论的是在线内容的相当大的一部分。

而暗网，本文这里所讨论的，是深网的一个小子集，指的是那些特别想要隐藏起来的网站。这些页面具有额外的用户匿名和数据安全保护措施，您需要特殊软件才能访问它们——您不能像访问深网的其他部分那样通过普通网络浏览器访问它们。

暗网工具和服务

暗网有自己的一套工具和服务，包括网络浏览器和搜索引擎（本文稍后会讲到）。使暗网成为暗网的部分原因是您不能通过普通的网络浏览器访问它。您也不能通过Google搜索在上面查找某些东西。

有一个私密和匿名的互联网空间当然会鼓励某些类型的非法活动：黑客工具、毒品、假护照、色情、枪支等都在暗网上交易。这有点像漫步进入现实生活中最不安全的城市区域，带有各种相关活动。

然而，有很多合法和合理的在线活动需要隐私和匿名。暗网被记者、告密者和政治活动人士所使用，他们需要它提供的保护。任何您需要做的事情，出于崇高或卑劣的原因，在一定程度上都必须离开公开，都可以在暗网上完成。

浏览暗网，需要一个Tor浏览器

要进入暗网，您需要一个专门用于此任务的浏览器，业内最好的是Tor浏览器。Tor浏览器是一个为了额外的安全和隐私而设计的浏览器，可以用于浏览常规的表层网络以及暗网。它阻止追踪器，防止用户指纹识别，加密数据，并重新路由您的浏览，这样没有人能看到您在世界的哪个地方。

Tor工作的关键是所谓的洋葱路由技术。它得名于它在您和网络之间放置几层混淆的方式，就像洋葱的层层皮一样：您的流量在多个节点之间反弹，这意味着它不像常规浏览那样快速，但也意味着没有人能知道您是谁或您在哪里。

Tor浏览器就像暗网的公共门户，甚至还有适用于Android和iOS的移动应用。虽然有其他浏览器可以用来进入暗网（一个快速的网络搜索会显示出几个），但在功能和易用性方面，对于大多数人来说，Tor浏览器是最好的选择。

暗网搜索引擎

打开Tor浏览器，您不会突然看到暗网网站。您不仅需要一个暗网浏览器，还需要一个暗网搜索引擎。这个搜索引擎将带您到您需要的网站，尽管您也可以像标准URL那样直接访问暗网地址，如果您知道的话。

DuckDuckGo是Tor浏览器内置的默认搜索引擎，一旦您在搜索框中打开了Onionize切换按钮，您就能够使用它找到暗网链接。这些通常以“.onion”结尾，而不是像标准网络上的“.com”那样。

其他值得调查的暗网搜索引擎包括Ahmia、Torch、NotEvil和洋葱URL目录——只需输入您正在寻找的关键词。这些网站中的一些可以通过常规网络浏览器找到，但一旦您获取了您想要访问的洋葱链接，您就需要切换到Tor。

暗网网站

暗网上的个别网站看起来与在常规网络上看到的差不多，尽管它们中的许多都略显粗糙。（在这个互联网部分，呈现和精致程度并不那么重要。）点击任何网站链接，它就会显示在屏幕上，并显示在顶部的地址栏上。

在暗网上需要注意的一些网站包括英国广播公司（BBC）和ProPublica调查新闻平台的镜像，这些网站旨在帮助生活在互联网受到严重审查的国家的人们获取信息。如果您需要安全的电子邮件，可以找Proton Mail服务。

由于暗网的关联以及其中进行的一些非法活动，您在这里找不到很多知名网站——暗网的很大一部分是由志愿者维护的网站、维基和论坛。然而，仍然有很多值得探索的内容。

暗网上有什么出售

本文已经提到了您在暗网上会找到的一些东西：这距离eBay还有很长的路要走。您能想到的任何您不应该下载或购买的东西，通常都可以在暗网上找到。

出于明显的原因——毕竟本文不想让您或本文陷入麻烦——当涉及到在暗网上可以找到的东西时，本文不会说得太具体。交易大多通过比特币进行，这符合暗网在保持私密和匿名方面的理念。这并不意味着您应该假设您在那里做的任何事情都无法被追溯到您身上——执法部门已经相当擅长追踪那些认为自己在暗处行事的人。

没有多少好的理由将您的合法购物活动转移到暗网上：由于它的工作方式，它吸引了许多骗子和黑客，如果您发现自己受骗，那么您几乎没有什么保护。

暗网是否违法？

暗网本身并不违法，您不会因为访问它而陷入麻烦——但这是一个很多非法活动都在进行的地方，因为执法机构很难看到那里发生了什么。

您可能经常看到关于涉及暗网的犯罪活动的新闻报道，因为暗网的一些角落发生了什么，它往往会让守法公司和用户望而却步。暗网里的某些网站经常被关闭，作为警方行动的一部分。

