什麼是暗網市場?暗網市場如何運作
暗網市場是支持大規模交易被盜數據、憑證和欺詐工具的基礎設施。了解它們的運作方式,可以說明為什麼數據洩露具有持久後果,以及監控服務如何偵測曝露。
暗網市場是支持大規模交易被盜數據、憑證和欺詐工具的基礎設施。了解它們的運作方式,可以說明為什麼數據洩露具有持久後果,以及監控服務如何偵測曝露。
暗網市場是僅通過 Tor 網絡↗才能訪問的 .onion 網站,作為非法商品和服務的點對點或平台媒介市場。其結構與合法電子商務平台非常相似:市場有一個由管理員運營的中央網站,維護平台基礎設施、處理糾紛解決並收取佣金(通常為交易額的2-5%)。賣家——個人銷售者——創建帶有產品描述、定價和交付條款的列表。買家瀏覽列表、購買並留下評價。基於累積評價的聲譽系統在匿名方之間建立信任和問責,就像 eBay 或亞馬遜市場,但針對被盜數據和違禁品。最重要的暗網市場支持過數以萬計的同時列表並處理數以億計美元的年交易量。
暗網市場上的付款完全以加密貨幣進行——主要是門羅幣(XMR),因其更強的私隱屬性,或帶有混幣/洗幣服務的比特幣(BTC)。市場使用托管系統:當買家從賣家購買時,付款由市場托管,直到買家確認收貨和滿意,此時資金釋放給賣家。這種托管模式創建了一種功能性信任機制,使未知方之間的交易成為可能。一些大量交易的受信任賣家可以獲得「提前結算」安排,買家更快釋放資金,減少市場對高價值交易的可見性。托管系統對執法機構是雙刃劍——它創建了一個可以在取締行動中瞄準的集中瓶頸,但也意味著市場管理員在任何時候都持有大量加密貨幣資金。
按照合法商業標準,市場壽命通常較短。執法機構——包括歐洲刑警組織的歐洲網絡犯罪中心(EC3)、FBI,以及越來越多參與香港警務處的國際刑警組織——通過技術滲透、財務追蹤和國際合作積極針對暗網市場。主要市場已在高調行動中被取締:絲綢之路(2013年)、AlphaBay(2017年)、Hansa(2017年)以及近年的 Genesis 市場(2023年)。當市場被取締時,賣家和買家通常在幾天內遷移到後繼市場——生態系統的去中心化性質意味著取締會破壞但很少永久消除市場活動。就暗網監控而言,重要的不是具體的市場名稱,而是在整個生態系統中流通的數據——您的被盜數據可能在其整個生命週期中通過多個市場平台傳遞。
暗網平台上的數據市場高度組織化,具有不同的類別、基於數據質量的分層定價和賣家專業化。憑證列表——來自洩露數據的電郵和密碼組合——是數量最大的商品,通常以大批量(「日誌」)出售,數量從數千到數百萬條記錄不等,單價低廉(舊的、未經驗證的數據每條幾分錢;最近驗證的高價值賬戶憑證每條最高5美元)。憑證列表通常按原產國分類,使犯罪分子能夠輕鬆購買特定的香港憑證——.hk 電郵地址的登入數據、滙豐或恒生的銀行憑證,或以香港電話號碼注冊的社交媒體賬戶。
「完整身份包」類別——完整的身份套裝——價格最高。香港完整身份包通常包括身份證號碼、全名、出生日期、住宅地址、手機號碼、電郵地址,以及在高級列表中的銀行賬戶號碼、近期交易記錄和安全問題答案。交易記錄和安全問題數據來源於對金融機構的高質量洩露或通過社會工程學攻擊。附帶已驗證銀行訪問的高級香港完整身份包的標價為100至500美元,具體取決於賬戶餘額和信用額度。僅涵蓋身份證加出生日期加電郵的「部分完整身份包」更便宜(20至50美元),主要用於身份文件申請或合成身份構建。了解完整身份包包含什麼,解釋了為什麼您的身份證號碼加上洩露中的其他數據比僅限電郵的洩露令人擔憂得多。
除原始數據外,暗網↗市場還出售支持欺詐的工具和服務——創建一個降低犯罪門檻的生態系統。網絡釣魚套件——針對滙豐、恒生、PayMe 和政府服務的預建欺詐網站模板——售價50至200美元,部署時只需很少的技術技能。惡意軟件即服務(MaaS)產品以月訂閱費提供遠程訪問木馬(RAT)、鍵盤記錄器和銀行惡意軟件。欺詐教程提供針對香港特定系統的特定攻擊類型的分步指南。錢騾招募服務將犯罪分子與願意收取佣金轉移資金的本地香港居民聯繫起來(通常是通過虛假招聘廣告招募的不知情參與者)。這種服務生態系統意味著技術不成熟的犯罪分子可以使用購買的工具和服務執行複雜的攻擊。
