揭开游走于地下的网络犯罪的真实状态

随着技术的发展，传统型犯罪日益向网络空间迁移，现阶段，网络诈骗、网络赌博、网络盗窃、网络色情等已成为危害网络安全和社会生产生活的毒瘤。

根据安全公司Cybersixgill的最新报告（《State of The Cybercrime Underground 2023》），犯罪分子正在大力投入对加密消息平台、初始访问代理和生成式人工智能模型的使用，网络知识日益简易化、普及化让犯罪门槛逐渐降低，犯罪主体趋于多元化。巨大的经济利益驱动，也让犯罪产业链渐现，上下游黑灰产业增多，匍匐暗处，躲避法律的追缴惩处。

这项研究基于过去一年在加密平台上搜集的上千万个帖子和从暗网中挖掘的多维度情报数据，持续跟踪地下犯罪组织的脉搏轨迹，洞察网络犯罪的活动特征。随着犯罪分子不断地调整他们的战术、工具和程序，以应对网络威胁环境中新出现的机遇和障碍，新的犯罪趋势也迅速展开。

近年来，信用卡欺诈构成了地下网络犯罪组织发出的最令人担忧的威胁之一。报告梳理暗网数据发现，犯罪分子交易了数百万张被泄露的信用卡，这对金融机构及其客户提出了一个重大挑战。相应的安全对抗自然也不能停下脚步：

这四个因素极大地影响了整个地下网络犯罪生态系统中的金融欺诈行为。在过去四年中，在非法地下信用卡市场上出售的受损信用卡数量下降了94%。2019年，暗网市场出售了约1.4亿张被盗卡。2020年，这一数字下降了28%，至约1.02亿张，2021年又下降了60%，至近4200万张，2022年，这一数字再次暴跌到只有900万张。

受到影响的不仅是信用卡的供应方，还有专门销售信用卡的平台。自2019年以来，面向被盗信用卡交易的暗网市场在规模和范围上都遭受了重大打击。

虽然信用卡欺诈的地下市场逐渐走向崩溃，然而，这并不意味着其他形式的金融欺诈不会继续盛行。在地下，当一扇门关上时，另一扇后门就会打开——给犯罪分子提供了新的攻击机会。

犯罪分子面临的诱人新机会就是加密货币欺诈。自十多年前成立以来，加密货币行业就已经建立起了基于匿名性和隐私性的核心原则。因此，加密货币多年来一直是针对地下网络犯罪组织进行金融交易的首选支付方式。加密货币是多种形式的网络犯罪的完美工具，用于购买非法商品和服务，洗钱或套现网络攻击的货币收益，并作为勒索软件运营商索要赎金的媒介。

最近几年，随着数字代币作为主流资产的方式日益流行，犯罪分子意识到加密货币的第二个目的：加密货币不再仅仅是一种工具，而且成为网络犯罪分子的目标，通过加密劫持、数字钱包收购、加密挖掘和从加密交易所窃取数字资产，为金融欺诈提供了新的机会。

而且，加密货币价值陡升陡降似乎增加了犯罪分子的兴趣，他们正在利用市场的不安全感，从基于加密货币的攻击中获得大量利润。随着数字钱包的价值暴跌，许多消费者并没有密切关注他们的账户，这导致加密账户收购攻击增加了79%。被盗钱包和加密交换账户在暗网市场的激增，也为加密套现计划洗钱或转移非法资金提供了新的机会。

值得注意的是，虽然地下的金融交易用加密货币完成，但非法商品和服务的价格主要以其美元价值列出，对于勒索赎金的要求也是如此。与合法的加密货币爱好者纷纷涌向数字货币作为投资机会不同，犯罪分子利用加密货币作为移动货币的媒介，而不是赚钱。因此，地下经济基本上不受到动荡的加密货币市场起伏的影响。

然而，这并不意味着威胁行为者完全不受加密货币崩溃的干扰。对他们来说，加密货币的价值与它的金融稳定性无关，而是与它的可追溯性有关。如果投资者因为市场的波动而放弃加密货币，网络罪犯将成为唯一的消费者，这使他们的非法交易更容易被执法部门追踪，也更容易通过立法进行监管。

