暗网,一个常人不易见的网络,它深深潜藏在互联网之中。暗网不仅是藏污纳垢之地,而且还是全球各种不同的严重犯罪活动的避风港。在这里,每天都会发生无数的交易,产生各种买卖,比如毒品、欺诈/伪造、黑市、比特币和黑客攻击等等。说它臭名昭著,一点也不过分。犯罪分子会利用特殊的软件(比如 Tor 浏览器)进入暗网,这既可以保护自己的隐私,也不会留下“足迹”。
在暗网中,有一种交易最为大家熟悉,那就是买卖个人数据。最近几年,各大企业频繁发生数据泄露事件,这些遭泄露的数据包括企业员工信息、企业客户/用户信息。一旦攻击者得手,接下来可能将数据挂在暗网交易。事实上,我们看到多起企业数据泄露事件,均是由安全研究者或技术人员在暗网发现,然后由媒体曝光。
在暗网,关于个人数据的商品明码标价。比如:
附有信用卡的沃尔玛账户卖多少钱?
10 美元
盗取的PayPal账户详细信息(账户余额至少100美元)卖多少钱?
198.56 美元
这些信息来自《Dark Web Price Index 2020(暗网价格指数 2020)》。在 7 月 12 日,Privacyaffairs 发表了一篇名为《Dark Web Price Index 2020》的文章,里面详细列出了暗网上信用卡数据、付款处理服务、伪造文件、社交媒体和恶意软件等商品或服务的均价。
Privacyaffairs 称,”我们发现暗网有许多市场,不过,很多论坛会有帖子警告骗子。因此,如果你不下单,想要核实价格的真伪就变得很困难。我们的方法是扫描暗网市场、论坛和网站,针对一些特殊产品创建一个均价指数。我们只对与个人数据、伪造文件和社交媒体相关的产品和服务感兴趣。“
我们可以具体来看看暗网上一些商品或服务的标价(均价)。
克隆的信用卡和相关数据
CC|MM|YY|CVV|HOLDER_NAME|ZIP|CITY|ADDRESS|EMAIL|PHONE
其中,前 4 个部分是卡上的详细信息,剩下的部分是账户持有人的详细信息。这肯定会造成很大的不便,但是有人利用你的在线银行账户登录名获取你账户的完全访问权限,这更吓人。
我们看到,带 PIN 码的克隆美国运通卡,暗网平均售价 35 美元。而信用卡详细信息(账户余额高达 5000 美元)均价 20 美元。而盗取的网上银行账户(账户最低余额 2000 美元)售价仅为 65 美元。
付款处理服务
在暗网,PayPal 账户详细信息是最常见的出售商品之一,并且非常便宜。如上表所示,如果是从被入侵的账户进行转账,那售价会更高。此外,暗网上另一种常见的销售商品是指导别人怎样“套现”——以某种方式获取账户中的钱,又不会使官方机构警觉。
伪造文件
暗网上,伪造文件范围很广,既有驾照、汽车保险卡,也有银行对账单、学生证和外国护照。据了解,这些伪造的文件有一系列的保证,并且买家可以访问任何细节。
只需要某人的几条真实信息,犯罪分子就能创建一整套正式文件,并将这些文件用于欺诈活动。
我们看到,伪造的美国驾照(一般),暗网平均价格为 70 美元,而伪造的罗格斯大学学生证售价为 70 美元。相对来说,伪造的一张美国、加拿大或欧洲护照则更昂贵,售价高达 1500 美元。
假币
在暗网,假币非常普遍,主要有 20 种或 50 种面额,常见的有美元、欧元、英镑、加元和澳元等。还有些假币带有紫外线笔测试保证。
社交媒体
Privacyaffairs 表示,对被黑的账户报价或销售它们,这相对罕见,但并非不存在。通过社会工程学技术,黑客试图从受害者手中获取社交媒体凭证。
从上表中,我们可以看到 Facebook、Instagarm 到 Twitter 和 Gmail 等,一一标价。其中,被黑的 Gmail 账户售价高达 155.73 美元;而被黑的 Twitter 账户售价 49 美元。
恶意软件
在上表中,速度指的是连接受害者主机,1000 代表的是恶意软件的安装次数,卖的相当于恶意软件租用服务,服务端在卖家手上。
据悉,通过虚假的网上赌场、FB/社交网络和盗版软件网站等渠道,恶意软件被安装在系统中,包括 Windows 和 Android 等,一旦安装成功,就能让攻击者访问系统。
有些恶意软件可能会利用计算机的资源,例如加密货币挖矿,而有些恶意软件可能被用来盗取你的网站登录凭证。据了解,每 1000 次的安装,黑客通常能盗取数万美元。
DDoS 攻击
一旦数据出现在暗网,那会给人们带来许多麻烦,身份诈骗会常伴左右。
为保护自己免受身份诈骗?Privacyaffairs 提出了七条建议:
接电话时,记住不要向任何人透露敏感信息,比如你的SSN、信用卡号码和密码等,不管它是不是一些流程中的必要条件。如果真的非常重要,你要亲自来。
无论何时,当使用ATM机时,你都要先检查读卡器有没有skimmer。因为在你将卡插进ATM机前,Skimmer会读取卡片,然后向犯罪分子提供克隆的你的卡片磁条。这足以让犯罪分子伪造一张真实的卡片。
经常检查你的电脑是否有恶意软件,确保输入时,你的数据没有被记录。同时,你可以使用反恶意软件,比如AVG,并开启自动更新。
不要使用公共的或不安全的WiFi。如果你必须在没有100%信任的网络上登录账户,可以使用VPN来加密所有通信。如果一名攻击者已经获取你正使用网络的管理员权限,甚至连银行网站都可能被伪造的检测不出来。
删掉那些你认为以后不再使用的账户。旧账户是一个“定时的炸弹”,一旦被攻陷,将导致一些不可预料的问题。
不要在多个账户上使用相同的密码。对攻击者来说,这是最容易获取访问的方式。当一大堆账户详细信息挂在暗网上,你的账户详细信息会通过其他服务进行核对,比如email或银行账户。
可以尝试使用密码管理器,例如LastPass或Keepass(两者免费)。这样,你的账户安全性可以得到提高,而你只需要记住一个主密码即可。
评论