地下經濟/網路非法服務/黑色產業 - 資安趨勢部落格

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

2016 年 10 月 25 日2017 年 02 月 07 日趨勢科技 TrendMicro

網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年，我們看到玩家遭到各種網路釣魚攻擊，不然就是遊戲帳號被盜。至於遊戲公司，則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關，不過，我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出，網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲，簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中，玩家很容易產生互相比較的心理，因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家，通常都是人人稱羨的對象。

然而，有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力，以便在短期之內迅速累積大量遊戲幣。當然，這樣的行為讓遊戲開發人員和廠商不齒，因為這簡直就是作弊，是一種可能被「封帳號」的違規行為。

當然，在線上遊戲當中作弊並不犯法，就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點，也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

企業連帶成了受害者

網路犯罪集團藉由經營線上遊戲幣業務來充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。繼續閱讀

你具備法文讀寫能力嗎？歡迎來到網路犯罪地下世界,如果你不介意用贓物作為酬勞的話!

2016 年 09 月 25 日2016 年 09 月 26 日趨勢科技 TrendMicro

你具備法文讀寫能力嗎？你可以敏銳的分辨出錯誤和正確的法文拼寫及文法嗎？你或許能夠在法國網路犯罪世界工作—-如果你不介意用贓物作為酬勞的話。

根據趨勢科技最近在法國地下網路的發現，我們看見了有趣的發展 – 地下網路在徵求一位「清理人（Cleaner）」，並且將職務說明貼到論壇上來徵求合適人選。根據職務說明，「清理人（Cleaner）」的工作是要檢查拼寫錯誤及文章可讀性並且來清理內容。

這是我們第一次看到徵人廣告直接貼在地下網路。這樣的廣告在一般的網站可能看起來相當正常。但這廣告的四周都是販賣惡意軟體或網路犯罪即服務等廣告，而且這份工作聽起來有點太過容易。話又說回來，這工作也可能相當具有挑戰性，因為法文有陰陽性名詞以及各種不同的詞性變化規則。

以下是我們所看到的徵人廣告截圖：

圖1、清理人（Cleaner）的廣告

繼續閱讀

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

2016 年 09 月 22 日2016 年 09 月 19 日趨勢科技 TrendMicro

有別於多數，法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關，還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1：法國網路犯罪地下市集獨特的一點是所謂的「autoshop」，這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎，因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動，尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子，網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如，目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西和北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處？

若要說法國地下市集有何獨特之處，那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人，都必須先繳交一筆蠻大的會費，甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功，其聲望值就越高。

這種瀰漫在市集間的不信任感，也助長了成員之間的猜忌。因此，第三方代管 (Escrow) 服務是確保交易順利進行的必要機制，如同俄羅斯和德國的市集一樣。挺諷刺的是，每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關，還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2：有別於大多數的市集，法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

繼續閱讀

” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

2016 年 09 月 19 日2022 年 05 月 27 日趨勢科技 TrendMicro

檢視資安指南：勒索病毒服務 (Ransomware as a Service)

根據趨勢科技威脅回應工程師 Pacag 指出，幾個星期前，有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 的運作方式，現在，網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件，就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面，因為這類病毒的效果真的是太強。一般來說，使用者可能經由下列管道感染勒索病毒：瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行，就會開始加密電腦或伺服器上的檔案，接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣)，使用者若想救回被加密的檔案，就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一，但卻從受害者身上海撈了 3.25 億美元，而這些很可能都是淨賺的，因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何？一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性，但藉由大量的加密：整個資料夾、整個磁碟、整台伺服器等等，網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金，而且就算只有少數受害者願意付錢，他們的獲利也相當可觀。繼續閱讀

當駭客們互駭 – 在法國地下世界上演的戲碼

2016 年 09 月 14 日2016 年 09 月 08 日趨勢科技 TrendMicro

趨勢科技曾發表了一篇新非法賭博系統的文章-「法國黑暗投注站（FDB）」。FDB運行在法國最大的地下市場 – 法國黑暗網路（FDN）。這個投注系統完全使用比特幣（Bitcoin,BTC）運作，讓網路犯罪份子可以輕易地透過這平台注資或籌資。

這之後的幾個禮拜發生一連串的事件引起我們的注意：FDN和FDB在幾天內關閉又開啟，宣稱自己受到駭客入侵，錢也都被偷走了。在被駭之後，FDN回復上線還變動了部分功能。

縱觀這些事件，我們發現不對勁的地方，不禁令人懷疑到底發生了什麼事，這所謂的駭客事件到底是不是起自導自演的戲碼，好讓某些人賺飽自己的口袋。我們就來看看在法國地下世界發生的事件，以及法國網路犯罪社群內有出現什麼動靜和線索。

比特幣系統如何在FDN/FDB運作？

FDN/FDB市場和投注系統具備獨立處理金融交易的功能。這表示許多金錢來源直接注入FDN。

客戶的資金到供應商：
要在FDN上買東西，比特幣必須存進FDN比特幣錢包。一旦轉入金額，系統讓買方可以用來向供應商買商品。供應商直接從FDN比特幣錢包得到等值於該商品的比特幣。基本上，FDN系統就類似賣買雙方間的仲介商。
下注的錢：
要賭些什麼時，賭徒先存入比特幣到FDN比特幣錢包。如果他贏得賭注，獲取的金額會從FDN錢包轉到賭徒的比特幣錢包。
禮品及贈與：
FDN接受禮品/贈與。
籌資：
聽起來很不可思議，但FDB提出幫助有需要的人或組織（對抗癌症等）的想法，並允許利用它們的比特幣錢包籌資。

駭客事件

FDN管理員大力地推銷新的FDB系統，在YouTube上張貼影片來吸引更多平常不會去黑暗網路（dark web）的客戶。在影片推出後，我們注意到FDN在2016年7月13日離線了幾個小時。它在7月14日回復，聲稱受到駭客入侵。他們還在這平台推出一些變動。

被駭的公告十分簡短，而且FDN幾乎沒有提出任何解釋。他們告知FDN論壇自己遭受駭客入侵，不過FDN/FDB資料庫還是安全的，沒有被駭客入侵。

只有FDN比特幣錢包遭受駭客攻擊，導致FDN/FDB客戶所有的錢都不見了。每當發生這類駭客事件，論壇管理員大多會表達出自己的憤恨，並提供相關的技術細節來支持自己的說詞 – 一些能夠說服社群相信的重要資訊。但是這起案例並沒有披露任何駭客事件相關細節。

被稱為Zulu的主要管理者在之後提供了後續資訊：