基于这些观察结果，报告预计犯罪组织将开发出新的战术和技术来“兑现”他们的利润。

在过去，大多数犯组织通过暗网进行勾结和交易，而近年来，越来越多的团伙转向使用加密的信息平台进行协作和交流、交易工具、盗取数据和提供服务，这些平台在地下领域的重要性不断增长，成为网络犯罪的强大纽带。

从2019年至2020年，加密信息平台（如Telegram、Discord、QQ等）的消息、工具、数据流通大幅激增了730%。2020-2021年的分析记录显示，这一数字上升了338%。到2022年，再次增加了23%。

与此同时，在暗网Tor网站上，2021年至2022年期间论坛帖子和回复的总数下降了13%，从91,793,533个下降到79,160,730个。

积极参与顶级论坛的犯罪分子的数量也略有下降。到2021年，10个最大的网络犯罪论坛的平均月用户为165,390人，到2022年下降了4%，至158,813人。然而，这10个网站上的帖子增长了近28%，这意味着论坛的参与者变得更加活跃。

暗网中的资深犯罪者仍然忠于他们最喜欢的平台，他们拥有驾驭暗网论坛和市场的复杂生态系统所需的先进技术和专业知识，多年来也凭此在网络犯罪同行中建立声誉。虽然建立和导航Tor网站需要相当多的时间、精力和技能，但在像Telegram这样流行的加密消息应用程序上建立一个频道却相当快速和简单，这些渠道是可以搜索的，也可以直接加入，降低了希望涉足非法活动的新手的进入门槛。

除了为非法通信提供一种更容易获得的媒介外，信息传递平台还为犯罪分子提供了内置的自动化功能，可以作为网络攻击的发射台。通过利用它们的原生特性，包括基于云的数据存储和可定制的基于规则的聊天机器人API，犯罪分子可以将这些消息传递应用程序变成一个“开箱即用”的命令和控制（c2）基础设施，用于传播窃取信息的恶意软件、主机和控制有效负载，并存储泄露的数据。

这些即时通讯应用程序在犯罪分子中持续流行，证明了它们的易用性，尽管功能还有限，无法支持部署全面的勒索软件攻击，但加密消息平台有助于窃取凭证、会话cookie、自动填充数据和远程访问登录，已经极大地帮助犯罪分子获得对企业网络的初始访问。

2022年11月底，OpenAI发布了ChatGPT——这标志着聊天机器人技术发展进入新的时代。与基于规则的消息传递应用程序聊天机器人不同，后者仅限于简单的任务自动化和预先编写的响应，ChatGPT代表了由人工智能、高级自然语言处理（NLP）和机器学习（ML）技术驱动的新一代聊天机器人。ChatGPT模型经过广泛的互联网来源文本数据汇编的预先训练，对自然语言的结构和上下文有广泛的理解，能够在会话人工智能应用中生成连贯的、类似人类的文本。

在地下市场中，犯罪分子们也在讨论着ChatGPT如何为网络犯罪倍增力量。在公开发布后的几周内，暗网和加密信息平台都充斥着各种讨论“快速致富”计划的帖子。

暗网帖子情报显示，相比于大规模撒网的网络钓鱼，针对特定个人的个性化攻击更有可能成功，ChatGPT使犯罪分子能够大规模生成清晰和个性化的鱼叉钓鱼信息，模仿可信个人的写作风格，使用相关的主题，绕过保护性电子邮件过滤器，以增加到达预期收件人的可能性。然后，受害者的反应可以被输入到模型，以产生相关的和个性化的后续行动。

并且，犯罪分子还讨论了ChatGPT的网络编码能力的其他可能应用，一名匿名者分享了关于“滥用ChatGPT”来创建一个接受加密货币的暗网市场的指令。作者声称，这个概念POC证明了ChatGPT在为那些想要进入暗网市场行业的人创建“一个价值百万美元的企业网站”方面的价值。

