电脑已成为我们日常生活密不可分的一部分。以电脑储存资料的使用者与机构日益增加,而资料正是一种财产。虽然大部分人都很关心他们在现实生活中的财产,但是对于虚拟世界的财产则往往等闲视之。
电脑已成为我们日常生活密不可分的一部分。以电脑储存资料的使用者与机构日益增加,而资料正是一种财产。虽然大部分人都很关心他们在现实生活中的财产,但是对于虚拟世界的财产则往往等闲视之。
使用者大多未能警觉到,也许正有人在打他们的主意。他们仍一厢情愿地以为自己的电脑上没有吸引网络罪犯的东西,因此他们无需畏惧恶意软件。本文将由反面的角度,亦即,由网络罪犯的观点,来看待这项议题。
近年来,由于新技术的发明与应用,网络犯罪已历经了相当程度的演化。时至今日,网络犯罪已不再是业余的个人所为;此种犯罪已成为有利可图的行业,并由高度组织化的团体所经营。
据各方面估计,在2005年间,网络犯罪已获利数百亿甚至数千亿美金,而此金额远超过整个反病毒界的收益,当然,这些钱并不简单是靠攻击使用者与机构所赚来的,但此类攻击却是网络罪犯收入的一大部分的来源。
本报告包括两个部分,第一部分将探讨针对使用者的攻击,第二部分将讨论针对机构所的攻击,第一部分附带分析何种虚拟财产容易遭到网络罪犯的觊觎,以及用来获取使用者资料的手法。
盗窃
盗窃的目标是什么?
网络盗窃对于哪种虚拟财产感兴趣?
根据卡巴斯基实验室分析专家针对恶意程序的研究显示,有四类虚拟财产最常遭窃。但再此亦强调,网络骗徒所偷取的资讯并非仅限于下述项目。使用者最常遭窃的资讯包括:
- 使用金融服务(网络银行、信用卡服务、电子货币)、线上拍卖网站(如eBay)等所需的资料;
- 即时讯息(IM)与网站密码;
- 连接至ICQ帐号的信箱的密码,以及电脑上所有的电子邮件地址;
- 网络游戏的密码,其中最受欢迎的游戏有:“传奇”、游戏橘子的“天堂”与“魔兽世界”。
只要您在电脑上储存了任何上述的资讯,您的资料对于网络罪犯而言便具有吸引力。
稍后我们将于文中说明这些资料为何会被窃取,以及资料一旦遭窃后的下场(请参阅“资料遭窃后的用途”一节)。次节为资讯窃取手法的概观。
窃取的手法
在大多数的案例中,网络罪犯利用专门的恶意程序或“社交工程”方法来窃取资料。这两种方法的结合则能增加其效力。
首先,让我们来看看用以窥视使用者动作(例如,记录使用者按下的所有按键),或在使用者档案或系统登录档中搜索特定资料的恶意程序。这类恶意程序所收集到的资料,最终将送至恶意程序的写作者或使用者手中,任其为所欲为。
卡巴斯基实验室将这类程序归类为木马间谍程序或木马-PSW程序。下图显示此类程序的各种变形在总数上的成长:
图 1. 用以窃取资料的恶意程序在数量上的增长
间谍程序会经数种媒介来到受害者的电脑上:使用者访问的恶意网站、电子邮件、网络聊天室、讯息看板、即时讯息程序等。在大部分的案例中,“社交工程”方法会与恶意程序一同并用,让使用者按照网络罪犯的指示进行操作。其中一例为Trojan-PSW.Win32.LdPinch的变形,这是一种常见的木马程序,用于窃取即时讯息应用程序、信箱、FTP资源的密码,以及其他的资讯。在进入电脑后,恶意程序会发送类似一下的讯息:
看看这个
〈恶意程序的链接〉
好看的呦 :-)
大多数的收讯人都会按下链接,然后启动木马程序。这是因为大多数人都依赖ICQ送来的讯息,毫不怀疑地相信那是朋友送来的链接。这正是木马程序散布的方式――在感染了您的朋友的电脑以后,木马程序将会自身发送至该名朋友的联络人清单中的所有地址,同时将窃取来的资料发送给木马程序的写作者。
如今,即使是不熟练的病毒写作者,也能写出这类程序并结合“社交工程”方法使用,这类现象相当值得忧心。参见下例:该程序是由英语不太专业的人所写作的-Trojan-Spy.Win32.Agent.ih。启动后木马程序会显示下图中的对话视窗:
图 2. 由 Trojan-Spy.Win32.Agent.ih 所显示的对话视窗
使用者被要求付1美元以继续使用网际网络服务――这是典型的“社交工程”手法:
- 使用者没有时间考虑;使用者必须在见到讯息的当天就付款
- 使用者被要求付一笔很小的费用(在本案例中,只需1美元)。如此将大幅增加愿意付费的人数。当只需付出1美元时,很少人会试着去取得额外的资讯;
- 编出谎言,刺激使用者付费:在本案例中,使用者被告知除非付款,否则其网络使用权将遭停止;
- 为减少怀疑,讯息看来就像是由ISP的系统管理员所发送。使用者会认为是系统管理员写了程序,让使用者通过程序付款,省时省力。此外,ISP知道使用者的电子邮件地址,也是合情合理的事。
程序所进行的第一件事,就是让使用者毫无选择地输入其信用卡资料。因为没有其他的选项,乖乖听话的使用者会按下“Pay credit card”(以信用卡付费)。接着便会显示如图所示的对话框;
图 3. 由 Trojan-Spy.Win32.Agent.ih 所显示的信用卡资讯对话框
当然,使用者就算填完所有栏位,按下“Pay 1 $」(付1元),也不会真的扣款。然而信用卡资讯却会通过电子邮件寄送至网络罪犯处。
“社交工程”手法也常独立于恶意程序外作业,特别是在网络钓鱼攻击中(亦即针对提供网络金融服务的银行所属顾客而进行的攻击)。使用者会收到看似银行寄来的电子邮件。此类邮件会宣称顾客的帐户已遭冻结(这当然与事实相违),顾客需进入邮件中的链接并输入其帐号详细资料以使帐户解冻。链接经特殊设计,看起来与银行的网站地址十分相象。事实上,却会连接至网络罪犯的网站中。如果输入了帐户的详细资料,网络罪犯便能使用该帐户。图4是网络钓鱼电子邮件的范例。
图 4. 针对花期银行顾客的网络钓鱼邮件
类似的邮件也会借各种其他组织与机构的名义送出,例如支援服务、社会服务等等。
然而,网络罪犯不只对信用卡资讯有兴趣。他们也想获得受害者电脑中的电子邮件地址。要如何窃取这些地址呢?由卡巴斯基实验室归类为“垃圾邮件工具”的恶意程序在此扮演着重要的角色。这些程序会扫描受害者电脑中的电子邮件地址,而取得的地址会立即根据预先定义的条件进行筛选,例如设定为忽略那些明显属于反病毒公司的地址。接着这些搜集到的地址便会发送至恶意程序写作者/使用者手中。
此外,尚有其他将木马程序植入使用者电脑中的方法,其中有些方法相当无耻。曾有案例显示,网络罪犯会付钱让网站拥有者在前往访问网站的使用者电脑中载入恶意程序。
iframeDOLLARS.biz便是此类案例的范例之一:该网站会向网站管理员提供“伙伴方案”,其中牵涉到在网站中放置攻击码,如此恶意程序便会下载至访问网站者的电脑中。(使用者当然不知道这件事)。这些“伙伴”每造成1000笔感染便可获得61美元。
网友评论