黑产商城暗网的简单介绍

hacker|
189

tor浏览器怎么联网

最近热播的电视剧《破冰行动》,讲述的是缉毒警不畏牺牲,粉碎地下毒网的故事。剧中,毒贩用“暗网”这一互联网手段,联系卖家,构建贩毒网络。进入暗网并不容易,需要密钥,而密钥不是所有人都能得到的。

那么,这神秘莫测的暗网究竟是什么?

用特定软件、配置等才能访问

暗网又被称为隐藏网(Hidden Web),普通用户无法通过常规互联网手段搜索和访问它,它是深网(Deep Web)的重要组成部分。与之相对的是公众所熟悉的、通过搜索引擎和网址便能访问的表网(Surface Web)。

通俗地说,暗网就是那些具有非公开访问机制,普通搜索引擎无法搜索其内容的网站。资料显示,表网只承载了全球网络内容丛肆的不到10%,剩下的90%则“藏”于深网之中。

“暗网需要使用特定软件、配置或授权才能访问。”天津大学智能与计算学部教授王文俊在接受科技日报记者采访时表示。

暗网通常存储于网络数据库中,但无法通过超链接访问,而是必须通过动态网页技术来访问。暗网的内容十分丰富,九成以上是动态内容,其余的包括未被链接内容、私有网站、受限存取内容、脚本化内容以及非HTML/文本内容等。

如何才能获取这些内容呢?北京理工大学软件学院副教授闫怀志告诉科技日报记者,主要有两种途径。“一是构建针对性的暗网爬虫和搜索引擎,二是使用暗网所有者提供的信息对接手段。从技术实现角度来说,暗网通常采用特定的编码关键词技术,利用‘洋葱路由(Tor)’‘隐形网计划(I2P)’等工具构建‘隐藏的服务器’。”闫怀志说。

支持匿名交谈,通信高度保密

王文俊说,Tor是由美国海军研究实验室开发出来的匿名系统,用于避免在网上的活动被追踪到。普通用户下载安装相应软件后,便可访问暗网。

I2P则是利用“洋葱路由”的变体技术——大蒜路由,对网络中端到端的信息通道采用单向加密的匿名通信系统,通信隧道只掌握每一跳节点相邻节点的信息,但无法获知通信双方的通信关系,因而保证通信的匿名性。

而用户则需要通过VPN、Tor浏览器等才能实现匿名访问暗网。“Tor浏览器堪称是一枚能打开暗网世界大门的钥匙,它在密码学层面几乎不可破译。Tor浏览器就好像给用户戴了一张面具,用它浏览网站,没人会知道其真实身份。”闫怀志坦言。

暗网之所以吸引人,是因为用户之间的通信高度加密,它允许用户匿名交谈、共享文件。“其中Tor浏览器和Tor服务器被广泛使用,由于暗网通过大量中间服务器传输用户数据,传输信息只能由后续节点解密,因而暗网用户身份和IP地址无法被外界获取,也就无法跟踪相关用户。”王文俊表示。

王文俊解释道,暗桥蠢网作为网络用户身份的匿名化通信系统,不仅从网络协议的改进、IP地址的动态化等方面进行技术伪装,还会对用户内容信息进行加密。量子保密通信是指以具备信息理论安全性证明的QKD技术作为密钥分发功能组件,结合适当的密钥管理、安全的密码算法和协议而形成的加密通信安全解决方案。而暗网则与其不同,它对用户身份、信息的保密更多基于网络协议和IP地址的代理转换,从而隐匿用户身份,让检测机构无法轻易获取到用户登录地址。

普通用户和犯罪分子共存

王文俊介绍道,历史上著名的暗网交易平台有以毒品交易为主的“丝绸之路”网站、被称为“暗网之王”的毒品交易市场Agora等。

闫怀志称,暗网的形成有两种途径。其一是由于某些客观原因,网站自身不规范或缺少统一规划,导致常规的搜索引擎无法对其进行识别,使其成为搜索盲区,从而无法供公众访问,客观上形成了暗网。其二是网站所有者主观上不愿被公众访问,比如出于隐私保护、版权保护以及负面信息隐藏等原因。

人们通常使用暗网做什么?

