網(wǎng)絡犯罪是一只迅速變異的野獸，隨著威脅行為者不斷調(diào)整其戰(zhàn)術、工具和流程，新的趨勢和發(fā)展正在不斷出現(xiàn)。日前，網(wǎng)絡安全公司Cybersixgill最新發(fā)布了《2023年地下網(wǎng)絡犯罪現(xiàn)狀報告》。這項研究基于從深網(wǎng)、暗網(wǎng)和明網(wǎng)中收集的大約1000萬份情報，為持續(xù)洞察網(wǎng)絡犯罪活動和趨勢提供了較充分的數(shù)據(jù)支持。

• 深網(wǎng)（Deep Web）：不能被傳統(tǒng)搜索引擎索引到的網(wǎng)站，或被封鎖并限制訪問的網(wǎng)站。
• 暗網(wǎng)（Dark Web）：只能通過Tor、ZeroNet和I2P等加密隧道協(xié)議訪問的網(wǎng)站。
• 明網(wǎng)（Clear Web）：可以通過常用瀏覽器以普通方式訪問的網(wǎng)站。

Cybersixgill的研究人員通過對所有收集到的情報信息進行全面分析，并將其與之前所觀察到的結果和趨勢進行對比，以了解影響地下網(wǎng)絡犯罪的主要機會和因素。今年的報告內(nèi)容顯示，威脅行為者正在強化他們對加密消息平臺、初始訪問代理和生成式AI模型的使用，這簡化了惡意攻擊活動的武器化和執(zhí)行進程，制約網(wǎng)絡犯罪活動擴散的專業(yè)性壁壘已經(jīng)被打破。

發(fā)現(xiàn)1：從暗網(wǎng)轉(zhuǎn)向深網(wǎng)平臺

雖然過去，大多數(shù)威脅行為者多在暗網(wǎng)中進行活動，但近年來，越來越多的網(wǎng)絡犯罪分子開始使用深網(wǎng)（加密消息）平臺。通過一個易于訪問的平臺，威脅行為者在一個與暗網(wǎng)并行運行的非法網(wǎng)絡中協(xié)作和通信，交易工具、被盜數(shù)據(jù)和服務。以下的數(shù)據(jù)反映出，這些平臺在地下市場的重要性正在持續(xù)增長，成為網(wǎng)絡犯罪的強大紐帶。

在2019年至2022年期間，Cybersixgill收集的數(shù)據(jù)反映了加密消息平臺的大規(guī)模激增，收集的項目總數(shù)由43,986,244條快速增長到1,967,643,024條信息，但增長幅度開始趨緩。

加密消息平臺活動數(shù)量

此外，積極參與暗網(wǎng)頂級論壇的威脅行為者數(shù)量也略有下降。2021年，十大網(wǎng)絡犯罪論壇的月平均用戶數(shù)為165,390人，到2022年下降4%，至158,813人。相比建立和瀏覽暗網(wǎng)網(wǎng)站需要大量的時間、精力和技能，在流行的加密消息應用程序（如Telegram）上建立一個頻道則是快速而簡單的。這些渠道是可搜索的，加入起來也很簡單，降低了新手的準入門檻。

除了為非法通信提供更方便的媒介外，一些加密消息平臺還為網(wǎng)絡犯罪分子提供了內(nèi)置的自動化功能，可以作為網(wǎng)絡攻擊的跳板。通過利用它們的原生功能，包括基于云的數(shù)據(jù)存儲和可定制的基于規(guī)則的聊天機器人API，威脅行為者還會將這些消息傳遞工具直接轉(zhuǎn)變?yōu)殚_箱即用的命令和控制（C2）基礎設施，用于發(fā)起攻擊活動。

發(fā)現(xiàn)2：人工智能“民主化”

2022年11月底，OpenAI正式發(fā)布了ChatGPT 3.0，其代表了由人工智能、高級自然語言處理（NLP）和機器學習（ML）技術共同驅(qū)動的新一代聊天機器人。在地下網(wǎng)絡犯罪領域中，威脅行為者也在討論將ChatGPT作為網(wǎng)絡犯罪能力加速器的可能性。盡管ChatGPT仍處于起步階段，但網(wǎng)絡犯罪分子正在積極的試驗這項技術，不斷突破可能的界限，以發(fā)現(xiàn)更多的惡意用例和應用程序。

