網路上的工具和服務總是無法避免地會被網路犯罪集團所濫用,這類案例不勝枚舉,而且無所不在。從攻擊軟體、網站及網站應用程式的漏洞,利用雲端服務來散佈惡意程式元件,到利用社群網站貼文和連結引誘不幸使用者掉入詐騙陷阱等等。不管未來將出現什麼樣的技術或服務,永遠都可能會遭到不當濫用。
在研究網路犯罪的過程當中,趨勢科技發現有一群人和網路犯罪集團一樣擅長利用合法的服務來從事不法行動,那就是恐怖組織。這些人可說本身就是網路犯罪分子,因為他們在網路上同樣也是從事違法行為。不過,這兩群人的動機截然不同:網路犯罪分子的動機是錢,恐怖分子的目標則是宣揚理念,而非散播惡意程式。
本文將探討網路犯罪分子和恐怖分子在利用網路科技與平台來達成目的時有何共通之處,並且著重於他們採用的方法、運用的服務,以及他們自行開發什麼樣的輔助工具,來方便追隨者更容易參與他們的行動。
避免在網路上留下可追查的蹤跡和身分,傳授「隱匿技巧教戰守則」
這兩種集團一向擅長利用原本專為有正當理由必須隱藏身分的使用者所開發的工具和服務。 繼續閱讀
趨勢科技最近發現一起網路攻擊使用被稱為Lost Door的遠端存取木馬(RAT),這是個在社群媒體網站就有提供的工具。讓我們對此遠端存取木馬(偵測為BKDR_LODORAT.A)最驚訝的是它會利用路由器的端口轉發(Port Forward)功能。這功能可以讓遠端系統連到內網裡特定的電腦或服務。但當其被作為惡意使用時,就可以被遠端攻擊者用來掩蓋自己在網路內的活動,避免被偵測。因為這個遠端存取木馬很容易客製化,即使是入侵指標(IoC)也可能無法阻止這威脅。像Lost Door這樣容易客製化的遠端存取木馬很難被偵測和防禦,對IT管理者來說是個頭痛的問題。
在YouTube和 Facebook等社群網站明目張膽宣傳,而非網路犯罪地下市場
不像其他攻擊工具大多只會出現在網路犯罪地下市場,Lost Door很容易取得。它就在社群媒體網站上進行宣傳,像是YouTube和Facebook。它的開發者「OussamiO」甚至有自己的Facebook網頁提供開發細節。甚至有專門部落格(hxxp://lost-door[.]blogspot[.]com/)來提供遠端存取木馬使用教學影片和說明。任何網路犯罪分子和有心人士都可以購買並使用這遠端存取木馬進行攻擊。
想買毒品的人會在一般的瀏覽器上輸入關鍵字來搜尋嗎?
想避開政府監控的異議爆料者如何避免在網路留下證據?
