地下商業論壇中的潛在威脅——BreachForums 在暗網中的運作方式

東方網路安全團隊定期監控地下交易論壇的活動，以了解網路犯罪分子的運作方式以及他們在地下經濟中提供的產品和服務。像 BreachForums 這樣的暗網論壇是有組織犯罪活動的最大聚集地之一。以下是對這個黑暗生態系統內部情況的詳細分析。

本文具有教育性質，並不鼓勵使用暗網。

從 RaidForums 到 BreachForums —地下平台的誕生

在 BreachForums 成為暗網中最著名的網路犯罪論壇之前，它的前身是 RaidForums。該平台由葡萄牙黑客 Diogo Santoso Coelho 於2015年創立。起初，它作為一個以“攻擊”網站作為玩笑和惡搞的社群運作。然而，當他們開始大量竊取社交媒體平台和企業網站的資料時，RaidForums 很快轉型成為非法商業的主要樞紐之一，盈利豐厚。

BreachForums 的歷史是一連串的接管、逮捕與重生。2022年，歐洲警察組織（Europol）與美國情報機構聯手接管該平台，並逮捕了 Diogo Santoso Coelho，他目前在英國監獄等待引渡。之後，該網站由一位化名為 PomPomPurin 的用戶重新啟用，他也在2023年被FBI逮捕。事實上，BreachForums 每次都會在新操作者手中重新運作——最近一次由FBI接管是在2024年5月。

儘管多次受到執法部門的干預，該論壇仍然活躍運作。網路安全專家推測，現行版本可能是FBI設置的“誘餌陷阱”，用來追蹤犯罪分子並收集證據。

犯罪生態系統 — BreachForums 真正提供的內容

一進入 BreachForums，就能看到公開招募非法活動的貼文。與其他假裝是安全愛好者社群的網路論壇不同，BreachForums 從不掩飾其真實身份。在首頁，可以看到一篇篇提供違法服務的貼文——從以1萬美元租用MS13幫派（多半是騙局而非真實交易），到販售企業商業資料外洩。

論壇的聊天室中，實時討論被盜用戶資料的銷售，包括Netflix、Paramount Plus、OnlyFans等串流平台的用戶資料，以及企業高層的電子郵件帳號登錄資訊。論壇活動非常活躍——所有研究中出現的貼文都在數小時內發布，顯示這個地下社群的生命力之旺盛。

其中一個最大子版塊專門用於純粹的資料外洩。用戶在此販售高階管理人員的電子郵件帳號、來自阿聯酋、印度、卡塔爾或沙烏地阿拉伯的身份證件。特別受到關注的是來自澳洲健康保險公司 MedBank 的資料外洩，該公司在2022年被俄羅斯網路犯罪分子入侵，竊取了970萬澳洲人的個人資料。許多這類資料其實是舊的外洩（例如2016年的），販售者會將其標榜為“新鮮貨”——這也是犯罪分子之間的騙局之一。

服務目錄 — 非法商業的專業運作

像 BreachForums 這樣的暗網論壇提供的服務目錄，幾乎可以在合法市場找到——但所有都屬於非法範疇。犯罪分子被雇用來進行DDoS攻擊，即分散式阻斷服務攻擊，利用殭屍網路阻擋網站運作，以勒索金錢或破壞競爭對手。

另一項常見服務是遠端控制受害者電腦（HNVC — Hidden Virtual Computer），讓黑客能完全掌控設備。令人驚訝的是，這些犯罪團伙會像合法公司一樣廣告這些服務，詳細列出功能、價格，並用俄語和英語提供客戶支援。

論壇還提供大量電子郵件群發服務，用於釣魚攻擊、垃圾郵件“洪水”攻擊，甚至整套開發假冒網站用於資料竊取的程式服務。所有交易都以加密貨幣進行，以確保匿名性。

然而，由於多次被接管，大多數帳號的年齡都不到兩年，導致缺乏賣家的信譽，詐騙事件頻繁。有些賣家則提供“托管”服務（escrow），即由第三方信任機構保管資金，直到雙方都滿意交易完成。這是判斷賣家是否可信的較佳指標。

內部欺詐 — 犯罪分子彼此欺騙

這個地下交易論壇的一個有趣面向是，有專門的報告欺詐的討論串。論壇記錄了多起用戶 uuu732 被騙的案例，例如他向一個化名 PennyTrate-x 的賣家支付了300美元購買繞過惡意軟體偵測器的軟體，但賣家從未交貨。當管理員介入調查時，賣家拒絕回應，帳號也被封鎖。

另一案例是一名用戶花了500美元購買一個瑞士保險公司被盜的資料庫，之後又花了1300美元買瑞士零售商的資料庫，但都沒有收到貨。這些案例顯示，即使在無法無天的地下市場，詐騙仍然普遍，管理員也難以完全執行規範。

後果 — 犯罪分子如何利用被盜資料

在暗網論壇上交換資料，會對受害者造成嚴重且具威脅的後果。當犯罪分子購買到帳號和密碼後，會用來入侵PayPal、社交媒體、電商平台等帳戶，進行未經授權的轉帳或購物。

個人資料也被用來身份盜竊——犯罪分子以被盜的護照資料申請貸款，或用於勒索，威脅公布敏感資訊。一旦黑客取得受害者帳戶的敏感資料，就可能進行威脅或敲詐。

防範措施 — 如何保護自己免受網路威脅

儘管暗網論壇構成真實威脅，但可以採取具體措施來保護自己。首先，也是最重要的——完全不要訪問暗網。這是最有效的防禦。

對一般網路用戶來說，基本的安全措施是啟用雙重認證（2FA）在所有帳戶上——這樣登入時需要第二個裝置（如手機）。仔細檢查網址，避免點擊可疑連結——詐騙者常製作幾乎一模一樣的假網站。切勿從不可信來源下載檔案，也不要點擊陌生連結。

如果想知道自己的電子郵件是否出現在暗網上，可以使用“Have I Been Pwned”這類工具，這不需要進入暗網。若發現自己的郵箱出現在此類論壇，應立即更改密碼，啟用2FA，並在發現異常活動時考慮更換整個電子郵件地址。

常見問題 — 關於暗網與安全

可以用Chromebook訪問暗網嗎？
技術上可以——透過Crostini安裝Linux，並加入Tor瀏覽器的軟體庫。但我們強烈不建議這樣做，除非你是從事新聞調查或學術研究。風險遠大於收益，可能遇到詐騙或犯罪分子。

為何暗網有“恐怖”之名？
許多YouTube影片會展示開箱“神祕包裹”，網路上充滿恐怖故事，這些多是剪接或誇張的演出。事實上，大多數情況下，暗網更像是商業平台——人們進入是為了分享資訊（如政治揭露者），或單純進行網路犯罪。

如果我的電子郵件出現在暗網上怎麼辦？
立即更改密碼，啟用雙重認證，並密切監控帳戶活動。如果發現可疑登入（如要求確認的郵件），建議徹底更換電子郵件地址。

專家監控暗網論壇活動，旨在提醒用戶潛在威脅。了解犯罪分子的運作方式，是保護自己免受攻擊的第一道防線。