黑客网络:利用开源情报和网络相关信息来破坏非法金融网络

  • A+
所属分类:安全新闻

1. 摘要

我们生活在这样一个时代,科技促进了我们生活的方方面面。移动计算的出现使我们能够以一种不到十年前似乎难以实现的方式完成各种任务。因此,这些进步也以前所未有的方式增加了风险。现在,威胁分子可以在一个国家通过手机通过金融系统转移资金,同时在另一个国家持有通过一系列空壳或挂名公司操作的账户。这一现实凸显了“反洗钱”/“周转金”(AML/CTF)分析师获得适当工具、培训和知识以进行深入在线研究的价值。这对于应对跨国犯罪和恐怖组织对全球金融体系的威胁至关重要。

2. 导言

本文将探讨开源情报(OSINT)的使用,包括网络相关信息(CRI),以增强分析师对如何利用开源情报识别非法网络以及这些网络给金融机构(FI)带来的任何潜在金融犯罪风险的理解。例如,能够看到更大蓝图的分析人员,能够识别以前未知的关系和/或找到真正的受益所有权。提高这些技能的努力,可以让合规官员“剥开洋葱”,从而了解隐藏的风险。对那些熟悉检查幌子公司的人来说,这样做的好处是显而易见的。在解决使用OSINT和网络相关信息来破坏非法金融网络之前,了解这些网络是什么以及它们如何运作是很重要的。
非法网络(通常被称为黑暗或不透明网络)能够有效地隐藏其活动和商业关系的真实性质。这是通过创建复杂的所有权结构和空壳公司来实现的。这使得执法部门和金融机构很难剥开洋葱,揭示真正的受益所有权,也使发现看似无关实体之间的联系变得复杂。如果金融机构无法识别一个实体的真正实益所有权,或探测到该业务的真实性质,他们可能无法看到与非法网络相关的活动的更大图景。
完全依赖自动化检测场景将无法产生理解复杂犯罪网络所必需的整体观点。同样地,维持一个狭窄的常规(BAU)镜头将阻止前瞻性的调查人员充分发挥他们的潜力。金融机构识别先前未知的风险不仅有益于金融机构,而且还可以提供更全面的可疑活动报告(SAR),从而为美国国家金融情报部门(FIU)提供帮助。确定新的调查线索和类型。金融机构可以利用这些信息来修改检测方案以及他们对组织范围内风险的理解。通过整体检测,金融机构可以了解通过检测方案找到的常见连接点。这些连接点可能是理解非法网络的关键。
由于无法识别一个实体与网络中其他实体的链接,国际金融机构面临无法确定的风险。由于时间限制和业务带宽限制,合规制度往往无法连接非法对应机构。随着技术的进步,合规程序发展缓慢,使这些挫折感更加严重。经常注意到的不足之处是,获得FI数据的机会有限或错综复杂,出于好意的网络搜索限制,以及普遍缺乏全企业技术解决方案。知识差距、培训失败和开发关键原始信息的障碍都可能导致反洗钱方案失败。
使用OSINT是一种关键的方法和情报收集技术分析师的杠杆,从基于互联网的来源获得有价值的洞察力和信息。近年来,社交媒体/社交网络平台,如Facebook、Twitter、LinkedIn和VK,在全球范围内呈指数增长,原因是互联网的可用性和接入增加,而这反过来又见证了2012年社交媒体情报(SOCMINT)的发展。研究表明,社交媒体网站作为犯罪分子和恐怖分子进行交流、招募和寻求财政支持的秘密网络,具有相互关联的性质。通过使用社会网络分析(SocialNet workAnalysis,SNA),可以通过发现这些隐蔽网络来减轻对威胁的跟踪和分析,SNA被研究人员用来定位这些隐蔽的在线社区,群体和关系。

