地下地下商业论坛中的隐藏威胁——BreachForums在暗网中的运作方式

西方网络安全机构定期监控地下交易论坛的活动，以了解网络犯罪分子的运作方式以及他们在地下经济中提供的产品和服务。像BreachForums这样的暗网论坛是有组织犯罪活动的最大聚集地之一。以下是对该黑暗生态系统内部情况的详细分析。

本文具有教育性质，不鼓励使用暗网。

从RaidForums到BreachForums——地下平台的诞生

在BreachForums成为暗网中最著名的网络犯罪论坛之前，它的前身是RaidForums。该平台由葡萄牙黑客Diogo Santos Coelho于2015年创立。起初，它作为一个以“攻击”网站为乐趣和恶搞的社区而运作。然而，当他们开始大规模窃取社交媒体平台和企业网站的数据时，RaidForums迅速转变为一个非法商业的高利润枢纽。

BreachForums的历史是一连串的接管、逮捕和重生。2022年，欧洲刑警组织（Europol）和美国情报机构联合接管了该平台，并逮捕了Coelho，他目前在英国等待引渡。随后，该网站由化名为PomPomPurin的用户恢复，但该用户也在2023年被FBI逮捕。实际上，BreachForums的特点是每次都在新运营者手中重新启动——最近一次由FBI接管是在2024年5月。

尽管多次执法行动，论坛仍在活跃运营。网络安全专家推测，当前版本可能是FBI设置的“诱饵陷阱”，用以追踪犯罪分子和收集证据。

犯罪生态系统——BreachForums真正提供了什么

一进入BreachForums，就能看到对非法活动的公开招募。与其他假装是安全爱好者社区的网络论坛不同，BreachForums从不隐藏其真实本质。首页上一个接一个地出现提供禁用服务的帖子——从以1万美元租用MS13帮派（更像是骗局而非真实交易），到出售商业数据泄露。

论坛的聊天室显示，用户们在实时讨论从Netflix、Paramount Plus、OnlyFans等流媒体平台或企业高管邮箱账户中窃取的用户数据的销售。论坛的活跃度极高——所有在研究中出现的帖子都在数小时内发布，显示出这个地下社区的巨大生命力。

其中一个最大的子版块专门用于数据泄露。用户在此出售高管邮箱登录信息、来自阿联酋、印度、卡塔尔或沙特阿拉伯的身份证明文件。特别受关注的是澳大利亚健康保险公司MedBank的数据泄露事件——2022年被俄罗斯网络犯罪分子入侵，窃取了970万澳大利亚人的个人信息。这些交易中，许多是旧的泄露（如2016年的），卖家将其标记为“新鲜”——这是犯罪分子中也存在的欺诈行为的又一例证。

服务目录——非法业务的专业化

像BreachForums这样的暗网论坛提供的服务目录，几乎可以出现在合法市场中——但所有都非法。犯罪分子被雇佣执行DDoS攻击，即分布式拒绝服务攻击，利用僵尸网络阻断网站运营，以勒索资金或破坏竞争对手。

另一项常见服务是远程控制受害者电脑（HNVC——隐藏虚拟电脑），允许黑客完全控制设备。令人感兴趣的是，某些网络犯罪团伙将此类服务广告得与合法公司无异——详细列出功能、价格以及用俄语和英语提供的客户支持。

论坛还提供大量电子邮件群发服务，用于钓鱼攻击、“洪水”式邮件轰炸受害者邮箱，以及开发伪造登录页面以窃取数据的程序服务。所有交易都通过加密货币完成，以保证交易的匿名性。

然而，由于多次被接管，大部分账户的注册时间不足两年，缺乏卖家信誉，欺诈行为频繁。一些卖家提供“托管”服务（escrow），即由第三方信任机构在交易完成前保管资金，以确保交易的可靠性。这是判断卖家是否可信的一个更好指标。

内部欺诈——犯罪分子之间的相互欺骗

这个地下交易论坛的一个有趣方面是，有专门的举报欺诈的帖子。论坛有记录，用户uuu732曾举报自己被卖家PennyTrate-x骗取了300美元，购买一款绕过恶意软件检测的程序，但卖家未交付商品。当管理员介入时，卖家拒绝回应，账户被封。

另一个案例是，一名用户花费500美元试图购买一份瑞士保险公司被盗数据库，之后又花费1300美元购买瑞士零售商的数据库，但都没有收到任何货物。这些案例显示，即使在一个无序的地下市场中，欺诈行为也很普遍，管理员也难以完全执行规则。

后果——犯罪分子如何利用被窃取的数据

在暗网论坛上交换的数据对受害者具有具体且严重的后果。当犯罪分子购买了邮箱登录信息后，会利用这些信息登录银行账户、PayPal、社交媒体或电商平台，进行未经授权的转账或购物。

个人信息还被用来身份盗窃——犯罪分子以被盗护照等文件申请贷款。在许多情况下，这些数据还被用来进行勒索——黑客获得受害者敏感信息后，威胁公开。

防护措施——如何防范网络威胁

虽然暗网论坛构成真实威胁，但可以采取一些具体措施进行防护。首先，也是最重要的——不要访问暗网。这是最有效的防御手段。

对于普通互联网用户，基本的保护措施是启用所有账户的双因素认证（2FA）——即登录时需要第二个设备（如手机）验证。仔细检查网址，避免点击可疑链接——骗子常常制作几乎一模一样的钓鱼网站。切勿从不可信的来源下载文件，也不要点击陌生的链接。

如果想确认自己的邮箱是否出现在暗网中，可以使用“Have I Been Pwned”这类工具，无需访问暗网。若发现邮箱泄露，立即更改密码，启用2FA，并考虑更换整个邮箱地址，特别是在发现异常活动时。

常见问题——关于暗网和安全

可以用Chromebook访问暗网吗？
技术上可以——通过Crostini安装Linux并添加Tor浏览器的仓库。但强烈不建议这样做，除非你进行新闻报道或学术研究。风险远大于收益，可能遇到骗子和犯罪分子。

为什么暗网有“恐怖”的名声？
许多YouTube上的热门视频展示主播打开“神秘包裹”，网络上充满了受此启发的恐怖故事。实际上，大部分都是剪辑表演。暗网更像是一个商业平台——人们访问它是为了分享信息（如政治告密者）或进行网络犯罪。

如果我的邮箱出现在暗网中怎么办？
立即更改密码，启用双因素认证，密切监控账户活动。如果发现异常登录（如确认请求的邮件），考虑彻底更换邮箱地址。

网络安全专家监控暗网论坛的活动，旨在提醒用户潜在威胁。了解犯罪分子的运作方式，是保护自己免受攻击的第一道防线。