隐性寄生虫与暗网：分析三大暗网论坛发现诈骗者居然对自己人下手

网络犯罪分子通常被视为寄生虫，以各种大小和类型的大量受害者为食。但事实证明，它们本身已成为目标，大量以底部为食的“元寄生虫”涌向暗网市场，寻找自己的目标。

这种现象有一个很好的副作用，就是向研究人员暴露了丰富的威胁情报，包括网络犯罪分子的联系和位置细节。

在2022年欧洲黑帽会议（BlackHat Europe 2022）的舞台上，Sophos高级威胁研究员Matt Wixey在题为“骗子骗骗子，黑客骗黑客”的会议中，讨论了元寄生虫生态系统。根据他与研究员安吉拉·冈恩（Angela Gunn）进行的研究，地下经济充斥着各种各样的欺诈者，他们每年成功地从网络犯罪伙伴那里榨取数百万美元。

这对搭档研究了三个暗网论坛（讲俄语的Exploit论坛和XSS论坛，以及讲英语的Breach论坛）的12个月的数据，并发现了数以千计的成功骗局。

“这是相当丰富的收获，”Wixey说。“在12个月的时间里，骗子从这些论坛的用户那里骗走了大约250万美元。每次骗局的金额低至2美元，最高可达六位数。”

策略各不相同，但最常见也是最粗暴的策略之一是被称为“拔腿就跑”的策略。这指的是两种“跑路”变体之一：买家收到货物（漏洞、敏感数据、有效凭证、信用卡号码等）但不付款；或者，卖家收到货款后却从未兑现承诺。“逃跑”部分是指骗子从市场上消失并拒绝回答任何询问，可以认为这是暗网版本的”吃霸王餐“。

还有很多骗子兜售假货——例如不存在的加密货币账户、没有构建任何恶意的宏构建器、虚假数据，或者已经公开的数据库，或者以前被泄露的数据库。

Wixey解释说，其中一些可以发挥创意。

“我们发现了一项声称能够将.EXE文件绑定到PDF的服务，这样当受害者单击PDF时，它会在后台加载，.EXE会静默运行，”他说。“诈骗者实际上只是将带有PDF图标的文件发回给他们，该文件实际上不是PDF，也不包含.EXE。他们希望买家并不知道他们要的是什么或者如何检查它。”

同样常见的骗局是，卖家提供的合法商品与宣传的质量不尽相同——例如信用卡数据声称30%有效，而实际上只有10%的卡有效。或者数据库是真实的，但被宣传为“独家”，而卖家实际上是将其转卖给多个购买者。

他补充说，在某些情况下，欺诈者会以更多的方式串联起来，进行长期诈骗。根据Wixey的说法，网站往往是排他性的，这会激发他们可以发挥作用的“一定程度的内在信任”。

“一个人会与目标建立融洽关系，并主动提出提供服务；然后他们会说，他们实际上认识可以更好地完成这项工作的其他人，他是这个问题的专家，”Wixey解释说。“他们通常会将他们指向一个由第二个人工作和运营的虚假论坛，该论坛需要某种存款或注册费。受害者支付注册费，然后两个骗子就都消失了。”

论坛如何反击

Wixey指出，这项活动对暗网论坛的使用产生了不利影响——作为“对犯罪市场的有效征税，使它对其他人来说更昂贵、更危险”。因此，具有讽刺意味的是，许多市场正在实施安全措施，以帮助遏制欺诈浪潮。

在实施保障措施时，论坛面临多项挑战：其一，无法求助于执法或监管机构；其二，这是一种半匿名的文化，因此很难追踪罪魁祸首。因此，已经实施的反欺诈控制往往侧重于跟踪活动和发出警告。

例如，一些网站提供的插件会检查URL以确保它链接到经过验证的网络犯罪论坛，而不是通过虚假“加入费”欺骗用户的虚假网站。其他人可能会运行已确认的诈骗工具和用户名的“黑名单”。大多数都有专门的仲裁程序，用户可以在其中提交欺诈报告。

Wixey说：“如果你在论坛上被另一个用户骗了，你可以去其中一个仲裁室，开始一个新的话题，并提供一些信息。”这可能包括涉嫌诈骗者的用户名和联系方式、购买证明或钱包转移详情，以及尽可能多的诈骗细节——包括屏幕截图和聊天记录。

“版主审查报告，他们要求提供更多必要的信息，然后他们将标记被指控的人，并给他们12至72小时的时间来回应，具体取决于论坛，”Wixey说。“被告可能会做出赔偿，但这种情况非常罕见。更常见的情况是，骗子会对报告提出异议，并声称这是由于对销售条款的误解造成的。”

有些人就是不回应，在这种情况下，他们要么被暂时禁止，要么被永久禁止。

论坛用户的另一个安全选项是使用担保人——一种作为托管帐户的站点验证资源。待交付的钱一直存放在那里，直到商品或服务被确认为完成为止。然而，担保人本身经常被欺诈者冒充。

威胁情报宝库

虽然这项研究提供了对暗网世界中一个有趣的分支的内部运作的看法，但Wixey还指出，特别是仲裁过程为研究人员提供了威胁情报的绝佳来源。

“当涉嫌诈骗时，论坛要求提供证据，包括屏幕截图和聊天记录之类的东西——而受害者通常很乐意提供帮助，”他解释道。“他们中的少数人会编辑或限制证据，因此只有版主才能看到，但大多数人看不到。他们会发布未经编辑的屏幕截图和聊天记录，其中通常包含加密货币地址、交易ID、电子邮件地址的宝库、IP地址、受害者姓名、源代码和其他信息。这与OpSec通常相当不错的大多数其他犯罪市场领域形成鲜明对比。”

一些诈骗报告还包括个人桌面的完整屏幕截图，包括日期、时间、天气、语言和应用程序——提供位置信息的面包屑。

换句话说，正常的预防措施已经过时了。Sophos对三个论坛上最近的250份诈骗报告进行的分析发现，其中近40%包含某种屏幕截图；只有8%的人限制访问证据或提出私下提交证据。

“一般来说，诈骗报告对于技术情报和战略情报都是有用的，”Wixey总结道。

他补充说：“这里最大的收获是，威胁行为者似乎无法免受欺骗、社会工程或欺诈的影响。”“事实上，他们似乎和其他人一样容易受到攻击。这很有趣，因为这些正是他们用来对付其他用户的技术类型。”