趨勢科技在「巴西地下市場」研究報告當中指出為何信用卡詐騙在拉丁美洲非常盛行,其中一個很重要的關鍵就是「卡片驗證」,也就是檢查信用卡是否有效。我們發現了一個專門從事這類工作的新式服務,叫作:「CheckerCC」。這是巴西第一次出現這樣的服務,其收費方式採包月制:每月 100 巴西幣 (雷亞爾),折合約 25 美元。而這項服務幕後的經營者,應該是一位巴西聖保羅的青少年。
何謂卡片驗證服務?這是一種利用小額刷卡來確認某個偷來或產生的卡號是否有效的方法。駭客可以將信用卡資料上傳至 CheckerCC 網站,該服務就會自動檢查上傳的卡號是否有效。傳統上,巴西地下市場的犯罪集團都是利用一種電腦程式來進行這項檢查。
來自英國艾塞克斯郡科爾切斯特鎮逮捕兩名22歲的一男一女,他們涉嫌經營反防毒(CAV)服務Refud.me和加密服務Cryptex Reborn。目前這兩個服務都已經被關閉,這要歸功於趨勢科技的前瞻性威脅研究團隊與和英國國家打擊犯罪調查局(NCA)的攜手合作。
Refud.me以及Cryptex Reborn是龐大地下經濟的兩個重量級大咖,迫使它們停止運作是是防止網路犯罪工作的里程碑。
「這項調查活動是趨勢科技與英國國家打擊犯罪調查局(NCA)及其他合作夥伴共同解決網路犯罪生意部分核心元件的成果,」趨勢科技的前瞻性威脅研究團隊資深協理Martin Rolser如此表示。早在2015年七月,趨勢科技和NCA就簽署了備忘錄(MOU),為打擊網路犯罪邁出重大一步。該協議還成立一個跨組織虛擬團隊來找出創新方式以解決特定網路犯罪威脅。共同合作成果的逮捕行動在早些時候的新聞稿中公布。
Refud.me及Cryptex Reborn
Refud.me及Cryptex Reborn曾在Hackforums.net等以討論駭客、技術和遊戲著稱的網路犯罪地下論壇大量曝光。
圖1、Refud.me在Hackforums.net上的掃描結果貼文樣本
Refud.me從2015年二月底就一直在Hackforums.net上廣告, 2015年六月底加入的「掃描監視」功能,可以對上傳檔案持續進行掃描和回報偵測狀態。
圖2、refud.me服務
從各方面來看,2015 年都是網路安全產業相當有意思的一年。有許多事件登上新聞版面,讓資訊安全成為產業內外都在談論的議題,除此之外還有許多突破性的創新。儘管出現了一些不幸的消息,但在這個感恩的季節,還是有些發展趨勢值得我們感恩。
隨著支付系統的改良,非現金支付方式將來應該可以有效減少詐騙數量。美國境內的所有商家都必須在十月之前改用更安全的 EMV 晶片信用卡,這將有助於大幅降低卡片遺失或失竊所造成的盜刷情況。
2013 年,美國Target資料外洩連鎖超市發生史上最大的資料外洩事件,而罪魁禍首就是 PoS 記憶體擷取程式。改用 EMV 信用卡能讓網路犯罪集團更難利用偷來的資料製作偽卡,而且,改良的驗證機制也有助於防範不肖人士使用偷來或拷貝的卡片。隨著歲末購物季即將來臨,消費者今年在刷卡購物時應該可以更放心。
[延伸閱讀:新一代支付交易處理技術:技術及原理 (Next-gen payment processing technologies: what they are, and how they work)]
今年,我們已經多次看到執法機關、民間企業以及資安研究機構的聯合打擊行動。這些聯合行動使得多名網路犯罪份子遭到逮捕,並且建立了討論機制,讓三方面交流該如何制訂更好的法律來確保科技的合理使用與限制。
多年前,企業大多傾向於自己處理資訊安全的問題,此外,執法機關亦不具備所需的能力來對付網路犯罪集團。但現在,三方合作破獲重大威脅和網路犯罪集團的情況,已成了司空見慣。
Internet Explorer (簡稱 IE) 的漏洞一直是歹徒最愛的攻擊目標之一。光是去年就有超過 200 個記憶體毀損漏洞被發現及修補。隨著最新版作業系統的發表,使用者終於可以揮別 IE,因為 Microsoft 推出了全新的 Microsoft Edge 瀏覽器,大大改進了之前的缺失。最值得注意的其中一項改進就是所謂的 MemGC 功能,此功能採用「標記之後再清除」的記憶體回收機制,能有效防止記憶體「釋放後再利用」(use-after-free,簡稱 UAF) 的漏洞,而這正是 IE 不斷發生的問題。
未來,瀏覽器開發廠商將花費更多心思來防止使用者遭到網站威脅。
[延伸閱讀:Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性 (Windows 10 sharpens browser security with Microsoft Edge)]
