今日的網路犯罪情勢和十年前絕大多數犯罪集團皆自行開發工具或聘請人員幫忙開發的情況大不相同。過去,由於牽涉到高深的技術和知識,因此全球各地的網路攻擊大多由具備程式設計能力的電腦駭客所為。但隨著時間發展,這些駭客也開始形成自己的圈子,彼此分享網路攻擊的知識和工具,以及經營之道。這些圈子後來演變成了網路市集,讓駭客能將自己最先進的工具賣給網路犯罪集團使用,而且網路犯罪集團的攻擊通常更具破壞力。
今日,這些市集依然以特殊的網站或地下論壇的形式存在。雖然開發工具的駭客最了解自己的工具如何使用,但他們通常不想背負犯罪的刑責,因此便將工具賣給別人,而買家當然必須自行承擔使用這些工具的後果。所以,駭客通常只管將自己的工具拿到地下論壇販售,不在乎購買的人將如何使用。
本文將探討這些駭客如何在地下論壇上兜售其產品以及其銷售的技巧,尤其是一些類似合法軟體的銷售及行銷手法。
網路犯罪集團的工具套餐:產品+服務
地下市集上充斥著各式各樣專為網路犯罪集團設計的產品。儘管並非所有軟體都是針對惡意用途而設計,但絕大多數都有犯罪上的用途,而有些毫無疑問就是專為不法用途而設計。
這些工具大致可分成以下幾類:
- 遠端管理工具。這些遠端管理工具亦稱為「RAT」,可讓使用者在遠端電腦上執行指令。當用於合法用途時,可讓網路管理員從中央管理地點清除、修復或變更遠端的電腦,進而降低網路的管理成本。然而當用於非法用途時,RAT 卻能讓網路犯罪集團感染遠端的電腦,進而對使用者進行監控、竊取資料,或者執行任意程式或其他動作,例如開啟受害者電腦的網路攝影機來暗中錄影。
- 二進位檔案編碼與加密軟體。這些工具可以用來修改並保護程式,以防止程式被人分析或偵測。雖然保護自己的軟體以防止程式被破解、修改或逆向工程分析,可有助於保護智慧財產,但這類工具通常也可用來保護惡意程式,防止惡意程式被防毒軟體或資安軟體偵測以延長惡意程式壽命。事實上,這類軟體的廣告絕大多數都會宣稱與一些知名的 RAT 或木馬程式相容。通常,這些工具的開發者都會強調無法被偵測,或者保證一旦受保護的檔案被防毒軟體偵測,就會變更加密方式。
- 鍵盤側錄程式。這類程式用來偵測並攔截使用者的鍵盤輸入,以便監視使用者的操作或輸入資料。鍵盤側錄程式通常專門用來竊取登入憑證,例如各大網站、線上支付、網路銀行或任何其他網路服務的使用者名稱及密碼。由於側錄鍵盤輸入基本上已經侵犯了使用者的隱私,因此這類工具並無任何合法用途。
地下市集的銷售和行銷策略
有別於一般人的認知,地下市集並非一個雜亂無章而買家必須知道門路才能買到東西的地方,許多地下市集的軟體賣家都是專業經營。事實上,現代的地下軟體銷售手法與合法軟體的銷售方法雷同,從各種促銷和大量採購折扣到售後支援等等一應俱全。
以下就是我們觀察到的一些重點:
- 採服務型態的授權模式。地下軟體很少一次買斷,通常只提供一定期限的軟體授權。而作者掌控授權期限的方式就是讓程式必須連上某個授權伺服器來驗證其授權是否有效或過期。這同時也是一般合法軟體為了防止盜版而經常採用的作法,看來地下軟體似乎也學會這招。值得注意的是,NetSeal 這套由駭客專位駭客設計的授權系統已在 2017 年遭到查緝且作者也遭法院判刑。最近被逮的一個加密軟體:Cryptex Reborn,其作者就是使用 NetSeal 來保護軟體。
- 多樣化授權方式。某些地下軟體作者會提供各種不同的授權方式,其價格和功能也不盡相同,通常可區分成多種等級 (銅/銀/金/白金) 或單純分為「基本」和「進階」兩種。價格當然也會隨著等級上升而提高,最高級的通常會提供個人化的服務。