3. AML/CTF与网络空间的融合

2015年,Fin CEN前董事Jennifer Shasky Calvery表示,金融机构应将CRI纳入其搜索和救援范围,尽管这并非立法要求,因为这对执法调查人员极为重要。她还说,不到2%的SAR文件实际上包含 IP地址。虽然她的评论是针对特定的网络威胁,如赎金、DDoS攻击和恶意软件,但不应忽视CRI在调查 中的价值,因为它被用来转移与贩运人口、贩运武器、贩运毒品、基于贸易的洗钱、规避制裁和资助恐 怖主义等活动有关的非法资金。这一声明似乎显示了CRI和AML/CTF调查之间的联系,似乎FinCEN正在 发出一个信息,即这些信息的价值可以被他们的主要利益相关者,美国执法和情报共同体(IC)使用。
2016年,金融执法网发布了《关于网络事件和网络能力犯罪的金融机构咨询公告》,鼓励通过 搜索和救援向金融机构报告网络犯罪和网络能力犯罪。此外,他们要求金融机构包括相关和可用的网 络相关信息(例如,带有时间戳的互联网协议(IP)地址、虚拟钱包信息、设备)
2016年的咨询意见指出,所有相关信息都应包括在SAR中,以确保它们是完整和准确的,其 中包括CRI。这表明,将CRI纳入SAR的主要原因是越来越多地依赖用于金融交易的电子银行系统,因此 非法金融活动将留下电子足迹。留下电子足迹意味着这也很可能与威胁行为者、其业务和其他相关可 疑交易相对应。
来自FI内部的内部数据可以为AML/CTF的调查提供显著的优势。例如,能够访问特定威胁行为 者网上银行活动的IP地址可以识别生活方式、地理位置、活动模式、试图隐藏其电子足迹、与其他账户的链接和与关联实体的链接。2012年,Fin CEN推出了一个搜索和救援数字版本,要求合规官员将这类数字数据包括在内,因此,人们更加关注列入IP地址、网站信息、电子邮件和其他互联网数据的问题。
在客户登机时,FIS必须进行客户尽职调查(CDD),以了解您的客户(KYC)或了解您的业务 (KYB)。在这一过程中,应该收集一系列数据,这些数据将证明对分析师监测客户账户的异常或可疑活动是有用的。重要的是,金融机构收集、汇总和监测数字化数据和CRI,以帮助那些拥有远程存款捕 获、网上银行和电子银行业务的客户,特别是在没有面对面联系的情况下在线开设账户的客户。 
Shima Keene博士(2013年)说,由于全球化,金融和互联网有着密切的关系,在网络环境中推进技术带来了挑战,需要更好地理解这一主题。事实上,虽然Keene提到它与恐怖融资的相关性,但 它适用于任何希望使用日益流行的移动支付系统作为其选择的洗钱工具的犯罪组织。根据JohnCassara (2017)的说法,这些新的和新兴的金融结构允许更大的灵活性来转移和隐藏其非法资金。