考虑到所有这些，当浏览时，您需要谨慎对待，无论是访问的网站还是与其他用户互动。请记住，虽然暗网也有合法用途，但不同国家的言论自由和审查制度各不相同，这也是暗网存在的部分原因。

跟踪黑客地下活动

黑客在暗网上花费了大量时间，在这个互联网部分很容易获取到黑客工具和数据泄漏。然而，要获得上传和下载数据的人却要困难得多。

如果您使用密码管理器，它可能带有一个功能，用于监视暗网上提到的您的电子邮件地址和密码，或者任何其他个人详细信息。这是苹果和谷歌提供的密码管理服务的一部分，因此您不需要自己手动搜索数据泄漏。

正如本文之前所说，最好保持您与暗网的交互最少，除非您绝对信任您正在交易的人。您经常会在商店看到一个标志，上面写着“看，不要触摸”，这也是您在暗网里遨游的时候应该记住的一句好话。

有关暗网的法律问题，很多人会问，暗网本身是合法的吗？实际上，暗网本身并不违法，它只是互联网的一部分，而且在某些情况下，它可能提供了确保隐私和匿名性的合法服务。然而，许多暗网上的活动都是非法的，例如贩卖毒品、盗窃信息、非法交易等。因此，即使访问暗网本身不违法，但在暗网上进行非法活动仍然是违法的，可能会受到严厉的法律制裁。

总的来说，如果您有兴趣探索暗网，您应该时刻牢记法律和安全的重要性。遵循法律是维护社会秩序和个人安全的基础，而在暗网上冒险可能会导致严重后果。因此，始终保持谨慎，不要从事任何非法或危险的活动，并时刻注意保护自己的隐私和安全。

分析师发现，尽管暗网市场远未达到2021年的水平，但自2022年Hydra暗网市场被关闭以来，整个暗网市场的加密货币收入已略有反弹。

尽管规模庞大的Hydra市场将于2022年关闭，但暗网市场继续显示出复苏的迹象，其加密货币收入在2023年出现增长。根据区块链分析公司Chainalysis发布的数据，欺诈商店和暗网市场的收入在2022年增长至近20亿美元。2023年，比2022年增长近25%。

正如Chainalysis指出的那样，Hydra市场关闭后，网络犯罪分子立即填补了这一空白，两个新的暗网市场出现在莫斯科，并在积极推广其服务。

“虽然暗网市场生态系统在2023年显示出复苏的迹象，但鉴于Hydra市场在2022年关闭之前的财务成功，它的收入尚未恢复到之前的水平。”

数据显示，一个新建立的市场在2023年记录了“超过5亿的加密货币流入”，这表明尽管全球执法部门做出了努力，但对洗钱、勒索软件和恶意软件攻击等非法服务的需求仍在不断增长。

然而，这家总部位于纽约的公司指出，尽管取得了这些发展，但还没有其他暗网市场成为提供各种非法产品的主要平台，并表示该生态系统“尚未见证主导者的出现”。

3月中旬，加密混合服务Bitcoin Fog的创始人Roman Sterlingov被联邦法院判有罪，罪名是与暗网非法毒品销售相关的洗钱活动。检方认为，Bitcoin Fog在隐藏超过4亿美元的交易中发挥了至关重要的作用，其中7800万美元与主要暗网市场直接相关。

勒索软件正在快速变化。过去三个月，勒索软件生态系统发生了戏剧性的变化，包括LockBit的勒索软件博客被关闭、BlackCat退出生态系统以及几个较小的勒索软件团体的出现。

首先，我们将介绍勒索软件组织和附属机构如何合作。然后我们将深入探讨联盟竞争（生态系统的关键驱动力）、勒索软件在2024年将如何变化以及接下来可能会发生什么。

勒索软件团体和附属机构：复杂的供应链

随着网络犯罪生态系统的发展，它也变得更加复杂，许多不同的参与者在复杂的供应链中扮演着各自的角色。

有必要解释一下勒索软件生态系统是如何运作的。勒索软件即服务（RaaS）已成为大型勒索软件集团的主导商业模式。

在这种模式下，RaaS团体专注于开发新颖的勒索软件代码并吸引附属机构。勒索软件附属机构与更广泛的组织合作，破坏IT基础设施并分发勒索软件，然后勒索费用本身通常由RaaS提供者进行协商。

这种模型对运营商和附属机构都很有效，并且被LockBit和BlackCat所使用，这两个最大的组织在2023年就造成了多起勒索软件攻击。

让附属机构付出辛勤的努力来执行成功的攻击，可以使该组织能够更快地扩展规模，并且比以往任何时候都能够牵涉到更多的受害者，同时还能够继续在其勒索软件代码上进行创新。

附属机构本身依赖其他供应链来有效地实施攻击。在许多情况下，我们看到附属机构从另一种类型的暗网威胁参与者处获取访问权限-初始访问代理(IAB)。

团伙间的联盟竞争

为了争取最优秀的附属机构是一项困难而复杂的事情。勒索软件即服务团体面临着与合法企业相同的困境，他们需要附属机构来使模型发挥作用，并且必须在价格和质量上竞争以吸引最好的附属机构。