报告研究还表明，虽然ChatGPT设计了内置的保护机制，可以识别和拒绝不适当的、有害的和非法的请求，但犯罪分子正在制定策略以绕过限制。比如创造性地制定请求，并在向模型输入提示时省略已标记的术语；另一种方式涉及角色扮演，例如，威胁参与者不会要求ChatGPT“测试特定网站的漏洞”，而是首先建立角色扮演游戏的规则。这可以简单到要求聊天机器人成为一个渗透测试器，以说服模型详细说明测试可穿透漏洞的步骤。

鉴于2022年12月和2023年1月，ChatGPT的越狱尝试成功率增加，2023年2月初，OpenAI对该模型的反滥用控制进行了重大改进。反过来，这似乎促使犯罪分子通过OpenAI的API访问聊天机器人。在多个暗网论坛中，发布了全面的分步说明，将ChatGPT API集成到一个Telegram机器人中，以便对模型进行“不受限制”的访问。

截至目前，我们才刚刚触及ChatGPT能力的表面，研究人员、开发人员、犯罪分子都在继续试验这项技术，突破可能的界限，以发现更多的用例序。它广泛的能力、易用性、可用性和多语言支持使人工智能的访问更加民主化。最重要的是，ChatGPT降低了网络犯罪的进入门槛，完成了“勒索软件”的准备活动，特别是对于编程能力有限和英语不流利的人。

近年来，即服务的商业模式非常受欢迎，使网络犯罪专业知识商业化和规模运营成为可能。犯罪团伙将他们的专业知识沉淀成为预先包装好的、现成的工具包和即服务产品，小白新手通过购买高度复杂的黑客服务、基础设施或工具，也可以轻松外包发动网络攻击所需的基础工作。

今天的网络犯罪是高度专业化、战略性和协作性的，就像任何其他合法的业务一样，对于勒索软件领域来说尤其如此。勒索软件即服务（RaaS）模型充当了一个可扩展的网络犯罪供应链，允许勒索软件开发者通过将其先进技术授权给技能较低的子公司网络来扩大运营规模。有了这种方法，那些处于供应链顶端的人可以专注于改进他们的勒索软件，而他们的子公司则在管理下游的分销以减少他们的曝光风险，同时产生更多的收入。RaaS使勒索业务可以被更多的网络罪犯访问并有利可图，使高质量的恶意软件和基础设施的访问更便利，因此，我们会看到了越来越多的攻击发生。

2022年，在专用泄漏站点上发布的勒索软件攻击总数从2021年的4,034起增加到2022年的4,798起，增加了18.9%。与2021年相比，这个增幅相对较小，2021年的袭击事件增加了116%，从2020年的1509起增加到3264起。

2022年，最大的三个勒索软件组（REvil、Lockbit和ALPHV）占所有勒索软件攻击的55%，比2021年的TOP3的39%有显著增长。如果网络犯罪真的在走高，我们应该看到勒索软件攻击的增加和发起攻击的群体是更加多样化的，但调研数据指向市场趋于整合，报告分析怀疑这只是勒索软件工具和技术的民主化所造成的一种错觉。

根据所使用的勒索软件变体和专用泄漏网站的关联，攻击是由于团体所致——这正是出租给RaaS子公司的技术和基础设施。RaaS平台的普及正在降低进入的技术壁垒，为更多新手提供了渠道，从已建立的勒索软件组访问高级的、预先构建的、可定制的恶意软件，以发起攻击。

展望以后，随着RaaS、AI以及初始访问代理（IAB）的共同作用，我们很可能会看到网络攻击的数量和强度急剧上升。随着这些技术的不断成熟和发展，网络罪犯肯定会开发和部署越来越复杂的自动化攻击，以逃避传统安全措施的检测，并将技术、工具包装成即服务的商业模式大规模分发，形成恶性循环。随着时间的推移，在AI支持下的网络犯罪有可能成为常态，而不是例外。为了应对这些新兴的威胁，必须用自动化来应对自动化，企业不能再依赖过时的、静态的工具和手工流程来抵御网络犯罪分子的入侵，基于实时网络威胁情报的主动安全威胁管理策略将变得更加重要。