今年,我們看到政府部門通過並實施了一些更能有效保障企業及客戶一般福祉的法律。其中之一就是「歐盟資料保護法」(EU Data Protection Law),該法已於今年稍早在 28 個歐盟會員國開始實施。最重要的是,該法當中包含了有關個人資料的定義、資料外洩的罰則以及「被遺忘權」(the right to be forgotten) 等等。歐盟資料保護法當中一項重要的規定就是:當企業發生資料外洩時,必須在事發的 24 小時內告知社會大眾。這有助於客戶採取更主動的資料防護措施,並且更快做出因應,而非當資料被偷、被賣了之後還被蒙在鼓裡。
[延伸閱讀:法規遵循之路:一次看懂歐盟資料保護法 (The Road to Compliance: A Visual Guide to the EU Data Protection Law)]
MR.ROBOT《駭客軍團》無疑是今年秋季最熱門的美國電視影集之一。這是目前為止對網路犯罪集團及其作為刻劃最真實的影集。有別於大多數的好萊塢駭客電影或影片,這一系列的影集清楚描繪了網路犯罪集團如何運作,以及他們所帶來的不良後果。此外,也點出在資訊安全領域當中,「人」才是最脆弱的環節。 繼續閱讀
新聞報導美國政府正考慮對攻擊美國企業機構的中國和俄羅斯個人駭客或駭客集團實施制裁。儘管針對政府機關 (如美國人事管理局) 的駭客攻擊較引人注意,但此次的制裁「並非」針對這類攻擊。
這樣的制裁看起來好像是一大進步,因為過去美國政府從未採取過類似措施來對付駭客。但就許多方面來說,其實也還好。過去美國政府就曾經對其他類型的犯罪組織採取類似行動。例如,2011 年即曾經頒布針對跨國性犯罪集團的行政命令。此外,其他政府機關 (如財政部) 也對一些其他犯罪團體實施過制裁。這些制裁通常都是金融性的,例如查封歹徒在美國境內的資產,或者透過美國金融機構來凍結資產。
美國政府經常利用針對民間個人的制裁來遏止犯罪活動侵害美國人民或企業機構。那麼,這次的制裁到底好還是不好?能不能遏止犯罪集團針對美國企業的網路犯罪?
從大方向來看,針對犯罪份子或犯罪團體的制裁仍是個不錯的想法。在無法透過美國法律硬性管束的情況下,這不失為一種實際的軟性手法。尤其是沒收財產 (包含比特幣(Bitcoin)等等數位貨幣),將是打擊網路犯罪集團一項很有力的手段。此外,也與美國原本打擊組織犯罪和毒品走私的立場一致。
過去,趨勢科技的研究人員已多次和執法單位密切合作,未來仍將盡可能提供協助。只不過,受過訓練的執法人員和資安研究人員在數量上永遠跟不上網路犯罪份子。因此,我們必須摧毀網路犯罪活動賴以生存及獲利的基礎架構和後援機制。 繼續閱讀
4月28日,趨勢科技獲頒日本警視廳所授予的感謝狀。表彰趨勢科技在日本打擊網路金融竊取活動時所提供的有用資料。
能夠輕鬆地賺錢還是當前網路犯罪的最大動機。網路犯罪份子會去竊取資料的主要目的就是可以賺錢。像是網路銀行資料,一旦竊得,就可以利用這些資料來從受害者帳戶中非法轉移金錢。
在2013年,在日本透過這方法所被竊取的金錢總額到達了14億日元。這是有史以來最大的金額。而2014年也似乎正在大步地迎頭趕上,根據日本國家警察廳(NPA)所公布的資料,已經有6億日元被竊取。我們有理由相信這數字還會繼續攀升,如何一勞永逸的制止網路犯罪成為了一項挑戰。
做為我們阻止網路犯罪的努力,我們研究團隊內的專門小組 – 前瞻性威脅研究團隊 Forward-looking Threat Research(FTR)一直在研究如何防範網路犯罪份子竊盜網路帳戶所造成的金融損失。我們已經確認了一些用來追踪和識別這些網路犯罪分子的方法,像是命令與控制(C&C)伺服器的分析,分析被竊資料和惡意軟體分析。
比方說,最近流行的銀行木馬程式 – Citadel(TSPY_ZBOT)背後的網路犯罪份子利用WebInjects來顯示網路銀行登錄資料竊取所需的假畫面。透過分析WebInject模組,可以找出被竊取資料發送到的伺服器的相關資訊。
因為受害者輸入到假畫面的資料會儲存在伺服器上,所以透過監控伺服器上儲存的資料,趨勢科技可以馬上確認受害者的存在。因此,可以快速地透過被動方式來阻止實際的財務損失,像是在錢被惡意轉走前先凍結受害銀行帳戶。
圖一、Webinject銀行木馬程式感染鏈
當然,這種作法不能僅透過安全廠商像趨勢科技來進行。必須跟相關機構如警察和涉及銀行合作。趨勢科技TM- SIRT團隊是日本資安相關活動的合作聯絡窗口,提供有關組織來自趨勢科技內部研究小組如FTR -Forward-looking Threat Research(前瞻性威脅研究)團隊所提供的資料,以協助打擊這類網路犯罪竊取活動。 繼續閱讀
