RaidForums黑客论坛是如何被FBI端掉的？整件事情来龙去脉

相关说明

以下内容仅用于教育、学习目的，请勿用于非法用途。

相关阅读

视频讲解

图文讲解

创世篇

Raidforums——它是互联网上最大的网络犯罪论坛——或者至少是最大的说英语的论坛。

任何网络犯罪分子想要的东西都可以在这里找到。

有破解教程，关于如何保持匿名的指南，但到目前为止，他们最大的吸引力是他们的市场。

特别是他们的“泄密市场”——用户以数千美元的价格出售包含个人信息的黑客数据库。

但在上线 6 年后，raidforums就在几周前遭到执法部门的突袭。

而且，这可能令人难以置信，但我们现在知道，这个网站是由典型的 14 岁互联网巨魔创建的

虽然它可能看起来像raidforums 是某种超级狡猾的操作——这与 事实上，它的垮台是史诗般的和热闹的，就好像它的主人正试图被抓住一样。但是，让我们回顾一下，raidforums 是如何在网络犯罪黑社会中如此出名的？

因此，在过去的几年里，每当有数据泄露时，通常都会首先发布在 Raidforums 上。该网站是购买泄露数据的地方。例如，几年前，超过一百万分类账客户的个人详细信息在网站上被泄露。如果您不熟悉账本是一个加密硬件钱包 – 对于网络犯罪分子来说，这个转储绝对是网络钓鱼的金矿，不难找到因这个数据转储而在网络钓鱼活动中损失数万美元的人。但这真的只是冰山一角，FBI 估计“超过 100 亿条独特的记录”在 raidforums 上被出售，这真是太疯狂了。

现在，您可能会认为促成此类数据泄露的网站所有者会理解他们的做法是错误的，但他们不会在意，因为“钱”。但在接受“therecord”采访时，raidforums 的所有者给人一种滑稽的妄想。所以，面试官问全能——哦，顺便说一句，网站的所有者称自己是全能的，就像——告诉我你有一个上帝情结而不告诉我你有一个上帝情结。但我们只是称他为 Omni，因为好吧 – 它的音节更少。采访者询问 Omni，“允许 [ing]成员交易被盗的个人身份信息”是否“在法律范围内”。

用 Omni 的话来说，“PII 的销售在 Facebook 等企业中司空见惯，我认为这些用户的行为与 [Facebook] 等大公司的行为没有什么不同”。“我不应对人们在此部分出售或不出售的内容承担个人责任，因为我个人无法知道这些用户是否确实拥有他们声称正在交易的任何数据。”

因此，他声称出售被黑数据与 Facebook 所做的没有什么不同——但尽管 Facebook 存在许多缺陷，你实际上必须明确同意将你的数据交给他们。

尽管没有人同意让一些随机的网络骗子，以“MaxPizza”之类的名字将他们的数据卖给出价最高的人，但随后可能会使用数据欺骗他们的人。然后在证明出售个人数据的合理性之后，Omni 继续声称他无法确定被黑客入侵的数据是否会在网站上出售。这是一个有趣的理由，我不确定他是否真的相信他正在提出令人信服的论点，或者这是否是某种应对方式，但无论如何。如果您想知道“Raid”、“论坛”这个名称的来源，那是因为该网站一开始并不是网络犯罪分子的中心——事实上，它的起点相对较低。Omni 曾经是您的普通互联网巨魔，他解释说“制作该网站的最初目的是为“Twitch raiders”提供一个稳定的平台。”因此得名“raid forums”。

RaidForums的logo

twitch raider的Omni在创建该网站时只有14岁。

而且，我很好奇他们的动漫女孩标志来自哪里，他解释说“这只是用户提交的……很多人向我们提交标志和想法”。所以这并没有真正的背景故事，这不是 Omni 的少年外夫之类的，或者如果是他不愿意承认的话。不管怎样，raidforums 快乐地存在了6 年，而现年 21 岁的 Omni 发现自己是网络犯罪黑社会的主销——在鼎盛时期，他的网站有 50 万会员，其中每天有 2 万活跃。

翻车篇

在raidforums上发布了一次又一次的泄漏，并且没有真正的政府干预，直到2018年网站所有者Omni开始出现问题，2018 年的一个夏日，葡萄牙公民 Omni 飞往美国度假。至此，他一定已经在 FBI 的雷达上，因为他们正在机场等着他，并持有搜查令，搜查他所有的设备。这就是我们发现 Omni 不是很聪明的时候，或者他认为他实际上是无所不能的，因为这家伙根本没有采取任何措施来隐藏他正在运营世界上最大的网络犯罪论坛的事实。

根据法庭文件，“他的智能手机收到了来自 raidforums 邮件系统的大量电子邮件”，“手机还显示了一个用户名为 Omnipotent 的Discord账户”。现在出现了糟糕的操作安全，但这简直令人尴尬——而且情况变得更糟。