報告列舉了目前ChatGPT支持技術的一些潛在惡意利用機會： 

• 以欺詐手段獲得職業(yè)工作。
• 編寫腳本用于在在線賭場和體育博彩平臺上自動執(zhí)行賭博和投注的命令。
• 在網(wǎng)絡游戲中作弊以積累虛擬數(shù)字貨幣。
• 虛假點擊生成聯(lián)盟營銷/推廣（affiliate marketing）鏈接。

此外，ChatGPT也使威脅行為者能夠大規(guī)模生成清晰和個性化的魚叉式釣魚信息，通過模仿受信任的寫作風格，繞過保護性的電子郵件過濾器，以增加到達預期收件人的可能性。然后，受害者的反應會被記錄并輸入到模型中，以產(chǎn)生相關的和個性化的后續(xù)調(diào)查。

報告研究還表明，網(wǎng)絡犯罪分子正試圖濫用ChatGPT的代碼編寫能力，以達到更邪惡的目的。雖然ChatGPT設計有內(nèi)置的保護機制，可以識別和拒絕不適當?shù)牡恼埱?，但威脅行為者正在研究幾種策略來繞過OpenAI的限制。其中一種策略包括創(chuàng)造性地制定請求，并在向模型輸入提示時省略明確提到標記的術語。通過使用謹慎的措辭，網(wǎng)絡犯罪分子能夠成功地請求ChatGPT創(chuàng)建惡意軟件應用和技術。

繞過ChatGPT惡意利用控制的另一種策略是角色扮演。例如，威脅行為者首先會建立角色扮演的規(guī)則，這可以像讓聊天機器人成為滲透測試人員一樣簡單，以引導模型詳細說明測試可滲透漏洞的步驟。這其實是一種被稱為“提示注入”的技術，它試圖“越獄”聊天機器人，方法是用一個新的提示來取代模型原來的主提示，繞過其原有的規(guī)則和限制。

發(fā)現(xiàn)3：IAB市場需求激增

報告認為，初始訪問代理（IAB）技術在勒索軟件生態(tài)系統(tǒng)中發(fā)揮著至關重要的作用，可以勒索軟件運營商從獲取初始訪問的繁瑣階段中解放出來，并為不太復雜的勒索軟件附屬機構提供進入目標系統(tǒng)的第一步。

在過去幾年里，初始訪問代理利用了外包訪問需求的暴漲，在地下經(jīng)濟中創(chuàng)造了一個利潤豐厚的新市場。只要支付一定的費用，網(wǎng)絡犯罪分子就可以通過受損端點、web shell、CPanel或各種遠程協(xié)議（如RDP和FTP）獲取有關其目標的初始立足點。基于此，威脅行為者就可以部署勒索軟件，獲取系統(tǒng)資源和機密信息，并控制登錄的合法用戶賬戶。

在地下網(wǎng)絡犯罪中有兩大市場類別：初始訪問代理（IAB），以數(shù)百到數(shù)千美元的價格拍賣企業(yè)網(wǎng)絡的訪問權限；批發(fā)訪問市場（WAM），以大約10美元的價格出售受損端點的訪問權限。2021年，這些市場的交易量激增，全年銷售了450多萬個訪問載體，而2022年的銷售數(shù)量超過了1000萬。

ChatGPT等人工智能模型的流行，加上對訪問企業(yè)網(wǎng)絡的需求不斷增長，可能會導致更多攻擊者轉(zhuǎn)向?qū)⒊跏荚L問代理作為創(chuàng)收手段，從而推動地下網(wǎng)絡犯罪市場出售的IAB列表數(shù)量進一步增加。反過來，隨著代理數(shù)量的增長和訪問出售列表的供應激增，我們可能會看到受損訪問憑證的價格下降，因為它們變得更易獲得，對所有人來說都負擔得起。

發(fā)現(xiàn)4：勒索軟件服務化

報告數(shù)據(jù)顯示，在2022年監(jiān)測到勒索軟件攻擊總數(shù)增加了18.9%，從2021年的4034次增加到2022年的4798次。雖然數(shù)量可觀，但與2021年相比，增幅相對較小，2021年的攻擊次數(shù)增加了116%，從2020年的1509次增加到3264次。而在2021年的3264次攻擊中，近20%的攻擊源于初始訪問代理市場出售的受損訪問憑據(jù)，再次表明這些市場的活躍與勒索軟件攻擊的倍增有關。