这导致了一个高度竞争的生态系统，其中最大的勒索软件组织试图为潜在的附属机构提供比其他组织更大份额的成功赎金和更少的限制，以赢得最复杂的附属机构。事实上，LockBit甚至从其他威胁参与者那里购买了对企业IT环境的特权访问权限，并将其分发给附属机构，尽管这大大降低了LockBit的潜在回报。

勒索软件生态系统为何发生变化？

过去四个月见证了景观的戏剧性变化。首先，BlackCat的勒索博客在2023年12月被关闭。这导致BlackCat建立了一个新的博客，并宣布他们将提高支付给附属机构的赎金份额至90％，这是一个相当大的增加，很可能反映了他们对保留顶级附属机构的能力不安全的担忧。

随后，LockBit的博客于2024年2月被关闭。值得注意的是，虽然基础设施遭到破坏，但这些组织本身仍然逍遥法外。执法部门完全阻止这些组织活动的能力是有限的，但取缔会对附属生态系统产生重大影响。

成为一个大型组织既有利又有弊。附属机构希望与拥有良好勒索软件代码并且看起来稳定的既定组织合作。由于RaaS组织通常会支付成功赎金，因此与不稳定的组织合作风险很高。

然而，大型团体也成为执法行动的重要目标。通过取缔LockBit和BlackCat，执法部门降低了对这两个组织附属机构的信心。

附属机构信心下降可能是BlackCat退出勒索软件生态系统的原因之一，据称BlackCat拒绝向关联公司支付成功针对美国一家主要医疗保健实体支付2200万美元的赎金。

声誉在网络犯罪中至关重要

勒索软件团体靠声誉运作；在网络犯罪世界中，信任是不存在的，欺诈行为非常普遍。勒索软件组织想要拥有具有深厚技术技能的才华横溢的附属机构，需要随着时间的推移建立并赢得信任，并将这种信任与他们的“品牌”联系起来。

勒索软件组织需要无懈可击的光环才能成功开展业务。对于附属公司来说，删除代表着生存威胁，执法部门可能会获得足够的信息来识别他们的个人身份。

同样，如果该组织的受害者认为执法部门可能会破坏基础设施并提供解密密钥，他们将受到极大的不利影响，从而进一步削弱附属机构与该组织合作的积极性。

事情将走向何方？

勒索软件可能不会很快消失，但我们确实预计生态系统会发生重大变化。摧毁勒索软件基础设施肯定会对受影响的群体造成暂时的破坏，但它不会永久影响由成百上千个附属机构驱动的生态系统。

如果历史是任何指南，我们可能会看到勒索软件生态系统的分裂。2022年，Raid Forums被执法部门关闭，这导致许多新的较小的暗网论坛出现，因为逃离的用户形成了自己的社区。

BlackCat的退出和LockBit的关闭造成的突然冲击可能会在勒索软件生态系统中导致类似的现象，因为附属机构失去了对大型团体的信任，转而选择运营自己的小型组织。

这对企业安全有什么影响？

短期内，随着生态系统转变为新范式，勒索软件的威胁可能会有所减弱。无论生态系统如何变化，相同的蓝队建议都可以帮助组织降低发生高影响事件的风险。我们建议组织：

对窃取者日志和泄露的凭证进行广泛监控：基于身份的攻击是威胁组织用来危害企业IT环境的主要途径之一。确保您的组织对数百个网络犯罪社区进行广泛的暗网监控，在这些社区中出售和共享窃取者日志和泄露的凭据。

修补已知的漏洞：许多勒索软件附属机构通过组织延迟修补的已知漏洞获得初始访问权限。在补丁管理计划中优先考虑面向外部的资产上当前被利用的漏洞。

在所有企业应用程序上使用MFA/2FA：我们建议公司对所有内部SaaS和企业应用程序实施2FA控制。由于SIM交换的风险始终存在，因此身份验证应用程序比短信效果更好。

暗网藏匿着各种罪恶活动，如雇佣谋杀、出售武器和非法毒品、传播儿童色情制品，以及抢劫、绑架、敲诈勒索和破坏基础设施。它代表了互联网最邪恶的角落。然而，即使是这样的犯罪领域，也有一套规范和规则。Check Point软件公司威胁情报小组总监Sergey Shaykevich在CPX维也纳（奥地利）网络安全峰会期间表示：“他们有自己的准则，尽管我们绝不能忘记他们是罪犯。”西班牙网络安全协调部门（公民警卫队）负责人胡安·萨洛姆·克洛泰（Juan Salom Clotet）说：”84%的诈骗都发生在网上。同样是这个暗网，它组织慈善募捐活动、庆祝节日、惩戒不当行为，并拥有自己的‘司法系统’。”

