本文將對報告的核心內容進行解讀,幫助讀者快速掌握重點信息,提升對這些複雜安全威脅的認知與應對能力。
來源:聯合國毒品和犯罪問題辦公室(UNODC)
撰文:Lisa
編輯:Liz
2024 年 10 月 7 日,聯合國毒品和犯罪問題辦公室(以下簡稱「UNODC」)發佈了一份名爲(東南亞跨國有組織犯罪與網絡欺詐、地下銀行和技術創新的融合:不斷變化的威脅形勢)的報告。UNODC 在報告中對慢霧 (SlowMist) 提供的信息、數據和分析支持進行了致謝,我們的夥伴 Bitrace 也獲得致謝。
該報告是聯合國毒品和犯罪問題辦公室 (UNODC) 對東南亞跨國有組織犯罪的最新分析,延續了 2019 年發佈的綜合報告(東南亞跨國有組織犯罪:演變、增長和影響)。最新的這份報告主要包含三方面內容,即東南亞地區的發展概括,地下銀⾏和洗錢活動,以及助⻓犯罪活動的技術創新。具體來說,報告主要關注了東南亞地區有組織犯罪的特徵和演變,特別是與賭場和經濟特區相關的毒品販運和洗錢活動;以及詳細分析了賭場氾濫和有組織犯罪集團採用的複雜洗錢方法所帶來的主要威脅和風險,例如網絡賭博和電子博彩的興起是如何改變了地下銀行和洗錢格局;報告還提供了一系列建議,旨在協助各國政府和國際合作夥伴更好地處理東南亞賭場和有組織犯罪快速發展的問題。本文將對報告的核心內容進行解讀,幫助讀者快速掌握重點信息,提升對這些複雜安全威脅的認知與應對能力。
關鍵點一:東南亞地區的發展概括
東南亞正面臨前所未有的跨國有組織犯罪和非法經濟挑戰。該地區的物理、技術和數字基礎設施的快速發展,給了有組織犯罪網絡更多機會去擴展,涵蓋毒品生產與販運、非法賭博、強迫犯罪販運、賣淫和洗錢等多種活動。賭場、酒店和經濟特區等地已經成爲這些非法活動的“溫牀”,進一步加劇了邊境地區的治理難題。
1. 賭博和犯罪活動
過去十年,東南亞賭場行業經歷了指數級增長,現有超過 340 個持牌和非法賭場。儘管中國澳門加大的監管力度導致了一些賭場關門,但東南亞的賭博市場依然活躍,尤其是在線賭博。湄公河下游國家的絕⼤多數賭場都位於與中國、泰國和越南接壤的邊境地區,這些地區的賭博活動多爲非法。再說說博彩中介,它們在東南亞的博彩業中可謂是舉足輕重。但由於疫情和執法力度的加大,許多中介面臨盈利下降的挑戰。全球最大的兩家博彩中介太陽城和德晉的創始人因洗錢和有組織犯罪被判刑,這是近年來最嚴重的洗錢和地下錢莊案件之⼀,兩⼈分別被判處 18 年和 14 年監禁,罪名包括數百項與有組織犯罪和⾮法博彩有關的指控, 他們通過賭場、在線賭博平臺和地下錢莊處理了超過 1000 億美元的資金。
儘管各國加強執法,但網絡詐騙依然猖獗,2023 年針對東亞和東南亞受害者的詐騙造成的經濟損失估計在 180 億美元至 370 億美元之間。隨着高風險的虛擬資產服務提供商 (VASP) 的興起,網絡犯罪分子越來越多地利用加密貨幣洗錢,常見做法是在場外交易市場將犯罪所得直接兌換成現⾦或兌換成 USDT 作爲穩定的中介貨幣,這種行爲的交易量巨大,且關聯着多種犯罪活動,令各國政府在監管和打擊洗錢活動中面臨重重挑戰。據發現,一家位於湄公河的高風險 VASP 在 2021 年至 2024 年期間處理了 490 億至 640 億美元的加密貨幣總交易量,據估計,它是亞太地區同類服務中最大的服務提供商,它還與 OFAC 批准的實體以及與黑客事件中出現的 Lazarus Group 相關的多個錢包進行交易。