- 專業級的圖片與展示方式。這些軟體會使用如同實體包裝盒的圖片來陳列,但其實所有軟體都是透過數位下載來供應。除此之外,如同合法軟體廠商一樣,地下軟體販售者也會使用設計優美的標誌和精心挑選的品牌色彩。而且很重要的一點,儘管地下軟體其實大多由個體戶所經營,但他們覺得花錢請人設計圖案 (如果自己不會的話) 更能突顯產品的品質和專業度。在這方面,既有的經營者已經樹立了相當高的標準。相形之下,一些新的賣家就顯得好像路邊攤一樣,既不專業、也乏人問津。
- 競爭比較表。某些軟體甚至會貼出一些「競爭比較表」來突顯他們優於競爭對手的特點。這是一般軟體廠商推銷自家產品功能與效益的經典手法。只不過在地下市場上,賣家通常不會明確列出競爭對手的名字。畢竟這個圈子很小,幾乎彼此都知道對方,因此會盡量避免直接抨擊競爭對手。
- 不同等級的支援。就我們所觀察到的情況,地下軟體的開發者會提供一定程度的支援服務,通常會透過個人聊天方式提供互動式支援,包括:7 天 24 小時、特定時段,或者在幾小時內回應。由於開發者皆相當在乎自己在圈子內的聲譽,因此,一般都會親自與客戶互動,盡快協助客戶解決問題,讓客戶滿意。這一點,就算是合法軟體的廠商也不一定做到,儘管有些軟體廠商會提供聊天室支援,但基本上是為了降低支援成本。
- 藉由第三方建立名聲。軟體開發者都會藉由一些值得信賴的第三方來提升自己的品牌聲譽。合法的軟體廠商通常是透過測試機構、產業雜誌或是其他相關機構。同樣地,地下軟體開發者也會引述知名論壇使用者的話來提升自己的名聲,例如打上「某某使用者推薦」之類的標語。通常,銷售這些產品的討論串前幾篇貼文就會透過一些知名用戶根據他們自己的經驗來為該軟體的合法性和品質背書。
- 匿名的付款方式。地下軟體開發者通常接受匿名或無法追查的支付方式,例如:比特幣和 PerfectMoney,而且這些貨幣或支付服務的標誌也會出現在文宣上。此外,開發者也接受一些其他的虛擬加密貨幣,如:門羅幣 (Monero)、以太幣 (Ethereum) 或比特幣現金 (Bitcoin Cash)。某些甚至接受一些大眾主流的付款機制,但這麼做通常會有危險,所以不太常見。
- 提供免費試用。有些開發者會提供免費試用讓客戶先體驗一下其產品。不過並非所有開發者都會這麼做。
- 舉辦活動和促銷。有些地下軟體開發者會舉辦一些促銷或限時優惠活動來推銷其產品。這對合法軟體廠商 (以及其他任何行業) 來說只是家常便飯。
結論
從以上我們提供的資料就可看出,其實地下市集販售的軟體,其開發者並非如一般想像的是一群混亂、沒有章法、且專走旁門走道的個體戶。事實上,許多開發者販售產品的方式與一般合法主流軟體廠商接觸客戶的方式並無太大不同。
除此之外,很重要的一點是要區分網路犯罪集團與這些軟體開發者之間的差別。網路犯罪集團百分之百是犯罪分子,其所做的事也不單只有開發軟體。犯罪集團所經營的業務更為複雜,通常還包括洗錢與散播木馬程式,且獲利較高。反觀這些開發者通常只是個體戶,其賺錢方式就是販售自己開發的軟體。為了維持生意,他們必須努力推銷自己的產品來獲得網路犯罪集團青睞。
雖然這些開發者並非直接從事攻擊的人,但他們的行為依然應受到譴責,因為他們等於是犯罪集團的幫兇。不但如此,他們很清楚自己在做什麼,而且他們與地下犯罪集團的密切關聯無庸置疑的。我們認為,只要這些工具能夠賣錢,這些開發者就不會消失。
原文出處:Examining the Thriving Underground Software Business 作者:David Sancho (Trend Micro Research)