我们每天通过Chrome、Firefox等流行浏览器访问的网络仅占互联网的5%。它只是故意隐藏或不易于访问的深网信息海洋的表面。卡巴斯基安全研究员马克·里韦罗（Marc Rivero）表示：“深网涵盖了常规搜索引擎无法识别的任何内容，例如需要登录的网站和私人资料。另一方面，暗网（深网的一部分）则是利用隐藏网络来保持用户和网站的匿名性。它通常与非法活动有关。”

“深网既有合法的目的，也有可疑的目的，”里韦罗说。“它包括用于共享信息的安全通信平台、未经审查的社交网络和支持团体。它允许访问学术或政府文件等受限制的数据、知识交流的专门论坛以及数字市场、赌博网站和在线游戏平台等娱乐资源。”

Telefónica Tech 的 María Jesús Almanzor 表示，生活在深网最深海底的是一个小型犯罪网络，该网络在全球范围内发动了9000万次网络攻击，造成了105亿欧元（115 亿美元）的损失。如果网络犯罪是一个国家，那么它将成为继美国和中国之后的世界第三大经济体。”Shaykevich使用“隔离计算机和技术预防措施”对这部分网络进行研究，以抵御那里猖獗的恶意软件。

要访问深网和暗网，需要使用Tor、Subgraph、Waterfox和I2P等浏览器。Tor（The Onion Router，洋葱路由器的缩写）的功能是随机连接到一个入口节点，形成一个由加密中间节点组成的回路，进行安全的数据传输。回路内的流量保持匿名，而入口和出口点是最容易受到攻击的。

Avast的Deepan Ghimiray表示：“Tor并不是为犯罪而设计的。”但犯罪分子很快就认识到并利用了它的功能。丝绸之路（Silk Road）是最早用于犯罪目的的例子之一。罗斯·乌尔布里希特（Ross Ulbricht）于2011年创建了这个暗网市场，两年后被联邦调查局关闭。乌尔布里赫特又名“恐怖海盗罗伯茨”，现因洗钱、劫持计算机和共谋贩毒被判终身监禁。

“访问暗网在技术上并不困难——只需下载一个专门的浏览器即可。但这是有风险的。各种恶意软件、诈骗等等都潜伏在那里。要小心，使用安全软件、防火墙和VPN来保护自己的隐私。”Rivero警告说。

通过考试和面试成为罪犯

Shaykevich说，进入暗网的下水道通常需要“黑手党犯罪成员的邀请或接受他们的调查”。里韦罗阐述道：“有些论坛是公开的，允许任何人注册，而另一些论坛则是排他性的，并需要经过严格的筛选。通常采用的方法是由现有成员或管理员发出邀请，依靠社区内部的推荐。有些论坛可能会要求用户填写申请表或接受面试，以评估他们是否适合。还有一些论坛可能会要求用户通过考试或测试帖子展示特定主题的知识，或者由声誉卓著的暗网用户推荐。”

一旦你通过了这些测试，互联网的地下世界与现实社会中其他地方惊人地相似。“他们有自己的聊天室，甚至使用这些隐藏的Telegram频道来雇用服务或炫耀他们所做的事情，将受害者的名字公之于众。”里韦罗说。他还介绍了一个用于解决用户纠纷的仲裁系统，比如如果LockBit勒索团伙未能公平分配绑架赎金后，该团伙将被解散。暗网论坛进行了审判，听取了上诉，并做出了最终判决。“在那之后，他们再想工作真的很难了，因为他们失去了信誉，而信誉在暗网中是关键。”

在地下世界——暗网里，您可以轻松找到属于普通互联网用户的数据（Google One会检查您的帐户是否已被盗用或在暗网上可用）。网页往往很简单，因为不需要营销策略或搜索引擎优化。与常规世界一样，暗网也有用户论坛和聊天应用程序。

Shaykevich还记得康蒂（Conti），这是一个绑架勒索组织，据说在泄密后就解散了。他们曾经“在莫斯科拥有200名员工和实体办公室。我们分析了泄露的聊天内容，从有关新粉刷门的通知，到有关在大楼自助餐厅讨论恶意软件的警告。”

“黑暗世界与现实世界并没有太大不同，”Shaykevich说。“他们举办派对、去度假，甚至为孤儿院筹集资金。他们既是普通人——是的，也是罪犯——但他们有孩子，有些人认为他们是有道德的人。一些勒索软件团伙绝对拒绝攻击医院，也避开前苏联国家。但我们不要忘记——他们仍然是罪犯。”