4. 理解和击败非法网络

非法网络-据Stewart Patrick(2012)称,非法网络可以被描述为分级的,但通常是分散的和横向的。跨国犯罪组织(TCO),如俄罗斯兄弟集团(RussianBrothers’Circle),证明了它们是一个保护伞组织监督全球多个较小犯罪网络的活动,没有确定具体的总体领导者。由于它们的业务已经远不受其国家边界的约束,技术合作组织大大受益于全球化。 
帕特里克特别指出,技术的影响已经切断了非法组织的两种途径。非法组织越来越依赖使用互联网、手机和计算机系统洗钱和非法货物和服务的贩运。世界各地的执法和情报组织的优势在于它们能够在本国法律框架内利用这些技术。因此,如果非法网络对通过互联网进行剥削开放,经验丰富的分析人员/调查人员可以开始将各组织的某些部分拼凑起来,并开始与他们经营的人民和企业建立联系,这似乎是适当的。 
Dennis Lormel(2015年)建 议,通过为恐怖组织建立商业模式来确定金融瓶颈,从而能够识别红旗,了解资金流动情况,并制定调查、破坏性和预防措施,对这些网络施加重大压力。这些信托基金在很大程度上依赖正式和非正式金 融系统来进出资金,但是,这些网络很可能被抓住,无法进入全球金融系统。这可以全面地应用于对 非法金融网络的理解,而这些网络不需要特别侧重于资助恐怖主义。Scott Helfstein(2014年)通过 西点打击恐怖主义中心,对122个国家15000个关系所联系的2700人的开源数据进行了网络分析,他说 “查明金融违规行为对于追踪脏钱、可疑交易和非法行为者至关重要。“因此,有理由认为,金融机构应能够通过仔细和详细的业务信息和通信技术及交易分析,评估这些非法网络对其银行足迹或客户基础构成的威胁,以减少其构成的风险。
反恐融资----政府机构花了大量时间试图在全球打击和破坏恐怖主义组织和恐怖主义组织。反 恐框架是一种多机构办法,旨在将美国情报共同体(情报共同体)和执法部门结合起来,以战略和有针 对性的方式打击非法金融。建立非法网络往往需要多年的艰苦调查和情报收集,其中包括分析大量的 金融数据,以及收集合法拦截、手机记录、秘密监视、招募人类情报来源等证据的其他法律选择。《2011年打击跨国有组织犯罪战略》强调,政府应利用开放源码中心(OSC),利用它们所称的“灰色” 文学、涵盖犯罪的外国媒体和社交媒体,编制与跨国有组织犯罪有关的个人、公司和机构的简介。
金融机构在打击威胁金融方面的作用----金融机构虽然不具备收集与政府相同类型数据的能力,但它们处于独特的地位,能够根据执法参与、不良媒体、法院文件提供的信息分析交易并确定其与洗钱和资助恐怖主义的潜在联系,开源研究、客户信息、机构间信息共享和跨自己组织的信息请求。反恐执行工作队机构只能评估在特 区或通过执法机构的法律程序披露的财务数据,因此,它们依赖金融机构准确和及时地报告可疑活动。
使用OSINT和CRI的合规程序将允许他们的分析师深入了解网络,以发现非法活动。Asher(2015 年)强调,应采取更广泛的措施,允许银行情报部门清除能够进入联邦监控名单门户的人员进行资助恐怖主义活动和爱好者,提供更多的信息选择,以进行公开来源的研究。
公共部门/私营部门参与网络-创建和维护一个网络来对抗网络,对于一个想要破坏TCO和TOS的合 规计划至关重要。设立了一些小组,如设在英国的洗钱情报联合工作队,在执法部门和私营部门之间交流情报,以发展有关参与非法活动的个人、团体和实体的情报。使用融合类型的环境并利用关闭,根据Hutchings(2016)的说法,接触将导致“更全面地了解总体金融路径,特别是如果它们是复杂的,并且似乎在许多金融机构、实体和法域之间是分层的”,当时她正在探 索如何在融合中心方法中使用314(B)美国PATRIOT法来共享信 息和情报第314(B)节允许在金融机构之间共享交易信息,这 通常包括请求关于其他金融机构客户的进一步信息,例如个人可识别信息(PII)。在这些信息请求中,分析人员可能会请求事务的IP地址、地理位置和设备信息。这对于分析潜在的网络活动非常有价值,并随后被纳入搜索和救援。执法部门如何与金融机构互动以及机构如何相互互动的一个例子可以在这里看到“信息共享三角”,它显示了每个实体之间信息共 享的相互关联方式。
破坏非法网络----金融机构有许多工具可以用来破坏非法网络。金融机构合规方案将有过滤器 来阻止和拒绝交易、账户限制、执法参与和SAR报告。这些工具中的每一个都有某种形式在短期或长期内对网络产生影响,导致他们改变策略或通过其他帐户转移他们的钱,但不是毫不拖延 和破坏他们的组织。

