1、2023 年 1 月 辽 宁 警 察 学 院 学 报 Jan.2023 第 1 期(总第 137 期)JOURNAL OF LIAONING POLICE COLLEGE No.1(Ser.No.137)暗网犯罪趋势分析及治理对策 张靖琦1,2 (1.360 数字安全集团 解决方案部,北京 100015;2.西安电子科技大学 经济与管理学院,陕西 西安 710071)摘 要:摘 要:网络空间可分为明网和深网,暗网属于深网的子集。暗网设计的初衷是为了保障互联网用户个人隐私,暗网用户的数据流转和资金交易较明网用户更加隐匿,因此暗网内逐渐滋生了大量违法犯罪行为。当前暗网犯罪呈现出多元化、普及化和产业
2、化的趋势。暗网犯罪作为公安机关面临的主要挑战之一,亟需从监管制度、侦查手段、产品创新三方面研究相关的治理对策。跨警种、跨地域协作并设立专门机构可打破信息壁垒,借助社会工程学、漏洞利用和攻防渗透等方式可拓展涉案线索,基于暗网舆情和蜜罐理念设计构造“暗网蜜罐”可收集和研判犯罪情报。健全暗网犯罪监管制度、拓展暗网犯罪侦查手段、设计暗网犯罪治理产品可以帮助公安机关有效打击治理暗网犯罪行为。关键词:关键词:暗网;暗网犯罪;监管制度;侦查手段;产品设计 中图分类号:中图分类号:D917.6 文献标识码:文献标识码:A 文章编号:文章编号:2096-0727(2023)01-0063-06 一、引 言 收稿
3、日期:2022-10-07 作者简介:张靖琦(1994),男,陕西西安人,公安行业技术顾问,硕士研究生。研究方向:网络信息安全。随着产业数字化的发展,信息技术为教育、医疗、工业等行业引入了新的增长动能,信息技术的高速发展也对违法犯罪行为产生了影响,犯罪方式由传统的接触式犯罪逐渐向网络犯罪演变。暗网空间最初是为了保障互联网用户的个人隐私,但暗网的隐匿属性为违法犯罪提供天然庇护,越来越多的网络使用者进入暗网,暗网空间逐渐发展为犯罪团伙进行电商交易的主要途径之一。网络世界中不同类型的网络占比可以用冰山模型来解释。我们平时通过常见的搜索引擎能访问到的网站和信息只占整个网络空间很小的一部分,大部分网络空
4、间无法通过搜索引擎直接检索到。海平面以上的冰山对应明网,海平面以下的冰山对应深网,暗网则是海平面以下冰山的部分子集。深网中的数据在搜索引擎上无法直接检索到,深网信息不能直接访问,往往需要进行认证和授权,是互联网中必不可少的一层网络。暗网是深网的子集,是深网中的一部分,暗网登录过程中需要用到特殊软件并对计算机做特殊设置才能访问,以访问第二代洋葱路由网络为例,要先输入动态验证码获取动态的中继节点信息,然后将中继节点信息配置在第二代洋葱路由网络的特定浏览器上,配置好后才能进行访问暗网中的域名,第二代洋葱路由网络的域名以“.onion”结尾,相比于明网更复杂的代理方式和虚拟货币的交易模式保障了暗网使用
5、者的个人隐私,也正是因为这样的特性,暗网上的犯罪行为也比明网中更难追溯和侦查。暗网的匿名代理方式可以分为单节点代理和多节点代理。单节点代理指网络使用者共用单台代理服务器进行数据流量的转发,这种代理模式传输效率比多节点代理更高,但由于只有单层63 辽宁警察学院学报 2023 年第 1 期 代理,访问时通信数据更容易被分析。多节点代理网络使用者访问入口代理节点后,进行了多个中间节点的流量转发,最终流量通过出口代理节点到达相关的服务器。暗网访问过程采取的就是这种多节点代理方式。暗网还采用了MIX混淆匿名的方式,将暗网用户发送的普通消息通过MIX盒进行乱序变化和填充等,以此保障网络信息的隐蔽性1。暗网
6、实现过程中,为了预防单点故障及保障匿名效果,会采用多个MIX盒串联部署形成MIX匿名链。暗网的通信方式较明网更加隐匿,其设计初衷是为了保障互联网用户个人隐私,暗网也逐渐滋生了大量违法犯罪行为。二、暗网犯罪趋势分析(一)暗网犯罪多元化 暗网犯罪多元化指各种传统的接触式犯罪行为借助暗网网络向非接触式犯罪行为转型。当前数字化手段逐渐影响和赋能不同行业,智能汽车、工业互联网、远程诊疗等都是数字化转型的产物,数字红利惠及生活方方面面。然而各类违法犯罪团伙也开始依托互联网和数字化手段实施犯罪行为,如网络诈骗、网络赌博、数据窃取、枪支交易、毒品交易等。暗网受到各类违法犯罪团伙的青睐,面对暗网犯罪行为,公安机