在这个世界上，成功的抢劫和绑架被用作宣传策略的一部分，对医院等机构的攻击被认为是非常应受谴责的。“黑客就像没有诚信的商人。他们绑架和勒索他人。但最可怕的是他们以医院为目标，因为他们可以杀人。”Check Point公司副总裁Francisco Criado说：“这一切都是为了钱。”

仅仅是暗网的概念就足以让人惊恐万分，但显然有些勇敢的人现在通过从该平台订购神秘盒子来更深入地研究。

如果你问我，”神秘盒子“的出现是有时间和地点限制的。一家面包店出售其形状不对的产品？

但是，一个来自互联网最深处、最黑暗的角落的盒子，那里发生着各种非法和可怕的事情？许多人已经开始收到盒子。

不过，还是有一些好奇的人愿意尝试这些盒子，创作者在YouTube和TikTok上的创作中分享了他们收到的不寻常物品。

创作者”红面具“（Red Mask）将自己的身份隐藏在面具下，自2015年开始“涉足暗网”后，他分享了许多令人毛骨悚然的“开箱”视频。”红面具“定期分享有关他的暗网盒子的视频。

在接受Vice采访时，这位创作者解释说，他第一次接触暗网是通过一位朋友，这位朋友订购了一些用袜子包裹的”货物“。

他说：“暗网的易用性和简单性让我大吃一惊。”

在新冠疫情期间，他开始更多地探索这个平台，之后他开始拍摄他的开箱视频。

在短视频中，”红面具“收到了一切，从一个坏掉的PlayStation和一个装满橡胶鸡的肯德基桶，到一张附有钥匙的纸条，以及看起来像一罐小便的东西。

”红面具“说他收到的“最恐怖的事情”是一封来自他“亲生母亲”的信。

“我收到过的最恐怖的东西是一封信，写信的人自称是我真正的生母。信中居然有我的一些细节，而这些细节不是任何人都知道的。”红面具告诉 Vice。

“他们不想联系我，但告诉我他们仍在关注我，”他补充道，并声称这封信是送到他的真实家庭住址的。

”HindiDarkestFacts“是一个YouTuber——youtube的创作者，在看到他认为“看起来确实是有剧本的”视频后，决定从暗网订购自己的神秘盒子。”HindiDarkestFacts“也收到了一些他自己的盒子。

现在，他展示了他收到的盒子里的所有东西，包括一瓶底部画有数字“6”的红色液体、一个黑色面具、一个手机壳和一件由多颗宝石组成的闪亮首饰。

然而，”HindiDarkestFacts“向那些相信这一切都是编造的人传达了一条信息。

“我很高兴你不相信它，因为你越不好奇，你就越安全，”他说。

这对我来说已经足够了。

这一次，Check Point Research将焦点放在暗网的人员场景上。不仅毒品、武器、个人数据、银行账户、信用卡、黑客工具、恶意软件和勒索软件在这里进行交易，企业内鬼还以内部人员的身份提供服务，或者是，黑客团伙寻找此类内部人员作为帮凶。

黑客正在寻找传播恶意软件或勒索软件的员工

“网络犯罪分子经常使用暗网上的专门论坛和市场来发布工作机会。这些广告可以吸引那些对传统就业市场感到失望或愿意以身试法以换取经济回报的精通技术的用户。

招聘内容包括黑客攻击、数据盗窃、分发恶意软件和勒索软件等。Check Point Research公司威胁情报组经理Sergey Shykevich解释说：“黑客希望内部人员提供访问目标系统的权限，帮助克服安全措施，为成功攻击提供有用信息，甚至试图对公司进行实际破坏。”

针对新同伙的高额奖励和培训

为了吸引内部人员，黑客会提供高额奖励，甚至经常进行特殊目的的培训。正因为如此，招募这样的内鬼通常是昂贵且危险的，这就是为什么在这种情况下黑客集中在大型、富有、因此利润丰厚的行业或公司。热门目标包括金融、电信或技术行业。然而，暗网上有数十个此类广告。他们通常看起来来自俄罗斯或独立国家联合体 (CIS)。

内部人员提供非法服务

不过，在暗网上寻找同行的不仅仅是黑客，内部人员自己也会为自己的服务做广告。俄罗斯一家大型移动运营商的一名员工提供SIM卡交换和其他非法服务。暗网上也有许多关于美国电信供应商的类似广告。

来自金融行业和加密货币世界的内幕交易也很受欢迎——在欧洲也是如此。

黑客团伙维护内部网络

在俄罗斯和东欧，甚至还有黑客团伙在各公司维护着内部网络。其中一些黑客团伙还提供自己的内部人员，他们在其他国家提供非法或至少是可疑的服务。绰号Videntis的黑客就是这些内部人员之一。

