近年来，网络攻击的频率显着上升。攻击者越来越多地不仅出于经济利益，而且出于政治动机。各类公司正成为各种形式网络犯罪的受害者，例如网络钓鱼攻击和数据泄露。 为了防范这些威胁，专家建议使用专门的数字风险保护（DRP）服务。这些服务不仅有助于识别互联网隐藏角落中的潜在危险，而且在保护个人声誉方面发挥着至关重要的作用。 然而，问题仍然存在：独立监控暗网是否可行，或者是否建议寻求专业帮助？ 暗网监控，数字风险防护 互联网的底层，也称为“暗网”，已经发展成为一个多功能平台，可以保证网络犯罪分子完全匿名。暗网的范围不断扩大，包括恶意行为者使用的各种工具。即使是看似合法的网站也变成了黑客的工具，包括即时通讯工具、torrents和论坛。 尤其是Telegram，它已成为非法活动的热点，提供了私人频道和聊天等理想条件。此外，近年来进入网络犯罪世界的门槛大大降低，这导致网络攻击规模不断升级。 网络情报和监控的交叉至关重要，因为它不仅仅是侦查犯罪。它需要了解事件背后的动机，并为未来制定预防措施。对暗网的监控在很大程度上依赖于分析人员的手动工作，涉及诸如渗透人员进入暗网黑客论坛或参与招募活动等策略。 数字风险保护平台在保护公司免受犯罪分子利用客户品牌实施的非法活动方面发挥着至关重要的作用。这些非法行为可能包括滥用个人数据收集、品牌欺诈、针对高层管理人员的攻击以及在暗网上暴露敏感信息。 暗网监控如何帮助降低风险 数字风险保护平台利用人工智能的力量，专门用于识别和减轻数字威胁。安全专家普遍认为，数字风险保护不仅有助于降低网络安全风险，还能解决财务、声誉和法律问题。 有趣的是，不使用暗网监控工具的公司可能仍未意识到机密内部信息的潜在泄漏可能性。此外，并非每个人都了解与此类泄漏相关的内在风险。 以下是DRP团队如何减轻网络攻击后果的实际示例。某DRP团队设法从一个暗网地下论坛招募了一名管理员，他愿意以优惠的报酬进行合作。在该论坛中，犯罪分子发布了有关一家大公司内部服务的泄密信息。通过招募过程，专家能够迅速删除这些敏感数据。该公告的可见时间不超过30分钟，防止其他参与者进行任何未经授权的复制。 当今最流行的窃取信息的工具是各种信息窃取程序和键盘记录程序。这些恶意程序旨在从受感染的计算机和手机收集机密数据，例如工作登录凭据、银行卡详细信息等。专家指出，有几个重要项目值得识别，包括出售基础设施访问权、泄露的登录凭证和密码、文件、源代码、公司重要基础设施的照片以及网络犯罪分子的计划。 尽管专家强调了一系列令人震惊的威胁，并且DRP提供了暗网监控的众多好处，但仍有相当一部分公司不知道它的存在。许多组织可能听说过DRP，但尚未将其纳入其安全措施中。 自行开展暗网监控的可行性和挑战 对泄露信息进行切实有效的监控是一项具有挑战性的任务。主要困难之一是如何选择搜索此类信息的来源。这些来源是高度动态的，有些需要专门的技术解决方案，而另一些则根本无法公开访问。发现相关链接并编制有关网络活动的全面统计数据增加了复杂性。 此外，一个重要的考虑因素是确定公司内部谁应负责监控。应该是由内部团队负责，还是外包给第三方专家？ 公司内部的信息资产通常是分散的，需要与各个不同部门协作进行监控。因此，防范数字风险的责任可能超出了主要负责应对事件的信息安全专家。让市场营销、人力资源和律师等其他部门参与进来，可以为这项工作提供宝贵的支持。 确定开展网络跟踪和监控的基本渠道 在开展监控活动时，重要的是不要只关注预定义的渠道列表。为了有效识别漏洞，不仅需要监控暗网，还需要监控可能出现公司关键信息的深网、社交网络和论坛。然而，不同来源的重复数据会使搜索过程变得复杂。人工处理如此大量的数据是不切实际的。 这些数据源的动态性质凸显了开发数字风险保护系统并使之自动化的重要性。。如果没有这样的系统，监控的有效性就会显着降低。此外，网络上的信息经常被删除或审核。