Lazarus Group 是一個臭名昭著的黑客組織,其在加密貨幣相關的洗錢活動中扮演重要角色,根據慢霧的分析,朝鮮黑客 Lazarus Group 的洗錢方式複雜多變,隔一段時間就會有新型的洗錢方式出現,具體可查看慢霧:2024 上半年區塊鏈安全和反洗錢報告 (https://www.slowmist.com/report/first-half-of-the-2024-report(CN).pdf)。
報告還提到,近年來穩定幣不單在合法用戶中越來越受歡迎,其在犯罪集團也備受青睞,特別是那些參與⽹絡欺詐的犯罪集團。這與東亞和東南亞當局的調查結果⼀致:穩定幣,尤其是 TRON (TRX) 區塊鏈上的 Tether (USDT),是從事⽹絡欺詐和洗錢活動的亞洲犯罪集團的⾸選。
2. 區域性網絡欺詐
近年來,獨立的詐騙團伙被更大、更統一的犯罪集團取代,後者常常僞裝成工業或科技園區,形成穩定的網絡。以緬甸的克倫邦 KK Park 爲例,其早在 2020 年初就已經顯露出發展的跡象,在這四年間,它已成爲該地區最大、最活躍的犯罪聚集地之一。同時,加密貨幣的流行也使得跨境交易變得更加便捷,網絡詐騙活動能夠在全球範圍內擴張,尤其是利用執法部門對其運作方式的不瞭解,進行包括“殺豬”騙局、投資詐騙、求職詐騙、資產追回騙局等活動,具體可參考報告解讀|FBI 發佈 2023 年加密貨幣欺詐報告。
詐騙者的目標越來越廣泛,尤其針對年輕人和華人社區。詐騙組織通常爲複雜的金字塔式結構,包括招聘、財務和運營等多部門,這些犯罪活動的運作需要多方合作。過去一年,詐騙的形勢也發生了變化,數據顯示,今年以來的詐騙流入量中,有 43% 流向了新活躍的錢包,相比之下,2022 年的這一比例僅爲 29.9%,這意味着新型詐騙的數量正在迅速增加。
從 2020 年至今,詐騙活動的平均活躍天數顯著減少,從 2020 年的平均 271 天下降到 2024 年上半年的 42 天。
這⼀宏觀趨勢與詐騙者從精⼼策劃的龐⽒騙局轉向更有針對性的活動的變化相⼀致,還有部分原因是執法⼒度加⼤以及穩定幣發⾏⼈越來越多地將詐騙地址列⼊⿊名單,如 5 月 14 日,鏈上追蹤與反洗錢平臺 MistTrack 監測到全球最大的穩定幣發行商 Tether 凍結與網絡釣魚相關的 520 萬 USDT:
3. 人口販賣與強迫犯罪
販運者通過欺騙和脅迫受害者參與犯罪活動,獲得經濟利益。受害者在被販運後通常會被限制自由,護照被扣押,面臨暴力和各種威脅。儘管被強迫販運的本質沒有改變,但行業的專業化導致了受害者與自願參與者之間的界限模糊,形成了多類相關人員。
在一些地區,尤其是緬甸,受害者往往被迫簽署虛假的合同,被迫工作以償還高額“債務”,這些合同實際上並不合法,還掩蓋了販運者的犯罪行爲。很多受害者在逃離或獲救後仍然面臨法律風險,可能遭到控訴或恐嚇。
4. 執法行動
雖然各國採取了一系列措施來打擊這些活動,但網絡賭博和詐騙行爲依然普遍存在。而且,各國的執法力度和成效有所不同,採取的措施包括逮捕嫌疑人、凍結賬戶和封鎖網站。跨境合作使得一些資產被扣押,且犯罪分子的定罪數量上升,特別是針對詐騙中心和賭博運營商的突襲行動增加。