Videntis发布了一份超过11页的目录，提供内部服务。其中一些服务非常常见，例如在48小时内搜索手机号码，费用为2500卢布（24.78欧元），列出72小时内的所有电话和短信，费用为25卢布（0.25欧元），或者转发特定号码的所有来电，价格为 260.68 卢布（2.48欧元）。

黑客提供各种内部犯罪者的联系方式

其他服务与特定的俄罗斯银行有关。只需花费8000卢布（79.30欧元）即可在72小时内找到密码，或者花费9000卢布（89.21欧元）即可获得任何帐户的对账单。

黑客承诺以900美元（826.83欧元）的价格，利用其联系人封禁任何用户的WhatsApp帐户，在7至30天内封锁任何运营商的SIM卡，或以850美元（781.12欧元）的价格封禁个人Instagram或TikTok帐户。有些服务更加通用，例如 B. 在国外确认疫苗接种或创建旅行健康文件。

与网络犯罪分子合作对内部人员来说风险很大：他们可能会被起诉并失去职业声誉。这样做也有相应的回报，尽管对某些人来说，主要动机可能只是报复。奖励的形式可以是直接付款，也可以是分享被盗数据的利润。在某些情况下，奖励可能取决于攻击的成功率或捕获的数据量。

奖励最高可达100000美元

臭名昭著的黑客组织 LAPSUS$ 寻找电信公司的内部人员，并以低风险提供奖励。另一个组织则为能够聘请司机提供各种送餐服务的员工提供2000美元（1837.93欧元）至5000美元（4594.82欧元）的报酬。但科技公司内部人员的更高金额，例如高达 100000 美元（91896.50 欧元）的金额也不例外。此类内部攻击的影响可能是毁灭性的。根据Ponemon Institute的《全球内部威胁成本报告》，每起内部事件的平均成本上升至20.21亿美元（153.8亿欧元）。

因此，黑客和内部犯罪者在暗网上的合作对数据安全和公司基础设施构成了严重威胁。这种现象需要引起高度重视。

一项新研究表明，许多薪酬过低、压力过大的网络安全专业人士正兼职成为暗网网络犯罪分子，这给原本就为即将到来的 AI 辅助网络犯罪浪潮而焦头烂额的安全领导者带来了更多麻烦。

这项研究结果来自英国信息安全注册协会 (CIISec) 的最新行业状况报告，该报告描述了由一名退役警察转职网络调查专家进行的调查。这位专家花了六个月的时间浏览暗网网站和工作招聘信息。

许多程序员以极低的价格兜售他们的技能，例如，一名 Python 开发人员和计算机科学专业的大学生，开发网络犯罪常用程序（例如 VoIP chatbot、AI chatbot 和黑客/网络钓鱼框架）的收费仅为每小时 48 美元 (25 英镑)。

另一位开发人员提供软件开发、脚本编写和“后端”软件开发技能，并声称拥有“维护公共和私有云的丰富经验，包括维护上述基础设施”。

调查人员还发现，除了自称是专业渗透测试人员和全球 IT 公司员工的人员发布的帖子之外，还有失业的配音演员提供网络钓鱼电话诈骗的语音服务；平面设计师；公关专业人士；内容写手，他们都愿意帮助网络犯罪分子设计更具说服力和效果的网络犯罪活动。

调查人员表示，专业人士与铁杆网络犯罪分子相对容易区分，因为专业人士经常提到“目前合法的专业角色”，或者他们的广告措辞“与在领英等平台上宣传服务的人类似”。

“在一个已经为阻止对手而苦苦挣扎的行业中，” 他说道， “看到聪明、有能力的人被引诱到犯罪的一方令人担忧。”

CIISec 首席执行官阿曼达·芬奇 (Amanda Finch) 表示，网络安全职位已经是 IT 行业薪酬最高的工作之一 – 最近的一项调查发现，澳大利亚雇主会为熟练的网络安全工作人员平均提供 27% 的薪资溢价。然而，这些帖子表明，工作压力和倦怠正导致员工考虑其他发挥才能的途径。

芬奇引用了 Gartner 最近的预测，即到 2025 年，四分之一的网络安全领导者将更换工作，她表示，“薪资和长时间的工作正在助长这种趋势，我们已经开始看到影响，因为高技能人才正在转向网络犯罪。”

她说：“许多离开网络安全行业的人将迫切需要在一个能为他们现有技能和知识提供丰厚回报的领域工作。”

“防止这种情况发生意味着我们要确保尽一切努力吸引和留住人才。”

CSO 的噩梦

对于首席信息安全官 (CISO) 和其他努力保护公司免受网络犯罪分子侵害的企业高管来说，他们已经因网络犯罪活动升级 (2023 年出现了 25 个新的勒索软件团伙) 而焦头烂额。现在得知他们可能无意中与自己的员工作战 – 而这些员工既拥有对公司业务的深入了解，又拥有合法的访问凭证 – 这将令他们感到震惊。

