暗网观察

过去三年中，信息窃取者恶意软件攻击的增加使网络犯罪团伙能够将凭证窃取变成一项主要的赚钱业务，为该领域的新进入者和破坏企业防御的复杂黑客技术铺平了道路。

网络安全公司卡巴斯基表示，数据窃取攻击在过去三年中增加了七倍，使恶意行为者能够在 2022 年破坏超过 1000 万台个人和企业设备，去年可能还会增加 1600 万台。

数据窃取恶意软件在过去十年中不断发展，提高了黑客潜伏不被发现的能力，并从设备存储和应用程序收集登录凭据和敏感数据。 卡巴斯基表示，去年从事数据泄露攻击的黑客窃取了各种网站的近 4 亿个登录信息和密码，平均每台受感染设备有 50.9 个登录凭据。

被盗凭证可获取丰厚奖励

卡巴斯基表示，过去三年来，网络犯罪市场中企业凭证价值的不断增长导致数据盗窃攻击增加了 643%。 网络犯罪分子通常充当初始访问经纪人，窃取公司凭证并在暗网论坛上以高价出售给寻求简单方法渗透公司网络并发起进一步攻击的其他犯罪分子。 卡巴斯基研究人员表示，他们正在提供多种销售模式。

卡巴斯基研究员谢尔盖·谢尔贝尔（Sergey Shcherbel）表示：“凭证可以通过定期上传的订阅服务、针对特定请求的所谓‘聚合器’来出售，或者通过专门向选定买家出售最近获得的登录凭证的商店来出售。” “这些商店的价格通常为每个日志文件 10 美元。”

据 Packet Labs 称，访问经纪人在暗网论坛上大量宣传被盗信息，其价格从被盗信用卡详细信息 17 美元、网络服务被黑登录 40 美元到高价值信用卡及相关信息 120 美元不等。

Chainaanalysis 的数据发现，过去几年中，许多暗网市场在网络犯罪支持业务中处于领先地位，帮助初始访问经纪人向网络犯罪团体出售公司凭证和详细的受害者资料，这些网络犯罪团体利用这些数据进行诈骗、身份盗窃等活动 和勒索软件。

Genesis Market 于 2023 年 4 月作为 Cookie Monster 行动的一部分被全球执法部门取缔，该市场因身份盗窃而闻名，很快被 Kraken market、DNM Aggregator 和 Exploit.in 等新兴中心所取代。 这些欺诈商店通过 API 在其网站上集成了加密支付处理器，为客户提供无缝的支付和结账体验。

亚太地区和拉美地区受影响尤其严重

卡巴斯基从地下市场活跃交易的 infostealer 恶意软件日志文件中获得的数据显示，2023 年凭证窃取攻击的大部分发生在亚太地区和拉丁美洲。 该公司表示，黑客从巴西窃取了超过 2800 万个凭据，从印度、哥伦比亚和越南的本地网络域窃取了超过 500 万个凭据。

在澳大利亚，凭证泄露或被盗占网络安全事件的大部分，四分之一的公司报告在 2023 年下半年发生了数据泄露事件。澳大利亚信息专员表示，涉及凭证泄露或被盗的攻击占所有网络安全事件的 56% ，相比之下，勒索软件攻击的比例为 27%（请参阅：2023 年澳大利亚大多数违规行为都是从凭证盗窃开始的）。

网络安全公司 Group-IB 去年指出，全球范围内运营的初始接入经纪商数量同比增长 45%，但亚太地区的数量几乎增加了两倍。 亚太地区企业网络访问权销售市场从 2019 年的区区 22.3 万美元增至 2021 年的超过 330 万美元。

Group-IB 首席执行官德米特里·沃尔科夫 (Dmitry Volkov) 表示：“IAB 在整个地下经济中扮演着石油生产者的角色。它们助长并便利了勒索软件和民族国家对手等其他犯罪分子的活动。” “随着接入销售的不断增长和多样化，IAB 成为最值得关注的威胁之一。”

暗网是网络犯罪分子匿名猖獗的地方，他们进行非法活动，例如出售窃取的信息、毒品和武器，甚至贩卖人口。 这是一个严重威胁我们在线安全和隐私的阴暗世界。

主持人Katie Bavoso采访了 ISM（信息安全管理）集团首席执行官Simon David Williams。 Williams和他的团队致力于保护客户免受暗网上的暴露和利用，打击在那里活动的犯罪分子，并减轻违规情况下的损失。 他分享了自己的旅程和个人经历，从 2017 年成为网络犯罪受害者开始，到教育他人了解暗网的危险。

从MSP到暗网专家：ISM集团的黑暗经历

ISM成立于2008年。该公司作为托管服务提供商 (MSP) 和增值经销商 (VAR) 运营，满足中小型企业的需求，直到2017年成为重大网络犯罪事件的受害者。 这一事件导致 ISM 及其客户的大量信息被窃取并转移到暗网。

“ISM 是一次重大网络犯罪的受害者，因此我们从 ISM 获得了大量信息，当然，作为 MSP 和增值经销商，我们可以访问大量系统，并且从 ISM 获得私人信息 渗透到业务之外，”Williams说。 “我们在一段时间内处于危险之中，所以就我们而言，我们很幸运。 我的意思是，这些信息没有在任何地方发布，我们控制了这些信息，但截至目前，黑客正在发布来自被黑客攻击的企业的数据。”

