跟許多國家一樣,法國有自己的網路犯罪地下市場和論壇,幾乎所有的法國地下網站都放在深層網路(Deep Web),特別是在被稱為「黑暗網路(Dark Web)」的地方 – 也就是說大多數人從來沒有瀏覽過或聽過的網際網路一角。它只能使用特定網路來經由受信任的端點進行連線,黑暗網路所使用的系統包括了TOR 洋蔥路由器、Freenet和Invisible Internet Project。
網路犯罪市場放在黑暗網路並不少見,因為這裡不會出現在搜索引擎上,也讓它們更難被找到,待在黑暗網路可以提供他們的使用者多一層的匿名性。一般來說,這些網站的網址只在惡意分子間互相交流,從未想過要公開發表。
黑暗網路出現在YouTube上?
所以可以想見當趨勢科技看到法國最大的黑暗網路市場在2016年7月1日透過YouTube公開宣傳時有多驚訝。(該影片已經因為版權聲明而被下架。)
圖1、法國黑暗網路的YouTube影片截圖
監視網路犯罪地下世界有時會帶領我們進入一些有趣的事件。我們最近看到一篇俄羅斯地下論壇的網路犯罪貼文讓我們發現超過136,000張被竊的信用卡資訊。
在錯的地方尋求協助
這故事開始於俄羅斯地下論壇的這篇文章。
圖一、地下論壇的文章(點擊放大)
這來自acmpassagens的貼文尋求關於知名虛擬讀卡機端點銷售系統(PoS)惡意軟體家族的協助並非不尋常。然而,有兩件事情值得注意:首先,雖然該貼文使用俄文,卻非俄文母語者所寫。句子結構並不大正確。該發文者還聲稱自己已經存取超過400個加油站和商店的端點銷售系統,位在…巴西。這是個來自巴西的使用者在俄羅斯地下論壇提出問題。
在他的文章內,acmpassagens留下了電子郵件地址(acmpassagens3@yahoo.com.br)和Skype帳號(acmpassagens)。加上他的使用者名稱,就可以找到這人其他的網路活動。例如,在一微軟官方論壇上,他回覆一篇關於信用卡讀卡器的詢問,提供軟體出售:
圖二、在微軟開發者網路(MSDN)的貼文
和卡片讀卡機相關的影片包含他的電子郵件地址,好讓想「加入這門生意」的好奇者也可以直接聯繫他。
圖三、Youtube影片
但一開始似乎沒有任何線上資訊可以幫我們揭開acmpassagens的身份。我們只知道一些他所使用的電子郵件地址和他的兩個Skype帳號:acmpassagens和_brenosk815。
然而,就在我們要放棄這案子時,努力搜尋 Google 的結果也讓我們中了大獎:一個acmpassagens所使用的線上儲存服務帳號4Shared。此外,他帳號內的所有內容,共有1GB,是開放給網路上的所有人而無須帳號密碼。
圖4和圖5、公開的4Shared帳號
帳號內有什麼?
4Shared帳號內的檔案包含了看似acmpassagens進行網路犯罪活動的記錄。它包含惡意軟體、網路釣魚範本和各種像是網路犯罪份子、共犯以及受害者個人資料的文件。
首先,誰是acmpassagens?根據該帳號,他是一個名為Breno Franco的巴西人。他形容自己是個「商人」,有個正式地址在Salvador,這是巴西的第八大城市。帳號內還有多張他的照片:
圖6、Breno Franco的照片
自從虛擬化技術在2000年中期出現後,企業已經顯著地發生大規模的IT轉型。時代的巨輪滾向了雲端運算。我們站在雲端和行動運算的邊界上。我們的業務領域經歷了這一切大規模的創新與破壞之後,開始看到其對消費者的影響,以及他們如何意識到這些技術發揮作用。
我許多的朋友和家人也開始瞭解雲端的基本概念,還有「有個應用程式可以做到」的手機行銷也相當廣泛地出現在我們身邊。然而,雖然我對這很有愛也尊重一切,我還是要說,在這星球上只有少於10%的人意識到這生態環境的安全性問題。更少的人能夠理解黑暗網路(Dark Web,簡稱暗網)以及那裡發生了些什麼。
在我的工作和社交圈內最流行的想法是隱私問題。有的尋找從政府那邊保持隱私,有的只是想要保持他們的生意和個人資料遠離網路犯罪分子,雖然不幸的是壞人正在以驚人的速度勝利中。而這些危險的威脅黑手也在尋找相同的隱私保護,只是理由天差地別。黑暗網路(Dark Web,簡稱暗網)的巨大吸引力在於將隱私功能用在不軌的企圖上。黑暗網路(Dark Web,簡稱暗網)利用隱私功能來建立匿名性和執行惡意活動。
哥倫比亞廣播公司和60 minutes昨晚合作推出了令人驚歎的報導,分析了資料掮客販賣我們個人資料和網路活動背後的商業行為。這次將目標直接瞄準在採集和銷售我們敏感資料背後企業所創造的商業模式。這採集通常是在使用者不知情下完成。而我會告訴你的就是,網路犯罪份子也利用黑暗網路(Dark Web,簡稱暗網)來做相同的事情,而且是匿名進行。因此在本質上,我們在網絡上的隱私被扒了兩層皮。資料交換和網路武器交易在黑暗網路蓬勃的發展,它可以被透過隱蔽工具,像是TOR(洋蔥路由器)來協助使用。
過去幾年來,有許多網路犯罪分子待在中國地下市場。在標題為「不只是線上遊戲犯罪:重新檢視中國的地下市場」的研究報告裡,我們提供了中國地下市場當前狀態的一些詳情。趨勢科技在去年開始研究這個地下產業,這份簡報是這些努力的成果。
收集關於中國地下市場的知識並不特別困難,但的確也是有些挑戰。成就這地下經濟的網站和市場並不公開於大眾面前,而是藏身於論壇和QQ聊天群內。雖然有許多地下經濟組織都是透過地下論壇,但使用QQ聊天群是中國的特產。這些網站都使用自己的行話來命名和描述他們的團體,但熟悉他們行話的網路犯罪分子可以輕易地找到想要的東西。
在某些方面,中國的地下市場跟其他正當合法的經濟市場一樣:它提供各式各樣的產品和服務,以及不同的價格區段。所提供的服務包括:
在這些交易底下,有著一個強大和健全的生態系,網路犯罪分子可以用不同的價格購買他們所選擇的產品。
以阻斷服務攻擊為例,網路犯罪分子可以選擇租用專用伺服器來產生更大規模的攻擊。比較低階的Atom伺服器一個月是599元人民幣(98.50美元),更為強大的Xeon伺服器加上1Gb/s連線的月費可以到2100元人民幣(345美元)。 繼續閱讀
惡名遠播的絲路(Slik Road)地下市場可能是最知名的網路非法物品集散地,可以讓任何人在網路上購買各種非法商品 – 從毒品、槍支到雇請打手,應有盡有。
經過兩年半的運作後,美國聯邦調查局關閉了該網站,並且逮捕了網站擁有者。被指控的網站主人和地下市場管理者 – Ross William Ulbricht化名為「恐怖海盜羅伯特(Dread Pirate Roberts)」,在十月一日(星期二)於舊金山的公共圖書館被聯邦調查局逮捕。
針對Ulbricht所提出的控訴提供了地下市場運作的詳細內容,並且指控他販毒,電腦入侵以及洗錢等多項罪嫌。他還被控雇請殺手來殺害另一名絲路用戶,因為他揚言要公布該網站用戶的身份資料。
圖一:絲路(Slik Road)非法物品集散網站主網頁
圖二:Slik Road被關閉後的主網頁
聯邦調查局沒收了價值約360萬美金的比特幣。因為比特幣的交易都是公開的,所以我們可以在比特幣資料塊看到此一交易。比特幣是個極不穩定的貨幣,它的價值也因為此一事件而下降,但很有可能會迅速恢復。
根據美國聯邦調查局,在其運作的兩年半時間裡,該網站已經產生出950萬比特幣的銷售總額,並在其中獲取超過60萬比特幣的佣金。當控訴提出時,這相當於12億美金的銷售額和8000萬美金的佣金。
這網站可以如此長壽的部分原因是,它代管在Tor網路內的一個隱藏服務上。TOR(洋蔥路由網路)讓使用者可以透過負責傳送加密過請求的志願機器所組成的網路來進行匿名的通訊,所以流量可以逃過網路監控工具。Tor不僅被用在犯罪或可疑的用途上,也常被希望能夠匿名上網,或居住在有網路監控國家的人們所使用。你可以在我們的網站上找到相關報告。
雖然深層網路經常只跟洋蔥路由網路(TOR)相聯結,在這份報告裡,我們會介紹其它幾種用來確保匿名和無法追蹤的網路 – 有名的黑暗網路(像是TOR,I2P,Freenet)和替代用頂級網域(TLD ),也被稱為「流氓頂級網域」。我們分析了惡意份子如何利用這些網路來交易物品,並檢視了深層網路內的地下市場,包含了所提供的商品。
由於這些地下市場所提供的商品種類繁多,所以我們專注在網路犯罪分子最感興趣的部分,並且拿來和傳統網路內地下論壇(主要是俄羅斯)相同商品價格來作比較。我們還討論了一些研究人員可以更積極地用來監視這些被隱藏網路的技術。
底下是報告裡關於地下交易價格的一些摘要:
信用卡資料可以在多個深層網路地下市場內用10美元到150美元買到。雖然高階價格可以和俄羅斯地下論壇的價格相比,但我們可以從低階價格看到主要的差別。俄羅斯論壇的信用卡起始價格只要2美元。