如果公司不能及时发现和应对泄漏的数据，人工检索几乎是不可能的。 DRP解决方案的技术方面涉及一个独特的功能：设计用于搜索公开来源信息的算法不一定总能在更私密和非公开的资源中有效发挥作用。必须审查和修改搜索和选择算法，以确保信息检索的准确性和全面性。 DRP客户的结果和成果 通过实施DRP，公司可以有效地满足其各种需求，从监控和警报到分析和事件响应。实施DRP后，企业将获得全面的覆盖，并由高度专业的专家处理整个过程。他们不仅监控和检测潜在威胁，还立即采取行动减轻威胁。 例如，如果客户遇到网络钓鱼攻击，DRP专家可能会进行干预，以阻止欺诈性资源的操作在机密数据泄露的情况下，专家会负责与相关销售商或分销商沟通。此外，他们还协助创建必要的文件，以便向执法机构报告事件，并与客户的信息安全部门合作，协调事件响应工作。 为了确定DRP服务的内部客户，建议评估信息安全部门以及公共关系（PR）、人力资源（HR）和营销部门的具体需求。不同的部门可能负责处理各种类型的威胁。例如，一个团队可能专门打击网络钓鱼企图，而另一个团队则专注于解决内部泄密和内部威胁。对于客户来说，关键是要在组织内部确定具备处理特定数据所需的专业知识的人员。例如，市场营销部门可以负责监控与媒体相关的风险。 DRP趋势和预测 在过去的一两年里，人们对数字风险保护解决方案的兴趣显着增加，导致其客户群显着扩大。五年前，DRP被认为是一种利基产品，主要由国家机构和大型企业使用。然而，现在的情况已经发生了变化，各部门和各行业的客户情况已经多样化。 如今，DRP已覆盖小型企业、零售机构、电子商务平台和各种服务。预计这一趋势未来仍将持续。对于许多行业和组织来说，DRP正在从可自由选择的选项转变为必需的选项。 结论 并非所有公司都完全了解与数据泄漏相关的风险。有些公司甚至对过去的黑客事件一无所知。然而，越来越多的DRP工具的当前和潜在用户热衷于保护自己的品牌和声誉，以及应对经济风险。 网络攻击的普遍性预计将继续增长，从而推动对数字风险保护解决方案的需求增加。虽然公司可以自行监控暗网以识别潜在威胁，但这种方法并不有效或经济上合理。被盗信息的来源不断变化，监控封闭资源需要额外的财务投资和专业技能。 提供数字风险保护服务的专家可以提供全面的服务，满足客户的所有需求，包括监控、警报、分析和事件响应。这些专业人员拥有驾驭错综复杂的网络威胁所需的专业知识。他们积极介绍和招募影子网络中的个人，以迅速收集和删除危险信息。此外，它们在自动化DRP系统并使其适应不断变化的数据源方面发挥着关键作用。 通过利用DRP专家的专业知识，企业可以有效降低数字风险，确保采取积极有效的方法来保护其资产和声誉。这种方法比自我监控更可取，可以让企业专注于其核心业务，同时将数字风险保护的复杂方面留给专业人士。...

2023年4月5日，美国联邦调查局（FBI）和荷兰国家警察局宣布捣毁最大的暗网市场之一Genesis Market。这次行动被称为“饼干怪兽行动”（Operation Cookie Monster），共逮捕了119人，并缴获超过 100 万美元的加密货币。您可以在此处阅读联邦调查局的搜查令，了解此案的具体细节。鉴于这些事件，可以讨论一下暗网威胁情报（OSINT）如何协助暗网调查。 暗网的匿名性吸引了各种各样的用户，从举报人和政治活动家到网络犯罪分子和恐怖分子。有多种技术可用于尝试识别这些网站和角色背后的个人。 技术漏洞 虽然不被视为OSINT，但在某些情况下，用于托管暗网网站的技术中存在技术漏洞。这些漏洞可能存在于软件本身，或者是由于配置错误造成的，但它们有时会泄露站点的真实IP地址。通常，这些软件漏洞需要使用渗透测试工具和技术（例如BurpSuite）来造成包含站点真实IP地址的错误消息。诸如此类的漏洞并不常见，而且很少被利用。 