Williams讲述了最初的震惊以及随后为确保系统安全和协助客户所做的努力。 他分享了这段时间所面临的焦虑和挑战。 这次经历导致我们加强了安全措施，并开始致力于帮助其他人应对类似情况。

了解暗网

Williams定义了暗网，并解释了它如何通过雷神等平台提供的加密和匿名功能进行运作。 他深入研究了使暗网对那些寻求在线匿名的人有吸引力的安全和加密层。

“暗网保证加密和匿名，”Williams说。

Williams强调了暗网和表面网络之间的对比，强调了暗网对安全通信和信息交换的吸引力。 他谈到了暗网上的各种活动，从敏感信息的交换到非法交易。 他还指出，虽然一些用户利用暗网实现合法目的，例如举报或访问受审查的内容，但暗网也藏匿着从事贩毒、黑客服务和出售被盗数据等活动的恶意行为者。

绝地对抗海盗：ISM 集团会议

Williams在2017年的经历催生了“绝地对抗海盗”会议，该会议揭露了网络犯罪的现实，以及个人在暗网中必须做出道德或不道德的选择。 这个名字暗示了对立力量之间的战斗：绝地武士，象征着那些选择道德和正义之路的人，而海盗或“西斯”，代表在网络空间中运作的无法无天和不道德的行为者。

“绝地对抗海盗是2017年ISM所发生事件的完整会议。 这也是暴露成为一名黑客是多么容易的一种方式，这样你就可以轻松地成为黑客团体的成员。 因此，我介绍了现有的不同黑客组织。 我向 IT 社区的人们展示如何加入他们以及他们如何工作，”Williams解释道。

预防是对抗暗网的最佳防御

在对话的第二部分中，Williams讨论了在暗网上利用后减轻攻击的问题。 他还分享了保护暗网个人和商业信息安全的策略。

如果您是网络攻击的受害者，Williams强调立即采取行动并了解魁北克等司法管辖区的法律义务的重要性，在这些司法管辖区，公司必须披露违规行为。

个人和企业保护

当Katie询问个人或企业如何确保自己免受暗网暴露或利用时，Williams强调了多因素身份验证 (MFA) 的重要性。

对于个人和企业而言，MFA 在密码之外添加了额外的安全层，从而显着降低了未经授权访问的风险。

“多因素身份验证，虽然不是 100%，但确实有很大帮助，”Williams说。 “你有权访问的所有内容都应该有 MFA。 实施起来很困难，因为这很麻烦。 让我们来谈谈它。 很麻烦。 您会在手机上收到一条通知，提示您“是”或输入代码。 但这非常重要，因为这可能会消除 90% 的黑客组织。”

他还建议使用独特、复杂的密码并监控信用报告是否存在可疑活动。

网络安全保险作为另一层安全保障

网络安全保险被认为是企业的额外安全保障。 Williams指出，许多保险公司需要安全堆栈中的特定工具，以便公司有资格获得网络保险。 上述工具包括 MFA、扩展检测和响应 (XDR)、托管检测和响应 (MDR)、端点检测和响应 (EDR) 以及第三代防火墙。

这些工具被认为是最佳网络安全实践，可以帮助预防、检测和响应网络威胁。

成为对抗海盗的绝地武士

对于那些有兴趣成为绝地武士而不是西斯的人，Williams鼓励有兴趣改善网络安全实践的个人通过 LinkedIn 或通过电子邮件与他联系，寻求指导、帮助或只是倾听。 他强调，目标不是获得新客户，而是作为一个团队支持社区。 Williams 认为，通过作为一个有凝聚力的整体共同努力，个人和企业可以对网络安全产生重大影响，并挑战 IT 和网络空间中的黑暗势力。

自2023年6月以来，Sophos X-Ops在暗网上发现了19个“垃圾枪”勒索软件变种——廉价、独立生产、构造粗糙。这些“垃圾枪”勒索软件变种的开发者正试图颠覆传统的基于联盟的勒索软件即服务（RaaS）模式，该模式在勒索软件领域占据主导地位近十年。

攻击者不是向或作为附属机构出售或购买勒索软件，而是以一次性成本创建和出售简单的变体，其他攻击者有时将其视为针对中小企业甚至个人的机会。

“在过去的一两年里，勒索软件已经达到了一种平衡状态。它仍然是企业最普遍、最严重的威胁之一，但我们最新的《活跃的对手》（Active Adversary）报告发现，攻击数量已经趋于稳定，RaaS模式仍然是大多数主要勒索软件集团的主要运营模式。”Sophos威胁研究总监克里斯托弗-巴德（Christopher Budd）说。

“然而，在过去的两个月里，勒索软件生态系统中的一些最大的参与者已经消失或关闭，而且在过去，我们也看到勒索软件附属公司对RaaS的利润分享计划发泄了愤怒。网络犯罪世界中的任何东西都不会永远保持不变，这些现成的勒索软件的廉价版本可能是勒索软件生态系统的下一个演变，特别是对于技术水平较低的网络攻击者来说，他们只是想盈利而不是为自己赢得名声。”巴德总结道。