5. 了解社交媒体、开源情报和网络相关信息

开源情报(OSINT)-OSINT是及时收集、利用、分析和向适当的受众传播公开的信息,以满足特 定的情报需求。进行OSINT的研究越来越多自从近年来互联网迅速扩展以来,可以访问,因此可以在世界任何 地方和任何时候从您的办公桌上进行,并且您可以在进行时保持完全匿名。世界可以提供公开的信息可以包括报纸、广播、电视、学术研究、全球经济数据 集、商业数据库、公开的公司数据、泄露的数据和在线论坛。使用基于付费订阅的信息来源,如LexisNexis、Clear、Accuity、TLO、 BureauvanDijk、Factiva、Panjiva 丰富的信息来了解一个人与谁有关,
合伙人,链接的企业,他们的位置,他们的地址,电话号码,电子邮件地址和社交媒体链接。对于企业来说,它们提供了对公司记录、所有权、损益表等有价值的洞察力。还应认真考虑利用大量的免费数据来源,如ICIJ泄漏数据、OCCRP调查数据库搜索、不动产记录网站或公司之家等商业登记信息网站。
前中央情报局局长詹姆斯·伍尔西说,95%的情报来自公开来源。然而,有趣的是,只有一小部分美国IC预算用于OSINT,占他们报告的40%。目前尚不清楚确切的数字,甚至不清楚FIS在其调查框架内使用OSINT的程度。目前还没有衡量进行情报收集的分析师是否有效的措施,但有一件事是明确的;合规方案之间可能没有一致性。
社交媒体情报(SOCMINT)-SOCMINT一词是由DavidOmand爵士、JamieBartlett和CarlMiller于2012 年发明的,用于使用侵入性或非侵入性方法从社交媒体网站以及开放和封闭的在线社交网络收集情报。他们的论文认为,社交媒体应被视为情报框架的一部分,同时考虑法律、道德和问责问题。应该指出的是,他们所指的法律框架是英国的监督立法,即2000年《调查权力管制法》。该立法涵盖政府机构如何和何时可以进行秘密调查。SOCMINT涵盖了越来越多的社交媒体来源,如Twitter、Face book、 You Tube、Fours quare、Linked In、Reddit、Tumblr、VK和Google+。这些网站包含潜在的有价值的情报,分析师可以从中识别以前看不见或未知的关系或联系。
SOCMINT可以通过多种方式为调查网络活动的分析师提供有价值的信息,如年龄、姓名、婚姻状 况、就业历史、教育历史、朋友、家庭、访问地点、好恶、地理位置数据、政治观点等。
社交媒体内容是用户生成的,可以轻松快速地创建、共享和编辑。智能手机和平板电脑促进了 人们在世界任何地方上传数据的能力。此信息可以确认个人是或不是您根据CDD信息或从其他来源提取 的信息正在调查的人。回顾他们的社交媒体内容也可能支持你的调查分析,并表明他们有相当多的资 产(如汽车、船、房子、度假、昂贵的珠宝等),而他们宣布的收入似乎不支持这种生活方式。金融 交易和报告分析中心(金融交易和报告分析中心)是加拿大金融股,负责调查引起其注意的加拿大人的 社交媒体报道。
“重要的是要记住,这些罪行的实施者经常在网上存在,并积极利用网络,包括社交媒体,与同伙建 立联系,便利他们的活动,在资助恐怖主义的情况下,甚至筹集资金。金融交易中心发言人Renee Bercier说。
网络相关信息(CRI)-这是描述电子活动和行为的技术细节的信息,如IP地址、时间戳、折衷指标 (IOCs)和设备标识符。与网络有关的信息还包括但不限于有关个人的数字足迹及其行为模式的数据。重要的是要注意,信息,如IP地址,托管服务,领域所有权,日期,领域历史,联系方式和管理信息, 可以通过检查网站和电子邮件相关的那些领域提供CRI,可以被分析师利用。无花果下面1和2显示了在调查非法网络活动时如何使用CRI对分析师有好处。