所以他的设备在机场被联邦调查局没收，随后他给联邦调查局发了电子邮件，询问他是否可以把它们拿回来。但他使用的电子邮件地址与他为 raidforums 的镜像站点注册域所用的电子邮件地址完全相同

为什么联邦调查局当时没有对他发出逮捕令？我只能想象他们想让他受到更多指控，他们做到了。所以，接下来的一点实际上真的很有趣。除了运行 raidforum 之外，Omni 还会像您一样出售被盗的信用卡号码，作为一种副业，因此，他在 raidforums 上以“下载”的名义进行了此操作。联邦调查局当然对此表示怀疑，并想当场抓住他。他们回应了他在raidforums 上的一篇帖子，其中他试图“出售大约230 万个信用卡号码”。

“执法和下载协商出售 110 万条记录”以换取 4000 美元的比特币。出售发生在 Discord 上，但在 FBI 向 Omni 发送比特币后，Omni“封锁了执法部门的 discord 账户”，FBI 也“被禁止使用 raidforums”。

所以基本上，Omni 刚刚从 4k 中骗取了 FBI。但是，请记住 Omni 不是很聪明，所以我认为 Omni 不太可能意识到他正在与 FBI 特工交谈，我猜他选择欺骗他们的原因是 FBI 可能正在运营一个比较新的raid论坛账号。

因此，Omni 欺骗网络犯罪新手的后果几乎为零，而不是欺骗社区中知名的人。毫无疑问，FBI 感觉非常不爽，继续他们的情报收集行动好几个月，他们最终能够购买一些被盗的数据——这一次没有被骗。一旦美国执法部门对他们的证据感到满意，Omni 的事情就真的开始走下坡路了。

今年 2 月下旬，谣言开始在 Twitter 上传播，说 raidforums 发生了一些事情。您可以访问该站点，但每个页面都会重定向到登录屏幕。即使您输入了有效的凭据，您也只会被重定向回再次登录。出事了。

RaidForum 的一位管理员在官方Telegram 频道上发帖称“raidforums 域名已被占用”，但他没有说明被谁占用。当时，有些人认为俄罗斯当局已经抓住了它，因为由于乌克兰战争，raidforums 曾发誓要禁止所有用户从俄罗斯连接。

但是，安全研究人员得到了一个相当重要的线索，即域名的名称服务器已被更改。占领该域名的人已将其更改为“jocelyn.ns.cloudflare.com”和“plato.ns.cloudflare.com”。事实证明，这些是已知被美国执法部门用来托管被扣押域名的域名服务器。

例如，非法 VPN 公司 doublevpn.com指向这些相同的域名服务器，并且自被查封以来一直如此。因此，基本上美国当局将raidforums 域用作蜜罐，以获取 raidforums 用户的凭据，大概是为了他们可以在其他调查中使用这些凭据，但是直到大约一周前，美国与许多国际机构合作公开证实了他们对 raidforums 的操作，才知道 Omni 本人发生了什么事情。消息传遍了主流媒体，Omni于 1 月 31 日被证实已被拘留

他在英国被捕，显然他正在这里度假……一月份……奇怪的选择。我们现在知道是“Diogo SantosCoelho”的 Omni 已被指控六项罪名，从欺诈到身份盗窃，看起来他将被引渡到美国，他可能会在那里待一段时间。奇怪的是，最近公布的起诉书只要求他赔偿约 21.5 万美元，这是他通过 raidforums 获利的金额。现在，虽然可以肯定这是一笔可观的钱，但考虑到上下文，这几乎算不了什么，这家伙在互联网上运营了 6 年最大的英文网络犯罪论坛，而这就是他所做的一切？这相当于每年 36,000 美元，考虑到他所承担的风险，这不算什么。我只能想象 Omni 的业务技能和他的 Opsec 一样糟糕。说到糟糕的物理安全，还有一些有趣的事实。根据法庭文件，Omni 使用以他的名义注册的 coinbase 账户

从 raidforums 接收非法资金——这并不聪明。我在 twitter 上收到一封 catatmail 的提醒，Omni 似乎一直在运营一个公开链接到 raidforums 的公共 github 帐户，在那里他有一个 MyBB 插件的分支，似乎允许 raidforums上的管理员阅读用户的消息。Omni 一定是个傻子，或者他认为自己是无敌的——不管怎样，看起来他 20 多岁都会被关在美国的监狱里。看看他在 14 岁时开始 raidforums 的事实是否算作量刑的一个减刑因素会很有趣，请在评论中告诉我你对此的看法。您认为 Omni在 14 岁时就开始创建该网站的责任减轻了吗？如果您想进一步了解这个故事，所有的法庭文件都在描述中链接，感谢您的观看，我们下期视频再见，祝你有个美好的一天。

相关法庭文件

https://www.justice.gov/opa/pr/united-states-leads-seizure-one-world-s-largest-hacker-forums-and-arrests-administrator