探索加密货币领域最臭名昭著的暗网网络犯罪论坛

我们进入了 BreachForums，一个拥有蓬勃发展的网络犯罪社区的封闭在线论坛，以了解暗网数字黑市上销售的产品和服务。

以下是我们的发现。

什么是暗网？

作为背景信息，让我们先简单解释一下暗网和网络犯罪论坛的含义。暗网是互联网的一个隐蔽部分，只能通过 Tor 等专注于用户匿名性的特殊浏览软件访问。

暗网既是合法用途的中心，例如注重隐私的浏览，也是非法活动的中心，包括出售被盗数据、毒品、武器、服务和其他违禁品。

暗网上的网络犯罪论坛是黑客、诈骗者和其他犯罪分子交换信息、工具和服务的社区，通常涉及加密货币以促进匿名交易。

BreachForums 是什么？

BreachForums 于 2015 年由葡萄牙黑客 Diogo Santos Coelho 以 RaidForums 的名称推出。RaidForums 最初是一个专注于以恶作剧、挑衅或网络破坏的形式“袭击”网站和在线空间的社区。

然而，随着网站上的黑客开始入侵社交媒体平台和网站并窃取数百万用户凭证，他们开始将这些凭证卖给出价最高的人。RaidForums 迅速发展成为暗网上最复杂、最成熟的有组织犯罪活动中心之一。

2024 年 2 月币安遭遇黑客攻击后，BreachedForums 是第一个出现用户 KYC 详细信息出售的地方，同年 4 月，萨尔瓦多州使用的比特币 ATM 代码泄露也出现在 BreachForums 上出售。

该网站开始吸引那些想要购买企业安全漏洞敏感信息甚至泄露的政府文件的网络犯罪分子，这使其成为国际执法工作的重点。

2022 年，欧洲刑警组织和美国情报机构合作查封了该网站，并确定并逮捕了创始人迪奥戈·桑托斯·科埃略 (Diogo Santos Coelho)，他目前被英国拘留，等待因网络犯罪指控被引渡到美国。

RaidForums 很快被一个名叫 PomPomPurin 的用户重新建立为 BreachForums，此人于 2023 年被 FBI 逮捕，该网站被另一个名叫 Baphomet 的用户接管。BreachForums 于 2024 年 5 月被 FBI 查封，尽管该网站的克隆版本此后再次出现。

虽然该网站仍然非常活跃，但正如我们即将展示的那样，许多在线用户猜测该网站可能是 FBI 设置的“蜜罐”或陷阱，目的是监视网络犯罪分子并将其揭露以进行起诉。

我们在暗网犯罪中心 BreachForums 上发现了什么

进入 BreachForums 后，我们立即面临大量非法活动的指控。虽然一些网络犯罪论坛采用更隐蔽的方式，伪装成 IT 和网络安全爱好者社区，但 BreachForums 从未做出任何努力来隐藏其真实性质，我们登录时主页显示用户以 10,000 美元的价格提供 MS13 或 La Mara Salvatruca 团伙的暴力服务。

像所有涉及暴力的暗网帖子一样，这更可能是骗局，而不是真正的要约，但非法活动并未就此停止。该网站的滚动聊天框还显示用户实时讨论论坛市场的销售情况，该市场充斥着提供非法产品的卖家，例如被盗数据、银行欺诈和信用卡欺诈教程、IP 跟踪等等。

当然，也有一个对动漫和漫画欣赏的主题，因为即使是网络犯罪分子也有爱好。

本文显示的所有帖子都是在我们首次登录后的数小时内发布的，表明在线社区的活动仍然非常活跃，尽管人们推测该社区受到了执法部门的严密监视。

上图显示，用户正在出售从 Paramount Plus 和 Netflix 等在线视频流媒体平台到被攻破的 OnlyFans 账户等所有内容的访问权限。

泄露数据子论坛中的帖子显示，用户出售数据泄露，包括各公司高管的电子邮件登录信息、阿联酋、印度、卡塔尔和沙特阿拉伯的身份证件，以及从沙特阿拉伯军方电子邮件中窃取的文件和图像。

根据我们的初步调查，最近这次泄露的军事文件似乎是真实的，但同时也显示它来自 2016 年，这表明该用户试图将旧的泄露信息冒充为新的，这是网络犯罪分子在线上进行的众多诈骗类型的一个例子。

一名用户声称自己独家获悉了澳大利亚健康保险 MedBank 泄密事件，而澳大利亚的 MedBank 确实在 2022 年遭到俄罗斯网络犯罪分子入侵，970 万澳大利亚人的个人信息被盗。

与暗网上著名的雇佣杀手类型的帖子不同，这些文件和身份泄露令人遗憾地非常可信，因为 BreachForums 的主要目的确实是出售此类被盗数据，而且多年来生意一直很兴隆。