黑客网络:利用开源情报和网络相关信息来破坏非法金融网络

黑暗网络/黑暗网络-大多数人都听说过“黑暗网络”,它位于我们在表面或深层网络上进行常规OSINT收集时所看到的下面。暗网,也包含. 这一“黑网”往往与毒品贩运、卖淫、雇佣杀手、人口贩运和非法 色情活动等非法市场有关。黑网最近对丝绸之路和阿尔法湾等非法 市场进行了调查,在那里,政府没收了阻止任何进一步交易的域 名。从FI的角度来看,某些信息可以从黑暗的网络中收集,如梳理网站、银行凭证、账户信息和货币交换服务。识别这些信息将提供潜在的选择器来搜索金融机构的事务数据。
2016年,英国政治家奈杰尔·法拉奇的政治助手乔治·科特雷尔因21项犯罪活动被起诉,其中 包括电汇欺诈、勒索和洗钱。科特雷尔在黑网上引起了联邦调查局的注意,他在那里提供他的金融专 业知识,以洗钱和提供金融咨询服务,并保证他每月可以通过外国和国内银行账户洗钱150000$。另一 个人使用在线手柄Keno13,在黑网网站上操作,如Agora和Evolution。Keno13提供洗钱服务,其中包括向供应商、买家和市场管理员发放现金,利用被盗身份创建银行账户。 “黑网迅速成为有组织犯罪网络和个人开展非法活动的首选交易场所,而加密货币是支付这些犯罪服务费用的首选媒介,”国际刑警组织网络创新和外联股主任Madan Obero说。

6. OSINT和CRI的分析与开发

威胁行为者能够通过利用互联网进行威胁,招募、传递信息或知识、销售和贩运非法货物以及金 钱来资助和协调其活动。当威胁参与者使用互联网时,他们会让自己敞开心扉,很容易被通过OSINT收 集和分析来跟踪和/或监控。CRI可以针对内部和外部系统进行开发和分析,甚至可以通过信息共享请 求来查看该活动是否与其他FI一起看到。

黑客网络:利用开源情报和网络相关信息来破坏非法金融网络

OSINT和CRI可以通过多种方式加以利用。具体而言,一种方法是在可疑实体的网站上进行领域 分析,以找到IP地址和注册网站的人。域名分析还将提供对网站托管地点或域名注册所有人位于特定 国家的洞察。进行进一步的研究可以潜在地确定链接的网站或更多的注册信息,这些信息可以被用来发展对网络的理解。无花果 显示网站的注册所有者与特定的IP地址相关联,分析将公共IP地址链接到 两个不同的公司网站。第一个网站是为分析师正在调查的指定实体提供的,第二个网站导致一家以前未知的公司。如果分析师确定了第二家公司的交易,这可能表明该实体与指定的集团有联系。网站共享公共IP地址和托管服务并不少见。在图中。它演示了如何进行这一分析可以找到可能链接到同一网 络的多个实体。在新的信息选择器上使用OSINT,分析师现在可以进一步开发网络上的信息。
在合规项目中,了解网络的地理风险或实体的潜在地理风险可以为分析师提供警示。当开发开源时,分析师可能能够评估公司网站。使用网络分析工具提供受众地理和关键词,用于访问网站,这可能是非常有价值的,取决于您正在审查的活动类型 。
黑客网络:利用开源情报和网络相关信息来破坏非法金融网络
在2012年《全球证人报告:严重保密》中,能够利用OSINT可能对寻找空壳公司和公司服务提供商至关重要,该报告表面上有20多家公司似乎彼此没有任何联系。审查公司的信息显示,一个连接良 好的网络覆盖了多个国家。报告记录了一个与俄罗斯和吉尔吉斯斯坦有联系的国际犯罪网络,涉及洗钱、腐败和欺诈。一旦这样的网络通过OSINT被识别出来,分析师应该能够有效地定位交易数据,这可能会产生开源研究中没有看到的对手。数据显示,在域分析期间,您可以比较注册站点所有者的 位置和站点的托管位置。根据您正在审查的类型财务活动,这可能有利于对空壳公司或幌子公司的分析。
黑客网络:利用开源情报和网络相关信息来破坏非法金融网络
每一次接触都会留下痕迹。应该指出,每次分析师访问一个实体的网站时,他们都会留下自己 的数字足迹。如果A银行的静态IP地址多次访问同一网站,这可能会开始向威胁参与者提示FI对其业务 的兴趣。TCOs和TOS可能让人们以自己的反情报角色保护非法网络。基地组织和俄罗斯有组织犯罪利 用反情报作为其行动的一部分。如果FI能够为分析师提供使用互联网进行研究的能力,而不是他们应 该考虑使用某种形式的匿名化来掩盖真实的IP地址甚至他们的设备信息。这将使分析师可能处于弱 势,甚至使他们的实体对这一群体越来越感兴趣。
合规程序要求记录和保留文件。审查网络的分析师应该保持他们正在研究的选择器的清晰、简 洁和准确的记录,其中可以包括个人、实体、地址、帐号、电话号码和CRI。OSINT的关键阶段是收集 和存储分析人员需要开发的材料。在调查网络时,分析人员可以花几个小时通过多种来源进行研究, 并使用某些工具,这些工具可以帮助准确记录所访问的网站。像Hunchly和X1Social Discovery这样的 工具能够捕获分析师访问的完整网页内容,创建可搜索的页面,这些页面存储在分析师的桌面上,而不 是云上。这些工具的附加功能是,您收集的数据可以以与原始网站相同的格式进行分析和传播。一旦 搜索和网站被保存,原始的删除,这并不重要,因为你将在你的本地驱动器上的确切页面作为一个文件和您不必依赖WayBackMachine(WBM),也称为archive.org,它甚至可能没有捕获网站的缓存版本。