下表根據各地區執法機構的聲明彙編⽽成,列出了⾃ 2023 年 1 ⽉以來針對⾮法在線賭博和⽹絡欺詐活動的⽹站所採取的⼀些最突出的執法⾏動。這些突襲⾏動由當地執法機構主導,有時與地區執法機構合作。中國公安機關在其中⼏次⾏動中發揮了重要作⽤。
據中國公安部統計,2023 年 1 ⽉⾄ 11 ⽉,共破獲電信⽹絡詐騙案件 39.1 萬起,抓獲犯罪嫌疑⼈ 7.9 萬名,其中主犯 263 名。2023 年,有 5 萬多⼈因電信⽹絡詐騙被起訴。2022 年通過的新(反電信⽹絡詐騙法)規定了電信、互聯⽹和⾦融等服務提供商的責任,包括提⾼客戶意識,以及監控、阻⽌和報告可疑活動。
過去⼀年,中國媒體⼴泛報道了涉嫌參與⾮法⽹絡賭博和⽹絡詐騙的⼈員的訴訟程序,這些案件發⽣在中國國內和國外。檢察機構也發佈了多份報告,其中包括對從柬埔寨、菲律賓、⽼撾、緬甸、⻢來西亞和其他國家⾃願或被驅逐回國⼈員定罪的典型案件的總結。在中國,執法⾏動的重點是爲海外組織提供⽀持的⼈,包括開發軟件、維護⽹站和提供技術⽀持的人員,以及爲⽹絡犯罪所得資⾦轉移提供便利的地下銀⾏⽹絡和將賬戶信息出售給洗錢集團⽤作騾⼦賬戶的⼈。執法⾏動還針對通過陸路和海路偷運中國公⺠跨境的團伙。
關鍵點二:地下銀行、洗錢和犯罪即服務的興起
東亞和東南亞的跨國有組織犯罪集團在地下銀行、非正式跨境價值轉移和洗錢方面,幾乎成爲了市場的領導者。這些集團愈發成熟,適應並利用政治、商業環境的變化以及技術創新,尤其在賭場和在線賭博領域的應用中表現突出。它們通過整合信息、金融和區塊鏈技術,建立了複雜的地下洗錢網絡。
除此之外,監管不⾜和未經授權的虛擬資產服務提供商 (VASP) 的興起也加劇了⽬前的形勢。更具體地說,⾼⻛險交易所、場外交易 (OTC) 服務、⼤型點對點 (P2P) 交易商和其他由跨國有組織犯罪控制和促進的相關業務的激增從根本上改變了東南亞地區的犯罪環境,推動了非法經濟的擴展,吸引了新型的服務提供商和商業模式。尤其是位於中國香港、澳門和臺灣的大型跨國犯罪集團,它們主導了洗錢行業,與中介機構緊密合作,利用中介提供的信貸服務來規避資本管制,同時依賴於不受監管的支付公司進行資金轉移。
近年來,東亞和東南亞的執法機構也加強了對第三方支付提供商的監控,但很多案例顯示網絡詐騙依然對這個行業有着很大的影響。在在線賭博行業中,缺乏監管的賭場和博彩中介已經成爲洗錢的重要基礎設施。它們通過「保管」交易和「投資」來隱匿資金來源,形成了複雜的洗錢手段。由於在線賭博的匿名性和非面對面交易的特點,資金流動變得非常難以追蹤,這爲有組織犯罪提供了便利。
與此同時,東南亞的離岸在線博彩業發展迅速,尤其是在監管相對薄弱的地區。中介人藉助這個趨勢,幫助有組織犯罪獲取利潤,通過洗錢將非法資金僞裝成合法收益。儘管監管和執法力度在逐漸加強,但許多在線賭博平臺仍然在“灰色”或“黑色”市場中生存得很好。跨國有組織犯罪還開始將加密貨幣融入其業務中,特別是在高風險的交易所和場外交易中更爲明顯。由於缺乏監管,這些平臺成爲了洗錢的溫牀,使得東亞和東南亞的犯罪網絡可以輕鬆逃避監管,進一步支持其非法活動。
關鍵點三:網絡欺詐和技術創新的發展
近年來,東亞和東南亞的網絡犯罪活動顯著增加,尤其是跨國有組織犯罪集團的活躍度日益上升。網絡犯罪分子不僅在開發和銷售犯罪服務方面表現得像正規企業,還採用“犯罪即服務”(CaaS) 的模式,把各種犯罪行爲外包給其他人,降低了作案門檻。
1. 地下數據市場和信息竊取惡意軟件
地下數據市場也成爲網絡詐騙集團的重要一環,提供了大量被盜的數據,包括銀行信息、信用卡詳情和個人身份信息等,其中,用於瞭解客戶 (KYC) 所需的信息在地下市場非常受歡迎,犯罪分子利用這些數據進行身份盜竊、商業欺詐和洗錢等活動。
有強有⼒的證據表明,地下數據市場正在轉向 Telegram,在東南亞蓬勃發展的犯罪⽣態系統背景下,信息竊取惡意軟件和地下⽇志雲 (UCL) 服務的激增是這⼀轉變的核⼼,簡單、可⽤和低信息竊取程序的成本使得它們成爲特別受該地區犯罪分⼦歡迎的服務。這些工具通常通過惡意軟件即服務 (MaaS) 模式訪問,開發⼈員將使⽤許可提供給其他⼈。這種不斷增⻓的數據渠道爲該地區的跨國有組織犯罪創造了⼤量新的機會,反過來⼜助⻓了從事⽹絡欺詐的策略、技術、⽬標和犯罪集團的多樣化。相關數據顯示,亞太地區的待售信息竊取程序感染的主機數量持續增加,這與該地區的網絡欺詐事件激增的趨勢是一致的。
2. 搜索引擎優化與欺詐廣告
雖然許多⽹絡欺詐計劃需要詳細的⽬標分析以及欺詐者與潛在受害者之間的直接聯繫,但也有一些簡單的騙局只需一個誘人的廣告、一個虛假的網頁或釣魚鏈接,就能輕易地欺騙受害者。這些犯罪分子⼴泛利⽤搜索引擎優化 (SEO) 中毒和欺騙性⼴告來實現這些⽬的,隨着全球搜索引擎和社交媒體的使⽤不斷增多,這兩種⽅法都被證明是有效的。就規模⽽⾔,僅⾕歌在 2023 年就屏蔽或刪除了 2.065 億條違反其付費⼴告虛假陳述政策的⼴告,其中包括⽹絡詐騙和欺詐廣告,這⼀數據⽐ 2022 年的 1.42 億條⼴告有所增加。
今年 3 月,慢霧安全團隊和 Rabby Wallet 團隊披露了一種利用 Google 廣告進行釣魚的攻擊手法。具體來說,Rabby Wallet 團隊並未購買任何 Google 廣告,然而假廣告卻跳轉到了真正官網。從 Google 搜索關鍵字情況來看,排在前兩位的搜索結果都爲釣魚廣告,然而第一條廣告的鏈接卻很反常,它顯示的是 Rabby Wallet 的官方網站地址 rabby[.]io,通過跟蹤發現,釣魚廣告有時會跳轉到真正官方地址 rabby[.]io,而在多次更換代理到不同地區後,則會跳轉到釣魚地址 rebby[.]io,並且該釣魚地址會更新改變。分析發現,關鍵操作在於釣魚團伙利用了 Google 自家的 Firebase 短鏈接服務的 302 跳轉來欺騙谷歌的展示。類似的釣魚套路還出現在各種聊天軟件上。以 Telegram 這款聊天軟件爲例,當聊天時發送一個 URL 鏈接,Telegram 後臺會抓取 URL 鏈接域名、標題和圖標進行預覽展示。
此外,犯罪分⼦還會使⽤ SEO 投毒⼿段來增加或提升其惡意⽹站的知名度,從⽽使其在毫⽆戒⼼的用戶眼中看起來更真實,因爲用戶認爲搜索引擎的熱⻔排名很可信。犯罪分⼦還會使⽤各種 SEO 中毒技術,例如所謂的域名搶注,利⽤用戶⽆意中輸⼊的⽹址或點擊 URL 拼寫錯誤的鏈接來牟利。社交媒體平臺也成爲了他們的新戰場,犯罪分子通過僞裝成合法宣傳材料的廣告來欺騙用戶。2023 年 9 月,新加坡當局確認至少有 43 名受害者因社交媒體廣告的惡意軟件詐騙而損失了 87.5 萬美元。
3. 人工智能驅動的欺詐
隨着生成式人工智能的普及,犯罪活動的複雜性加大,身份盜竊、數據隱私侵犯等問題也對國家安全造成了威脅。犯罪集團利用 AI 進行網絡釣魚、製造虛假身份和個性化欺詐,大幅降低了技術門檻,提高了欺詐的速度和規模。深度僞造技術 (Deepfake) 在網絡欺詐中被廣泛使用,犯罪分子通過僞造視頻和音頻進行復雜的詐騙,相應的犯罪活動大幅上升。結合二維碼的網絡欺詐也在增加,受害者常常被誘導訪問惡意網站或泄露敏感信息。總體來看,人工智能的廣泛應用加劇了網絡犯罪的複雜性和頻率。
4. 其他
雖然「殺豬」騙局依然流行,但犯罪團伙逐漸採用更復雜的策略,比如網絡釣魚、惡意智能合約等,能夠高效地竊取受害者的資金和數據。
這種耗盡資產的手法,需要受害者在不知情的情況下將加密貨幣錢包連接到惡意合約,從⽽將加密貨幣和 NFT 轉移到犯罪分⼦的錢包中。一個著名的案例是 2022 年犯罪分子針對非同質化代幣 (NFT) 市場 OpenSea 的用戶發起的網絡釣魚攻擊,導致超過 250 個 NFT 被盜,價值約 200 萬美元。據安全研究⼈員稱,犯罪分子利用 OpenSea 系統升級的機會,發送虛假的電子郵件,引誘用戶進行操作,最終導致其資產被轉移。
此外,越來越多的犯罪分⼦利⽤ Drainer 智能合約針對缺乏去中心化金融 (DeFi) 知識的投資者。具體來說,這種詐騙手法通常會讓受害者連接到僞造的流動性挖礦池,從而耗盡他們的錢包。在地下市場和論壇上很容易找到各種各樣的 DeFi 應⽤套件,這些 DeFi 應用套件被宣傳爲合法的應用程序,實際上卻是用於詐騙的。
流動性挖礦騙局利用 DeFi 加密貨幣交易平臺的複雜性來騙人。這些騙子通常會承諾通過投資“流動性池”獲得高額回報,這些池子借出加密貨幣,讓不同幣種之間可以交易。但實際上,他們會創建假的流動性池,利用智能合約輕鬆訪問用戶的錢包,甚至可能會存入一些加密貨幣來製造“賺錢”的假象,或者放入一些名不副實的假幣。在這些騙局中,鏈接錢包的網站會顯示每日的收益承諾和虛假的利潤增長。最終,騙子就會利用合約權限把用戶錢包裏的錢“偷走”。投資者通常會被告知需要達到某個質押“目標”才能提取資金,但其實讓你嚐到甜頭後,錢就再也拿不回來了;而且任何額外存入的資金也會被同樣的方式盜取。慢霧曾披露過類似的騙局,有興趣可閱讀 Web3 安全入門避坑指南|假礦池騙局。
報告還提到,東南亞犯罪集團常用的一個惡意軟件是剪切器。這種軟件監控受感染系統的剪貼板,伺機替換加密貨幣交易中的地址,一旦受害者無意中進行交易,就會將資金轉移到攻擊者的地址上。由於加密錢包地址通常很⻓,導致用戶不太會注意到收款地址的變化,從⽽增加了惡意軟件的有效性。
結語
總的來說,東南亞跨國有組織犯罪的威脅正在變得越來越複雜和隱蔽。爲了有效應對這些挑戰,執法和監管機構需要不斷提升自身能力,東南亞各國應加強政府、監督機構和執法部門的能力與協調,制定全面的政策和行動計劃,並與其他國家和地區加強合作。在面對快速發展的跨國有組織犯罪環境時,及時採取行動將是關鍵。東南亞國家及其盟友之間的密切合作,將有助於應對這一日益嚴峻的挑戰,保護區域安全與穩定。