當駭客們互駭 – 在法國地下世界上演的戲碼

趨勢科技曾發表了一篇新非法賭博系統的文章-「法國黑暗投注站(FDB)」。FDB運行在法國最大的地下市場 – 法國黑暗網路(FDN)。這個投注系統完全使用比特幣(Bitcoin,BTC)運作,讓網路犯罪份子可以輕易地透過這平台注資或籌資。

這之後的幾個禮拜發生一連串的事件引起我們的注意:FDN和FDB在幾天內關閉又開啟,宣稱自己受到駭客入侵,錢也都被偷走了。在被駭之後,FDN回復上線還變動了部分功能。

縱觀這些事件,我們發現不對勁的地方,不禁令人懷疑到底發生了什麼事,這所謂的駭客事件到底是不是起自導自演的戲碼,好讓某些人賺飽自己的口袋。我們就來看看在法國地下世界發生的事件,以及法國網路犯罪社群內有出現什麼動靜和線索。

比特幣系統如何在FDN/FDB運作?

FDN/FDB市場和投注系統具備獨立處理金融交易的功能。這表示許多金錢來源直接注入FDN。

  • 客戶的資金到供應商:
    要在FDN上買東西,比特幣必須存進FDN比特幣錢包。一旦轉入金額,系統讓買方可以用來向供應商買商品。供應商直接從FDN比特幣錢包得到等值於該商品的比特幣。基本上,FDN系統就類似賣買雙方間的仲介商。
  • 下注的錢:
    要賭些什麼時,賭徒先存入比特幣到FDN比特幣錢包。如果他贏得賭注,獲取的金額會從FDN錢包轉到賭徒的比特幣錢包。
  • 禮品及贈與:
    FDN接受禮品/贈與。
  • 籌資:
    聽起來很不可思議,但FDB提出幫助有需要的人或組織(對抗癌症等)的想法,並允許利用它們的比特幣錢包籌資。

 

駭客事件

FDN管理員大力地推銷新的FDB系統,在YouTube上張貼影片來吸引更多平常不會去黑暗網路(dark web)的客戶。在影片推出後,我們注意到FDN在2016年7月13日離線了幾個小時。它在7月14日回復,聲稱受到駭客入侵。他們還在這平台推出一些變動。

被駭的公告十分簡短,而且FDN幾乎沒有提出任何解釋。他們告知FDN論壇自己遭受駭客入侵,不過FDN/FDB資料庫還是安全的,沒有被駭客入侵。

只有FDN比特幣錢包遭受駭客攻擊,導致FDN/FDB客戶所有的錢都不見了。每當發生這類駭客事件,論壇管理員大多會表達出自己的憤恨,並提供相關的技術細節來支持自己的說詞 – 一些能夠說服社群相信的重要資訊。但是這起案例並沒有披露任何駭客事件相關細節。

被稱為Zulu的主要管理者在之後提供了後續資訊:

圖1、FDN管理員貼在論壇的發文

 

總結其內容,FDN基本上是整個打掉重練,所有交易都被取消,所有比特幣都消失了。FDN還實施了新規則,變成了私人論壇和市場。

FDN被駭之後發生什麼事?

在FDN網站回復後不久,FDN決定限制FDN論壇的使用。

雖然FDB和市場仍然對所有人開放,但對論壇已經發布一些更嚴格的規則:現在只限於支付50歐元的「VIP」會員能夠使用,並且還需要進一步地審核,所以必要時仍然可能會被管理員刪除。

預謀的騙局?

即使在半夜,流言蜚語也在法國地下世界中快速地傳開來。在這事件發生的幾天前,其他幾個法國網路犯罪地下網站曾經警告同行們類似的事件情節可能會發生。

其中一個特別引起我們注意,在FDN駭客事件的7天前發表:

圖2、有人警告同行關於即將出現的跑路詐騙(Exit Scam

 

在這篇貼文中,發文者警告可能會出現跑路詐騙(Exit Scam),聲稱自己在FDN注意到一些可疑的事態發展。對法國地下社群的許多人來說,有眾多真相清楚指出FDN可能沒有被駭,而是FDN管理員想用這騙局從會員身上偷錢。

瀏覽幾個不同的市場和論壇可以看到下列理論、事實和想法不斷被重複著:

  • 一直沒有關於這次駭客事件的技術細節浮出水面。
  • FDN/FDB的資料庫沒有被駭,但是管理員刪除了管理員和可信任之人間的所有私人訊息。難道這是為了騙局而故意做的準備?
  • FDN管理員已經不准在站內發送私人訊息,因此無法交換訊息。
  • 在FDN一則關於金錢損失的公開討論串中,有數人多次要求提供區塊鍊交易資訊(txid),這是關於比特幣金錢流動的重要指引,但是管理員並沒有回應此討論串。
  • FDN的主要管理員Zulu在其他論壇討論串中張貼了數則訊息。但當社群稱他為騙子,並叫囂著要看到比特幣區塊鍊( blockchain)時,Zulu都不敢去加以回應。
  • 之前類似的駭客事件發生在法國地下論壇時,管理員會退回部分錢給受害者,有時甚至全額賠償。但是FDN完全沒有做出類似的動作,管理員即刻就表示不會退還任何款項。
  • 兩個FDN會員在另一個市場論壇中談到。一位會員說當「騙局」發生時,他有一張取消訂單已經等了2天了(從FDN系統取回錢可能需要要2到3天),當他檢查自己的帳號,他看到在半小時內有兩次提款清空他的FDN帳戶。一個關於此事件的長討論串被貼到FDN,但幾乎立即被刪除卻沒有給出任何解釋。另一名會員證實了這聲明。
  • 有些FDN會員在「駭客事件」前不久回報自己的帳號密碼被變動。但管理員聲稱沒有資料庫被駭,這就讓人更加起疑。
  • FDN管理員在上個月進行的所有操作對許多網路犯罪份子來說都很可疑,所有的跡象都指向一場騙局正在發生。

 

財務損失有多大?

在另一個法國網路犯罪地下論壇中,一名詐騙分子估計涉及的金額約為18萬歐元。此一估計是根據以下假設:

  • 有數千名使用者在FDN平均有350歐元。
  • 非活躍用戶在FDN有少量餘額,從0到幾十,甚至有時是數千歐元。
  • 大客戶在系統內有上千歐元。

法國社群最知名也最值得信賴的某人駁斥這假設,估計損失約近百萬歐元。

FDN的未來

最近所發生的事件 – 不管是被駭或是詐騙,已經明顯導致FDN社群內部的分裂。有些人選擇繼續留在FDN做生意,也有人已經在一怒之下走人。大多數離開的人是因為覺得自己在這起所謂的駭客事件中受到蒙蔽,有些則是不同意要付錢使用論壇的新政策。

在這時侯,FDN內還有哪些商品?它會繼續存在還是最終會毀滅?我們預計的可能後果之一是有能力的網路犯罪分子可能會因為這可能的騙局報復和懲罰FDN管理員。也有可能出現不同狀況,包括將他們交給法國執法單位。

聽著流傳在地下世界的討論和傳聞,這個預測特別令人認同:如果FDN管理員確實騙了他們的同行,也只有這次會行得通。因為下一次社群就會認為是場「跑路詐騙(Exit Scam)」 – 將所有錢拿走並消失的行動。

 

@原文出處:When Hackers Hack Each Other—A Staged Affair in the French Underground? 作者:Cedric Pernet(威脅研究員)