然而，随着执法部门的一次又一次查封和逮捕，其中一些帖子可能也是联邦调查局或其他机构为抓捕犯罪分子而设置的陷阱。

在 BreachForums 上找到的服务

除了窃取数据外，勤奋的网络犯罪分子还在暗网上提供各种出租服务，并且总是以加密货币作为支付方式。

在 BreachForums 上，我们立即发现用户声称提供 DDoS 服务，即分布式拒绝服务攻击，犯罪分子利用僵尸网络关闭网站运营，以向受害者勒索钱财、针对竞争对手或仅仅报复敌人。

一个网络犯罪开发者在线小组发布了一则 HNVC 或隐藏虚拟网络计算服务的广告，该服务可用于远程访问受害者的计算机。

值得注意的是，该帖子与合法在线服务的广告非常相似，列出了可用的功能和定价选项的详细列表，并提供俄语和英语的客户支持。

其他服务包括提供电话号码的服务，允许犯罪分子接收登录代码以激活在线帐户，而无需表明身份或自己的电话号码。

我们发现群发电子邮件发送者用于非法大规模营销产品、网络钓鱼诈骗或其他恶意软件活动，还看到了电子邮件泛滥者的广告，他们用于堵塞敌人的电子邮件收件箱，以使电子邮件无法使用或隐藏恶意活动（例如尝试登录的警告）。

一名电子邮件泛滥者不辞辛劳地创建了一个看似由人工智能生成的横幅广告和其服务的标志，我们对其名称进行了审查，以免宣传其服务。

我们看到整个帖子都致力于销售远程在线服务器访问权限、网络开发编程服务甚至图形设计服务，所有这些服务都可以用于创建复杂的骗局，例如欺诈性登陆页面以窃取受害者的用户数据。

当然，虽然其中一些服务可能是合法的，但其中很多可能是假的，而且由于该网站多次被查封和重新开放，这里的账户都是两年以下的。

网络犯罪论坛通常在托管基础上运作，或在用户有“诚实”销售记录的信任基础上运作，而这个新网站几乎没有采取任何措施来防止诈骗。

我们确实看到一些服务广告称他们接受托管付款，这意味着经过审查的第三方会持有资金，直到双方对付款都满意为止，就像这位开发商提供预制的网络钓鱼网站和登陆页面一样。

愿意接受托管表明该用户确实在出售他们声称要出售的商品，尽管该网站上也可能存在许多涉及托管付款的骗局。

事实上，该网站上有完整的诈骗主题，显示了用户举报现场诈骗的日志。

用户 uuu732 报告称，他们在网上诈骗他人的努力最终失败，因为他们自己也成了 BreachForums 骗局的受害者。他们向用户 PennyTrate-x 支付了 300 美元，购买了一款软件，该软件可以让他们绕过恶意软件检测软件，并将受恶意软件感染的 PDF 发送给毫无戒心的受害者。

卖家并未提供商品，当管理员要求其做出解释时，其拒绝回应，导致其账号被封禁。

另一位用户报告了与另一家卖家的纠纷。在这种情况下，该用户花费 500 美元试图从一家瑞士保险公司购买被盗用户凭证数据库，并花费 1,300 美元试图购买一家瑞士零售店的数据库。他们报告称，在这两笔交易中，他们都没有收到非法数据。

暗网犯罪分子如何处理窃取的用户数据？

网络犯罪分子购买登录数据和用户数据，试图入侵电子邮件和社交媒体账户，从而获取用户的财务信息并进行盗窃，或获取可进一步利用的敏感信息。

例如，暗网犯罪分子可能会访问用户的 PayPal 帐户并尝试进行未经授权的购买或直接将资金转移到另一个帐户，或者通过使用护照信息以他人名义申请贷款来实施身份盗窃。

当犯罪分子通过登录受害者的账户发现敏感信息时，这些信息也常用于敲诈勒索目的。

如何保证网上安全

我们可以看到，由于多种原因，暗网是互联网的一个危险部分。即使在这个多次被查封并重新开放的网站上，我们也发现了一个露天的犯罪集市，从非法服务和产品到针对论坛其他成员的诈骗。

在明网上，用户可以通过在设备和在线账户上实施双因素身份验证来确保安全，这意味着需要使用手机等第二台设备登录账户。这有助于防止黑客攻击和网络钓鱼攻击。同样，小心验证在线 URL 以确保它们正确无误且没有拼写错误或欺诈行为，有助于防止成为攻击的牺牲品。

毫无戒心的用户访问暗网，即使纯粹出于个人兴趣，也会发现自己与经验丰富的骗子和黑客擦肩而过，他们会探查他们能找到的任何弱点。访问暗网的用户应避免点击任何陌生的链接或下载任何文件，尽管这应该是不言而喻的，但进行任何类型的购买都可能让你面临来自合法和非合法行为者的各种麻烦。

事实上，远离暗网的最佳方法就是首先不要访问它！让我们来帮你做到这一点。我们的目标是定期访问暗网的其他角落，并定期更新我们的发现，让你随时了解全球互联网的底层情况。