暗网上的寄生虫:骗子们互相拆台

Sophos在欧洲黑帽大会上公开的研究揭露,暗网论坛的用户受到网络犯罪地下世界中一个繁荣的欺诈副经济体的威胁。
暗网寄生虫
来源:Dark Reading主编Tara Seals,来自2022年欧洲黑帽大会。

网络犯罪分子常被视为寄生虫,从各种规模和类型的受害者身上获取利益。但事实证明,他们也成为了自己的目标,一群以底层为食的“寄生虫”涌向暗网市场,寻找自己的猎物。

这是一种有趣的现象,它为研究者暴露了丰富的威胁情报,包括网络犯罪分子的联系方式和位置信息。

Sophos高级威胁研究员Matt Wixey在2022年欧洲黑帽大会上发表了关于寄生虫生态系统的演讲,题目是“骗子们互相欺骗,黑客们互相攻击”。根据他和另一位研究员Angela Gunn所做的研究,地下经济中充斥着各种各样的欺诈者,他们每年从同行那里骗取数百万美元。

他们分析了三个暗网论坛(俄语的Exploit和XSS,以及英语的Breach Forums)在12个月内的数据,发现了数千起成功的欺诈行为。

Wixey说:“这是一笔丰厚的收入。骗子们在12个月内从这些论坛的用户那里骗走了大约250万美元。每次欺诈的金额可以从2美元到低六位数不等。”

暗网寄生虫

欺诈手段各有不同,但最常见的也是最粗暴的一种是被称为“割韭菜”的伎俩。这指的是两种“割”变体之一:买家收到货物(一个漏洞利用,敏感数据,有效凭证,信用卡号等),但不付钱;或者,卖家收到钱,却不交付承诺的东西。而“韭菜”部分则指的是骗子从市场上消失,拒绝回答任何询问。可以把它看作是暗网版的“吃霸王餐”。

还有很多骗子兜售假货——比如不存在的加密账户,无法制造恶意软件的宏生成器,虚假数据,或者已经公开或者之前泄露过的数据库。

其中一些还很有创意,Wixey解释道。

“我们发现了一个声称能够将一个.EXE文件绑定到一个PDF文件的服务,这样当受害者点击PDF文件时,它会加载,同时在后台悄悄运行.EXE文件。”他说。“但骗子实际上只是把一个带有PDF图标的文档发回给他们,这个文档既不是PDF也不包含.EXE。他们希望买家不知道自己在要求什么或者如何检查。”

还有一种常见的欺诈是卖家提供真实的货物,但质量不如广告所说——比如信用卡数据声称有30%的有效率,而实际上只有10%的卡能用。或者数据库是真实的,但被标榜为“独家”的,而卖家实际上是在向多个买家转售。

在某些情况下,欺诈者会以更长期的方式合作,他补充道。网站往往是独家的,这就培养了“一定程度的内在信任”,他们可以利用这一点,Wixey说。

“其中一个会和目标建立关系,并提供一项服务;然后他们会说他们其实认识另一个人,能做得更好,是这方面的专家。”Wixey解释道。“他们经常会把他们引向一个假论坛,那里有第二个人工作和运营,这需要一定的押金或注册费。受害者支付了注册费,然后两个骗子就消失了。”

论坛如何反击

这种活动对暗网论坛的使用产生了不利影响——它相当于对犯罪市场征收了一种“有效的税收,使得所有人的成本更高,风险更大”,Wixey指出。因此,具有讽刺意味的是,许多市场正在实施安全措施来遏制欺诈的潮流。

论坛在建立安全防护方面面临着几个挑战:一是没有法律或监管机构的救济途径;二是这是一个半匿名的文化,使得追踪罪犯变得困难。所以,已经采取的反欺诈控制措施往往侧重于追踪活动并发出警告。

例如,一些网站提供插件,可以检查一个URL是否链接到一个经过验证的网络犯罪论坛,而不是一个通过虚假的“加入费”欺骗用户的假网站。另一些网站可能会运行一个确认过的骗子工具和用户名的“黑名单”。而大多数论坛都有专门的仲裁流程,用户可以提交欺诈报告。

Wixey说:“如果你被论坛上的另一个用户骗了,你可以去其中一个仲裁室,开启一个新主题,并提供一些信息。”这可能包括涉嫌骗子的用户名和联系方式,购买或钱包转账细节的证明,以及尽可能多的欺诈细节——包括截图和聊天记录。

“版主会审查报告,根据需要询问更多信息,并给被指控者打上标签,根据论坛的不同,给他们12到72小时的回应时间。”Wixey说。“被指控者可能会赔偿损失,但这很少见。更常见的情况是,骗子会争辩报告,并声称这是由于对销售条款的误解。”

有些人根本不回应,那么他们就会被暂时或永久地禁止。

论坛用户的另一个安全选择是使用担保人——一个经过网站验证的资源,充当第三方托管账户。要交换的钱会停留在那里,直到货物或服务被确认为合法。然而,担保人本身也经常被骗子冒充。

威胁情报的宝库

这项研究让我们看到了黑暗网络世界中一个有趣的小切片的内部运作,但 Wixey 也指出,仲裁过程特别为研究人员提供了一个极好的威胁情报来源。

“论坛在遇到诈骗指控时会要求证据,包括截图和聊天记录等,而受害者通常都很乐意提供,”他解释说。“其中一小部分人会对证据进行编辑或限制,使其只对版主可见,但大多数人不会。他们会发布未经编辑的截图和聊天记录,这些记录通常包含了大量的加密货币地址、交易 ID、电子邮件地址、IP 地址、受害者姓名、源代码和其他信息。这与犯罪市场的其他领域形成了鲜明的对比,在那里,操作安全通常做得很好。”

一些诈骗报告还包括了一个人桌面的完整截图,包括日期、时间、天气、语言和应用程序等,为定位提供了线索。

换句话说,正常的预防措施都被抛到了九霄云外。Sophos 对三个论坛上最近 250 个诈骗报告的分析发现,其中近 40% 包含了某种形式的截图;只有 8% 限制了证据的访问或提出私下提交。

“总的来说,诈骗报告既可以用于技术情报,也可以用于战略情报,”Wixey 总结道。

“这里最大的收获是,威胁行为者似乎并不免疫欺骗、社会工程或欺诈,”他补充说。“事实上,他们似乎和其他人一样容易受到攻击。这有点有趣,因为这些正是他们用来对付其他用户的技术。”

推荐阅读:

密码共享被Netflix封杀 用户转战暗网寻找流媒体服务

暗网灰产催收:利用网络平台教唆逃废债,伪造征信报告,扰乱金融秩序

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20