暗网上这些“垃圾枪”勒索软件变种的中位价格为375美元，比RaaS关联公司的某些工具包便宜得多，后者的价格可能超过1000美元。报告显示，网络攻击者已经部署了其中四种攻击变种。虽然“垃圾枪”勒索软件的功能千差万别，但它们最大的卖点是几乎不需要任何支持基础设施就能运行，而且用户没有义务与创建者分享利润。

”垃圾枪“勒索软件的讨论主要发生在针对低级犯罪分子的英语暗网论坛上，而不是知名攻击团体经常光顾的成熟俄语论坛上。这些新变体为新的网络犯罪分子提供了一种有吸引力的方式来进入勒索软件世界，除了这些廉价勒索软件变体的广告之外，还有大量帖子要求提供有关如何入门的建议和教程。

“这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要数百万美元的赎金，但它们确实可以有效地打击中小企业，对于许多刚开始‘职业生涯’的攻击者来说，这已经足够了。虽然“垃圾枪”勒索软件的现象仍然相对较新，但我们已经看到其创建者发布的帖子，讲述了他们扩大业务规模的野心，而且我们还看到其他人发布的多篇帖子谈论创建自己的勒索软件变体。

“更令人担忧的是，这种新的勒索软件威胁给防御者带来了独特的挑战。由于攻击者正在针对中小企业使用这些变体，并且赎金要求很小，因此大多数攻击可能不会被发现和报告。这给防御者留下了情报空白，安全界必须填补这一空白，”巴德说。

“暗网”一词让人想起网络犯罪、间谍活动、毒品和枪支的阴暗网络世界。事实上，“暗网”网站只是以.onion结尾的网站，需要通过特殊的浏览器洋葱路由器(Tor)进行访问。

长期以来，网络安全公司一直在销售“暗网监控”套餐，每个套餐的含义都略有不同。

在许多情况下，从业者一直在努力寻找监控暗网的价值，特别是当供应商向他们推销一个综合软件包，但其价值与企业的安全需求不符时。

在其他情况下，企业可能认为自己规模太小，暗网监控没有价值，但在许多情况下，初创公司和其他小型公司因为规模较小而成为目标。

本文将探讨暗网监控的安全价值，特别强调为什么要监控。

暗网数据泄露监控

第一个也是最重要的区别之一是监视.onion网站和托管在这些网站上的文件。您是否曾收到过关于您的网站或应用程序凭据遭到泄露的警报？当威胁行为者攻破一项服务（或发现暴露的云存储桶！）时，他们通常会获得该服务的用户凭据的庞大数据库。

新的被破坏的凭据集以大文件的形式分布在名为BreachForums的暗网论坛和其他.onion网站上。

然后，其他威胁行为者就能够购买这些数据，并针对用户注册的其他可能的网站重放被破坏的凭据。例如，如果威胁行为者知道您最近在企业会计应用程序上使用了电子邮件地址和密码，他们可以在企业银行网站上尝试使用相同的凭据。

这种形式的监控是暗网监控最基本但也是最可操作的形式之一。

暗网论坛、市场和勒索软件监控

监控的下一个级别是收集和存档暗网网页的实际内容。这包括有关网络犯罪、策略、技术和程序的对话，以及威胁行为者正在出售的企业访问权限列表等内容。

这里真正的用例是针对复杂的企业，这些企业不仅需要识别泄露的凭据，而且希望主动了解网络犯罪生态系统及其演变方式。

监控暗网上的初始访问中介

在某些情况下，有机会阻止正在进行的攻击。例如，初始访问经纪人侵入公司，然后在专门的暗网论坛上转售获得的访问权限。识别您的企业或第三方是否有网络访问权限被出售，可以带来巨大的价值。

企业可以从暗网监控中获得的另一个关键价值领域是监控，在.onion网站上发现勒索软件博客。近年来，勒索软件组织越来越多地转向双重和三重勒索计划，旨在对受害者施加最大压力，要求其支付赎金。

因此，勒索软件组织现在会在加密前窃取数据，如果受害者不支付赎金，就会将数据发布到暗网泄漏网站上。

如果您是勒索软件的受害者，您很可能会知道，但许多企业在事发数周或数月后才发现第三方暴露了大量敏感文件。

监控赎金泄漏站点可能具有巨大的价值，特别是如果您的暗网监控平台可以解析文件档案并匹配单个文件名。

最后，俄罗斯市场也是2024年需要监控的重要来源。Russian Market是一个“窃取日志”市场，威胁行为者在此出售个人窃取日志。

窃取日志是信息窃取者恶意软件感染的结果，包括单个浏览器保存的所有凭据。

例如，我们建议监控对企业域的访问，以识别同时包含对企业凭据访问的列表。窃取者日志是2024年威胁行为者和勒索软件集团的首要载体。

扩展的暗网：监控Telegram、窃取者日志和网络犯罪生态系统的演变

网络犯罪生态系统不再局限于Tor上的.onion网站。威胁行为者现在经常使用Telegram等即时消息应用程序实施网络犯罪、出售数据​​并相互交流。

现在有数千个Telegram频道专注于Telegram上的银行欺诈、账户被盗、凭证盗窃和窃取者日志分发。

Telegram、其他社交媒体和P2P即时通讯应用程序绝对是网络犯罪生态系统增长的关键载体。

从数量、可操作性和安全价值来看，对窃取者日志生态系统进行全面监控是绝对必要的。估计5%-10%的窃取者日志拥有企业凭据，在某些情况下，CRM、企业银行账户、VPN和RDP访问权限已泄露到Telegram中。

