明確的價格列表、假日季折扣以及黑客即服務,這一切意味著網絡犯罪活動已經建立起日益復雜的地下經濟體系。
當初新聞指出香港玩具制造商偉易達集團的數百萬條銷售記錄被黑客竊取時,父母們著實嚇了一跳——所稱記錄中至少包含20萬名兒童的個人信息,很明顯這些家長對綁架及兒童色情案件的擔憂要遠高于金融欺詐。
不過這類黑客幾乎從來不會涉及任何暴力犯罪——他們只為求財。雖然他們從偉易達獲得的信息并不包含信用卡號碼之類財務內容,但這部分數據仍然極具價值,并可能被用于各類嚴重金融犯罪,應用安全企業Checkmarx公司網絡安全分析師Amit Ashbel指出。
黑客活動已經成為一項復雜的全球性業務,其公定期公布價格表、假日折扣活動以及具體實施方案。總之,黑客掌握的信息越多,就能在客戶身上獲得越豐厚的回報。
根據McAfee實驗室公布的調查結果,一張信用卡或者借記卡外加三位數代碼的售價僅為5到8美元。不過如果能夠加上“完整信息”——包括卡片主人的姓名、地址、支付卡號碼以及過期時間——那么其在美國本土就能賣到30美元,歐盟地區更能賣到45美元。
在某種意義上,地下經濟體系正是真實技術經濟的一種縮影,其中黑客扮演的則是服務供應者的角色。“攻擊活動的全部組件都在以‘即服務’的形式不斷普及(包括研究、網絡犯罪工具以及基礎設施),而黑客即服務無疑是其中最具人氣的選項,”McAfee在報告中寫道。
網絡竊賊也得搞銷售
黑客們曾于2013年成功侵入Target,并竊取到約4000萬客戶的金融信息。而在供求法則的影響下,供過于求的狀況引發信用卡信息價格大跌,大額Visa卡價格更是縮水至不及原先的一半。
同樣的,垃圾郵件發送者也會為了促銷而不斷下調個人郵箱信息的售價。下圖所示為McAfee發現的一則廣告,請注意其中還提供購物車選項——這與電子商務網站非常類似。
并不是所有犯罪分子都打算把信息傳播到整個網絡。某些活動可能針對特定用戶、銀行、互聯網服務甚至是特定行業,下圖所示可以看到醫生的相關信息就比較值錢。
那么這幫惡意人士是如何收款的?比特幣及其它難以追蹤的支付機制都是理想選擇,包括Web Money、Lesspay、Western Union以及MoneyGram等等。
歡迎來到犯罪軟件即服務的時代
暗網當中充斥著由黑客建立的留言板,這些留言板就像是虛擬的購物廣場,且擺滿了偷來的數據與信用卡號碼——不過與合法的市場一樣,他們也同時銷售工具及服務。
“在這里人們常常能夠買到特定的軟件工具,不過賣家會強調使用風險須由買方承擔,”報告指出。
黑客們甚至提供特定攻擊活動所必需的編程技能培訓,或者由買家采購現成的代碼以完成攻擊。舉例來說,攻擊者們可以買到Trojan木馬,即將惡意程序隱藏在合法文件當中。
另外,很多工具或者服務也提供租賃而非直接購買的選項。CritX工具包就可以按天計費,最近的市場價格為每天150美元。
另外不懂外語也沒問題。相關的翻譯服務能夠幫助非本地攻擊者與受害者進行溝通。
雖然受害者們可能覺得是咎由自取,不過黑客們有時候也會被騙。報告中曾提到某位賣家憤怒地指責買方稱:“你喜歡被騙、被耍嗎?你能容忍自己的時間和血汗錢被騙子拐走嗎?”
不過我們真的很難替黑客們叫屈,對吧?
McAfee整理的這份報告詳細解讀了網絡犯罪活動的組織形式。這類企業往往與合法公司一樣擁有良好的管理體系,具備理想的利潤水平且風險相對較低——因為很少有黑客因為網絡犯罪活動而被捕。
另外,由于黑客攻擊越來越普遍,因此很多人對安全威脅變得非常麻木。畢竟直接受害者往往是銀行而非信用卡持有者。當然,這是種非常短視的思維,而黑客也樂于讓我們保持這種事不關己的心態。
京公網安備 11010502049343號