在網路犯罪的世界裡,俄羅斯網路犯罪地下市場早已是全球最精密、最有影響力的生態系之一。這裡不僅有高度專業化的駭客、先進的攻擊工具,還有嚴密的合作文化,讓網路犯罪不斷推陳出新,影響範圍遍及全球。全球網路犯罪生態正經歷一場重大變革。其中,俄羅斯網路犯罪地下市場與中文網路犯罪圈的合作日益緊密,這不僅擴大了威脅範圍,也使攻擊手法更加多元、隱蔽。
俄烏衝突等地緣政治事件,改變了駭客集團的攻擊目標與運作方式。以往駭客會刻意避開俄羅斯地區,但現在這些地區也成為攻擊目標。此外,網路犯罪已不再侷限於單一地區,跨國合作讓駭客能更靈活地規避執法,並擴大攻擊目標範圍。俄羅斯網路犯罪與中文網路犯罪論壇上,雙方開始交換漏洞資訊、攻擊工具、目標名單等資源,甚至共同策劃攻擊行動。
變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC) (Business Email Compromise,亦稱「商務電子郵件入侵」,簡稱 BEC) 這幾年來在全球瘋狂成長,專家預測這項威脅在 2018 年將達到 90 億美元的規模。由於變臉詐騙手法簡單有效,因此未來肯定將持續成為歹徒最青睞的攻擊之一,尤其是那些缺乏專業工具、知識和技術而無法從事其他複雜攻擊的不肖之徒。
去年我們趨勢科技花了九個月的時間 (2017 年 1 月至 9 月) 仔細研究了各種變臉詐騙案例,希望能從中發掘一些發展趨勢以及歹徒使用的工具和技巧,進而描繪出今日變臉詐騙的整體樣貌。
變臉詐騙兩大技巧
網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 將變臉詐騙分成五大類型。不過,我們在追蹤研究的期間發現,變臉詐騙可根據其攻擊技巧只分成兩大類:
竊取帳號登入憑證的技巧還可細分為兩種:第一種使用的是惡意程式,另一種使用的是網路釣魚。
變臉詐騙最喜歡的檔名:採購訂單
在仔細觀察惡意附件檔案的樣本之後,我們發現歹徒使用的附件檔名有一定的規律,以下就是最常用的幾種檔名類型:
惡意程式附件檔最常使用的幾種檔名類型
(根據 VirusTotal 的樣本)。
在使用惡意程式的變臉詐騙方面,最活躍的惡意程式有兩個:第一個是叫做「Ardamax」的軟體,售價 50 美元,提供了變臉詐騙所需的基本功能,另一個叫做「LokiBot」,是變臉詐騙集團越來越常用的惡意程式家族。
反觀單純採用電子郵件的變臉詐騙則主要仰賴社交工程技巧。雖然社交工程技巧原本就是大多數變臉詐騙的重要元素之一,但純粹使用電子郵件的變臉詐騙,其社交工程技巧要高明許多,很能掌握人類的心理。簡單來說,這類攻擊會讓電子郵件看其來相當具說服力,並且會巧妙運用電子郵件的「主旨」、「回覆地址」及「寄件人」等欄位。
刻意註冊看似受害機構高階主管個人的電子郵件,或註冊模仿被害企業的網域。
除了前述手法之外,變臉詐騙集團還會註冊一些看似受害機構高階主管個人的電子郵件地址。他們會到一些狡猾的免費網頁郵件服務開立信箱,或者註冊一個模仿被害企業的網域。
變臉詐騙電子郵件所用技巧的分布情況大致如下:
電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。
此外,我們也研究了一下歹徒如何取得他們的犯案工具,尤其是攻擊中所使用的網路釣魚網站。變臉詐騙集團最常用使用網路釣魚套件來發動攻擊。我們從研究案例當中找到了一名變臉詐騙歹徒,並且找出他所使用的工具以及取得管道。
趨勢科技在好幾個網路釣魚網站發現這名歹徒的蹤跡,因此推論變臉詐騙嫌犯應該都會架設多個網路釣魚網站來從事詐騙。他們大多活躍於地下犯罪市場,並且從中取得他們所需的詐騙工具。而且,地下市場甚至還有一些專門給變臉詐騙新手的教學資源,協助他們快速上手。換句話說,變臉詐騙歹徒可以很輕易地獲得它們所需的工具和技巧。這份研究主要是希望能讓大家對變臉詐騙有一番更清楚的認識,包括:最新發展趨勢、歹徒的工具和技巧,以及一般消費者和企業該如何防範這類攻擊。