暗网监控并不是“可操作性低”的销售噱头，而是有效信息安全计划的关键组成部分，可帮助企业识别对其网络安全态势的外部威胁。

记者比尔·惠特克（Bill Whitaker）报道了勒索软件攻击事件。去年，来自世界各地的黑客联手攻击美国的科技公司、酒店、赌场和医院，通过加密来劫持他们的数据，并索要赎金以获取解锁密钥。

乔恩·迪马吉奥 (Jon DiMaggio) 曾是国家安全局的分析师，现在担任网络安全公司Analyst1的首席安全策略师，负责调查勒索软件。

“我们正在被摧毁，”他在接受采访时告诉惠特克。 “从我们的经济中流失并落入犯罪分子手中的资金数量是天文数字。”

迪马吉奥表示，他花了数年时间在暗网里发展与勒索软件黑客的关系，并逐步成为勒索软件团伙LockBit的领导层。

“我意识到这些人是可以接触的……我可以假装成其他人，进去与他们真正交谈并获取信息，”他透露说。

迪马吉奥表示，他通过创建社交媒体和电子邮件帐户来建立虚假的网络角色，然后在网上发帖并与人们交流，以创建“只有真人才会拥有的广泛足迹”。

然后，他与“在现场”的人进行交流，并从低级黑客一路晋升为勒索软件团伙的领导层。

“有时可能需要几个月的时间。现在，我与一个威胁行为者的关系已经持续了一年半多，”他说。

“我意识到，这背后有像你和我一样的真实人物。他们中的许多人都有故事……这个背景故事可以帮助你了解罪犯并了解他们的动机。”

迪马吉奥表示，他有时会像自己一样与黑客沟通——采取更“诚实”的方式，可以给黑客“敞开心扉”的机会。

他在网上公开发布他的报告和调查结果，他称之为“勒索软件日记”系列。

LockBit是世界上最臭名昭著的勒索软件团伙之一。自开始运营以来，他们已经在幕后策划了超过2000名受害者的勒索软件黑客事件，并从世界各地的受害者那里勒索了超过1.2亿美元。

去年秋天，LockBit曾对中国工商银行美国分公司发起勒索软件攻击，影响了价值超过90亿美元的资产结算。他们还攻击了美国航空航天巨头波音公司，窃取了该公司的数据，随后将其公布在LockBit的暗网泄密网站上。

LockBit被迪马吉奥称为“勒索软件即服务”团伙。他们向实施实际攻击的附属黑客团体提供服务，例如攻击中使用的恶意软件、赎金谈判支持、基础设施以及存储和泄露数据的方法。如果受害者支付赎金，附属团伙和LockBit就会瓜分资金。

今年2月，司法部与英国和其他国际执法机构合作，控制了LockBit的服务器及其多个网站。

美国司法部还公布了一份起诉书，指控两名俄罗斯公民Artur Sungatov和Ivan Kondratyev对美国各地以及世界各地的众多受害者部署LockBit勒索软件。

迪马吉奥说，他与其中一位名叫康德拉季耶夫（Kondratyev）（又名Bassterlord，巴斯特领主）关系密切，并且了解他的背景故事。

他说，康德拉季耶夫在乌克兰的一个地区长大，该地区于2014年被俄罗斯接管。当时他的母亲生病了，他需要想办法来养家糊口并支付账单。

“所以，他利用了他可以利用的一切，这就是导致他成为网络犯罪分子的原因。他需要帮助他的家人，”迪马吉奥解释道。

迪马吉奥表示，他还能够与 LockBit 团伙的头目进行沟通，该头目是使用别名“LockBitSupp”的几个人之一，“LockBitSupp”是“LockBit Support”的缩写。

今年一月份，LockBit声称对芝加哥一家非营利社区医院圣安东尼医院的袭击负责。 LockBit复制了该医院的病人和管理数据，并威胁说如果不支付赎金就会公布这些数据。

迪马吉奥说，LockBit的附属公司加密了医院用于治疗病人的整个网络，他担心这会伤害到需要治疗的人。

他联系了“LockBitSupp”并试图说服他交出解密密钥，以便医院可以让他们的系统恢复在线。

“我相信我可以让他做正确的事情并交还解密密钥……不幸的是，我错了，”迪马吉奥解释道。

圣安东尼医院承认发生了“数据安全事件”，包含患者信息的文件已被复制，但表示他们能够“继续提供患者护理而不会中断”。他们还表示，他们向联邦调查局以及美国卫生与公众服务部等监管机构报告了这起网络攻击事件。