也有暗网网站运营者使用SSL证书或SSH密钥的情况，这些证书或密钥可以使用Shodan、Censys、Zoomeye或Fofa等资产扫描探测服务发现其明网上的真实IP地址。 加密货币追踪 暗网上的交易通常涉及加密货币以支付非法商品和服务。这使得借助区块链分析工具来识别个人身份成为可能。 根据各国”防止洗钱“的法律，任何人都无法以“匿名”名义去银行开设账户。这些要求通常称为反洗钱（AML）和了解您的客户（KYC），并要求客户提供政府颁发的身份证明以证明身份。许多国家对加密货币交易所都有类似的要求。 多年来，一些公司提供了区块链分析工具，试图将加密货币地址与特定交易所（例如Coinbase或Binance）联系起来。一旦加密货币地址与特定交易所存在联系，具有法律权限的执法和/或金融调查人员就可以要求交易所向他们提供该账户所有者的身份识别信息。 一直以来，对于个人来说，这些区块链分析服务购买成本高昂，但是，区块链分析提供商Breadcrumbs最近推出了一个分析平台，提供更实惠的价格和免费计划。 带回到互联网上 如何将需要在暗网上获取的联系方式带回互联网？想象一下，如果您经营着一辆餐车，而城市规定您每月不能在同一地点出现超过两次，您只能被迫不断更换地点。您将如何尝试建立品牌忠诚度，并让潜在客户知道您每天所在的位置？ 您可能会尝试让客户在社交媒体上与您联系或访问您的网站等，以便他们知道在哪里可以找到您。不管你相信与否，暗网上也存在着非常相似的动态。 暗网提供的是匿名性，缺乏的是稳定性和安全性。Silk Road、AlphaBay、Hansa、WallStreet以及现在的Genesis等主要暗网市场均已被执法部门取缔。拒绝服务攻击已成为Tor网络上的一个主要问题，最近流行的暗网论坛“Dread”前期也因此类攻击而关闭数月就证明了这一点。您能想象在那种环境下尝试经营暗网生意并获得稳定的收入吗？ 卖家尝试实现稳定性和弹性的一种方法是在多个市场上销售，并提供直接联系他们的方法。这种提供稳定性的尝试非常有意义，并且对于OSINT从业者来说非常有用，因为它提供了联系方法或“选择器”，因为可以使用它们在互联网上找到他们，并充分利用所有的知识、经验和资源。如从暗网网站获取电子邮件地址，并将其与使用Google的互联网上的网站关联起来。 一旦我们将个人与互联网上的资源联系起来，我们就有多种选择来对其进行去匿名化。最常用的一些选项包括： 历史WHOIS查询 WHOIS记录等域名注册信息可以提供有关网站所有者或运营者的有用信息。在某些情况下，犯罪分子可能会利用不准确或不完整的隐私保护措施，无意中暴露自己的身份或位置。即使某个网站的WHOIS信息目前是匿名的，但在过去的某个时间点往往不是匿名的。 论坛上的OSINT 暗网上的个人经常参加论坛进行交流、回答问题等，他们可能会无意中透露出可以帮助OSINT从业者更多地了解其真实身份的信息。他们使用的语言和独特的说法非常有用。 泄露数据 即使电子邮件与匿名服务绑定，用户也可能在其他网站上使用过它，包括论坛和社交媒体。如果在法律和道德上允许您能够在调查中使用泄露数据，您也许能够将在线角色与真实姓名、实际地址等联系起来。 事实证明对一些调查人员有帮助的一个泄露示例是2021/2022年来自多家VPN提供商（包括SuperVPN、GeckoVPN和ChatVPN）的10GB数据泄露。这些数据包含所用设备的全名、账单详细信息和潜在的唯一标识符，包括移动设备的国际移动用户身份（IMSI）。 未来的发展和趋势 未来的暗网市场打击将使用本文讨论的方法，并且毫无疑问将采用新兴技术。最明显的发展是在OSINT中使用人工智能（AI）和机器学习（ML）。例如，人工智能可以帮助构建网络爬取工具，可以快速收集和分析来自多个来源的数据，而机器学习算法可以经过训练来识别数据中的模式和关系。这些进步有可能为调查人员节省大量时间和资源，使他们能够专注于调查的其他方面。...