他們會透過一些 IP 位址無法被追查的網路來做這件事。而毒販也不會想將他們的網站架設在可被執法單位透過 IP 位址逮人的地方。除此之外,販賣護照及信用卡等非法犯罪服務,也需要這種能夠確保匿名性的網路。
如果說所有可搜尋的內容都位於地表的話,那麼地底下的部分就是所謂的深層網路:不見天日、不易進入、外表也看不出來。
黑暗網路是深層網路最深邃的部分,需要以特殊的工具或設備才能進入。它們位於地下網路深層的地方,比一般深層網路的內容更需要隱密性。
所謂的深層網路,就是像 Google 這類搜尋引擎基於某種因素無法建立或沒有建立索引、因而搜尋不到的網路內容。可歸納在此定義之下的內容包括:動態網頁、封鎖的網站 (如必須輸入頁面上動態產生的文字才能進入的網站)、未連結的網站、私密網站 (如有密碼保護的網站)、非 HTML內容、周邊輔助內容、程序碼 (script),以及限制存取的網路。
所謂「限制存取的網路」是指一般標準網路組態下存取不到的資源及服務。歹徒可透過這類網路來暗中活動,讓執法機關很難或根本無法追查,例如一些在不受「網際網路名稱與號碼指配機構」(ICANN) 管轄的 DNS 頂層機構 (root) 下註冊的網域。它們經常使用非標準的頂層網域名稱 (TLD),因此需透過特殊的 DNS 伺服器才能正確解析出位址。還有一些是完全註冊在另類 DNS 系統 (而非正統 DNS 系統) 的網域名稱,例如我們討論過的比特幣網域 (Bitcoin Domain)。另類網域不僅完全不受 ICANN 的規範,其非集中化而分散的特性,讓它們很難被圍捕 (必要的話)。
此外,架設在這些限制存取網路上的,通常都是黑暗網路 (Darknet) 或是一些需要特殊軟體 (如 TOR) 才能存取的網站。而一般大眾對深層網路的興趣,也大多圍繞在黑暗網路內的活動。
有別於深層網路上的其他內容,搜尋引擎在進行地毯式搜索時並不會涵蓋限制存取的網路,但原因並非技術上的限制,事實上,像 tor2web 這類閘道服務就提供了一個網域來讓使用者存取隱藏在這類網路上的服務。
繼續閱讀根據報導,線上影音平台 Netflix(網飛)和透過手機 APP,提供載客車輛租賃的Ube r(優步)帳號是目前
深層網路(Deep Web)和地下市場最熱門的個人身份資料(PII),甚至比被竊信用卡帳號還搶手。這不難看出:只要1美元,有興趣的人就可以取得被竊信用卡帳號。而這兩種黑市最新商品,被竊 Netflix帳號值5美元,被駭Uber帳號可以賣到4美元。
Netflix和Uber帳號在地下市場竟比信用卡帳號受歡迎
Netflix和Uber帳號變得比信用卡帳號更加受歡迎,甚至可能更有利可圖或許是供需法則所造成。在一方面,地下市場過剩的被竊信用卡帳號,加上銀行和金融機構落實安全措施以防止信用卡詐騙而使得需求下降。而另一方面,Netflix和 Uber 等服務的使用者數量在不斷增加,Netflix公司擁有7,500萬名會員,而 Uber在2014年12月時,光在舊金山就有約7萬名活躍用戶,而在深層網路(Deep Web)和各地下市場中也比較少人針對它們。因此,對這些需求的增加也推動了其價格上漲。
網路犯罪確實是一門生意。就跟任何一家公司一樣,網路犯罪活動會著眼在目前有哪些需求。雖然跟正當企業不同,他們不會想辦法提供自己所獨有的東西。相反地,他們利用那些正當產品/服務的創造者賺錢,透過提供更加便宜(駭來的)商品。
在2015年,我們了解到每個地下市場都有自己獨特的商品(參考全球網路犯罪地圖)。趨勢科技也將對網路犯罪市場的發現總結在「網路犯罪和深層網路(Deep Web)」中。了解更多網路犯罪,請參考深層網路(Deep Web)資訊站。
@原文出處:Netflix and Uber Users: Cybercriminals’ Latest Favored Hacking Targets?
趨勢科技在「巴西地下市場」研究報告當中指出為何信用卡詐騙在拉丁美洲非常盛行,其中一個很重要的關鍵就是「卡片驗證」,也就是檢查信用卡是否有效。我們發現了一個專門從事這類工作的新式服務,叫作:「CheckerCC」。這是巴西第一次出現這樣的服務,其收費方式採包月制:每月 100 巴西幣 (雷亞爾),折合約 25 美元。而這項服務幕後的經營者,應該是一位巴西聖保羅的青少年。
何謂卡片驗證服務?這是一種利用小額刷卡來確認某個偷來或產生的卡號是否有效的方法。駭客可以將信用卡資料上傳至 CheckerCC 網站,該服務就會自動檢查上傳的卡號是否有效。傳統上,巴西地下市場的犯罪集團都是利用一種電腦程式來進行這項檢查。