7、关在网络流、资金流上的侦查都比明网更加困难,因此暗网犯罪呈现出多元化的趋势。(二)暗网犯罪普及化 暗网犯罪普及化指暗网空间内的使用者人数呈现快速增长。全球毒品调查组织曾在报告中指出,2014 年至 2018 年期间,全世界吸毒者采用暗网购买毒品的比例大幅增长,增长幅度达到97.9%。截至 2020 年 3 月,暗网中使用第二代洋葱路由接入的用户数量有 150 万人以上,2020年 1 月至 2020 年 2 月期间,使用第二代洋葱路由接入的用户数量突破 250 万人2,因此暗网犯罪呈现出普及化的趋势。(三)暗网犯罪产业化 暗网犯罪产业化指暗网交易平台帮助犯罪分子细化了网络黑灰产分工。最初的计算
8、机犯罪可能需要实施者具备一定的编程或技术能力,而暗网交易平台中各类丰富的资源大大降低了网络犯罪的门槛和技术要求。泄露的各类个人信息、网络攻击工具、身份掩护四件套、诈骗场景话术、洗钱服务等都可以通过暗网交易平台购买,网络犯罪团伙获取资源更容易更快捷,因此暗网犯罪呈现出产业化的趋势。三、健全暗网犯罪监管制度(一)治理暗网犯罪亟需开展跨警种合作 目前暗网中文交易板块和“楼兰城”平台是较活跃的且使用汉语的暗网交易平台,买家和卖家交易品类繁多。从其中较为活跃的帖子来看,暗网交易的主要对象包括股民个人信息数据、银行个人信息数据、涉及电诈的话术本、网络情色信息、冰毒大麻、制作毒品方法、枪支弹药、文物古玩等等
9、。传统案件侦查会基于案情信息进行分工,某个警种部门作为主侦,其他部门作为配侦,而暗网交易平台上的违法犯罪行为很难界定主侦部门,犯罪行为具有多元化和持续化的特征。以电信网络诈骗为例,打击电信网络诈骗往往是刑侦作为主侦部门,网络安全等级保护监督管理是网安的主要职责,二者表面相关性比较弱,刑侦更关注降低案发率和提升破案率,因此,刑侦会采取技术手段进行电信网络诈骗的预警和案件的追溯打击,但是无论是诈骗预警还是案件打击,往往是电信诈骗案件处于正在发生或已经发生的阶段。追本溯源,电信网络诈骗的发生与公民信息严重泄露、电诈话术暗网交易、卡商倒买倒卖都有很大的关系。公民信息的泄露可能是企业或组织的安全管理问题
10、,由内鬼造成的泄露,更可能是企业或组织的网络安全等级保护的技术措施不到位,导致黑客非法获取了数据服务器权限从而盗取了大量隐私数据。因此,各单位基于等保合规的技术与管理要求,依法依规开展网络安全等级保护建设,保障敏感数据信息的不外泄,可以减少电诈话务组掌握的公民个人信息数量,从而降低网络诈骗案发率。当前暗网犯罪在利益驱动下演变出产业化和链条化的特点,单一警种仅凭自身资源很难完成整体打击治理工作。刑侦、网安、缉毒、治安等不同部门的联合协作在打击治理暗网犯罪中至关重要,多警种协同的治理将成为治理暗网犯罪行为的主线3。64 张靖琦:暗网犯罪趋势分析及治理对策(二)治理暗网犯罪亟需开展跨地域协作 治理暗
11、网犯罪需重视并探索国内跨地区执法机关协作。虽然各地公安机关更关注与本地有关的暗网情报信息,但互联网的属性打破了物理环境的限制,暗网也不例外。暗网卖家发布的有关公民信息的交易帖子中,有大量的帖子是基于行业属性和用户属性发布的4。同类型的数据对黑灰产业链上下游更具有利用价值,如证券银行类个人信息数据易被用于投资理财诈骗等。即使是暗网交易平台上某次公民个人信息数据交易行为,也往往会涉及几个乃至十几个不同省市公民的同类型数据信息。因此,公安机关开展联合打击治理暗网犯罪将比传统的“一案一查”方式更加高效5。当前已有多个不同国家之间联合打击暗网犯罪的先例,开展跨地域合作还需要积极探索国际联合执法协作并取得