➔ 完整報告:變臉詐騙 (BEC) 技巧發展趨勢追蹤
原文出處:Delving into the World of Business Email Compromise (BEC)
埃及的阿拉伯文地下市場 hack-int 所販賣的偽造身分文件要價 18 美元。這股個人身分文件的大量需求,主要源自該區的政治緊張情勢。例如,為了逃離戰亂區域,有人需要這類假身分來潛逃至其他國家當難民。另一方面,網路犯罪集團也可能購買偽造文件來從事保險詐騙,或者冒充某國居民。其可能引發的嚴重問題是,危險人物可以利用這類偽造文件來假冒難民潛逃至其他國家。
虛擬私人網路 (Virtual Private Networks ,VPN) 是該區網路犯罪活動的主要支柱,由於不易被追查因此大行其道。此區販售的 VPN 皆宣稱保證安全、絕不留下記錄且經過多次轉跳。網路犯罪集團經常使用這些伺服器來架設殭屍網路,或者當成進一步攻擊的跳板。
趨勢科技發表中東及北非區域的地下市場研究白皮書「數位露天市集」
該區惡意程式和駭客工具價格為 19 美元,相較之下北美只需 4 美元
【2017年10月16日台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前在 GITEX 2017 大展上發表一篇詳細的研究白皮書「數位露天市集:中東與北非地下市場初探」(Digital Souks: A Glimpse into the Middle Eastern and North African Underground),詳細說明該區地下市場犯罪活動的現況。該區惡意程式與駭客工具的價格整體而言稍高於其他區域。例如:在北美地下市場,一個鍵盤側錄程式大約需 1 至 4 美元,但在這區域卻可能高達 19 美元。然而,其成員之間因互利而彼此分享內容的意願,卻也彌補了價格上的劣勢。
中東與北非地下市場可說是文化、意識形態和網路犯罪的大融合。趨勢科技發現,區域性市場通常會忠實反映當地社會的情況。在分享的精神之下,該區犯罪分子彼此之間似乎有著一種超越其不法行動的兄弟情誼與宗教認同。
趨勢科技地中海、中東與非洲地區副總裁 Ihab Moawad 表示:「該區仍是一個持續成長的市場,在規模和範圍方面無法與其他區域相提並論,但其產品和服務依然相當普遍且精密。我們已開始高度關注該區,並且透過威脅情報的蒐集和分析來協助該區提升其網路防禦能力。趨勢科技將持續監控該區地下市場況狀,主動提升資安生態系的整體力量,讓此區域及全球的執法機關更深入掌握其資安情勢。」
Moawad 補充表示:「除此之外,免費提供服務和贈送惡意程式的普遍現象,也頗令人玩味。雖然其他地下市場也會有互相支援的情況,但在意願和程度上,該區絕無僅有。」
由於意識形態是該市場發展的重要動力,駭客精神成了中東與北非地下市場獨一無二的服務特色。在其他地下市場,例如北美或俄羅斯,供給者大多只在意如何銷售其犯罪工具,此外,市場上的成員也不會共同策劃網路攻擊。
駭客激進攻擊、DDoS 攻擊、網站入侵詆毀行動,在該區是家常便飯。這些攻擊通常是由一群對西方國家充滿敵意的成員或當地政府所為。該區的產品類別大致分為:惡意程式 (27%)、偽造文件 (27%)、失竊資料 (20%)、犯罪工具 (13%)、武器 (10%) 以及毒品 (3%)。
犯罪工具包括各種加密程式、惡意程式與駭客工具地下市場價格
其中,犯罪工具包括各種加密程式、惡意程式與駭客工具。至於價格方面:蠕蟲為1 至 12 美元、鍵盤側錄程式為免費至 19 美元、已知勒索病毒為 30 至 50 美元、惡意程式產生工具為免費至 500 美元、Citadel (FUD) 為 150 美元、Ninja RAT (FUD) 為 100 美元、Havij 1.8 (已破解) 為免費。 繼續閱讀
ATM 惡意程式是一項存在已久的數位威脅,第一個已知的變種,最早可
追溯至 2009 年。由於它可以帶來龐大的現金,因此一直是許多網路犯罪
集團的重要武器之一,這一點不令人意外。
我們一而再、再而三看到網路犯罪集團在 ATM 提款機上加裝磁條盜拷裝
置,甚至大剌剌地安裝在公共場所的提款機上,也看到他們所犯下的一
些大型的 ATM 提款機盜領案。
但是,由於這項犯罪獲利相當驚人,因此歹徒朝網路化發展,經由銀行
內部網路來攻擊 ATM 提款機,只能說是一項自然而然的演變。畢竟,如
果能夠找到金融機構的漏洞,然後避開安全機制並滲透到金融機構的內
部網路,其回報必定更加驚人。
再加上,許多 ATM 提款機目前依然還在使用一些老舊過時的作業系統,
因此 ATM 惡意程式未來勢必仍是網路犯罪集團的主要犯罪工具。這類老
舊的作業系統,由於廠商已經不再提供支援,因此任何漏洞都不會再有安
全修補與更新。所以,仍在使用這類老舊作業系統的電腦,很容易遭到攻
擊。
本文將詳細探討目前已知的各種 ATM 惡意程式家族與攻擊型態 (臨機攻
擊或網路攻擊),以及駭客如何滲透目標的基礎架構並且在內部遊走。
2016 年,趨勢科技發表了一份非公開的研究報告,詳細介紹了一些已知專門攻擊 ATM 提款機的惡意程式家族。該份報告的主要重點在說明這些惡意程式家族如何利用 ATM 應用程式開發介面 (API) 與金融服務延伸功能 (eXtensions for Financial Services,簡稱 XFS) 的 API,來與 ATM 的相關硬體溝通,其中最主要的是讀卡機和吐鈔機。
當時,我們發現駭客感染 ATM 提款機主要是靠臨機攻擊:駭客實際打開提款機外殼,在裸機的情況下使用USB 隨身碟或 CD 光碟將提款機系統重新開機。這樣的攻擊方式雖然至今仍然可見,不過,最近已開始出現上次報告曾經暗示過的一種新式攻擊,那就是:網路攻擊。
儘管當時我們只是推測這樣的情況有可能發生,並未料到我們竟然一語成讖。隨著銀行開始對 ATM 提款機的臨機攻擊有所警覺,並且採取一些必要的防範措施,駭客也跟著開始另闢途徑,也就是 ATM 網路攻擊。
要經由網路感染 ATM 提款機,駭客需要更多的事前規劃與準備,其最大的困難在於從銀行內部網路進入ATM 網路。因為,在一個規劃良好的網路架構中,這兩個網路通常會分開獨立,因此要從某個網路進到另一個網路必須穿越防火牆和其他可能的安全機制。不幸的是,某些銀行並未實施網路分割。就算兩者分開獨立,在某些已知的案例當中,歹徒還是能夠經由銀行內部網路將惡意軟體安裝到 ATM 提款機上。
為了讓讀者有個大致的概念,以下我們將所有已知的攻擊分成兩大類:
在介紹過這兩種攻擊之後,我們會在第三節當中再介紹兩種較為特殊且較為罕見的攻擊型態。我們相信這兩種攻擊雖然較不常見,但仍值得注意,因為只要是之前曾經發生過的案例,之後還是可能會再出現。為了力求完整,我們也將介紹一個用來測試上述攻擊方式的工具。儘管該工具不會用在攻擊當中,但卻顯示歹徒在實際行動之前如何測試其攻擊手法。
在這份報告的最後,我們將探討 ATM 攻擊背後的犯罪集團。然而,追溯攻擊源頭是件棘手的問題,因此我們主要將著眼於整體的威脅情勢,並約略分析一下歹徒在這類攻擊當中的獲利模式。
最後請記住,在所有已知的攻擊案例當中,歹徒使用 ATM 惡意程式的最終目標都是為了在提款機上安裝一個程式來吐光提款機內的鈔票,或是盜取提款機內保留的金融卡資料,或兩者都有。
