感謝 UNODC 在報告中對慢霧(SlowMist)提供的資訊進行了致謝。
作者:Lisa,慢霧安全團隊
編輯:Liz
封面:Photo by HARALD PLIESSNIG on Unsplash
2024 年 10 月 7 日,聯合國毒品和犯罪問題辦公室(以下簡稱 “UNODC”)發佈了一份名為《東南亞跨國有組織犯罪與網路欺詐、地下銀行和技術創新的融合:不斷變化的威脅形勢》的報告,點擊閱讀原文可直接跳轉(https://www.unodc.org/roseap/uploads/documents/Publications/2024/TOC_Convergence_Report_2024.pdf)。 UNODC 在報告中對慢霧(SlowMist)提供的資訊、數據和分析支持進行了致謝,我們的夥伴 Bitrace 也獲得致謝。
該報告是聯合國毒品和犯罪問題辦公室(UNODC)對東南亞跨國有組織犯罪的最新分析,延續了 2019 年發佈的綜合報告《東南亞跨國有組織犯罪:演變、增長和影響》(https://www.unodc.org/roseap/uploads/archive/documents/Publications/2019/SEA_TOCTA_2019_web.pdf)。 最新的這份報告主要包含三方面內容,即東南亞地區的發展概括,地下銀行和洗錢活動,以及助⻓犯罪活動的技術創新。 具體來說,報告主要關注了東南亞地區有組織犯罪的特徵和演變,特別是與賭場和經濟特區相關的毒品販運和洗錢活動; 以及詳細分析了賭場泛濫和有組織犯罪集團採用的複雜洗錢方法所帶來的主要威脅和風險,例如網路賭博和電子博彩的興起是如何改變了地下銀行和洗錢格局; 報告還提供了一系列建議,旨在協助各國政府和國際合作夥伴更好地處理東南亞賭場和有組織犯罪快速發展的問題。 本文將對報告的核心內容進行解讀,幫助讀者快速掌握重點資訊,提升對這些複雜安全威脅的認知與應對能力。
關鍵點一:東南亞地區的發展概括
東南亞正面臨前所未有的跨國有組織犯罪和非法經濟挑戰。 該地區的物理、技術和數位基礎設施的快速發展,給了有組織犯罪網路更多機會去擴展,涵蓋毒品生產與販運、非法賭博、強迫犯罪販運、賣淫和洗錢等多種活動。 賭場、酒店和經濟特區等地已經成為這些非法活動的「溫床」,進一步加劇了邊境地區的治理難題。
1. 賭博和犯罪活動
過去十年,東南亞賭場行業經歷了指數級增長,現有超過 340 個持牌和非法賭場。 儘管中國澳門加大的監管力度導致了一些賭場關門,但東南亞的賭博市場依然活躍,尤其是在線賭博。 湄公河下游國家的絕大多數賭場都位於與中國、泰國和越南接壤的邊境地區,這些地區的賭博活動多為非法。 再說說博彩仲介,它們在東南亞的博彩業中可謂是舉足輕重。 但由於疫情和執法力度的加大,許多仲介面臨盈利下降的挑戰。 全球最大的兩家博彩仲介太陽城和德晉的創始人因洗錢和有組織犯罪被判刑,這是近年來最嚴重的洗錢和地下錢莊案件之一,兩人分別被判處 18 年和 14 年監禁,罪名包括數百項與有組織犯罪和非法博彩有關的指控, 他們通過賭場、在線賭博平臺和地下錢莊處理了超過 1000 億美元的資金。