谷歌Google 公司今天宣布，美国的所有Gmail用户将很快能够使用其专业提供的暗网报告安全功能，来发现他们的电子邮件地址是否在暗网上被泄露。 这家搜索巨头还在谷歌I/O年度开发者大会上表示，该功能将在未来几周内推出，以后该功能的使用权限也将扩展到选定的国际市场。 谷歌的暗网报告工具并不是一项新功能 由于您可能注册的服务和平台的数据泄露，电子邮件地址等个人信息可能会进入暗网。然后，这些信息可以被网络犯罪分子以各种方式出售和使用，包括身份盗用、银行欺诈和网络钓鱼诈骗。 谷歌的暗网报告工具并不是一项新功能，但它以前只适用于订阅该公司扩展的云存储平台Google One的美国用户。谷歌还表示，该工具最终将可用于“选定的国际市场”，但没有具体说明哪些国家可以获得访问权限。 一旦启用该功能，它将允许Gmail用户在暗网上扫描他们的电子邮件地址，并根据谷歌提供的指导采取行动保护他们的数据。 例如，他们会被建议开启两步验证，以保护他们的谷歌账户免遭劫持企图。 “以前仅适用于美国的Google One订阅者，我们将在接下来的几周内扩大对暗网报告的访问，因此在美国拥有Gmail帐户的任何人都可以运行扫描，以查看您的Gmail地址是否出现在暗网上，并获得关于采取什么行动来保护自己的指导。”谷歌核心服务高级副总裁Jen Fitzpatrick说。 谷歌还将定期通知Gmail用户，检查他们的电子邮件是否与最终出现在地下网络犯罪论坛上的任何数据泄露有关。 暗网报告于2023年3月开始向美国所有Google One计划的成员推出，提供一种简单的方式，当他们的个人信息在暗网上被发现时，可以得到通知。 “Google One的暗网报告可帮助您在暗网上扫描您的个人信息——例如您的姓名、地址、电子邮件、电话号码和社会安全号码——并在找到时通知您。”Google One产品管理总监Esteban Kozak在3月首次宣布该功能时说。 如何启用暗网监控功能 GoogleOne订阅者可以通过在进入Google One并单击“暗网报告”下的“设置>开始监控”后，使用他们的信息创建监控配置文件来启用它。 谷歌公司表示，所有添加到配置文件的个人信息都可以从监控配置文件中删除，或者通过在暗网报告设置中删除配置文件来进行删除。 Kozak补充说，Google One用户还会看到结果，并“可能在这些数据泄露中找到的其他相关信息”。 “如果在暗网上找到任何匹配的信息，我们会通知您，并提供有关如何保护该信息的指导。”Kozak说。 谷歌将推出一系列新功能保护用户安全 在今天的谷歌I/O大会上，谷歌还宣布升级了安全浏览服务，以在Chrome和Android上捕获和阻止25%以上的网络钓鱼尝试。 该公司还在Google Drive中添加了新的垃圾邮件视图，旨在帮助用户控制他们想要指定为垃圾邮件的内容。Drive会自动将明显的违规者分类到垃圾邮件视图中，以防止用户意外访问任何“不需要或滥用的内容”，谷歌声称新视图使分离和审查文件变得更加容易。 删除Google地图中的搜索历史记录也变得更加容易。您已经可以通过帐户设置中的“Web & App Activity”选项卡清除您的搜索历史记录，但现在，谷歌添加了直接在地图中单击即可删除最近搜索的功能。 谷歌还向其他平台和组织提供安全服务 Google的内容安全API被Facebook和Yubo等公司用来识别和删除网络中的儿童性虐待材料（CSAM），今天正在扩展到包括视频内容。 这是以前由CSAI Match管理的内容，CSAI Match是YouTube用于检测在线视频中的CSAM的专有技术。谷歌没有提及API的新视频功能是否正在取代CSAI Match或这两种服务有何不同。...

2023年为网络犯罪分子打造的俄罗斯三大顶级暗网论坛 网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上，但部分论坛也可以通过明网访问，是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分，为出售被盗证书、勒索软件即服务和恶意软件提供便利，而一个单独的部分则保留用于一般的网络犯罪讨论。 众所周知，俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明，74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外，俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。 从威胁情报的角度来看，监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象，或者揭露出售的用户凭据，然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛，企业需要重点对这些暗网论坛进行监控。 Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一，早在2005年就已启动。顾名思义，该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛，从社会工程技术到破解密码算法的教程。 该论坛是一个以俄语为主的论坛，有一个市场板块，网络犯罪分子在这里交易被盗的信用卡信息、恶意软件，甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是，这个论坛既可以通过表网上的标准互联网浏览器访问，也可以使用Tor浏览器通过暗网访问。 但是，要访问论坛和参与讨论，威胁行为者要么支付100美元的自动访问费用，要么他们可以尝试获得免费访问权限，条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛，但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。 Exploit.in的明网地址： https://exploit.in/Exploit.in的暗网地址： https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion XSS.is XSS.is是另一个封闭的俄语论坛，可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户，包括禁用所有用户登录和用户操作的IP地址日志，以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题，然后等待网站管理员的批准。 XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易，这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前，XSS.is被广泛用于为勒索软件即服务团伙招募成员，但论坛管理员在2021年禁止了勒索软件话题。 这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB，直到2018年一名管理员被捕，之后它被重新命名为XSS。 XSS.is的明网地址： https://xss.is/XSS.is的暗网地址： https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion RAMP 2.0 2021年RAMP 2.0（俄罗斯匿名市场）论坛的成立有一个有趣的背景故事，它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。 Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名，在受害者拒绝屈服于他们的勒索要求时发布被盗数据。 从2012年到2018年，RAMP的前一个版本存在于一个不同的域名上，但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本，但出现了一个新版本，重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划，恶意软件板块，以及另一个专门出售企业账户访问权的板块。 注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0，在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。 RAMP 2.0的明网地址： https://ramp4u.io/RAMP 2.0的暗网地址： http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion...