最后章节：骗子与骗子之间的博弈

关键要点

• 诈骗者在网络犯罪市场上意外提供了有用的战略和战术情报。
• 脚本欺诈者往往不注意隐私保护，留下大量敏感信息。
• 诈骗报告为研究人员提供了丰富的情报来源，有助于理解网络黑市的动态。

在我们“诈骗者与骗子之间的诈骗”系列的最后一篇文章中，我们揭示了为何犯罪市场上的诈骗者在无意中提供了有价值的战略和战术情报。在网络犯罪市场中，当涉及到诈骗指控时，许多市场要求提供证据，而受害者往往乐于配合。虽然少数举报者会对证据进行编辑，或仅向管理员可见，然而绝大多数举报者不会，反而留下众多加密货币地址、交易ID、电子邮件地址、IP地址、受害者姓名、源代码等信息。

这与其他领域的犯罪市场形成了鲜明对比，后者的操作安全通常非常好。也许诈骗受害者认为没有人会关注仲裁房间，或者由于被诈骗而显得心烦意乱，通常的防范措施也就被忽视了。

为了让你了解这一现象的普遍性，我们查看了最近250份关于诈骗的报告。在这其中，39%的报告包含屏幕截图，53%的报告则是仅有文字的事件叙述（通常会详细说明细节）。只有8%的报告对此证据进行了限制，或者表示愿意私下提交给仲裁者。

收据示例

以下是一个典型的诈骗报告，其中包含证据（我们已编辑掉论坛的地址，但屏幕截图本身未经过编辑）。附件包括在两个平台上的私人信息，以及身份标识。

比特币地址和交易细节

犯罪市场通常作为广告板，谈判和交易通常发生在其他渠道，如Telegram、Tox、论坛私信等。买家和卖家出于操作安全的考虑一般遵循这一规则。但在涉及欺诈投诉时，这些顾虑往往会被搁置。我们注意到许多关于谈判和销售的屏幕截图，其中包括加密货币地址和交易链接，这些在调查具体事件或威胁行为者（个体或网络）时可能会非常有用。当然，威胁行为者可能仍会对他们的交易采取匿名措施，但这总比没有要好。

电子邮件地址等等…

一些诈骗报告者对编辑信息的谨慎态度相对松懈。在一个案例中，一位投诉者上传了包含其系统上已安装应用信息的系列截图，日期和时间、电子邮件地址、Outlook名字及其在Telegram上与其他人沟通的用户名等信息一应俱全。

MAC和IP地址

虽然并不常见，但我们在投诉者的截图中看到了一些MAC地址和IP地址，通常是在与声称的诈骗者进行恶意软件或作为服务（AaaS）清单的故障排除时提供的。

恶意软件源代码

尽管相对少见，但我们确实观察到至少一次诈骗投诉者共享恶意软件源代码的情况。

受害组织的名称

卖家在其AaaS列表中通常不提及受害者的名字，因为他们担心会引起组织的警觉。然而，我们仍然看到几例诈骗投诉者发布了详细的聊天记录，其中包括受害者的名称。

谈判和计划攻击/项目的详细信息

我们观察到多例诈骗投诉者发布了关于项目和攻击的详细聊天记录。这些聊天记录的内容不仅包括关于可能出售的漏洞的详细信息，还包含了被指控的诈骗者GitHub资料和展示其漏洞的网页链接（这可能用于识别诈骗者）。

值得注意的是，由于这些细节是在仲裁线程中发布的，它们并不总是能代表整个地下经济。然而，它们确实为进一步的研究提供了一个起点。并且，由于诈骗报告的创建者既包括买家也有卖家，报告中既有“合法”用户的材料。

结论

威胁行为者——包括