儘管各國加強執法,但網路詐騙依然猖獗,2023 年針對東亞和東南亞受害者的詐騙造成的經濟損失估計在 180 億美元至 370 億美元之間。 隨著高風險的虛擬資產服務提供者(VASP)的興起,網路犯罪分子越來越多地利用加密貨幣洗錢,常見做法是在場外交易市場將犯罪所得直接兌換成現金或兌換成 USDT 作為穩定的中介貨幣,這種行為的交易量巨大,且關聯著多種犯罪活動,令各國政府在監管和打擊洗錢活動中面臨重重挑戰。 據發現,一家位於湄公河的高風險 VASP 在 2021 年至 2024 年期間處理了 490 億至 640 億美元的加密貨幣總交易量,據估計,它是亞太地區同類服務中最大的服務提供者,它還與 OFAC 批准的實體以及與駭客事件中出現的 Lazarus Group 相關的多個錢包進行交易。 Lazarus Group 是一個臭名昭著的駭客組織,其在加密貨幣相關的洗錢活動中扮演重要角色,根據慢霧的分析,朝鮮駭客 Lazarus Group 的洗錢方式複雜多變,隔一段時間就會有新型的洗錢方式出現,具體可查看慢霧:2024 上半年區塊鏈安全和反洗錢報告(https://www.slowmist.com/report/first-half-of-the-2024-report(CN).pdf)。
報告還提到,近年來穩定幣不單在合法用戶中越來越受歡迎,其在犯罪集團也備受青睞,特別是那些參與網路欺詐的犯罪集團。 這與東亞和東南亞當局的調查結果一致:穩定幣,尤其是 TRON(TRX)區塊鏈上的 Tether(USDT),是從事網路欺詐和洗錢活動的亞洲犯罪集團的首選。
2. 區域性網路欺詐
近年來,獨立的詐騙團夥被更大、更統一的犯罪集團取代,後者常常偽裝成工業或科技園區,形成穩定的網路。 以緬甸的克倫邦 KK Park 為例,其早在 2020 年初就已經顯露出發展的跡象,在這四年間,它已成為該地區最大、最活躍的犯罪聚集地之一。 同時,加密貨幣的流行也使得跨境交易變得更加便捷,網路詐騙活動能夠在全球範圍內擴張,尤其是利用執法部門對其運作方式的不瞭解,進行包括「殺豬」騙局、投資詐騙、求職詐騙、資產追回騙局等活動,具體可參考報告解讀|FBI 發佈 2023 年加密貨幣欺詐報告。
詐騙者的目標越來越廣泛,尤其針對年輕人和華人社區。 詐騙組織通常為複雜的金字塔式結構,包括招聘、財務和運營等多部門,這些犯罪活動的運作需要多方合作。 過去一年,詐騙的形勢也發生了變化,數據顯示,今年以來的詐騙流入量中,有 43% 流向了新活躍的錢包,相比之下,2022 年的這一比例僅為 29.9%,這意味著新型詐騙的數量正在迅速增加。
從 2020 年至今,詐騙活動的平均活躍天數顯著減少,從 2020 年的平均 271 天下降到 2024 年上半年的 42 天。
這一巨集觀趨勢與詐騙者從精心策劃的龐氏騙局轉向更有針對性的活動的變化相一致,還有部分原因是執法力度加大以及穩定幣發行人越來越多地將詐騙位址列入黒名單,如 5 月 14 日,鏈上追蹤與反洗錢平臺 MistTrack 監測到全球最大的穩定幣發行商 Tether 凍結與網路釣魚相關的 520 萬 USDT:
3. 人口販賣與強迫犯罪
販運者通過欺騙和脅迫受害者參與犯罪活動,獲得經濟利益。 受害者在被販運後通常會被限制自由,護照被扣押,面臨暴力和各種威脅。 儘管被強迫販運的本質沒有改變,但行業的專業化導致了受害者與自願參與者之間的界限模糊,形成了多類相關人員。
在一些地區,尤其是緬甸,受害者往往被迫簽署虛假的合同,被迫工作以償還高額「債務」,這些合同實際上並不合法,還掩蓋了販運者的犯罪行為。 很多受害者在逃離或獲救后仍然面臨法律風險,可能遭到控訴或恐嚇。
4. 執法行動
雖然各國採取了一系列措施來打擊這些活動,但網路賭博和詐騙行為依然普遍存在。 而且,各國的執法力度和成效有所不同,採取的措施包括逮捕嫌疑人、凍結帳戶和封鎖網站。 跨境合作使得一些資產被扣押,且犯罪分子的定罪數量上升,特別是針對詐騙中心和賭博運營商的突襲行動增加。