針對暗網市場的執法行動是最複雜的跨境網絡犯罪調查之一。成功的行動需要技術滲透 Tor 隱藏服務(儘管匿名化,識別服務器位置)、追蹤加密貨幣付款(使用區塊鏈分析工具)以及在多個司法管轄區的警察部隊、檢察官和法院之間的國際協調。歐洲刑警組織的 EC3、FBI、DEA、IRS-CI 和 HSI 在最大規模的取締行動中合作,情報通過包括香港警務處的國際刑警組織渠道共享。2023年4月的 Genesis 市場取締行動涉及17個國家和200多次逮捕,展示了現代暗網執法行動的規模——但也突出了數據恢復的挑戰:Genesis 持有全球150萬個人的賬戶,取締後分析揭示了涉及香港居民的數據。
當暗網市場被取締時,市場數據有三種可能的結果。首先,在最好的情況下,執法機構沒收市場的數據庫並用於識別受害者和犯罪分子——在一些行動中(如 AlphaBay 和 Hansa),執法機構在取締前秘密運行市場數週,收集證據。其次,如果管理員提前收到取締警告,他們可能已退出市場(「退出詐騙」)帶走所有托管資金並刪除數據——讓受害者和買家無處訴求。第三,也是較大市場最常見的情況,數據在取締後倖存並分發給賣家社區,被轉移到後繼市場,或僅保留在犯罪分子手中。對於數據曝露的受害者,暗網市場被取締並不意味著他們的被盜數據已被銷毀——這意味著主要分發渠道受到干擾,但基礎數據可能仍存在於其他地方。
香港警務處科技罪案組參與國際暗網調查,並有自己針對本地相關網絡犯罪基礎設施的行動。在重大國際取締行動後,科技罪案組已發布公告警告香港居民有關影響本地用戶的特定洩露數據集。科技罪案組還運營網絡犯罪舉報機制(18222),並與新加坡、台灣和中國大陸的國際刑警組織及地區警察部隊協調跨境暗網調查。對於發現自己的數據已在暗網市場列表中曝露的香港居民,向科技罪案組舉報可創建官方記錄,並可能有助於正在進行的調查——特別是如果列表指定了來源洩露或賣家,這可以幫助執法機構追蹤數據的來源。
了解暗網市場結構可以澄清商業暗網監控服務的價值和局限性。付費監控服務部署爬蟲主動索引暗網市場列表、論壇帖子和粘貼網站——在這些平台上流通的大量材料中搜索您注冊的數據(電郵地址、電話號碼、身份證號碼)。市場生態系統的複雜性意味著有效監控需要的不僅僅是查看 HIBP 的洩露數據庫:它需要持續監控活躍市場、新興論壇和通常首先分發新鮮洩露數據的粘貼網站。這就是為什麼對於有較高風險狀況的個人,免費(僅限 HIBP 電郵)和付費監控之間的覆蓋差距是顯著的。
分層市場結構也解釋了為什麼一些數據曝露被監控服務迅速偵測到,而其他的需要數月或數年才能浮現。來自大型、知名服務的高知名度洩露數據被廣泛且迅速地分發——在幾天內出現在粘貼網站、公共論壇和多個市場列表中,使監控服務非常可能偵測到。小型、針對性洩露——特別是涉及高淨值個人的高級「完整身份包」列表或特定企業憑證的洩露——在私人渠道或高聲譽賣家對買家的直接通信中更安靜地交易。這種私下、安靜的交易最難通過自動化監控偵測。實際含義:監控提供了一個覆蓋基底——捕獲大多數商品數據曝露——但不能保證偵測所有涉及您特定數據的有針對性的高價值交易。
對於企業,暗網市場生態系統創造了具體的企業監控需求。企業憑證列表——VPN 憑證、企業電郵賬戶、內部應用程式登入——定期出現在暗網市場上,這是企業暗網監控市場的主要驅動力。HIBP 的域名監控,加上 Recorded Future、Flashpoint 或 Digital Shadows(Reliaquest)等企業服務,提供了當特定企業域名的員工憑證出現在市場列表中時的可見性。這種情報使 IT 安全團隊能夠強制密碼重置並在犯罪分子將其用於初始網絡訪問之前撤銷被入侵的憑證。對於金融服務、專業服務和科技領域的香港企業,投資於涵蓋其威脅狀況最相關的特定論壇和市場的企業暗網監控是重要的防禦措施。
