1,000 至 3,000 億美元:這就是金融機構遭到網路攻擊可能帶來的鉅額損失。儘管金額相當嚇人,但卻一點也不令人意外。因為過去三年之間,就有多家銀行因為 SWIFT (環球銀行金融電信協會) 基礎架構遭駭客入侵而損失共 8,700 萬美元。然而這只是冰山一角:某網路犯罪集團在其首腦於 2018 年被捕之前,已從 40 個國家 100 多家金融機構累積盜取了 12 億美元。
網路駭客不但有能力駭入金融機構的營業系統,更有能力駭入其底層基礎架構。這樣的情況近兩年來屢見不鮮,而且攻擊越來越難纏、精密、且影響深遠。歹徒專門尋找唾手可得的目標,因為先前爆發的一些知名攻擊事件已使得消費者的意識提升,對資料外洩更加敏感,亦不斷提升安全來保護自己的敏感資料。
趨勢科技對網路犯罪地下市場的長期觀察,讓我們能清楚掌握多年來駭客攻擊的手法和技巧如何演進,他們專門利用哪些資安盲點,對真實世界帶來什麼衝擊,以及使用者和企業機構如何加以防範。
今日的網路犯罪情勢和十年前絕大多數犯罪集團皆自行開發工具或聘請人員幫忙開發的情況大不相同。過去,由於牽涉到高深的技術和知識,因此全球各地的網路攻擊大多由具備程式設計能力的電腦駭客所為。但隨著時間發展,這些駭客也開始形成自己的圈子,彼此分享網路攻擊的知識和工具,以及經營之道。這些圈子後來演變成了網路市集,讓駭客能將自己最先進的工具賣給網路犯罪集團使用,而且網路犯罪集團的攻擊通常更具破壞力。
今日,這些市集依然以特殊的網站或地下論壇的形式存在。雖然開發工具的駭客最了解自己的工具如何使用,但他們通常不想背負犯罪的刑責,因此便將工具賣給別人,而買家當然必須自行承擔使用這些工具的後果。所以,駭客通常只管將自己的工具拿到地下論壇販售,不在乎購買的人將如何使用。
本文將探討這些駭客如何在地下論壇上兜售其產品以及其銷售的技巧,尤其是一些類似合法軟體的銷售及行銷手法。
地下市集上充斥著各式各樣專為網路犯罪集團設計的產品。儘管並非所有軟體都是針對惡意用途而設計,但絕大多數都有犯罪上的用途,而有些毫無疑問就是專為不法用途而設計。
這些工具大致可分成以下幾類: 繼續閱讀
趨勢科技發現來自中國連鎖飯店的個人身份資料(PII)出現在我們監控的暗網論壇上販賣。進一步的分析顯示出這些被竊資料不僅僅包含了中國旅客的個人身份資料(PII),還包括了來自西方及東亞國家的旅客資料。我們看到的樣本資料並未加密(使用純文字格式),其中有些是CSV、SQL和TXT資料。
我們認為這些資料與8月29日所報導的多達1.3億筆個人身份資料(PII)外洩事件有關。資料外洩新聞跟我們在暗網上所看到的廣告內容相符合(以8比特幣販賣,在2018年9月5日約等於5.8萬美元)。
廣告內聲稱這些資料包含了姓名、手機號碼、電子郵件地址、身份證號及住家地址等,總計高達53GB(約1.23億筆資料)。另一組被竊的資料包含了如登記入住時間、客戶姓名、身份證號、住家地址、生日和內部編號等客戶資料,總量達到22.3GB(約1.3億筆身份資料)。 繼續閱讀
安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面(RDP)伺服器的憑證,只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services(UAS)的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。
值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號,其中有7,200筆來自中國,6,100筆來自巴西,3,000筆來自印度,1,300筆來自西班牙,900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號,分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出,跟競爭對手(如xDedic)以高達100美元價格銷售類似產品相比,UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。
[相關閱讀:WannaCry勒索病毒在中東和北非地下市場以50美元出售]
這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件,因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說,暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料,然後在地下論壇販賣。
[延伸閱讀:你的資料如何被用來對付你?]
的確,地下市場遍布著非法商品及遭竊資料和惡意軟體,供應商經常會根據需求來調整售價。但以中東和北非地下市場為例,它們的貨幣價值也會受到參與者的獨特文化所影響。
事實上,許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統(SCADA)端口號碼。RDP只賣8美元,而電子商務憑證售價僅1美元。 繼續閱讀
埃及的阿拉伯文地下市場 hack-int 所販賣的偽造身分文件要價 18 美元。這股個人身分文件的大量需求,主要源自該區的政治緊張情勢。例如,為了逃離戰亂區域,有人需要這類假身分來潛逃至其他國家當難民。另一方面,網路犯罪集團也可能購買偽造文件來從事保險詐騙,或者冒充某國居民。其可能引發的嚴重問題是,危險人物可以利用這類偽造文件來假冒難民潛逃至其他國家。
虛擬私人網路 (Virtual Private Networks ,VPN) 是該區網路犯罪活動的主要支柱,由於不易被追查因此大行其道。此區販售的 VPN 皆宣稱保證安全、絕不留下記錄且經過多次轉跳。網路犯罪集團經常使用這些伺服器來架設殭屍網路,或者當成進一步攻擊的跳板。
趨勢科技發表中東及北非區域的地下市場研究白皮書「數位露天市集」
該區惡意程式和駭客工具價格為 19 美元,相較之下北美只需 4 美元
【2017年10月16日台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前在 GITEX 2017 大展上發表一篇詳細的研究白皮書「數位露天市集:中東與北非地下市場初探」(Digital Souks: A Glimpse into the Middle Eastern and North African Underground),詳細說明該區地下市場犯罪活動的現況。該區惡意程式與駭客工具的價格整體而言稍高於其他區域。例如:在北美地下市場,一個鍵盤側錄程式大約需 1 至 4 美元,但在這區域卻可能高達 19 美元。然而,其成員之間因互利而彼此分享內容的意願,卻也彌補了價格上的劣勢。
中東與北非地下市場可說是文化、意識形態和網路犯罪的大融合。趨勢科技發現,區域性市場通常會忠實反映當地社會的情況。在分享的精神之下,該區犯罪分子彼此之間似乎有著一種超越其不法行動的兄弟情誼與宗教認同。
趨勢科技地中海、中東與非洲地區副總裁 Ihab Moawad 表示:「該區仍是一個持續成長的市場,在規模和範圍方面無法與其他區域相提並論,但其產品和服務依然相當普遍且精密。我們已開始高度關注該區,並且透過威脅情報的蒐集和分析來協助該區提升其網路防禦能力。趨勢科技將持續監控該區地下市場況狀,主動提升資安生態系的整體力量,讓此區域及全球的執法機關更深入掌握其資安情勢。」
Moawad 補充表示:「除此之外,免費提供服務和贈送惡意程式的普遍現象,也頗令人玩味。雖然其他地下市場也會有互相支援的情況,但在意願和程度上,該區絕無僅有。」
由於意識形態是該市場發展的重要動力,駭客精神成了中東與北非地下市場獨一無二的服務特色。在其他地下市場,例如北美或俄羅斯,供給者大多只在意如何銷售其犯罪工具,此外,市場上的成員也不會共同策劃網路攻擊。
駭客激進攻擊、DDoS 攻擊、網站入侵詆毀行動,在該區是家常便飯。這些攻擊通常是由一群對西方國家充滿敵意的成員或當地政府所為。該區的產品類別大致分為:惡意程式 (27%)、偽造文件 (27%)、失竊資料 (20%)、犯罪工具 (13%)、武器 (10%) 以及毒品 (3%)。
犯罪工具包括各種加密程式、惡意程式與駭客工具地下市場價格
其中,犯罪工具包括各種加密程式、惡意程式與駭客工具。至於價格方面:蠕蟲為1 至 12 美元、鍵盤側錄程式為免費至 19 美元、已知勒索病毒為 30 至 50 美元、惡意程式產生工具為免費至 500 美元、Citadel (FUD) 為 150 美元、Ninja RAT (FUD) 為 100 美元、Havij 1.8 (已破解) 為免費。 繼續閱讀