迪马吉奥透露，虽然成功扣押LockBit的服务器并关闭其网站是朝着正确方向迈出的重要一步，但美国在解决勒索软件的祸害方面还可以通过一些方法来“做得更好”。

“例如，如果我们使用美国国家安全局等机构所拥有的权限，你不需要法官签字，你可以做执法部门在某些行动中做不到的事情，我们就会更有效。”他说。

“与我们面临的挑战相比，我们人手不足。我们力量不足。与我们的对手相比，我们资源不足。”

亚洲新兴的暗网数据智能初创公司StealthMole在由韩国投资伙伴公司 (KIP) 领投、Hibiscus Fund（一家跨国公司）跟投的 A 轮融资中获得了700 万美元的资金RHL Ventures、Penjana Kapital 和 KB Investment）和 Smilegate Investment 之间的合资企业。 StealthMole 将利用这笔新注入的资金来加强其全球扩张努力，并进一步开发其在各个领域的技术用例。

作为世界上一些最大的数字经济体的所在地，亚太地区(APAC) 的数字化转型加速，增加了其遭受复杂网络犯罪攻击的脆弱性。此外，防御网络威胁的成本预计在未来三年内将翻一番，到 2027 年将达到23 万亿美元。

StealthMole 是为了满足这些不断增长的网络安全需求而成立的，是一个基于人工智能的数字调查和威胁监控平台，专注于检测和减轻亚洲地区的网络犯罪。该公司由企业 IT 安全专家Louis Hur掌舵，他之前创立了一家韩国网络安全公司；Simon Choi是一位领先的威胁调查员，曾任兼职教授，在韩国国家警察和情报部门拥有丰富的经验。

“StealthMole 的诞生源于我在从事网络安全和白帽黑客工作时遇到的一个关键市场缺口：特别是在亚洲，严重缺乏数据点和信息网络。与此同时，数据泄露、匿名交易和各种网络犯罪由于恶意意图和人为错误，执法、情报机构、企业安全团队和网络安全专家必须分析区域环境及其对非法活动的影响。” StealthMole 创始人兼首席执行官Louis Hur 分享道

StealthMole 的技术利用来自暗网、深层网络和各种隐藏来源的 2550 亿个分析数据点，同时利用先进的人工智能来追踪犯罪分子。StealthMole 首席技术官Simon Choi观察到黑客活动和数据盗窃越来越多地针对公司，他认为 B2B 领域也存在利用 StealthMole 技术改善网络事件响应和预防的巨大潜力。在 B2G 市场奠定了坚实的基础后，A 轮融资预计将进一步多元化其能力，以满足企业部门新兴的网络安全需求。

KIP 董事总经理 Kim Min-Q表示：“随着世界各地的组织不断数字化，网络犯罪不仅会变得更加猖獗，而且会变得更加先进。StealthMole 在这方面表现出了巨大的敏捷性，积极发展其人工智能和机器学习通过在从暗网本身到 Telegram 等隔离平台的多个数据源之间建立关联来实现无缝调查的能力，我们强烈感受到 StealthMole 将让世界变得更美好。”

KB Investment 负责人Steven Hong补充道：“这项投资反映了我们对 StealthMole 持续成功愿景的信心，特别是在发现整个东南亚新兴网络威胁并将自己定位为源自亚洲的全球领导者方面。”

该机构的成功很大程度上归功于其由白帽黑客、网络威胁分析师、数字取证专家和开源情报 (OSINT) 专家组成的团队，他们都在网络安全领域拥有广泛的个人职业生涯。

“StealthMole 团队由业内高度认可的安全专家组成，我们赞赏这种专业知识，因为它们是科技初创公司扩张的长期催化剂。Smilegate Investment 很高兴能够支持他们的持续国际增长，特别是当他们扩展到更多商业用途时例如，韩国是世界上最主要的游戏中心之一，希望获得更安全的游戏体验和对创作者知识产权的更大保护。” Smilegate Investment 高级副总裁Park Jung -In补充道。

关于StealthMole

StealthMole成立于 2022 年，总部位于新加坡，是一家人工智能驱动的暗网情报公司，专门从事数字调查、风险评估和威胁监控。从本质上讲，其强大的数据跟踪功能可以对恶意活动进行早期干预或快速响应，并防止其进一步升级。 StealthMole 主要在协助政府机构和执法方面发挥了重要作用，目前正在进一步开发其技术以满足企业需求。有关 StealthMole 的更多信息，请访问www.stealthmole.com。

关于Louis Hur

Louis Hur是StealthMole的创始人兼首席执行官。 2004年，他与他人共同创立了韩国领先的网络安全公司之一NSHC Inc.。他带领该公司成为东亚地区顶级的移动安全解决方案提供商和亚洲地区首屈一指的进攻性安全服务提供商。凭借在企业网络安全和白帽黑客方面的丰富经验，Hur 已成为数字安全领域的关键意见领袖，并在 DEFCON、TyphoonCon、BlackHat、HITCON 和 CodeBlue 等主要行业会议上积极发表演讲。