王文俊告诉科技日报记者,Tor服务器提供的服务有儿童色情内容、非法毒品和其他商品交易的黑市、僵尸网络运营、政治讨论论坛、欺诈相关服务和邮购服务等。

值得注意的是,使用暗网的用户通常是一些非常注重隐私、需保持匿名状态的人,除非法交易者外,还有些用户利用Tor来规避审查,或利用Tor进行威胁信息挖掘。

也就是说,在暗网中普通用户和违法犯罪分子共存。其实,暗网里面的普通用户,有的是为了规避上网行渗消轿为限制,有的则是为了记录、存储、传播并分享信息等。

有网的地方就有“江湖”,暗网更不例外。

“各色人等涌入暗网之后,导致暗网中鱼龙混杂。而在普通公众的认知里,暗网通常是涉黑涉恐、杀人越货、买卖销赃等罪恶孳生地,导致暗网成为违法犯罪平台的代名词。”闫怀志直言。

他告诉科技日报记者,暗网确实在众多影响世界的重大恶性事件中,起到了“根据地”的作用,比如涉恐组织的网站,几乎都植根于暗网。

加密货币助推暗网走向成熟

暗网历史与万维网本身历史一样悠久。

1994年,美国学者吉尔·埃尔斯沃思(Jill Ellsworth)博士首先提出了隐藏网概念,而实用的暗网技术则最早源于美国海军研究实验室。1996年,出于军事目的,该实验室提出如下构想:在某个系统中,所有的用户在联网时均处于匿名状态,用户身份对服务器保密。时至今日,暗网已发展成为数据规模超过表网400倍的另一种网络。

王文俊介绍道,2000年暗网进入发展起步期,开始为大量非法信息传递提供便利,包括非法色情材料和盗版内容。而随着Tor的发布,暗网实现了彻底的匿名操作。2010年,Tor开始与加密货币结合,诞生了第一个黑市。“加密货币一直是暗网走向成熟的最大助推因素。”王文俊说。

暗网号称是犯罪者天堂,也被比作“暗黑版淘宝”。不法分子可通过加密货币购买服务,如军火枪支、毒品,甚至人口买卖等,具有匿名属性的加密货币让双方绕开了政府和银行的监管。特别是恐怖分子利用暗网进行交流和协调时,难以被相关机构识别、跟踪。

2017年7月,由美国与荷兰主导,多国警方协同关闭了以毒品交易为主的暗网平台“阿尔法湾”和“汉萨市场”。

暗网危害众多,最严重的,莫过于其在很大程度上规避了政府监管,成了法外之地。“暗网已成为涉黑涉恐、反政府、反社会、网络黑产交易等不法行为的重要‘栖身地’,给社会和公众安全带来了巨大风险和威胁。”闫怀志直言。

虽然暗网通常难以被追踪,对其实施监管较困难,但世界各国都在加大对暗网打击力度。

比如,可通过监控Tor等浏览器的下载信息来顺藤摸瓜,跟踪暗网用户并监控其在暗网中的行为;也可主动创建暗网陷阱,对犯罪分子等用户开放,坐等违法犯罪分子入瓮;还可让政府监管人员扮演成暗网用户进行卧底,深入虎穴,成功取证。

闲鱼另一身份曝光,闲鱼的另一身份是什么?

闲鱼的另一身份是“中国暗网”。

很多人可能会奇怪,咸鱼不就是个卖二手或闲置物品的网站吗?怎么会和暗网扯上关系。在很多人的认识里,暗网是很高大上的东西,有关于暗网的宣传一直都说暗网如何如何神秘,如何如何危险,如何如何广阔,但其实只要自己上过暗网,就会发现这些宣传有严重的夸大成分。

暗网不过就不能运用一般上网手段到达的网络,有极好的匿名性,因为这个特点,暗网里也就滋生了无数的犯罪,各种违法违规交易都会在暗网继续。

而闲鱼虽然没有匿名性,但是通过交易二手物品名义的掩护,也可以达到交易违法违规物品的效果。

比如色情内容,有心人只要通过一些关键词的搜索,便很轻易在闲鱼上发掘到色情方面的商品,比如影片、小说、漫画,甚至还能搜索到一些以AI换脸技术未噱头的影片,只要给店家发送告坦换脸对象的照片或视频,就可以实现换脸。

除了这些硬色情内容,闲鱼还存在大量软色情内容,其中一项便是所谓的“原味”交易,所谓“原味”就是女生穿过的贴身衣物,这些物品由于是衣物,完全可以当作衣物来进行贩卖。如果说那些色情视频之类的硬色情内容还需要一番寻找才能找到,那这些软色情内容可说是冠冕堂皇存在于闲鱼,非常容易就可以找到。

除了色情内容,信息贩卖也在闲鱼广泛存在。在现在这个时代,人们的信息越来越容芦友行易泄露,人们泄露的信息就成了信息贩子的发财资源。在闲鱼上用某些关键字进行搜索,就可以搜索出大量陪哗的信息贩子,对个人信息明码标价进行出售。

因为存在着大量的违法商品,闲鱼被称为“中国暗网”并不冤枉。

钓鱼短信再次升级,面对用户流失风险,银行金融机构该如何应对

一、钓鱼短信盯上银行用户

据美国网络安全公司proofpoint《2020 State of the Phish Report》数据显示,受疫情全球大流行影响,2020年全球钓鱼短信攻击的增长率超过300%。而其中,针对金融机构的网络钓鱼攻击占比最大,占所有攻击的22.5%。而在国内,这一比例更是高达26.88%:

近期「假冒银行短信钓鱼」案件频发,中国银保监会也紧急发文,就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示:

种种迹象表明,黑产团伙已经盯上各家银行的用户,这将严重威胁到用户的财产安全,并对各大银行的品牌形象造成极为恶劣的影响。

早在2012年,全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送,而传统短信则仅有17.6亿条。从那时起,每年都会有人喊出「短信已死」,结果人家非但没死,每天还变着花样,轮番轰炸你的手机:

营销泛滥的当下,流量转化成本越来越高,以槽点最多的开屏广告为例:

这种误点率极高的设计,就是为了让点击率能突破行业12%的上限。而短信则不同:

Mobile Squared的数据称,在所有营销渠道中,近九成的短信会在被收到后的三分钟之内被打开阅读,这一点是其他任何直接营销渠道所无法比拟的。

在独有的紧迫感下,短信催生了新的商机。除常规的短信验证码、服务类短信通知外,越来越多的悔毕液银行使用文本消息进行新客营销,老客促活。越来越多的银行用户开始习惯,以短信文本消息与银行进行交互。而在不经意间,银行也帮助黑产团伙培养了用户习惯:

完美的钓鱼攻击环境,黑产团伙只需要模仿各大银行定期通过短信与用户互动,便可实施钓鱼短信诈骗。

根据FBI旗下互联网犯罪投诉中心(IC 3)的一份调查报告显示,在过去的三年里,全美因钓鱼攻击所造成的损失,超过260亿美元。而在我国,2020年以来,仅凭拦截下来的钓鱼诈骗信息,就为群众直接避免了将近1200亿元的经济损失。

在美国,摩根大通银行作为金融领域代表,与Netflix、苹果公司入选最受「钓鱼短信」模仿的热门品牌。而「假冒银行钓鱼短信」威胁,早已蔓延全球:

在国内,包括:民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示,对冒充银行短数衫信的新型诈骗手法进行预警:

三、钓鱼攻击背后的黑灰产

钓鱼式攻击(Phishing)作为最早的网络攻击类型之一,其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展,传统钓鱼攻击下又演变出移动钓鱼攻击,其中短信钓鱼攻击(Smishing)就是传统钓鱼式攻击(Phishing)的变种:

作为移动威胁的一部分,「钓鱼短信」攻碧物击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生,包括:姓名、手机号、银行卡号与身份证信息等一套完整的公民隐私信息,对黑产而言,已触手可得。

随着 社会 对钓鱼攻击的关注,传统的攻击手段逐渐为用户所熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击:

成本低,风险小,广撒网,多敛鱼的模式已不具备优势,黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。

1.钓鱼网站:

作为诈骗的关键环节,这块基本也是除了数据外,黑产另一项硬支出。包括:仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。搭建一个完整的钓鱼网站下来,五年前的价格大概在上千元。

随着分工越来越细, 包网服务商 出现,他们为黑产提供包括:搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。为提升竞争力,服务商还开通了各类后台管理系统,为黑产组织提供「一站式钓鱼攻击服务」:

2.精准数据采购

为了提升钓鱼短信转化率,降低运营成本,黑产会向「数据贩子」购买数据。而数据商通过各种渠道,能够拿到各种行业的用户数据,其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易,优质的一手数据,按照1万条算,单价一般能到上千元。一旦黑产掌握了银行用户的真实信息,如姓名、手机号、身份证、银行卡等重要隐私信息后,钓鱼短信的破坏性将得到质的提升。

3.伪基站发送钓鱼短信:

为了提升反侦察能力以及机动性,伪基站设备也在不断更新,由固定式变为移动式,由大功率变为小功率,由大体积变为小体积,使得违法犯罪分子携带更加轻便并实现移动攻击模式,比如,以每小时500元左右为酬劳或以合作分成的方式,让人带着设备穿梭于闹市区以及大型社区,「打一枪换一个地方」。

现在,国内各大运营商和短信平台的风控机制越来越严格,发送这些钓鱼网站被拦截的概率越来越大,于是有些黑产开始用国际短信通道来发送信息,规避审核。这些国际短信通道也有专门的公司提供,一般5000条起发,每条3-4毛钱。

4.出料

当用户上钩后,黑场会将钓鱼网站后台所收到的数据进行筛选整理,利用各个银行的在线快捷支付功能查询余额。然后,直接消费、进行转账或第三方支付消费,而针对无法将余额消费的,将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖),余额巨大的有时还会找人合作进行「洗料」。

5.洗料:

黑产通过多种方式将「料」进行变现,一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将「四大件」变成现金后,通过各种规避追查的手段与合伙人按比例进行分账,日均收入都在6位数以上。

与此同时,钓鱼短信仍保持着快速的技术迭代与策略更新:

利用移动通信、短视频平台、富媒体类等营销场景,钓鱼短信所承载的内容也将愈发丰富。这些消息,用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接;

更具欺骗性的文本使用以及短链,向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名,让假冒域名在移动设备的小地址栏中仅显示该域的合法部分;

配合强调消息的紧迫性以及很难抗拒的诱惑,进一步提升钓鱼短信转化率;

频繁发生的钓鱼攻击案件,正在造成各大银行线上用户的流失。赛门铁克的一项研究表明,将近三分之一的银行用户表示,由于担心遭遇钓鱼攻击,而被迫放弃对网上银行的使用。

随着钓鱼短信攻击的手段日益复杂,事件持续高发,让银行以及用户蒙受巨大损失,严重影响用户财产安全,并逐渐失去对银行的信心。作为交互安全领域服务商,极验将从企业与用户的交互视角,审视钓鱼短信攻击:

早在5年前的 KCon 黑客大会上,网络安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示,短信验证码这种安全认证机制可被轻易突破,理应尽快放弃并使用更安全的认证机制。

GSM 伪基站的搭建:硬件:普通 PC、USRP B2X0 + 天线(或Motorola C118/C139 + CP2102)。软件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom发起并维护的一套高性能、接口开放的开源GSM/GPRS基站系统。

针对短信验证码存在的缺陷与安全隐患,具体表现为:

显然,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。

替代方案:脱敏手机号+免短信登录

仔细研究黑产整个钓鱼短信攻击环节,短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节,极验「无感本机认证」正在替代传统短信验证码:

作为身份校验的升级方案,极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户操作流程,用户体验更加顺畅,有效提高转化率,帮助银行金融机构优化认证流程,助力拉新、留存、促活。

而对于银行用户,提升隐私安全意识,就能抵御超过一半的安全风险:《2019年数据泄露成本报告》中有一组数据,49%的数据泄露是人为错误和系统故障造成的,而这都让他们成为网络钓鱼攻击的牺牲品。

幸运的是,短信网络钓鱼攻击相对容易防御。你会发现,只要什么都不做,通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候,不妨冷静下来思考三个问题:

当然,如果遭遇短信嗅探,则要迅速做出响应,例如:

作为银行用户,提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。一旦遭遇以上情况,提高警惕,必要时可采取关机、启动飞行模式等应对措施应对。

可以预见,在之后数年,移动网络安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深,并导致网络攻击威胁泛滥进一步加深。对抗还将继续,不论是企业还是消费者,唯有不断强化安全意识,提升自身对抗风险能力,并做到及时排除风险隐患,才是不变的真理,从而让自己远离风险。

同时泄露:姓名、身份证号、手机号、银行卡号,会不会有危险?

同时泄露:姓名、身份证号、手机号、银行卡号,会有危险的。

如果手机号银行卡号姓名身份证号泄露了,是比较危险的。为了银行卡里面的资金安全,你最好把这张银行卡进行注销,然后重新办理一张银行卡来存款。泄露姓名、身份证号码、银行卡与手机号四要素,是不会被拿去做网贷的,网贷一般都必须要求做kyc识别,包括以上的四要素,以及活体识别,这样才能说明这个人的真实意愿。四要素泄露,可能会被不法分子拿去注册一些其他网站,但仅仅是注册,干坏事信息量还是不够。

而且,知道银行卡卡号和姓名的,是有一定的危险,此类情况很可能银行卡被“克隆”,尤其是磁条卡。因为不法分子获取被泄露的银行卡信息,通过复制设备软件,便能“克隆”出一张跟原卡一模一样的银行卡。所以用户尽早到银行更换IC芯片卡,特别是那些大额储蓄卡,可以从源头上降低被盗刷的风险。持卡人也最好定期更改密码,这样更能保证资金的安全。

另外,通过暗网或者黑市,一套四要素大概在数十元至数百元不等,由更专业的黑客筛选、购买。低水平黑客看量不看质,只注重获取的信息数量,通过倒卖大批量数据获利。而高水扮睁平黑客则相反,则筛选高价值的信息,即寻找高价值的个人信息单余缺备点突破,目标是单个个体的账号入侵竖毁、资金盗取。有些平台为了快速冲量,短信验证码都不验,甚至平台的市场部或者运营部关键岗位和黑产勾结,让黑产用买来的四要素帮平台冲量,黑产赚取营销费用,市场运营完成KPI,投资人看到高增长,皆大欢喜。此情况下仍然是以大量账户的控制为主,单个账户的获利较少。

最后,一旦身份信息泄露,很可能被不法分子它用,可以及时向互联网管理部门、工商部门等行业管理部门和相关机构投诉举报,如果有明确的侵权人,则可以依据《民法典》、《消费者权益保护法》等,用法律手段维护自己的合法权益,要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。

0条大神的评论

发表评论