盗贼中的荣誉：网络犯罪市场的行动研究

在去年春天的第一次全国封锁期间，非法交易大幅增加，研究人员将于今天下午在一个研讨会上警告称，第二次封锁很可能导致网络犯罪活动再次激增。但他们也将就如何扰乱此类活动提供见解。

研究人员一直在从HackForum收集非法交易的数据，HackForum是世界上最大、最受欢迎的在线网络犯罪社区。两年前，它建立了一个市场，所有交易都必须记录合同，以保护社区成员免受诈骗和欺诈。

该合同制度于2018年引入，然后在2019年春季成为强制性的，适用于所有市场用户。它记录了所有非法买卖恶意软件(恶意软件)、包括比特币和礼券在内的货币、eWhing‘Pack’(例如带有色情内容的照片和视频)、黑客教程和允许用户非法访问或控制远程服务器的工具。

具有讽刺意味的是，HackForum推出了合约记录系统，以回应其成员对交易被滥用和被诈骗的担忧。但在这样做的过程中，它在不知不觉中揭开了此类地下市场的运营方式。

合同记录产生的数据是由这里的研究人员收集的。在对其进行分析并使用统计建模方法后，研究人员已经能够为网络犯罪市场的运作方式提供重要的新线索，有望造福于安全界。

研究人员观察到，这个市场最初是一个论坛，许多个人用户在这里进行一次性交易。然后它就变了。随着合同制度成为强制性的，在短短几个月内，市场开始集中在一小群提供对许多人有吸引力的商品和服务的“电力用户”身上。

剑桥网络犯罪中心的研究助理Anh Vu表示：“这一小部分用户--约占所有用户的5%--参与了大约70%的交易。”他与人合著了该中心刚刚发表的论文《拨盘：通过建立、稳定和新冠肺炎时代的网络犯罪市场的演变》(Turning Up the Dial：The演进of a CyberCrimes Market by Set-Up，Stroid，and新冠肺炎Era)。他是剑桥网络犯罪中心的一名研究助理，也是该中心刚刚发表的一篇论文的合著者。

然后是2020年3月全球宣布冠状病毒大流行。研究小组看到了病毒和由此导致的封锁，这些封锁显著地“调高了”市场交易量的刻度盘。

Anh说：“在我们所说的‘新冠肺炎时代’，交易量有了很大的增长。”“在讨论论坛上，我们可以看到，一段时期的大规模无聊和经济变革--想必一些成员无法上学，另一些成员失去了工作--确实刺激了市场。

“会员需要在网上赚钱，他们手头有很多时间，所以我们看到交易活动有所增加。”我们预计在第二次封锁期间会看到另一次上涨，但我们认为涨幅不会像第一次那么大。“。

大流行期间业务量的增加也意味着交易合同的签订速度要快得多。在市场的最初几个月，合同的完成时间大约是70小时，而在大流行期间，这一时间下降到了不到10小时。

像HackForum这样的在线地下论坛是用来交易非法材料和分享知识的社区。这些论坛支持过多的网络犯罪，使成员能够了解并参与犯罪活动，如交易通过非法手段获得的虚拟物品，发动拒绝服务攻击，或获取和使用恶意软件。它们为各种旨在轻松赚钱的非法企业提供便利。

剑桥网络犯罪中心的研究人员此前曾在地下论坛上做过一些工作。Anh说：“但这是我们所知道的第一个数据集，它提供了关于这些论坛中签订的合同的真知灼见。”以前，虽然交易员可能会在论坛上在线会面，但他们可能会通过私人消息进行线下交易。但合同制度的引入意味着，所有交易现在都被记录在案，因此可以被追踪。

利用这些数据，研究人员观察了市场上发生的各种交易活动。最大的活动是货币兑换和支付-例如，用比特币(一种在非法交易中非常受欢迎的货币，因为人们认为它不会留下任何痕迹)换取贝宝(PayPal)资金。

紧随其后的是礼品卡(包括亚马逊礼品卡)和软件许可证交易。Anh说：“当你安装一个像Windows这样的软件包时，你必须输入一个密钥才能激活它。”人们经常在这样的市场上非法购买软件密钥，因为对他们来说，这比从微软正式购买要便宜-有时他们可以免费获得软件密钥，以换取其他物品。

他们发现在地下市场交易的其他产品和服务还有黑客教程、远程访问工具和eWhing材料--带有色情内容的照片和视频被出售给第三方，第三方认为他们是在为在线性行为付费，这些第三方为这些产品和服务付费。

他们使用了几种方法来尝试和估计通过HackForum进行的交易的价值，得出的结论是，考虑到公开和私人交易，并按每种合约类型进行推断，交易总额的下限超过600万美元。

他们认为，研究人员了解到的关于地下网络犯罪市场运作的知识对安全界很有价值。商品交易时的合同记录让用户建立了一种形式的信任和声誉，这反过来又导致了市场上“权力用户”的崛起。

Anh说：“现在我们知道，有一小部分权力使用者要为大量交易负责，将干预重点放在他们身上是有意义的，因为这将比追查大量个人的影响大得多。”

在他们的论文中，他们提出了一些干预措施，以破坏大公司的声誉和可信度，例如，通过发布对它们的虚假负面评论，以及使用其他方法，即所谓的Sybil攻击，扰乱了市场的声誉系统。

研究人员还在继续关注这一市场。“我们有兴趣知道市场在第二次封锁期间和之后的发展情况，”Anh.说，“我们将关注是否有新的交易活动出现.”

参考文献：在2020年互联网测量大会的一系列研讨会上，发表了名为《打开拨号盘：网络犯罪市场通过建立、稳定和新冠肺炎时代的演变》。它还在2020年11月5日星期四举行的安全和人类行为研讨会上作了介绍。