下表根據各地區執法機構的聲明彙編而成,列出了自 2023 年 1 月以來針對非法在線賭博和網路欺詐活動的網站所採取的一些最突出的執法行動。 這些突襲行動由當地執法機構主導,有時與地區執法機構合作。 中國公安機關在其中幾次行動中發揮了重要作用。
據中國公安部統計,2023 年 1 月至 11 月,共破獲電信網路詐騙案件 39.1 萬起,抓獲犯罪嫌疑人 7.9 萬名,其中主犯 263 名。 2023 年,有 5 萬多人因電信網路詐騙被起訴。 2022 年通過的新《反電信網路詐騙法》規定了電信、互聯網和金融等服務提供者的責任,包括提高客戶意識,以及監控、阻止和報告可疑活動。
過去一年,中國媒體廣泛報導了涉嫌參與非法網路賭博和網路詐騙的人員的訴訟程式,這些案件發生在中國國內和國外。 檢察機構也發佈了多份報告,其中包括對從柬埔寨、菲律賓、寮國、緬甸、⻢來西亞和其他國家自願或被驅逐回國人員定罪的典型案件的總結。 在中國,執法行動的重點是為海外組織提供支援的人,包括開發軟體、維護網站和提供技術支持的人員,以及為網路犯罪所得資金轉移提供便利的地下銀行網路和將帳戶資訊出售給洗錢集團用作騾子帳戶的人。 執法行動還針對通過陸路和海路偷運中國公⺠跨境的團夥。
關鍵點二:地下銀行、洗錢和犯罪即服務的興起
東亞和東南亞的跨國有組織犯罪集團在地下銀行、非正式跨境價值轉移和洗錢方面,幾乎成為了市場的領導者。 這些集團愈發成熟,適應並利用政治、商業環境的變化以及技術創新,尤其在賭場和在線賭博領域的應用中表現突出。 它們通過整合資訊、金融和區塊鏈技術,建立了複雜的地下洗錢網路。
除此之外,監管不足和未經授權的虛擬資產服務提供者(VASP)的興起也加劇了目前的形勢。 更具體地說,高⻛險交易所、場外交易(OTC)服務、大型點對點(P2P)交易商和其他由跨國有組織犯罪控制和促進的相關業務的激增從根本上改變了東南亞地區的犯罪環境,推動了非法經濟的擴展,吸引了新型的服務提供者和商業模式。 尤其是位於中國香港、澳門和臺灣的大型跨國犯罪集團,它們主導了洗錢行業,與仲介機構緊密合作,利用仲介提供的信貸服務來規避資本管制,同時依賴於不受監管的支付公司進行資金轉移。
近年來,東亞和東南亞的執法機構也加強了對第三方支付提供商的監控,但很多案例顯示網路詐騙依然對這個行業有著很大的影響。 在在線賭博行業中,缺乏監管的賭場和博彩仲介已經成為洗錢的重要基礎設施。 它們通過「保管」交易和「投資」來隱匿資金來源,形成了複雜的洗錢手段。 由於在線賭博的匿名性和非面對面交易的特點,資金流動變得非常難以追蹤,這為有組織犯罪提供了便利。
與此同時,東南亞的離岸在線博彩業發展迅速,尤其是在監管相對薄弱的地區。 仲介人藉助這個趨勢,説明有組織犯罪獲取利潤,通過洗錢將非法資金偽裝成合法收益。 儘管監管和執法力度在逐漸加強,但許多在線賭博平臺仍然在「灰色」或「黑色」市場中生存得很好。 跨國有組織犯罪還開始將加密貨幣融入其業務中,特別是在高風險的交易所和場外交易中更為明顯。 由於缺乏監管,這些平臺成為了洗錢的溫床,使得東亞和東南亞的犯罪網路可以輕鬆逃避監管,進一步支援其非法活動。
關鍵點三:網路欺詐和技術創新的發展
近年來,東亞和東南亞的網路犯罪活動顯著增加,尤其是跨國有組織犯罪集團的活躍度日益上升。 網路犯罪分子不僅在開發和銷售犯罪服務方面表現得像正規企業,還採用「犯罪即服務」(CaaS)的模式,把各種犯罪行為外包給其他人,降低了作案門檻。
1. 地下數據市場和資訊竊取惡意軟體