关于Simon Choi

Simon Choi是StealthMole的首席技术官，是韩国最著名的威胁调查员和 OSINT 分析员之一。出于对网络战的浓厚兴趣，Choi的职业生涯始于一家计算机反病毒公司的网络战研究，由于他的军事职责，担任技术研究人员。他是韩国政府选出的参与网络卫士计划的七名国家代表之一，并与国家情报院、国家警察局、韩国网络司令部和众多私营公司合作遏制网络恐怖主义。 Choi还曾担任 SoonChunHyang 大学融合服务安全系的兼职教授，并在 BLACKHAT、HITCON、POC、ISEC 和 SECUINSIDE 等重要网络安全峰会上发表演讲。

全球网络保护公司Malwarebytes推出了一个新颖的数字足迹门户网站，旨在为消费者提供对其暴露的个人信息的深入洞察。这个新工具完全免费，旨在保护用户的数字生活，包括身份、隐私和安全。通过这个门户网站，个人现在可以查明数据泄露的地点和时间暴露了他们的个人数据、暴露数据的类型以及可能在暗网上出售的任何特定个人数据。

与现有的类似工具相比，Malwarebytes数字足迹门户通过扫描更广泛的来源和提供更详细的分析，在市场上脱颖而出。该门户网站分析的来源广泛，包括暗网、地下论坛、社交媒体平台、聊天室和数据库，目的是识别与个人电子邮件地址或相关账户有关的任何暴露数据。该公司根据研究结果报告了一些令人震惊的统计数据：60%的用户发现了以前暴露的纯文本密码，一半的用户发现自己的全名被暴露，41%的用户发现自己的出生日期被暴露，26%的用户发现自己的电话号码被暴露，9%的用户发现自己的电子邮件地址与僵尸网络相连。

扫描完成后，用户会收到一份个性化报告，其中总结了他们被暴露的信息，并提出了加强保护的建议。这个新颖的门户网站还辅以清晰、可操作的建议，帮助用户降低身份盗窃、经济损失甚至声誉损害的潜在风险。

Malwarebytes相信每个人都应该拥有安全的数字生活，而不受预算的影响，该公司秉承提供免费资源的传统，为数字用户提供支持。Malwarebytes创始人兼首席执行官Marcic Kleczynski在声明中明确表达了这一承诺，他自豪地宣布发布一款新产品，“教育人们并让他们做好防范准备，避免个人数据泄露导致身份和财务盗窃的风险”。

Malwarebytes负责消费者隐私的副总裁奥伦·阿拉尔（Oren Arar）重申了这种观点，宣称他们的目标是“确保个人的私人详细信息不被泄露，并确保他们的身份属于自己”。该公司已经报告称，他们的数字足迹门户网站的预览试验得到了强烈反响，“超过一百万人发现了他们暴露的个人信息，并采取行动保护他们未来的数字生活”。

在保护更多个人身份和金融资产的同时，该工具还有助于更全面地了解数字身份暴露情况。Malwarebytes 的数字足迹门户网站是目前消费市场上最全面的免费扫描解决方案之一。该门户网站还可通过扫描用户的电子邮件和相关账户，帮助用户识别僵尸网络是否感染了他们的电脑。为了应对数据泄露和信息泄漏的持续威胁，Malwarebytes 每天都会不断更新其数据源，提供数以百万计的暴露记录。

最后，在数字足迹门户网站的设计中纳入了默认隐私原则，并采取了一系列内置措施。Malwarebytes 在扫描源或显示任何潜在敏感数据之前，都会验证用户的电子邮件地址。重要的是，高度敏感数据（如信用卡或社会安全号）绝不会完全泄露。为了满足现代数据保护的要求，这些数据不会存储在 Malwarebytes 的基础架构中，也不会与特定用户相关联，而且在从数据库传输到用户屏幕的过程中会进行加密。

独立研究人员发现了大量用户浏览器Cookie大量泄漏到暗网的情况，在互联网的深层位置发现了超过540亿个Cookie，黑客可以很容易地获取这些Cookie和其中包含的用户隐私信息。

根据分析数据，南非在Cookie泄露方面排名全球第32位，在网上发现的南非用户的cookie中，有30%（即1.76亿）仍处于活动状态，这继续“对该地区的在线隐私和安全构成重大威胁”。

网络安全顾问表示：“许多人没有意识到，如果黑客掌握了您的活动cookie，他们可能不需要知道任何登录名、密码，甚至MFA即可接管您的帐户。”

如今，大多数人在进入新网站时都会遇到Cookie，通常要么接受它们，要么拒绝它们。网站使用它们来记录用户信息，例如浏览行为和搜索历史记录。

“简单来说，一旦用户使用密码和MFA登录，服务器就会给用户一个Cookie。下次同一用户带着此Cookie返回时，服务器会识别该cookie并知道该用户已经登录。”

Cookie在网上浏览过程中已变得司空见惯，但黑客可以利用它们窃取敏感数据。多达12种不同类型的恶意软件被用来窃取这些Cookie。近56%的信息是由流行的信息窃取者和键盘记录程序Redline收集的。

“但是，如果被盗Cookie仍然处于活动状态，则攻击者可能无需知道您的密码或不需要MFA即可登录您的帐户。除了已经提到的会话数据之外，Cookie还可以保存其他敏感信息，例如人名、位置、方向、大小等。”

