地下經濟 - 資安趨勢部落格

洗錢者的願望清單

2013 年 12 月 27 日2013 年 12 月 27 日趨勢科技 TrendMicro

一台有視網膜螢幕的iPad，一支藍色的iPhone和一副Beats by Dr. Dre耳機，拜託。

這聽起來可能像是個受寵小孩的聖誕願望清單，但還不只如此：一把配備內紅點瞄準器的來福槍，六顆英特爾的高階硬碟，一台水手用的GPS救援裝置。這些都不是聖誕老人通常會收到的要求，即便是來自大人的許願。但這份清單是真的，而且只是洗錢者要錢騾寄送到俄羅斯的昂貴商品列表的一部份。
趨勢科技一直在追查一群網路犯罪份子，他們會透過好幾種方式來將偷來的錢洗乾淨。通常，錢騾 (money mules)會收到來自被入侵帳號的匯款。然後被指示將錢送向海外，像是使用西聯匯款這樣的合法轉帳系統。而另一種方式是誘騙網路使用者相信自己是在為正當公司工作，將昂貴商品（像是iPhone）寄出美國。但實際上，這些使用者是在為網路犯罪份子工作。

圖一、典型的代寄詐騙網站

他們被要求使用自己的美國家裡地址來接收昂貴商品，然後將這些貨物寄到第二個地址，也是在美國。在那裡，第二個錢騾 (money mules)會將商品重新包裝，寄送到俄羅斯去。一開始，錢騾會被要求自己支付運送成本。等到完成十次成功運送後，他們理應可以報銷開支，並且取得基本薪水以外的額外獎金。但我們認為，這些報銷和薪水永遠不會成真。

根據洗錢者的內部文件顯示，他們對待員工的確不大好。首先，他們被稱為「Drop」，第二，他們不被期望可以工作超過20天。內部備忘指出：「和Drop工作的最佳時間是20天。接近或超過20天的指令不大可能成功」。經過20天後，這些Drop就會drop（退出、移除）掉自己。

這樣輕率地把工作者扔掉的方式延伸到俄羅斯。所有在西方處理Drop的步驟都清楚地寫在我們所拿到的俄羅斯文件裡。這份文件可能是為了某個記憶力不好的網路犯罪份子而寫，但我們認為這應該是對於臨時俄語人員的指引，他們會不斷的被更換，就如同他們不幸的美國同事。此外，總是得有人在俄羅斯和烏克蘭接收包裹。這些人很可能也都是臨時工，會在洗錢者覺得會對自身造成風險時加以替換。

這內部的洗錢文件清楚地說明了如何從俄羅斯指導在西方的Drop。一個新Drop需要先完成一個測試程序。如果沒有在5天內完成，這Drop會被認定為「掛點」。所有被指定商品的價值都超過300美元。知道自己是為了非法目的而被雇用為Drop的網路使用者都被清楚地標明為「不值得信賴」或「不願意工作」：包裹不應該發送給他們。

在表一，我們總結了幾百個錢騾 (money mules)所出貨的項目。總的來說，運送貨物的總值約為50萬美元，而且根據我們所知，這些包裹都被送往莫斯科郊區，或是基輔和烏克蘭。

表一、受洗錢者歡迎的商品清單繼續閱讀

中國地下市場之旅

2013 年 11 月 22 日2013 年 11 月 18 日趨勢科技 TrendMicro

過去幾年來，有許多網路犯罪分子待在中國地下市場。在標題為「不只是線上遊戲犯罪：重新檢視中國的地下市場」的研究報告裡，我們提供了中國地下市場當前狀態的一些詳情。趨勢科技在去年開始研究這個地下產業，這份簡報是這些努力的成果。

收集關於中國地下市場的知識並不特別困難，但的確也是有些挑戰。成就這地下經濟的網站和市場並不公開於大眾面前，而是藏身於論壇和QQ聊天群內。雖然有許多地下經濟組織都是透過地下論壇，但使用QQ聊天群是中國的特產。這些網站都使用自己的行話來命名和描述他們的團體，但熟悉他們行話的網路犯罪分子可以輕易地找到想要的東西。

在某些方面，中國的地下市場跟其他正當合法的經濟市場一樣：它提供各式各樣的產品和服務，以及不同的價格區段。所提供的服務包括：

分散式阻斷服務（DDoS）套件和伺服器
遠端存取工具（RAT）
逃避偵測服務
淪陷代管主機
網路釣魚（Phishing）工具包
竊盜使用者資料
網頁指令層（Webshell）

在這些交易底下，有著一個強大和健全的生態系，網路犯罪分子可以用不同的價格購買他們所選擇的產品。

以阻斷服務攻擊為例，網路犯罪分子可以選擇租用專用伺服器來產生更大規模的攻擊。比較低階的Atom伺服器一個月是599元人民幣（98.50美元），更為強大的Xeon伺服器加上1Gb/s連線的月費可以到2100元人民幣（345美元）。繼續閱讀

他們回來了：深層網路市場 (Deep Web Marketplaces)重新上線

2013 年 11 月 20 日2016 年 03 月 23 日趨勢科技 TrendMicro

雖然絲路（Silk Road）地下市場的營運者 – Ross Ulbricht還在紐約受審，新版本的深層網路網站(deep web site )– 絲路2.0( Silk Road 2.0)已經推出。這公告是經由Twitter上的帳號「恐怖海盜羅伯特」所宣布，這是Ulbricht涉嫌經營網站時所用的化名。

圖一、Twitter上公佈新絲路

新網站上有個模仿聯邦調查局扣押舊絲路網站的登錄頁面。

圖二、新網站的登錄頁面

根據這新的首頁，新絲路為使用者提供了額外選項來使用PGP密鑰，確保他們的通訊安全。

圖三、絲路首頁

繼續閱讀

資料竊取背後的商業模式

2013 年 04 月 08 日2013 年 03 月 25 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Kyle Wilhoit（威脅研究員）

在這一篇文章裡，介紹了網路犯罪份子如何使用你被盜的資訊，以及為什麼這些犯罪份子想要你的資訊等等。那篇文章跟這篇都屬於同一個系列，主要是想介紹不斷擴大的網路犯罪經濟體，以及提供些事實和建議好幫助保護你的資料，防止資料竊取。

在這分成兩部的情報簡介文章的第一部分裡，我會闡述現存在地下網路犯罪世界的「信任模型」，以及針對出售商品的中介商/角色的一些分析。

資料竊取商業模式

這些詐騙份子能夠賺快錢並不是什麼秘密。但是人們不知道或是沒有討論到的是，他們如何進入市場去賣掉自己手上的商品。

這些詐騙份子首先需要將自己的商品放到市場上。他們通常會去Pastebin、地下論壇和其他一些可以兜售商品的網站。此外，他們也會用現在流行的作法，到合法論壇和網站上張貼「廣告」。這一步可以被視為「找尋客戶」。下一步則是在市場上建立定價模式。

價格歧視（Price Discrimination） VS. 滲透定價（Penetration Pricing）

在過去五年內，出現了一些事件描繪出地下論壇裡價格歧視的現象。當供應商因為許多原因而用不同價格來出售相同商品或服務時，就會存在價格歧視。實際上有四級的價格歧視，每種都有不同的作法。

然而，在過去兩年中出現了轉變，從價格歧視轉向了滲透定價模式。滲透定價是賣方用多種不同方式來吸引新買家的策略。

在滲透定價模式裡，詐騙份子進入市場並以低價出售商品以獲得更多的市佔率，再慢慢增加價格，直到符合跟其他賣家一樣的市場價值。許多賣家利用這種做法在市場上更加容易去賣出手上的贓物。利用這一點，可以讓銷量增加，存貨周轉率也較高。

這種滲透定價也可能會回升，因為會有許多新賣家進入這地下市場銷售商品。這些新賣家不遵守最高價格規則或是會針對特殊買方屬性。

這些詐騙份子也在這些市場上越加活躍，因為要隱藏自身的惡意活動已經變得更加容易。可以看看洋蔥路由（onion routing），這只是眾多隱藏自己蹤跡方法中的一種。

角色介紹

當我們看著這些詐騙（十個被分析的不同網站）裡的部份角色，我們可以推斷出這些角色間的一些共同之處。雖然這篇文章並不是想要分析這些角色，但是簡單的介紹有助於描繪出在這社群裡提供商品的賣家。了解這些資訊可以幫助你避免成為這些人所用伎倆下的獵物。

當分析這其中的網站時，似乎很多網站都銷售來自烏克蘭、荷蘭和俄羅斯的商品。而且明顯地，這些惡意份子喜歡像是Liberty Reserve、Ukash或西聯匯款等付款方式。在某些案例裡，也會允許或要求使用WebMoney。通常都會要求使用這些類型的付款方式，因為可以用幾乎匿名的方式來登錄帳戶，這些服務只需要簡訊和電子郵件確認來進行交易。某些服務，像是Ukash，會將現金轉成一個獨特的19位數字代碼。你只需找到櫃檯（線上或親自），就可以用這代碼換錢。這個獨特代碼可以用來確保付費安全。

幾乎所有的網域的註冊者都是用Gmail或Yahoo!作為註冊用的電子郵件。同樣地，許多貼文內容都偏好使用即時通來聯繫，首選是用Yahoo!和ICQ。

繼續閱讀

詐騙份子會想用我的資料做些什麼?

2013 年 01 月 30 日2013 年 07 月 03 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Kyle Wilhoit（威脅研究員）

順帶一提，我想起當我跟鄰居提起我在資訊安全界工作時，他的下個問題就是：「這些詐騙份子為什麼想要我的資料？」越多人問我這個問題，也就越加明顯地，使用者資料是非常有價值的。

當你知道，只要花五美元就可以在地下論壇或網站購買你所有的個人資料，會感到很驚訝嗎？有些人可能還會驚訝地發現，被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先，可能是文字檔或CSV檔案，一個包含所有資料，用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中，方便閱覽。此外，「Fullz」也可能透過可攜式資料庫格式來傳遞，像是MDF檔案，方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題，還有駕照資訊、社會安全號碼以及其他資料。