12、成效。欧盟自 2002 年开始探索涉网案件的跨国协同侦查,成员单位数量最多时有来自 28 个不同国家的执法机关参与6。欧洲刑警组织成立的“暗网小组”专门负责暗网犯罪行为侦查与打击工作。2019 年 9 月派出约600 名执法人员,在赛博庞克共和国的地堡中破获全球最大暗网非法网站主机服务提供商,联合执法人员共缴获约 400 台服务器、400 个硬盘、60 台电脑、50 部电话和 10 万欧元现金,封停了大量暗网网站主机。2021 年德国警方联合多国执法机关开展暗网交易平台打击专项行动7,通过协同其他国家执法机关查获 20 余台暗网服务器。暗网中访问跳转和域名服务会分散在许多不同国家,要想在治理暗
13、网犯罪取得更深入、更有效的打击成果,需要跨地域执法机关通力合作。各国执法机构应加强沟通、扩大共识、深化合作,构建暗网治理协作共同体,通过跨地域协作帮助执法机关治理暗网犯罪难题。(三)治理暗网犯罪亟需设立专门机构 暗网犯罪与传统犯罪相比,跨警种和跨地域属性更加明显。现有执法体系在与暗网犯罪行为博弈过程中会有协同配合、重复工作等潜在问题。因此,打击治理暗网犯罪需要探索并设立专门的监管机构。2018 年,德国政府正式着手筹备网络安全创新署8。2019 年 11 月,德国联邦议院国防委员会和预算委员会批准将网络安全创新署设立为有限责任公司,网络安全创新署作为德国安全领域信息技术中央办公室的重要支持单位
14、,为德国联邦内政部的网络安全部门提供解决方案开发、产品战略协助和暗网犯罪监控等工作的支持。美国的司法部监察长办公室也曾于2020 年曾发布相关报告,建议美国联邦调查局制定“局级正式的暗网治理战略”,以提升针对暗网犯罪活动侦查打击能力9。设置专门的监管组织机构有利于开展更深层次暗网侦查与执法工作。国家立法机关也可以结合特定执法部门在暗网侦查打击实战中发现的犯罪行为特征,推进暗网相关的立法管制工作,实现在法律维度对暗网犯罪进行定义和处罚,保障打击治理暗网犯罪有法可依。公安机关设立专门监管机构可推进暗网犯罪的治理研究和专项打击。四、拓展暗网犯罪侦查手段(一)结合社会工程学侦查 结合社会工程学侦查指利
15、用暗网卖家好奇心、信任、贪婪等心理弱点开展执法侦查的手段。公安机关使用社会工程学开展侦查时需要执法人员在暗网上伪装成洗钱黑灰产,与暗网商家在沟通过程中获取卖家明网联系方式,进而在明网追踪溯源。社会工程学是简单有效的暗网犯罪侦查方式,但随着犯罪分子与执法机关双方博弈的升级,这样的手段和思路也面临一定的挑战,目前部分暗网交易卖家采取电商自动化运营方式,如智能客服和自动发货等。在公民个人隐私数据交易的场景下,买家支付约定的比特币后,卖家的机器人会自动发货,交易全程不会有真实卖家参与。社会工程学的侦查方式由于无法直接与卖家进行沟通,从而想获取到卖家明网联系方式比较困难。在毒品、枪支等交易的场景下,买家
16、与卖家由于需要频繁的沟通物流和收货方式,会产生大量的信息交互,因此是社会工程学侦查适用的场景。社会工程学侦查成本更低,可以更快地进行普及,解决部分暗网犯罪打击的需求。(二)结合漏洞侦查 漏洞指在软硬件、网络协议的具体实现过程中存在的缺陷,入侵者能够在未授权的情况下得 65 辽宁警察学院学报 2023 年第 1 期 到数据或访问系统。暗网空间中信息基础设施也不例外,结合漏洞侦查常见的措施有两个:某些插件或应用程序绕过Tor匿名代理,从而泄露暗网使用者真实信息;由于程序插件的漏洞或配置不善,导致暗网使用者部分信息泄露2,10。利用插件或应用程序绕过Tor匿名代理是典型的结合漏洞侦查的方式。常用的浏览器插件的通信信息会被拒绝代理,有些匿名代理不支持部分网络协议,产生的连接请求会暴露暗网使用者的部分明网信息,从而为暗网犯罪侦查提供部分明网线索信息。利用常见办公软件程序插件的漏洞是典型的暗网犯罪线索拓展方式。暗网交易平台上很多卖家的数据实际上是从其他渠道购买获取,整理打包后再次在暗网交易平台出售,这种现象非常普遍。这种普遍存在的犯罪模式也是很好的侦查切入点,侦查时可以先购买部分数据资源,然后在文