就Cookie的来源而言。超过25亿来自Google，另有6.92亿来自Youtube。超过5亿来自Microsoft和Bing。在总共540亿个Cookie中，约有17%仍处于活动状态。

“虽然看起来17%并不算多，但重要的是要知道这是一个巨大的个人数据量级——超过90亿个cookie。尽管活跃的Cookie带来了更大的风险，但不活跃的Cookie仍然对用户隐私构成威胁，并且黑客有可能利用存储的信息进行进一步滥用或操纵。”

“来自此类核心帐户的Cookie特别危险，因为它们可能被用来通过密码恢复、公司系统或SSO等方式访问更多登录详细信息。”研究人员说。

南非拥有全球最大的活跃Cookie数量，而巴西拥有在暗网上发现的Cookie总量最多的国家。姓名、电子邮件、城市、密码和地址是Cookie中最常见的个人信息类型。

“如果将所有这些详细信息与年龄、身材、性别或性取向结合起来，您将获得用户的非常私密的信息，从而可以进行有针对性的诈骗或攻击。”

如果您知道如何操作，您可以安全合法地访问暗网。

对于您们中的新手来说，暗网是正常、日常互联网边界之外的虚拟社区（包括您现在正在浏览的网站）。它是谷歌和必应不索引的地方，您需要特殊工具才能进入。

暗网是一个您会发现数据泄漏和非法交易的地方，但也包括了合法的在线活动，用户想要进行这些活动而不引起执法机构或政府的注意。它是互联网的一部分，更少受到监管，更阴暗，有利也有弊。

激起了您的兴趣吗？本文将解释如何进入暗网以及您可以在那里找到什么——当然，Anwang.Li不支持任何违法犯罪行为，所以本文不会告诉您如何做一些违法犯罪的事情。

深网与暗网：有什么区别？

您在互联网上的旅行中经常会看到这些术语，并且对它们的含义有些混淆。本文将从深网开始：这是指一切没有被常规搜索引擎索引的在线内容，因此包括了被锁在付费内容后面的页面、私人数据库、电子邮件、公司内部网络等。

想想您不登录就无法看到的互联网的所有部分，从学术期刊到邮箱账户页面：这就是深网。据一些估计，它占了大约90%的网站，所以本文们谈论的是在线内容的相当大的一部分。

而暗网，本文这里所讨论的，是深网的一个小子集，指的是那些特别想要隐藏起来的网站。这些页面具有额外的用户匿名和数据安全保护措施，您需要特殊软件才能访问它们——您不能像访问深网的其他部分那样通过普通网络浏览器访问它们。

暗网工具和服务

暗网有自己的一套工具和服务，包括网络浏览器和搜索引擎（本文稍后会讲到）。使暗网成为暗网的部分原因是您不能通过普通的网络浏览器访问它。您也不能通过Google搜索在上面查找某些东西。

有一个私密和匿名的互联网空间当然会鼓励某些类型的非法活动：黑客工具、毒品、假护照、色情、枪支等都在暗网上交易。这有点像漫步进入现实生活中最不安全的城市区域，带有各种相关活动。

然而，有很多合法和合理的在线活动需要隐私和匿名。暗网被记者、告密者和政治活动人士所使用，他们需要它提供的保护。任何您需要做的事情，出于崇高或卑劣的原因，在一定程度上都必须离开公开，都可以在暗网上完成。

浏览暗网，需要一个Tor浏览器

要进入暗网，您需要一个专门用于此任务的浏览器，业内最好的是Tor浏览器。Tor浏览器是一个为了额外的安全和隐私而设计的浏览器，可以用于浏览常规的表层网络以及暗网。它阻止追踪器，防止用户指纹识别，加密数据，并重新路由您的浏览，这样没有人能看到您在世界的哪个地方。

Tor工作的关键是所谓的洋葱路由技术。它得名于它在您和网络之间放置几层混淆的方式，就像洋葱的层层皮一样：您的流量在多个节点之间反弹，这意味着它不像常规浏览那样快速，但也意味着没有人能知道您是谁或您在哪里。

Tor浏览器就像暗网的公共门户，甚至还有适用于Android和iOS的移动应用。虽然有其他浏览器可以用来进入暗网（一个快速的网络搜索会显示出几个），但在功能和易用性方面，对于大多数人来说，Tor浏览器是最好的选择。

暗网搜索引擎

打开Tor浏览器，您不会突然看到暗网网站。您不仅需要一个暗网浏览器，还需要一个暗网搜索引擎。这个搜索引擎将带您到您需要的网站，尽管您也可以像标准URL那样直接访问暗网地址，如果您知道的话。

DuckDuckGo是Tor浏览器内置的默认搜索引擎，一旦您在搜索框中打开了Onionize切换按钮，您就能够使用它找到暗网链接。这些通常以“.onion”结尾，而不是像标准网络上的“.com”那样。

其他值得调查的暗网搜索引擎包括Ahmia、Torch、NotEvil和洋葱URL目录——只需输入您正在寻找的关键词。这些网站中的一些可以通过常规网络浏览器找到，但一旦您获取了您想要访问的洋葱链接，您就需要切换到Tor。