地下數據市場也成為網路詐騙集團的重要一環,提供了大量被盜的數據,包括銀行資訊、信用卡詳情和個人身份資訊等,其中,用於了解客戶(KYC)所需的資訊在地下市場非常受歡迎,犯罪分子利用這些數據進行身份盜竊、商業欺詐和洗錢等活動。
有強有力的證據表明,地下數據市場正在轉向 Telegram,在東南亞蓬勃發展的犯罪生態系統背景下,資訊竊取惡意軟體和地下日誌雲(UCL)服務的激增是這一轉變的核心,簡單、可用和低資訊竊取程式的成本使得它們成為特別受該地區犯罪分子歡迎的服務。 這些工具通常通過惡意軟體即服務(MaaS)模式訪問,開發人員將使用許可提供給其他人。 這種不斷增⻓的數據管道為該地區的跨國有組織犯罪創造了大量新的機會,反過來又助⻓了從事網路欺詐的策略、技術、目標和犯罪集團的多樣化。 相關數據顯示,亞太地區的待售資訊竊取程式感染的主機數量持續增加,這與該地區的網路欺詐事件激增的趨勢是一致的。
2. 搜尋引擎優化與欺詐廣告
雖然許多網路欺詐計劃需要詳細的目標分析以及欺詐者與潛在受害者之間的直接聯繫,但也有一些簡單的騙局只需一個誘人的廣告、一個虛假的網頁或釣魚連結,就能輕易地欺騙受害者。 這些犯罪分子廣泛利用搜尋引擎優化(SEO)中毒和欺騙性廣告來實現這些目的,隨著全球搜尋引擎和社交媒體的使用不斷增多,這兩種方法都被證明是有效的。 就規模而言,僅谷歌在 2023 年就遮罩或刪除了 2.065 億條違反其付費廣告虛假陳述政策的廣告,其中包括網路詐騙和欺詐廣告,這一數據比 2022 年的 1.42 億條廣告有所增加。
今年 3 月,慢霧安全團隊和 Rabby Wallet 團隊披露了一種利用 Google 廣告進行釣魚的攻擊手法。 具體來說,Rabby Wallet 團隊並未購買任何 Google 廣告,然而假廣告卻跳轉到了真正官網。 從 Google 搜尋關鍵字情況來看,排在前兩位的搜尋結果都為釣魚廣告,然而第一條廣告的連結卻很反常,它顯示的是 Rabby Wallet 的官方網站位址 rabby[.]io,通過跟蹤發現,釣魚廣告有時會跳轉到真正官方位址 rabby[.]io,而在多次更換代理到不同地區後,則會跳轉到釣魚位址 rebby[.]io,並且該釣魚位址會更新改變。 分析發現,關鍵操作在於釣魚團夥利用了 Google 自家的 Firebase 短連結服務的 302 跳轉來欺騙谷歌的展示。 類似的釣魚套路還出現在各種聊天軟體上。 以 Telegram 這款聊天軟體為例,當聊天時發送一個 URL 連結,Telegram 後台會抓取 URL 連結功能變數名稱、標題和圖示進行預覽展示。
此外,犯罪分子還會使用 SEO 投毒手段來增加或提升其惡意網站的知名度,從而使其在毫無戒心的使用者眼中看起來更真實,因為使用者認為搜尋引擎的熱⻔排名很可信。 犯罪分子還會使用各種 SEO 中毒技術,例如所謂的功能變數名稱搶注,利用使用者無意中輸入的網址或點擊 URL 拼寫錯誤的連結來牟利。 社交媒體平臺也成為了他們的新戰場,犯罪分子通過偽裝成合法宣傳材料的廣告來欺騙使用者。 2023 年 9 月,新加坡當局確認至少有 43 名受害者因社交媒體廣告的惡意軟體詐騙而損失了 87.5 萬美元。
3. 人工智慧驅動的欺詐
隨著生成式人工智慧的普及,犯罪活動的複雜性加大,身份盜竊、數據隱私侵犯等問題也對國家安全造成了威脅。 犯罪集團利用 AI 進行網路釣魚、製造虛假身份和個人化欺詐,大幅降低了技術門檻,提高了欺詐的速度和規模。 深度偽造技術(Deepfake)在網路欺詐中被廣泛使用,犯罪分子通過偽造視頻和音訊進行複雜的詐騙,相應的犯罪活動大幅上升。 結合二維碼的網路欺詐也在增加,受害者常常被誘導訪問惡意網站或洩露敏感資訊。 總體來看,人工智慧的廣泛應用加劇了網路犯罪的複雜性和頻率。