7. 一体化分析

为了确保分析人员能够全面了解非法网络活动的程度,可以通过链接分析、社会网络分析、地理 空间分析、时间分析和趋势分析来利用通过OSINT和CRI获得的数据的整合。这种对OSINT和CRI及其事 务性数据进行调查的整体方法可以导致识别先前未知的关系、隐藏所有权和类型学的发展。
地理空间分析-这种类型的分析将允许分析师在一层中呈现交易数据,包括资金流量,然后将CRI 或开源数据添加为另一层。Michael Wakeman(2015年)研究了地理信息系统在资助恐怖主义调查中的 潜在用途。他能够利用预测分析和地理空间分析来确定与恐怖主义有关的资金流动情况。在一个具体 的例子中,他审查了与土耳其/叙利亚边界边防人员有关的潜在账户。基于Wakeman的分析和包括帐户 持有人的登录信息,以验证他们是否解析回同一设备、相同的地理位置或相同的IP地址,显示与网络中 的特定参与者的潜在联系,在他们的帐户中存放或管理资金。在与叙利亚边界有关的情况下,边防人 员是否从一个不应该是或多个银行账户共享相同的IP地址或设备信息的特定地点登录?对于分析师来 说,这可能是分析师调查网络中包容性个人的关键信息。
社会网络分析(SNA)-SNA是利用视觉和数学分析来映射和测量人、群体、实体、计算机、IP地址 和似乎有联系的任何其他关系的关系和流动。数据通常由开源材料组成。国民账户体系允许分析师能 够通过观察参与者的社会关系来理解和研究网络。它也可以用来确定潜在的金融阻塞点来破坏网络。
欧洲刑警组织和国际刑警组织利用国民账户体系调查他们收集到的数据,其中包括使用OSINT和 SOCMINT,调查他们确定的与偷运移民有关的最大网络。这一分析使他们能够研究网络之间的联系、网络的广泛传播、联系的建立以及主要组织者是谁。
罗兰·布拉尼克(2016)使用SNA来识别欧洲和拉丁美洲的主要群体。他说,如果一个或多个团体被带出网络,它将拆除该网络大多数网络。他在结论中指出,分析的来源是公开来源的新闻、退休的人类情报来源以及关于所涉群 体的若干报告。
黑客网络:利用开源情报和网络相关信息来破坏非法金融网络
链接分析-i2分析师的笔记本,Palantir,Maltego或类似的链接分析程序可以大大提高活动的视觉表现。查看事务性数据与通过OSINT提取的信息相结合将提供对网络的整体视图。数据可视化应该能够通过传统的图表和情节有效和清晰地传达给读者。
与非法金融网络有关的大型复杂交易数据集可能具有挑战性,分析人员必须能够有效地识别数据 集内的关键交易和关系。如果一位分析师专注于长期网络分析,他们可以识别数百个关键参与者以及 相关业务,并产生数千次交易点击。这些数据将需要进一步分析,以确定其对手的真实匹配以及 OSINT。在早期阶段使用链接分析将有助于将交易信息处理成可视化表示,以协助确定资金流动、潜在 的金融瓶颈和国家流动。分析师可以开始导入更多的数据,如OSINT和CRI,以充分了解网络中关键参 与者之间的活动和连通性。