暗网网站

暗网上的个别网站看起来与在常规网络上看到的差不多，尽管它们中的许多都略显粗糙。（在这个互联网部分，呈现和精致程度并不那么重要。）点击任何网站链接，它就会显示在屏幕上，并显示在顶部的地址栏上。

在暗网上需要注意的一些网站包括英国广播公司（BBC）和ProPublica调查新闻平台的镜像，这些网站旨在帮助生活在互联网受到严重审查的国家的人们获取信息。如果您需要安全的电子邮件，可以找Proton Mail服务。

由于暗网的关联以及其中进行的一些非法活动，您在这里找不到很多知名网站——暗网的很大一部分是由志愿者维护的网站、维基和论坛。然而，仍然有很多值得探索的内容。

暗网上有什么出售

本文已经提到了您在暗网上会找到的一些东西：这距离eBay还有很长的路要走。您能想到的任何您不应该下载或购买的东西，通常都可以在暗网上找到。

出于明显的原因——毕竟本文不想让您或本文陷入麻烦——当涉及到在暗网上可以找到的东西时，本文不会说得太具体。交易大多通过比特币进行，这符合暗网在保持私密和匿名方面的理念。这并不意味着您应该假设您在那里做的任何事情都无法被追溯到您身上——执法部门已经相当擅长追踪那些认为自己在暗处行事的人。

没有多少好的理由将您的合法购物活动转移到暗网上：由于它的工作方式，它吸引了许多骗子和黑客，如果您发现自己受骗，那么您几乎没有什么保护。

暗网是否违法？

暗网本身并不违法，您不会因为访问它而陷入麻烦——但这是一个很多非法活动都在进行的地方，因为执法机构很难看到那里发生了什么。

您可能经常看到关于涉及暗网的犯罪活动的新闻报道，因为暗网的一些角落发生了什么，它往往会让守法公司和用户望而却步。暗网里的某些网站经常被关闭，作为警方行动的一部分。

考虑到所有这些，当浏览时，您需要谨慎对待，无论是访问的网站还是与其他用户互动。请记住，虽然暗网也有合法用途，但不同国家的言论自由和审查制度各不相同，这也是暗网存在的部分原因。

跟踪黑客地下活动

黑客在暗网上花费了大量时间，在这个互联网部分很容易获取到黑客工具和数据泄漏。然而，要获得上传和下载数据的人却要困难得多。

如果您使用密码管理器，它可能带有一个功能，用于监视暗网上提到的您的电子邮件地址和密码，或者任何其他个人详细信息。这是苹果和谷歌提供的密码管理服务的一部分，因此您不需要自己手动搜索数据泄漏。

正如本文之前所说，最好保持您与暗网的交互最少，除非您绝对信任您正在交易的人。您经常会在商店看到一个标志，上面写着“看，不要触摸”，这也是您在暗网里遨游的时候应该记住的一句好话。

有关暗网的法律问题，很多人会问，暗网本身是合法的吗？实际上，暗网本身并不违法，它只是互联网的一部分，而且在某些情况下，它可能提供了确保隐私和匿名性的合法服务。然而，许多暗网上的活动都是非法的，例如贩卖毒品、盗窃信息、非法交易等。因此，即使访问暗网本身不违法，但在暗网上进行非法活动仍然是违法的，可能会受到严厉的法律制裁。

总的来说，如果您有兴趣探索暗网，您应该时刻牢记法律和安全的重要性。遵循法律是维护社会秩序和个人安全的基础，而在暗网上冒险可能会导致严重后果。因此，始终保持谨慎，不要从事任何非法或危险的活动，并时刻注意保护自己的隐私和安全。

分析师发现，尽管暗网市场远未达到2021年的水平，但自2022年Hydra暗网市场被关闭以来，整个暗网市场的加密货币收入已略有反弹。

尽管规模庞大的Hydra市场将于2022年关闭，但暗网市场继续显示出复苏的迹象，其加密货币收入在2023年出现增长。根据区块链分析公司Chainalysis发布的数据，欺诈商店和暗网市场的收入在2022年增长至近20亿美元。2023年，比2022年增长近25%。

正如Chainalysis指出的那样，Hydra市场关闭后，网络犯罪分子立即填补了这一空白，两个新的暗网市场出现在莫斯科，并在积极推广其服务。

“虽然暗网市场生态系统在2023年显示出复苏的迹象，但鉴于Hydra市场在2022年关闭之前的财务成功，它的收入尚未恢复到之前的水平。”

数据显示，一个新建立的市场在2023年记录了“超过5亿的加密货币流入”，这表明尽管全球执法部门做出了努力，但对洗钱、勒索软件和恶意软件攻击等非法服务的需求仍在不断增长。

然而，这家总部位于纽约的公司指出，尽管取得了这些发展，但还没有其他暗网市场成为提供各种非法产品的主要平台，并表示该生态系统“尚未见证主导者的出现”。

3月中旬，加密混合服务Bitcoin Fog的创始人Roman Sterlingov被联邦法院判有罪，罪名是与暗网非法毒品销售相关的洗钱活动。检方认为，Bitcoin Fog在隐藏超过4亿美元的交易中发挥了至关重要的作用，其中7800万美元与主要暗网市场直接相关。