【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!

「電信公司提供給員工的語音、簡訊和網路資費特價的優惠碼 」,「飯店訂房時所輸入的企業方案優惠碼」你可以想像這些都可以被有心人士拿來販售嗎?

趨勢科技在地下市場看到許多關於詐欺自動化的產品和服務,規模大到足夠支撐起假造或濫用優惠券/促銷代碼經濟。另外值得一提的是,我們在地下市場中所看到的價格往往比合法管道更便宜3到10倍。

地下市場販賣可以檢查和暴力破解優惠券代碼的軟體。甚至提供影片教學,包括如何破解某些共乘服務的促銷碼。

 

以優惠卷形式所進行的免費贈品及折扣等詐欺行為,據報造成美國企業每年高達3到6億美元的損失。而且只要哪裡有利可圖,網路犯罪分子也就會往哪裡去。優惠券詐欺也是如此,趨勢科技發現相關活動在地下市場非常地活躍。

優惠券詐欺對企業來說代表什麼?在2012年,各大廠商都成為假優惠券受害者,一家消費性產品公司遭受了約128萬美元的損失。另一起優惠券詐欺則是在十年內從各公司竊取了至少2.5億美元

在現實中,它所產生的損失不只是無限暢飲的咖啡、免費搭車和飯店住宿,或是特價的3C產品。地下市場的優惠券詐欺可以延伸成為商業流程入侵(BPC),破壞到支撐業務運作的部分,也進而造成更大的影響。

 

優惠券詐欺和商業流程入侵

趨勢科技在地下市場看到許多種的優惠券詐欺手法。將其整合在一起,特別是關注在商業流程上,產生以下的視覺化圖表:


圖1:如何結合網路犯罪地下服務和優惠券詐欺來入侵傳統優惠卷交易的商業流程

圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程
圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程

繼續閱讀

勒索病毒成為一般商品!只要 50 美元,就能取得 WannaCry 勒索病毒的終生授權

任何人,據稱只要 50 美元,就能取得WannaCry(想哭)勒索病毒的終生授權,而且可以無限升級。今年 5 月 14 日,我們在阿拉伯文地下網站上看到這則廣告,就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅,搖身一變成了一般性商品,只要有心,任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外,WannaCry 的價格也相對低廉,這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯北美地下市場上的犯罪分子大多以賺錢為主要目的,中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送,例如:遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且,這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。


圖 1:WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上,我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是,同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。 繼續閱讀

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼? 繼續閱讀

黑吃黑:黑暗網路(Dark Web,簡稱暗網)內的駭客攻擊活動

黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站,經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站,充斥著各式各樣的地下市集販賣著琳瑯滿目的商品,包括:網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告,比如「 表面之下:探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動,卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊?黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何?出乎我們意料,我們發現這些攻擊在黑暗網路當中還算相當頻繁,而且駭客經常是手動進行這類攻擊,其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作,發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem),並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近,我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法,並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其,我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的,趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後,我們會自動蒐集所有記錄檔,並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種:

  1. 一個僅供受邀會員交易的封閉黑市。
  2. 一個專門為黑暗網路(Dark Web,簡稱暗網)提供客製化服務和解決方案的部落格。
  3. 一個僅供註冊會員登入的地下論壇,此外,要成為會員還需要保證人。
  4. 一個存放敏感文件的私人檔案伺服器,提供 FTP 和 SSH 連線。

圖 1:我們架設的假地下論壇 (誘捕陷阱 #3)。 繼續閱讀

被偷的帳密,身分證明,就醫.金融資料,信用卡…到哪裡去了?

駭客偷取你的個人資料做什麼?

目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達 160 億美元。然而,被偷的資料到底被用來做些什麼?目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至 在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達  160 億美元 。經歷了近幾年的一些大型資料外洩事件 (如  2016 下半年的 Yahoo 事件),現在大多數人都已經知道資料竊盜是無可避免的現實。身分冒用的問題固然令人擔憂,但真正災難卻在後頭,也就是當這些資料被駭客用於不法用途時。

此時,受害者可能遭遇一些嚴重的後果,尤其若歹徒的目標是受害者的保險、銀行和信用卡資料。事實上,許多使用者都不曉得自己的資料早已被駭客掌握,只有在身分被冒用之後才驚覺事態嚴重。

但到底這些失竊的資料最後的去向如何?是被賣到地下市場?還是連同一些其他偷來的資料一起賣給合法的企業?或者被用來盜刷?在我們深入探討失竊資料的流向之前,我們先來看看資料是如何外洩的。

資料如何外洩?

看到一些大型資料外洩事件,或許一般大眾會以為資料外洩都是駭客所引起,但根據趨勢科技的研究報告「 跟著資料循線追查:解構資料外洩事件及破除迷思 」(Follow the Data: Dissecting Data Breaches and Debunking the Myths) 顯示,從 2005 至 2015 年,裝置遺失或失竊才是資料外洩的主因。不過,若以普遍性來看,駭客攻擊和惡意程式的比例也不遑多讓。此外,意外洩漏和內賊所造成的比例也逐漸攀升。

下圖為資料外洩的原因:2005 年 1 月至 2015 年 4 月間各種資料外洩原因所占的比例。

 

41% 裝置遺失或失竊
41% 裝置遺失或失竊

 

 25% 為駭客攻擊或惡意程式
25% 為駭客攻擊或惡意程式

 

17.38% 意外洩漏
17.38% 意外洩漏

繼續閱讀