8. 主要建议

( 1 ) 确定关键的内部和外部数据:金融机构应确定内部和外部来源,以支持其对非法金融网络的分析。
( 2 ) 中断工具:合规程序应该已经建立了交易过滤、帐户限制和活动报告的良好流程。利用这些 程序在FI以及如何使用它们打击非法网络。
( 3 ) 培训和提高认识:加强对分析人员的OSINT培训和提高认识,将确保他们在调查洗钱和资助恐 怖主义网络时更有效地查明金融犯罪风险。
( 4 ) 匿名化:通过在线匿名来保护你的分析师和你的声誉。通过独立的机器或使用虚拟机(VM)/虚 拟专用网络(VPN)隐藏您的IP地址,可以在进行在线研究时为您的FI的安全性添加层。考虑让 专家分析师能够访问已经内置了安全性的商业离线(COTS)OSINT平台和软件。
( 5 ) 威胁行为者躲在键盘后面:威胁行为者可以使用VPN或TOR进行在线交易。国际金融机构可以 考虑阻止TOR退出节点和已知的VPN服务,以减少对组织的风险,并增加威胁参与者在网上披露 真实IP地址和地理位置的风险。FI经常阻塞TOR节点以防止恶意活动和欺诈。 
( 6 ) 贸易工具:考虑投资于一些先进的工具,这些工具可以用来有效地绘制在线网络和订阅服务的 地图,这些服务有助于确定身份不明企业的潜在受益所有权。 
( 7 ) 合作:与执法机构和其他金融机构合作,是通过公开渠道找到更多信息用于研究的关键。这 些信息将扩大对网络的了解,并找到以前看不见的进一步个人和实体。 
( 8 ) 工作队:反洗钱和反恐怖主义委员会应考虑设立一个工作队,重点是技术的发展及其在防止、 侦查和调查洗钱和资助恐怖主义方面的作用。

9. 结论

很明显,金融机构必须依赖使用OSINT作为其调查框架工作中的常规任务。没有其他方法从公开来源 收集信息,没有分析师能够研究基于互联网的来源。 
在常规之外,专家分析师应该能够利用OSINT来解决更复杂和更具挑战性的问题,如识别和破坏 TCO和TOS。这就要求分析人员能够理解网络的结构,建立他们的业务模式,从开源收集他们的信息, 然后开始分析相关的事务。 
据估计,向执法部门报告的80%至90%的可疑活动没有用处。预计英国将在2017年提交260万沙特里亚尔。在美国,SAR中包含的信息的价值对于吸引他们的注意力至关重要。以非法金融网络为重点 的搜索和救援系统中提供的详细的OSINT和CRI的使用可能更有针对性,因此极大地提高了在试图扰乱 TCO和TOS方面对执法的价值。投资打击非法金融网络威胁的金融机构,通过长期情报主导的分析和信息共享,将减少这些网络构成的金融犯罪风险。
通过积极主动地使用OSINT和CRI金融机构,将加深对非法金融网络、商业概况、其方法、电子足迹和新类型的了解。一旦他们能够做到这一点,确定金融瓶颈将导致非法金融网络的成功中断。


原文来源:丁爸 情报分析师的工具箱
黑客网络:利用开源情报和网络相关信息来破坏非法金融网络

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: