来源:联合国毒品和犯罪问题办公室(UNODC)
撰文:Lisa
编辑:Liz
2024 年 10 月 7 日,联合国毒品和犯罪问题办公室(以下简称「UNODC」)发布了一份名为《东南亚跨国有组织犯罪与网络欺诈、地下银行和技术创新的融合:不断变化的威胁形势》的报告。UNODC 在报告中对慢雾 (SlowMist) 提供的信息、数据和分析支持进行了致谢,我们的伙伴 Bitrace 也获得致谢。
该报告是联合国毒品和犯罪问题办公室 (UNODC) 对东南亚跨国有组织犯罪的最新分析,延续了 2019 年发布的综合报告《东南亚跨国有组织犯罪:演变、增长和影响》。最新的这份报告主要包含三方面内容,即东南亚地区的发展概括,地下银⾏和洗钱活动,以及助⻓犯罪活动的技术创新。具体来说,报告主要关注了东南亚地区有组织犯罪的特征和演变,特别是与赌场和经济特区相关的毒品贩运和洗钱活动;以及详细分析了赌场泛滥和有组织犯罪集团采用的复杂洗钱方法所带来的主要威胁和风险,例如网络赌博和电子博彩的兴起是如何改变了地下银行和洗钱格局;报告还提供了一系列建议,旨在协助各国政府和国际合作伙伴更好地处理东南亚赌场和有组织犯罪快速发展的问题。本文将对报告的核心内容进行解读,帮助读者快速掌握重点信息,提升对这些复杂安全威胁的认知与应对能力。
关键点一:东南亚地区的发展概括
东南亚正面临前所未有的跨国有组织犯罪和非法经济挑战。该地区的物理、技术和数字基础设施的快速发展,给了有组织犯罪网络更多机会去扩展,涵盖毒品生产与贩运、非法赌博、强迫犯罪贩运、卖淫和洗钱等多种活动。赌场、酒店和经济特区等地已经成为这些非法活动的“温床”,进一步加剧了边境地区的治理难题。
1. 赌博和犯罪活动
过去十年,东南亚赌场行业经历了指数级增长,现有超过 340 个持牌和非法赌场。尽管中国澳门加大的监管力度导致了一些赌场关门,但东南亚的赌博市场依然活跃,尤其是在线赌博。湄公河下游国家的绝⼤多数赌场都位于与中国、泰国和越南接壤的边境地区,这些地区的赌博活动多为非法。再说说博彩中介,它们在东南亚的博彩业中可谓是举足轻重。但由于疫情和执法力度的加大,许多中介面临盈利下降的挑战。全球最大的两家博彩中介太阳城和德晋的创始人因洗钱和有组织犯罪被判刑,这是近年来最严重的洗钱和地下钱庄案件之⼀,两⼈分别被判处 18 年和 14 年监禁,罪名包括数百项与有组织犯罪和⾮法博彩有关的指控, 他们通过赌场、在线赌博平台和地下钱庄处理了超过 1000 亿美元的资金。
尽管各国加强执法,但网络诈骗依然猖獗,2023 年针对东亚和东南亚受害者的诈骗造成的经济损失估计在 180 亿美元至 370 亿美元之间。随着高风险的虚拟资产服务提供商 (VASP) 的兴起,网络犯罪分子越来越多地利用加密货币洗钱,常见做法是在场外交易市场将犯罪所得直接兑换成现⾦或兑换成 USDT 作为稳定的中介货币,这种行为的交易量巨大,且关联着多种犯罪活动,令各国政府在监管和打击洗钱活动中面临重重挑战。据发现,一家位于湄公河的高风险 VASP 在 2021 年至 2024 年期间处理了 490 亿至 640 亿美元的加密货币总交易量,据估计,它是亚太地区同类服务中最大的服务提供商,它还与 OFAC 批准的实体以及与黑客事件中出现的 Lazarus Group 相关的多个钱包进行交易。Lazarus Group 是一个臭名昭著的黑客组织,其在加密货币相关的洗钱活动中扮演重要角色,根据慢雾的分析,朝鲜黑客 Lazarus Group 的洗钱方式复杂多变,隔一段时间就会有新型的洗钱方式出现,具体可查看慢雾:2024 上半年区块链安全和反洗钱报告 (https://www.slowmist.com/report/first-half-of-the-2024-report(CN).pdf)。
报告还提到,近年来稳定币不单在合法用户中越来越受欢迎,其在犯罪集团也备受青睐,特别是那些参与⽹络欺诈的犯罪集团。这与东亚和东南亚当局的调查结果⼀致:稳定币,尤其是 TRON (TRX) 区块链上的 Tether (USDT),是从事⽹络欺诈和洗钱活动的亚洲犯罪集团的⾸选。
2. 区域性网络欺诈
近年来,独立的诈骗团伙被更大、更统一的犯罪集团取代,后者常常伪装成工业或科技园区,形成稳定的网络。以缅甸的克伦邦 KK Park 为例,其早在 2020 年初就已经显露出发展的迹象,在这四年间,它已成为该地区最大、最活跃的犯罪聚集地之一。同时,加密货币的流行也使得跨境交易变得更加便捷,网络诈骗活动能够在全球范围内扩张,尤其是利用执法部门对其运作方式的不了解,进行包括“杀猪”骗局、投资诈骗、求职诈骗、资产追回骗局等活动,具体可参考报告解读|FBI 发布 2023 年加密货币欺诈报告。
诈骗者的目标越来越广泛,尤其针对年轻人和华人社区。诈骗组织通常为复杂的金字塔式结构,包括招聘、财务和运营等多部门,这些犯罪活动的运作需要多方合作。过去一年,诈骗的形势也发生了变化,数据显示,今年以来的诈骗流入量中,有 43% 流向了新活跃的钱包,相比之下,2022 年的这一比例仅为 29.9%,这意味着新型诈骗的数量正在迅速增加。
从 2020 年至今,诈骗活动的平均活跃天数显著减少,从 2020 年的平均 271 天下降到 2024 年上半年的 42 天。
这⼀宏观趋势与诈骗者从精⼼策划的庞⽒骗局转向更有针对性的活动的变化相⼀致,还有部分原因是执法⼒度加⼤以及稳定币发⾏⼈越来越多地将诈骗地址列⼊⿊名单,如 5 月 14 日,链上追踪与反洗钱平台 MistTrack 监测到全球最大的稳定币发行商 Tether 冻结与网络钓鱼相关的 520 万 USDT:
3. 人口贩卖与强迫犯罪
贩运者通过欺骗和胁迫受害者参与犯罪活动,获得经济利益。受害者在被贩运后通常会被限制自由,护照被扣押,面临暴力和各种威胁。尽管被强迫贩运的本质没有改变,但行业的专业化导致了受害者与自愿参与者之间的界限模糊,形成了多类相关人员。
在一些地区,尤其是缅甸,受害者往往被迫签署虚假的合同,被迫工作以偿还高额“债务”,这些合同实际上并不合法,还掩盖了贩运者的犯罪行为。很多受害者在逃离或获救后仍然面临法律风险,可能遭到控诉或恐吓。
4. 执法行动
虽然各国采取了一系列措施来打击这些活动,但网络赌博和诈骗行为依然普遍存在。而且,各国的执法力度和成效有所不同,采取的措施包括逮捕嫌疑人、冻结账户和封锁网站。跨境合作使得一些资产被扣押,且犯罪分子的定罪数量上升,特别是针对诈骗中心和赌博运营商的突袭行动增加。
下表根据各地区执法机构的声明汇编⽽成,列出了⾃ 2023 年 1 ⽉以来针对⾮法在线赌博和⽹络欺诈活动的⽹站所采取的⼀些最突出的执法⾏动。这些突袭⾏动由当地执法机构主导,有时与地区执法机构合作。中国公安机关在其中⼏次⾏动中发挥了重要作⽤。
据中国公安部统计,2023 年 1 ⽉⾄ 11 ⽉,共破获电信⽹络诈骗案件 39.1 万起,抓获犯罪嫌疑⼈ 7.9 万名,其中主犯 263 名。2023 年,有 5 万多⼈因电信⽹络诈骗被起诉。2022 年通过的新《反电信⽹络诈骗法》规定了电信、互联⽹和⾦融等服务提供商的责任,包括提⾼客户意识,以及监控、阻⽌和报告可疑活动。
过去⼀年,中国媒体⼴泛报道了涉嫌参与⾮法⽹络赌博和⽹络诈骗的⼈员的诉讼程序,这些案件发⽣在中国国内和国外。检察机构也发布了多份报告,其中包括对从柬埔寨、菲律宾、⽼挝、缅甸、⻢来西亚和其他国家⾃愿或被驱逐回国⼈员定罪的典型案件的总结。在中国,执法⾏动的重点是为海外组织提供⽀持的⼈,包括开发软件、维护⽹站和提供技术⽀持的人员,以及为⽹络犯罪所得资⾦转移提供便利的地下银⾏⽹络和将账户信息出售给洗钱集团⽤作骡⼦账户的⼈。执法⾏动还针对通过陆路和海路偷运中国公⺠跨境的团伙。
关键点二:地下银行、洗钱和犯罪即服务的兴起
东亚和东南亚的跨国有组织犯罪集团在地下银行、非正式跨境价值转移和洗钱方面,几乎成为了市场的领导者。这些集团愈发成熟,适应并利用政治、商业环境的变化以及技术创新,尤其在赌场和在线赌博领域的应用中表现突出。它们通过整合信息、金融和区块链技术,建立了复杂的地下洗钱网络。
除此之外,监管不⾜和未经授权的虚拟资产服务提供商 (VASP) 的兴起也加剧了⽬前的形势。更具体地说,⾼⻛险交易所、场外交易 (OTC) 服务、⼤型点对点 (P2P) 交易商和其他由跨国有组织犯罪控制和促进的相关业务的激增从根本上改变了东南亚地区的犯罪环境,推动了非法经济的扩展,吸引了新型的服务提供商和商业模式。尤其是位于中国香港、澳门和台湾的大型跨国犯罪集团,它们主导了洗钱行业,与中介机构紧密合作,利用中介提供的信贷服务来规避资本管制,同时依赖于不受监管的支付公司进行资金转移。
近年来,东亚和东南亚的执法机构也加强了对第三方支付提供商的监控,但很多案例显示网络诈骗依然对这个行业有着很大的影响。在在线赌博行业中,缺乏监管的赌场和博彩中介已经成为洗钱的重要基础设施。它们通过「保管」交易和「投资」来隐匿资金来源,形成了复杂的洗钱手段。由于在线赌博的匿名性和非面对面交易的特点,资金流动变得非常难以追踪,这为有组织犯罪提供了便利。
与此同时,东南亚的离岸在线博彩业发展迅速,尤其是在监管相对薄弱的地区。中介人借助这个趋势,帮助有组织犯罪获取利润,通过洗钱将非法资金伪装成合法收益。尽管监管和执法力度在逐渐加强,但许多在线赌博平台仍然在“灰色”或“黑色”市场中生存得很好。跨国有组织犯罪还开始将加密货币融入其业务中,特别是在高风险的交易所和场外交易中更为明显。由于缺乏监管,这些平台成为了洗钱的温床,使得东亚和东南亚的犯罪网络可以轻松逃避监管,进一步支持其非法活动。
关键点三:网络欺诈和技术创新的发展
近年来,东亚和东南亚的网络犯罪活动显著增加,尤其是跨国有组织犯罪集团的活跃度日益上升。网络犯罪分子不仅在开发和销售犯罪服务方面表现得像正规企业,还采用“犯罪即服务”(CaaS) 的模式,把各种犯罪行为外包给其他人,降低了作案门槛。
1. 地下数据市场和信息窃取恶意软件
地下数据市场也成为网络诈骗集团的重要一环,提供了大量被盗的数据,包括银行信息、信用卡详情和个人身份信息等,其中,用于了解客户 (KYC) 所需的信息在地下市场非常受欢迎,犯罪分子利用这些数据进行身份盗窃、商业欺诈和洗钱等活动。
有强有⼒的证据表明,地下数据市场正在转向 Telegram,在东南亚蓬勃发展的犯罪⽣态系统背景下,信息窃取恶意软件和地下⽇志云 (UCL) 服务的激增是这⼀转变的核⼼,简单、可⽤和低信息窃取程序的成本使得它们成为特别受该地区犯罪分⼦欢迎的服务。这些工具通常通过恶意软件即服务 (MaaS) 模式访问,开发⼈员将使⽤许可提供给其他⼈。这种不断增⻓的数据渠道为该地区的跨国有组织犯罪创造了⼤量新的机会,反过来⼜助⻓了从事⽹络欺诈的策略、技术、⽬标和犯罪集团的多样化。相关数据显示,亚太地区的待售信息窃取程序感染的主机数量持续增加,这与该地区的网络欺诈事件激增的趋势是一致的。
2. 搜索引擎优化与欺诈广告
虽然许多⽹络欺诈计划需要详细的⽬标分析以及欺诈者与潜在受害者之间的直接联系,但也有一些简单的骗局只需一个诱人的广告、一个虚假的网页或钓鱼链接,就能轻易地欺骗受害者。这些犯罪分子⼴泛利⽤搜索引擎优化 (SEO) 中毒和欺骗性⼴告来实现这些⽬的,随着全球搜索引擎和社交媒体的使⽤不断增多,这两种⽅法都被证明是有效的。就规模⽽⾔,仅⾕歌在 2023 年就屏蔽或删除了 2.065 亿条违反其付费⼴告虚假陈述政策的⼴告,其中包括⽹络诈骗和欺诈广告,这⼀数据⽐ 2022 年的 1.42 亿条⼴告有所增加。
今年 3 月,慢雾安全团队和 Rabby Wallet 团队披露了一种利用 Google 广告进行钓鱼的攻击手法。具体来说,Rabby Wallet 团队并未购买任何 Google 广告,然而假广告却跳转到了真正官网。从 Google 搜索关键字情况来看,排在前两位的搜索结果都为钓鱼广告,然而第一条广告的链接却很反常,它显示的是 Rabby Wallet 的官方网站地址 rabby[.]io,通过跟踪发现,钓鱼广告有时会跳转到真正官方地址 rabby[.]io,而在多次更换代理到不同地区后,则会跳转到钓鱼地址 rebby[.]io,并且该钓鱼地址会更新改变。分析发现,关键操作在于钓鱼团伙利用了 Google 自家的 Firebase 短链接服务的 302 跳转来欺骗谷歌的展示。类似的钓鱼套路还出现在各种聊天软件上。以 Telegram 这款聊天软件为例,当聊天时发送一个 URL 链接,Telegram 后台会抓取 URL 链接域名、标题和图标进行预览展示。
此外,犯罪分⼦还会使⽤ SEO 投毒⼿段来增加或提升其恶意⽹站的知名度,从⽽使其在毫⽆戒⼼的用户眼中看起来更真实,因为用户认为搜索引擎的热⻔排名很可信。犯罪分⼦还会使⽤各种 SEO 中毒技术,例如所谓的域名抢注,利⽤用户⽆意中输⼊的⽹址或点击 URL 拼写错误的链接来牟利。社交媒体平台也成为了他们的新战场,犯罪分子通过伪装成合法宣传材料的广告来欺骗用户。2023 年 9 月,新加坡当局确认至少有 43 名受害者因社交媒体广告的恶意软件诈骗而损失了 87.5 万美元。
3. 人工智能驱动的欺诈
随着生成式人工智能的普及,犯罪活动的复杂性加大,身份盗窃、数据隐私侵犯等问题也对国家安全造成了威胁。犯罪集团利用 AI 进行网络钓鱼、制造虚假身份和个性化欺诈,大幅降低了技术门槛,提高了欺诈的速度和规模。深度伪造技术 (Deepfake) 在网络欺诈中被广泛使用,犯罪分子通过伪造视频和音频进行复杂的诈骗,相应的犯罪活动大幅上升。结合二维码的网络欺诈也在增加,受害者常常被诱导访问恶意网站或泄露敏感信息。总体来看,人工智能的广泛应用加剧了网络犯罪的复杂性和频率。
4. 其他
虽然「杀猪」骗局依然流行,但犯罪团伙逐渐采用更复杂的策略,比如网络钓鱼、恶意智能合约等,能够高效地窃取受害者的资金和数据。
这种耗尽资产的手法,需要受害者在不知情的情况下将加密货币钱包连接到恶意合约,从⽽将加密货币和 NFT 转移到犯罪分⼦的钱包中。一个著名的案例是 2022 年犯罪分子针对非同质化代币 (NFT) 市场 OpenSea 的用户发起的网络钓鱼攻击,导致超过 250 个 NFT 被盗,价值约 200 万美元。据安全研究⼈员称,犯罪分子利用 OpenSea 系统升级的机会,发送虚假的电子邮件,引诱用户进行操作,最终导致其资产被转移。
此外,越来越多的犯罪分⼦利⽤ Drainer 智能合约针对缺乏去中心化金融 (DeFi) 知识的投资者。具体来说,这种诈骗手法通常会让受害者连接到伪造的流动性挖矿池,从而耗尽他们的钱包。在地下市场和论坛上很容易找到各种各样的 DeFi 应⽤套件,这些 DeFi 应用套件被宣传为合法的应用程序,实际上却是用于诈骗的。
流动性挖矿骗局利用 DeFi 加密货币交易平台的复杂性来骗人。这些骗子通常会承诺通过投资“流动性池”获得高额回报,这些池子借出加密货币,让不同币种之间可以交易。但实际上,他们会创建假的流动性池,利用智能合约轻松访问用户的钱包,甚至可能会存入一些加密货币来制造“赚钱”的假象,或者放入一些名不副实的假币。在这些骗局中,链接钱包的网站会显示每日的收益承诺和虚假的利润增长。最终,骗子就会利用合约权限把用户钱包里的钱“偷走”。投资者通常会被告知需要达到某个质押“目标”才能提取资金,但其实让你尝到甜头后,钱就再也拿不回来了;而且任何额外存入的资金也会被同样的方式盗取。慢雾曾披露过类似的骗局,有兴趣可阅读 Web3 安全入门避坑指南|假矿池骗局。
报告还提到,东南亚犯罪集团常用的一个恶意软件是剪切器。这种软件监控受感染系统的剪贴板,伺机替换加密货币交易中的地址,一旦受害者无意中进行交易,就会将资金转移到攻击者的地址上。由于加密钱包地址通常很⻓,导致用户不太会注意到收款地址的变化,从⽽增加了恶意软件的有效性。
结语
总的来说,东南亚跨国有组织犯罪的威胁正在变得越来越复杂和隐蔽。为了有效应对这些挑战,执法和监管机构需要不断提升自身能力,东南亚各国应加强政府、监督机构和执法部门的能力与协调,制定全面的政策和行动计划,并与其他国家和地区加强合作。在面对快速发展的跨国有组织犯罪环境时,及时采取行动将是关键。东南亚国家及其盟友之间的密切合作,将有助于应对这一日益严峻的挑战,保护区域安全与稳定。