如何進入 ATM 提款機內部
ATM 惡意程式的主要目標就是連上並操控提款機內的周邊裝置,進而讓提款機吐鈔,或者/並且蒐集銀行客戶的金融卡資料。因此,要了解 ATM 惡意程式如何攻擊提款機,首先必須認識提款機的內部構造。以最簡單明瞭的方式來看,ATM 提款機基本上就是一台電腦再加上一個小金庫,然後外面用一個機殼加以包覆。此外,ATM 提款機還可連接一些周邊裝置來為客戶提供多樣化服務,例如:提款、存款、轉帳、付款等等。儘管 ATM 提款機有各種外觀樣式和體型,但內部構造其實大同小異。下圖示範 ATM 提款機的基本構造與各部分元件:
ATM 提款機主要由以下單元所構成:
今日的 ATM 提款機再也不像以往採用特殊規格的硬體,而是一般標準的 PC 與 USB、乙太網路、IP 通訊協定以及 Windows® 作業系統等等。最主要的原因應該是成本的考量,除了零件更便宜之外,軟體的支援度以及互通性也更好。 繼續閱讀
研究報告顯示假新聞已發展成一種新的營利模式,網路犯罪者善用此手法作為服務項目 FNaaS(Fake News as a Service),在全球包含俄羅斯、中國、中東及英語國家的地下市場販售,所提供的服務不止是散播假新聞,通常還包括產製這些新聞故事,並把它們行銷給目標族群,手法類似於內容行銷服務與社群媒體行銷運作,甚至透過點擊詐騙殭屍大軍(Botnet)為貼文或影片的觸及率灌水,讓特定內容更具權威性及可信度,間接操控輿論風向,例如:中國「寫作幫」販賣產製內容,每篇只需100至200人民幣(約400-800台幣)不等,甚至也利用社群媒體引發口碑效應,讓新聞文章被特定留言讚爆。相同手法也同樣能影響股價及金融市場,任何有心人士都能利用此服務散佈不實訊息來達到特定目的,其中以政治及商業目的最為常見,可能對全世界政治、金融局勢和整個媒體產業產生巨大影響。
談到「假新聞」三個字,人們大概會直接聯想到社群網站上一些超神奇、超誇張的故事。不過,儘管假新聞與社群網站有很大關聯,但社群網站上的假新聞卻並非只是標題誇張而已。
假新聞與網路宣傳
假新聞看似是一項今日才有的新問題,但其實這只是它的散布平台較為新穎而已。然而「鼓吹宣傳」這件事其實早已存在數百年,只是網際網路最近才成為人們散布謊言與不實資訊的管道。
火的燃燒有三項要素:氧氣、熱度和燃料。同樣地,假新聞要炒得起來,也需要三要素:工具與服務、社群網路、動機 (如下圖所示),而且只要缺乏其中一項,假新聞就無法散布或到達目標。
圖 1:假新聞的三項要素。
首先是在社群媒體上操弄和散布新聞的「工具與服務」,這些工具大多可透過全球各種網路社群取得,而且種類繁多。有些服務相當單純,例如付費購買「按讚數」和「追隨數」等等,有些則稍微複雜,例如在網路調查中灌水,或者迫使某網站管理員撤下某篇文章。無論如何,這些操弄社群媒體的工具和服務唾手可得,而且不一定要到地下市集才能取得。
其次,這些工具要發揮作用,首先得要有社群網站這個宣傳平台。而隨著人們經由這類網站吸收資訊和新聞的情況越來越普遍,其重要性實在不容小覷。不過,單純地將宣傳訊息 PO 上網,離訊息真正觸及目標對象還有一段距離。我們在報告中說明了歹徒利用何種技巧來引誘讀者閱讀其訊息。
此次針對社群媒體的研究,也讓我們也了解到 Twitter 網站上的內容機器人與讀者之間的關係,描繪出這類操弄性輿論的規模和組織。
最後,所有的宣傳背後必定有其「動機」。我們也探討了這些假新聞背後的動機,其中有些只是單純為了賺取廣告費,但有些則懷有犯罪或政治意圖。不論其動機為何,任何宣傳是否成功,最終還是要看它對真實世界有多大影響。
個案研究
報告中,我們舉出幾種不同的個案來說明這些宣傳的成效,以及歹徒如何利用假新聞來達到各種目的,如以下三圖所示:
