暗网探秘(二):入侵、勒索、身份盗窃:网络犯罪的平民化
上次讲到恶意软件作者的平民化;这次聊聊犯罪行为本身的平民化。
大众媒体带给大家的一种误解,是搞网络犯罪的都是训练有素的黑客团伙,他们瞄准的都是富可敌国的商业机构或掌握社会命脉的政治组织。然而,这些媒体没有报道的,是无数名不见经传的业余犯罪分子。他们可能白天是人模狗样的白领,晚上就蜷在某个阴暗角落中偷窥私家摄像头、向陌生人电脑里植入木马、或者入侵前女友的账号。
而且,这些人无需是电脑专家,他们甚至不需要了解最基本的网络知识。暗网为他们提供了便利的作案工具,甚至完善的配套服务体系。世界上任何一个人,只要知道如何登录暗网和兑换比特币,就可以方便地作案。
让我们看一个例子:上图是某暗网网站的截图。网站内容一目了然:只要花 0.03 比特币,网站作者就可以入侵你指定的任何脸书账户。这是几年前的截图,当时的比特币还很便宜。
这里提到一个技术细节:网站地址和电子邮箱是暗网专用的 “.onion” 域名后缀。这些地址需要用特殊工具访问,在明网(既互联网)上是访问不了的。
就像在明网一样,暗网中有各种便利的网上服务,比如这个网站用的电子邮箱就来自第三方服务。这类服务的用户是不法分子以及情报和执法机构。因为暗网中的所有活动都是匿名的,商家无法区别这两类用户。有时商家本身就是执法机构。钓鱼执法在暗网十分有效。在本月早些时候,FBI 通过亲自运营加密通讯服务ANOM,粉碎了一大批网络罪犯团伙。
因此暗网操作可谓无间道、碟中谍。暗网中的老大深谙间谍与反间谍、匿名与反匿名技术。然而,对于散户而言,犯罪风险没有那么高,原因是比特币和暗网地址的反匿名溯源虽然从技术上可行,但操作起来代价高昂,而且往往要联合国际警力。警方的注意力主要集中在大规模团伙、性质严重的案件、和大型服务平台。这便纵容了平民犯罪和围绕这类犯罪的生态系统。
第二个例子来自一个曾经十分火爆的暗网商城。这种商城与明网中的ebay别无二致,商品分类完尽、可以在线完成交易、甚至备有完善的商品星级评价和卖家信誉系统。唯一的不同,就是交易商品均为非法或犯罪工具。你可以从下图左边的菜单看出,这个网站的商品种类齐全。
我已经覆盖了图中的敏感信息,仅显示被置顶的第一个商品,以便示范。这件商品是美国六十岁以上随机人口的信用报告。价格依所需信用等级确定,并不昂贵。这类商品为实施身份盗窃的犯罪分子大开方便之门。有多少无辜的民众就这样被不法之徒利用。我几乎可以保证,你和我的个人信息,包括我们的登录密码、信用卡号、家庭地址等等,正在暗网中被交易着。
值得庆幸的是,这个网站,连同其他几家大型暗网商城,都在几年前被国际警力围剿了。始作俑者得到了应有的惩罚。
我想通过这个例子告诉我们每一位无辜的个体:一定要做好个人信息安全工作,至少要坚持以下几条最、最、最基本的原则:
- 网站之间不要共享密码。
- 不要自己设计密码、不要试图用脑子记住他们、不要存在文件里。一定用专业密码管理工具(Dashlane、LastPass 等)生成和管理密码。这些工具也提供暗网监视功能,提醒你哪些个人信息可能已被泄露,以及建议补救措施。注意不要用浏览器自带的工具。
- 社交工程(social engineering)是当今最普遍的犯罪手段,而且防不胜防。了解什么是 social engineering,以及如何防范。
- 减少智能设备的使用。如果无法避免,购买有信誉的大牌。有太多家庭监控设备沦落为偷窥与入侵的工具。我见过一些案例,就是犯罪分子控制了摄像头以后,对一家人的起居了如指掌。而任何一个有点电脑知识的人,可以在五分钟之内,学会如何在全世界范围内扫描容易被控制的摄像头。
作为最后一个例子,让我们回到第一篇文章提到的窃听和勒索软件。
这个软件的作者 ”不愧“ 是大厂白领,借鉴了一系列现代软件的营销模式,使得用户上手及其容易。首先,它通过 SaaS 模式提供云端服务,用户不需要维护任何服务器或软件系统。他们只要创建一个云账号,然后利用 social engineering 将软件植入目标机器,然后就可以坐在世界的任何一个角落从云端下载窃听到的数据,包括屏幕截图、键盘输入、照片视频、甚至在用户毫不知情的情况下窃听机器周围的声音。
其次,这个服务通过 freemium 模式,提供免费试用,进一步降低使用门槛。
最后,它通过 revenue sharing 模式,发展代理商、贴牌服务、以及本地化支持,支持更广泛的用户群。
这些例子让我们窥豹一斑,感受到整个暗网生态系统的庞大与成熟。它就像宇宙中的暗物质,不被我们察觉,却无时不刻影响着我们的生活。而且,暗网正在被越来越多的平民所滥用。这一趋势,不得不引起人们的警觉。
最后,我想给那些图谋不轨的人提个醒:法网恢恢。第三方服务,比如加密通讯软件、匿名电邮服务、匿名邮寄服务等,很可能像 ANOM 一样,早已被警方监控。虽然暗网和比特币的匿名技术卓越,但其中有太多后门和可乘之机。如果一个人不是网络和物理安全的专家,任何侥幸心理都是可笑的。很多世界顶级的暗网黑客,都纷纷由于意想不到的误操作而落入法网。这些精彩故事,我可以日后与大家分享。