澳大利亚信息专员办公室 (OAIC) 在 2023 年下半年收到恶意攻击报告中，有 11% 涉及流氓员工或内部威胁，这进一步挑战了已经为应对人工智能 (AI) 辅助网络安全攻击激增而苦苦挣扎的高管人员。

例如，Darktrace 对 14 个国家/地区的 1773 名安全专业人士进行的一项全球调查发现，89% 的人认为人工智能增强型威胁将在未来两年内显著影响其组织。

Darktrace 首席产品官 Max Heinemeyer 指出，约 60% 的人承认“没有准备好防御”此类攻击。他说：“人工智能、自动化和网络犯罪即服务 (CaaS) 增加了网络安全攻击的速度、复杂性和有效性。”

Heinemeyer 说，12 月份检测到的网络钓鱼电子邮件比 9 月份高出 14%，同期使用“新型社会工程学技巧”的网络钓鱼攻击增长了 35%。

Heinemeyer 表示，生成式人工智能 (genAI) 工具的使用激增（Darktrace 客户中约有一半使用）以及网络犯罪即服务生态系统充斥着预制恶意软件和网络钓鱼模板，使得“人工智能不可避免地会增加组织面临的风险和威胁”， “但这并不是从防御角度无法解决的挑战。”

人工智能防御系统正成为抵御激增的网络犯罪活动的一种越来越流行的方式 – 美国联邦贸易委员会 (FTC) 最近 crackdown (严厉打击) 了 AI 仿冒行为，谷歌启动了人工智能网络防御计划，欧盟也最近开设了正式的人工智能办公室。

根据 GlobalData 的数据，2023 年共提交了 1098 项与人工智能网络威胁检测相关的专利，仅去年就有 53 家新公司进入该市场。破坏性技术项目经理 Caibhav Gundre 将其称为“防御性人工智能领域的快速发展”。

Gundre 表示，这一趋势反映了“拥有强大的网络防御系统的重要性”，并标志着“旨在克服新的网络威胁的大量研发活动”。

“随着组织利用人工智能网络威胁检测的力量，他们还必须应对重大挑战。”

重大网络安全挑战及对策措施

这些挑战包括：

• 检测和识别内部威胁 – 内部人员可能滥用其访问权限，窃取数据或破坏系统。研究表明，很难将恶意用户与具有合法访问权限的常规用户区分开来。
• 确保人工智能系统的安全 – 人工智能系统本身容易受到操纵和攻击。网络犯罪分子可以利用人工智能漏洞来发起更复杂的网络攻击。
• 制定适当的道德规范 – 随着人工智能在网络安全领域的作用越来越重要，制定适当的道德规范以确保其负责任地使用变得至关重要。

网络安全专业人士短缺以及网络犯罪的日益复杂化意味着，网络安全行业需要采取多管齐下的方式来应对这些挑战。需要采取以下措施：

• 改善工作条件 – 提高网络安全专业人员的薪酬和福利，并提供更好的工作-生活平衡，可以降低员工流失率并减少他们转向网络犯罪的可能性。
• 投资于培训和教育 – 持续的培训和教育可以帮助网络安全专业人员掌握防御最新网络威胁所需的技能。
• 促进行业合作 – 网络安全公司、政府机构和执法部门需要合作，共享信息和最佳实践，以更有效地打击网络犯罪。
• 开发更强大的防御系统 – 人工智能和其他新技术可以用来开发更强大、更有效的防御系统，以保护组织免受网络攻击。

通过采取这些措施，网络安全行业可以更好地应对网络犯罪的威胁，并确保组织的安全。

“暗网”是许多毒贩的新“暗巷”。

印度麻醉品管制局（INCB）周二（3月5日）发布最新报告，警告越来越多的毒贩利用互联网贩运毒品。

毒贩正在使用加密货币和匿名浏览等方法来躲避当局。INCB 表示，加密货币还允许他们在暗处发送和接收资金，因此毒贩越来越肆无忌惮。

“毒品贩运不仅仅在暗网上进行，”麻管局主席贾拉勒·图菲克 (Jallal Toufiq) 表示。“合法的电子商务平台也被犯罪分子利用。”

如果网上经销商引起当局的注意，他们往往会消失。报告称，“犯罪者可以将他们的活动转移到执法行动不那么密集或制裁较轻的地区，或者将自己的基地设在可以逃避引渡的国家。”

还有一个复杂的情况。毒贩不仅仅销售电影和电视节目中常见的毒品。INCB 表示，全球非法销售的药品目前价值 44 亿美元。所谓的药店如雨后春笋般出现在互联网上，通常直接向消费​​者出售阿片类药物等强效药物。

阿片类药物通常用于治疗从手术或重伤中恢复的患者。人们应该按照医生的处方服用它们。但非法药店却无视这些规定。

图菲克表示，他的团队“鼓励各国政府与私营部门和我们的项目合作，预防和侦查网上毒品贩运”。但抓获骗子并不总是那么简单。INCB 报告显示，法国的一项调查涉及 60,000 部手机和 1.2 亿条短信。

当局必须找到一种方法来追捕犯罪分子，因为吸毒可能是生死攸关的问题。联合国毒品和犯罪问题办公室的数据显示，1990 年至 2020 年间，与吸毒直接相关的死亡人数上升了近 130%。

但这并不全是悲观和厄运。麻管局认为，如果战略性地使用互联网，它可以帮助遏制毒品使用。图菲克表示：“我们对越来越多地利用社交媒体推销毒品感到担忧，但我们有机会利用社交媒体和互联网来预防吸毒、提高对其危害的认识并改善获得戒毒治疗服务的机会。”

澳大利亚皇家墨尔本理工大学的科学家最近测试了网上购买的非法药物，毫不奇怪地发现，大约 35% 的药物与他们所说的不符，增加了出现不良副作用、潜在用药过量和死亡的风险。

在这项发表在《药物和酒精评论》上的研究中，研究人员分析了来自现已不复存在的暗网论坛 Test4Pay 的 103 个非法药物样本。

虽然 65% 的样品仅含有广告物质，但 14% 的样品含有广告物质与其他精神活性或潜在有害化学物质的混合物。同时，21% 的样品不含有任何广告中的物质。

摇头丸、甲基苯丙胺和海洛因始终被发现只含有广告中的物质。但以氯胺酮、2C-B 和阿普唑仑的形式销售的产品很可能被其他物质或新的合成药物完全取代。在测试的19个可卡因样本中，只有4个是纯可卡因，另有13个含有其他物质，还有两个样本根本不含任何可卡因。

皇家墨尔本理工大学副校长高级研究员、首席研究莫妮卡·巴拉特 (Monica Barratt) 表示，这一结果令人担忧，因为通过加密市场（暗网上的在线供应商）销售的药物最初被认为不太可能与其他物质混合或替代。

巴拉特说：“加密市场允许匿名买家对购买情况进行评论，这从理论上讲意味着销售劣质产品的供应商更有可能收到差评，从而奖励销售优质产品的供应商。” “但尽管有这种看法，我们的研究结果表明，从加密市场购买的违禁药物仍然不能避免掺假和替代。”

不管怎样，Test4Pay 暗网加密市场不再是一个问题，因为它现在已经不存在了，尽管其他问题通常会在一个关闭时出现。尽管如此，不断发展的技术似乎正在推动人们不再使用暗网。根据 2023 年国家摇头丸及相关药物报告系统调查，在暗网上购买毒品的人数略有下降，更多人转向消息传递和社交媒体应用程序来采购毒品。

减少危害服务和安全注射地点

巴拉特表示，随着澳大利亚人寻找获取非法药物的新方法，推出更多药物检查服务比以往任何时候都更加紧迫。目前，CanTEST 是澳大利亚唯一提供的药物检查服务，昆士兰州将于今年推出自己的服务，维多利亚州则考虑效仿。

巴拉特表示，虽然毒品检查服务已在世界各地开展了 50 多年，但澳大利亚仍然抵制扩大减少伤害服务。

巴拉特说：“澳大利亚拒绝开设更多毒品检查设施，原因是毒品检查对毒品使用‘开绿灯’。” “药物检查服务永远不会告诉消费者他们的药物是‘安全’的，因为没有一种药物的使用可以是 100% 安全的。该服务所能做的就是以可信且非评判性的方式解释特定药物的已知风险，使吸毒者能够调整自己的行为以降低风险。”

美国在建立安全注射场所时也大多遵循这种思路，为吸毒者提供无菌设备和监督，以帮助防止吸毒过量。

加利福尼亚州和佛蒙特州州长均否决了允许 2022 年在本州开设安全注射点的法案，宾夕法尼亚州参议院投票支持于 2023 年全面禁止这些网站。

事实上，美国唯一一家政府授权的监管安全注射点于 2021 年 11 月在纽约市开业。非盈利组织 OnPoint NYC 在那里运营着两个站点——一个位于东哈莱姆区，一个位于华盛顿高地。

上个月，罗德岛州普罗维登斯市批准建立该州第一个安全注射点，也是迄今为止唯一一个在纽约市以外运营的注射点。明尼苏达州是唯一一个批准这些地点的州，尽管那里尚未开放任何设施。

2023 年 5 月，美国政府在四年内向纽约大学和布朗大学提供了超过 500 万美元的拨款，用于研究纽约市的两个地点以及普罗维登斯的一个地点。研究人员希望招募 1000 名成年吸毒者来研究这些网站对吸毒过量的影响，估算其成本并评估医疗保健和刑事司法系统的潜在节省。这笔拨款标志着美国政府首次资助安全注射部位的研究。