4. 其他
雖然「殺豬」騙局依然流行,但犯罪團伙逐漸採用更複雜的策略,比如網路釣魚、惡意智慧合約等,能夠高效地竊取受害者的資金和數據。
這種耗盡資產的手法,需要受害者在不知情的情況下將加密貨幣錢包連接到惡意合約,從而將加密貨幣和 NFT 轉移到犯罪分子的錢包中。 一個著名的案例是 2022 年犯罪分子針對非同質化代幣(NFT)市場 OpenSea 的使用者發起的網路釣魚攻擊,導致超過 250 個 NFT 被盜,價值約 200 萬美元。 據安全研究人員稱,犯罪分子利用 OpenSea 系統升級的機會,發送虛假的電子郵件,引誘用戶進行操作,最終導致其資產被轉移。
此外,越來越多的犯罪分子利用 Drainer 智慧合約針對缺乏去中心化金融(DeFi)知識的投資者。 具體來說,這種詐騙手法通常會讓受害者連接到偽造的流動性挖礦池,從而耗盡他們的錢包。 在地下市場和論壇上很容易找到各種各樣的 DeFi 應用套件,這些 DeFi 應用套件被宣傳為合法的應用程式,實際上卻是用於詐騙的。
流動性挖礦騙局利用 DeFi 加密貨幣交易平臺的複雜性來騙人。 這些騙子通常會承諾通過投資「流動性池」獲得高額回報,這些池子借出加密貨幣,讓不同幣種之間可以交易。 但實際上,他們會創建假的流動性池,利用智慧合約輕鬆訪問使用者的錢包,甚至可能會存入一些加密貨幣來製造 “賺錢” 的假像,或者放入一些名不副實的假幣。 在這些騙局中,連結錢包的網站會顯示每日的收益承諾和虛假的利潤增長。 最終,騙子就會利用合約許可權把使用者錢包裡的錢「偷走」。。 投資者通常會被告知需要達到某個質押「目標」才能提取資金,但其實讓你嘗到甜頭后,錢就再也拿不回來了; 而且任何額外存入的資金也會被同樣的方式盜取。 慢霧曾披露過類似的騙局,有興趣可閱讀 Web3 安全入門避坑指南|假礦池騙局。
報告還提到,東南亞犯罪集團常用的一個惡意軟體是剪切器。 這種軟體監控受感染系統的剪貼板,伺機替換加密貨幣交易中的位址,一旦受害者無意中進行交易,就會將資金轉移到攻擊者的位址上。 由於加密錢包位址通常很⻓,導致使用者不太會注意到收款位址的變化,從而增加了惡意軟體的有效性。
結語
總的來說,東南亞跨國有組織犯罪的威脅正在變得越來越複雜和隱蔽。 為了有效應對這些挑戰,執法和監管機構需要不斷提升自身能力,東南亞各國應加強政府、監督機構和執法部門的能力與協調,制定全面的政策和行動計劃,並與其他國家和地區加強合作。 在面對快速發展的跨國有組織犯罪環境時,及時採取行動將是關鍵。 東南亞國家及其盟友之間的密切合作,將有助於應對這一日益嚴峻的挑戰,保護區域安全與穩定。
慢霧(SlowMist)在加密貨幣反洗錢領域深耕多年,形成了一套完整且高效的解決方案,涵蓋了合規、調查與審計三個方面,積極助力構建加密貨幣健康生態環境,也為 Web3 行業、金融機構、監管單位以及合規部門提供專業服務。 其中,MistTrack 是一個提供錢包位址分析、資金監控、追蹤溯源的合規調查平臺,目前已積累三億多個地址標籤,一千多個地址實體,50 萬 + 威脅情報數據,9000 萬 + 風險地址,這些都為確保數位資產的安全性、打擊洗錢犯罪提供有力的保護。 如需瞭解更多,請點擊 https://aml.slowmist.com 查看。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