2021-2022年勒索軟件攻擊數(shù)量

隨著網(wǎng)絡犯罪的技術壁壘不斷崩潰，研究人員預計勒索軟件攻擊會繼續(xù)增加，發(fā)起攻擊的組織也會多樣化。今天的網(wǎng)絡犯罪是高度專業(yè)化、戰(zhàn)略性和合作性的，對于勒索軟件領域的組織來說尤其如此。2022年2月，勒索軟件團伙Conti成員之間的聊天信息泄露，數(shù)據(jù)表明Conti的運作和組織方式就像一家普通的科技公司，有領薪員工、績效評估、推薦計劃，甚至還有“月度最佳員工”獎金。

對于威脅行為者來說，RaaS模型充當了一個擴展的網(wǎng)絡犯罪供應鏈。通過這種方法，那些處于鏈條頂端的人可以專注于改進他們的勒索軟件，而他們的渠道合作機構則管理分發(fā)，這使得在產(chǎn)生更多收入的同時降低他們的暴露風險。RaaS讓更多的網(wǎng)絡犯罪分子可以從事勒索業(yè)務，并從中獲利，訪問以前只有頂級威脅行為者才能獲得的高質(zhì)量技術工具。

發(fā)現(xiàn)5：信用卡欺詐明顯下降

報告數(shù)據(jù)顯示，自2019年以來，服務于被盜信用卡交易的深網(wǎng)和暗網(wǎng)市場在規(guī)模和范圍上都遭受了重大打擊，信用卡出售數(shù)量呈現(xiàn)明顯下降的趨勢。一些積極有效的防護措施已明顯減少信用卡欺詐事件：

• 改進認證和欺詐預防：金融機構已經(jīng)實施了更先進的認證方法來防止欺詐交易，這使得成功破解信用卡變得更加困難。
• 實時欺詐檢測：信用卡公司開始實施實時欺詐檢測系統(tǒng)，使用機器學習算法來分析用戶行為、消費模式和地理位置數(shù)據(jù)，以識別異常或可疑活動。隨著反欺詐模式日益成熟，被盜信用卡的價值也相應下降。
• 提高電子商務網(wǎng)站的安全性：2021年開始，主流電子商務網(wǎng)站加強了安全措施，使網(wǎng)絡犯罪分子更難從客戶那里竊取信用卡數(shù)據(jù)。這些措施包括雙因素認證（2FA）、地址驗證系統(tǒng)、實時交易監(jiān)控和符合PCI DSS的安全支付系統(tǒng)。 
• 執(zhí)法打擊：自2020年以來，全球執(zhí)法機構一直在共同打擊信用卡欺詐。執(zhí)法機構之間日益加強的合作，使得網(wǎng)絡犯罪分子更難不受懲罰地進行活動。

以上因素有效抑制了整個地下網(wǎng)絡犯罪生態(tài)系統(tǒng)的金融欺詐活動。在過去四年里，非法地下信用卡市場出售的受損信用卡數(shù)量下降了94%。2019年，暗網(wǎng)市場列出了大約1.4億張在售的被盜卡。2020年，這一數(shù)字下降了28%，至1.02億張左右；2021年又下降了60%，至近4200萬張；到2022年，這一總數(shù)再次下降到只有900萬張。

不過，受損信用卡的價格基本保持一致。CVV卡（用于在線購物）的平均價格從2021年的11.89美元/月上漲到2022年的12.21美元/月。與此同時，Dump（用于生成物理克?。┑钠骄鶅r格從15.86美元下降到14.32美元。

2022年受損信用卡平均價格走勢

結語

展望2023年及以后，研究人員認為：在RaaS、IAB和人工智能的共同作用下，我們很可能會看到地下網(wǎng)絡攻擊的數(shù)量和強度急劇上升，網(wǎng)絡犯罪分子肯定會不斷嘗試用新的技術來達到惡意目的，比如開發(fā)和部署越來越復雜的自動化攻擊，以逃避傳統(tǒng)安全措施的檢測。假以時日，基于人工智能的網(wǎng)絡犯罪也注定會成為常態(tài)。

為了應對這些新出現(xiàn)的威脅，企業(yè)必須以AI來應對AI。組織不能再依賴過時的工具和手動流程來抵御網(wǎng)絡犯罪分子的自動化、智能化攻擊。在2023年及以后，利用來自深網(wǎng)、暗網(wǎng)和明網(wǎng)的實時網(wǎng)絡威脅情報（CTI），合理制定主動攻擊面管理策略也將變得更加關鍵。

參考鏈接：

??https://www.cybersixgill.com/wp-content/uploads/2023/04/16245-CSG-State-Of-The-Underground_Final.pdf?。