电脑、网络与盗窃 解析网络犯罪现状

互联网 | 编辑: 杨剑锋 2006-11-15 09:00:00转载 返回原文

电脑已成为我们日常生活密不可分的一部分。以电脑储存资料的使用者与机构日益增加,而资料正是一种财产。虽然大部分人都很关心他们在现实生活中的财产,但是对于虚拟世界的财产则往往等闲视之。

    电脑已成为我们日常生活密不可分的一部分。以电脑储存资料的使用者与机构日益增加,而资料正是一种财产。虽然大部分人都很关心他们在现实生活中的财产,但是对于虚拟世界的财产则往往等闲视之。

    使用者大多未能警觉到,也许正有人在打他们的主意。他们仍一厢情愿地以为自己的电脑上没有吸引网络罪犯的东西,因此他们无需畏惧恶意软件。本文将由反面的角度,亦即,由网络罪犯的观点,来看待这项议题。

    近年来,由于新技术的发明与应用,网络犯罪已历经了相当程度的演化。时至今日,网络犯罪已不再是业余的个人所为;此种犯罪已成为有利可图的行业,并由高度组织化的团体所经营。

    据各方面估计,在2005年间,网络犯罪已获利数百亿甚至数千亿美金,而此金额远超过整个反病毒界的收益,当然,这些钱并不简单是靠攻击使用者与机构所赚来的,但此类攻击却是网络罪犯收入的一大部分的来源。

    本报告包括两个部分,第一部分将探讨针对使用者的攻击,第二部分将讨论针对机构所的攻击,第一部分附带分析何种虚拟财产容易遭到网络罪犯的觊觎,以及用来获取使用者资料的手法。

盗窃

盗窃的目标是什么?

    网络盗窃对于哪种虚拟财产感兴趣?

    根据卡巴斯基实验室分析专家针对恶意程序的研究显示,有四类虚拟财产最常遭窃。但再此亦强调,网络骗徒所偷取的资讯并非仅限于下述项目。使用者最常遭窃的资讯包括:

  • 使用金融服务(网络银行、信用卡服务、电子货币)、线上拍卖网站(如eBay)等所需的资料;
  • 即时讯息(IM)与网站密码;
  • 连接至ICQ帐号的信箱的密码,以及电脑上所有的电子邮件地址;
  • 网络游戏的密码,其中最受欢迎的游戏有:“传奇”、游戏橘子的“天堂”与“魔兽世界”。

    只要您在电脑上储存了任何上述的资讯,您的资料对于网络罪犯而言便具有吸引力。

    稍后我们将于文中说明这些资料为何会被窃取,以及资料一旦遭窃后的下场(请参阅“资料遭窃后的用途”一节)。次节为资讯窃取手法的概观。

窃取的手法

    在大多数的案例中,网络罪犯利用专门的恶意程序或“社交工程”方法来窃取资料。这两种方法的结合则能增加其效力。

    首先,让我们来看看用以窥视使用者动作(例如,记录使用者按下的所有按键),或在使用者档案或系统登录档中搜索特定资料的恶意程序。这类恶意程序所收集到的资料,最终将送至恶意程序的写作者或使用者手中,任其为所欲为。

    卡巴斯基实验室将这类程序归类为木马间谍程序或木马-PSW程序。下图显示此类程序的各种变形在总数上的成长:

图 1. 用以窃取资料的恶意程序在数量上的增长

    间谍程序会经数种媒介来到受害者的电脑上:使用者访问的恶意网站、电子邮件、网络聊天室、讯息看板、即时讯息程序等。在大部分的案例中,“社交工程”方法会与恶意程序一同并用,让使用者按照网络罪犯的指示进行操作。其中一例为Trojan-PSW.Win32.LdPinch的变形,这是一种常见的木马程序,用于窃取即时讯息应用程序、信箱、FTP资源的密码,以及其他的资讯。在进入电脑后,恶意程序会发送类似一下的讯息:

    看看这个

    〈恶意程序的链接〉

    好看的呦 :-)

    大多数的收讯人都会按下链接,然后启动木马程序。这是因为大多数人都依赖ICQ送来的讯息,毫不怀疑地相信那是朋友送来的链接。这正是木马程序散布的方式――在感染了您的朋友的电脑以后,木马程序将会自身发送至该名朋友的联络人清单中的所有地址,同时将窃取来的资料发送给木马程序的写作者。

    如今,即使是不熟练的病毒写作者,也能写出这类程序并结合“社交工程”方法使用,这类现象相当值得忧心。参见下例:该程序是由英语不太专业的人所写作的-Trojan-Spy.Win32.Agent.ih。启动后木马程序会显示下图中的对话视窗:

图 2. 由 Trojan-Spy.Win32.Agent.ih 所显示的对话视窗

    使用者被要求付1美元以继续使用网际网络服务――这是典型的“社交工程”手法:

  • 使用者没有时间考虑;使用者必须在见到讯息的当天就付款
  • 使用者被要求付一笔很小的费用(在本案例中,只需1美元)。如此将大幅增加愿意付费的人数。当只需付出1美元时,很少人会试着去取得额外的资讯;
  • 编出谎言,刺激使用者付费:在本案例中,使用者被告知除非付款,否则其网络使用权将遭停止;
  • 为减少怀疑,讯息看来就像是由ISP的系统管理员所发送。使用者会认为是系统管理员写了程序,让使用者通过程序付款,省时省力。此外,ISP知道使用者的电子邮件地址,也是合情合理的事。

    程序所进行的第一件事,就是让使用者毫无选择地输入其信用卡资料。因为没有其他的选项,乖乖听话的使用者会按下“Pay credit card”(以信用卡付费)。接着便会显示如图所示的对话框;

图 3. 由 Trojan-Spy.Win32.Agent.ih 所显示的信用卡资讯对话框

    当然,使用者就算填完所有栏位,按下“Pay 1 $」(付1元),也不会真的扣款。然而信用卡资讯却会通过电子邮件寄送至网络罪犯处。

     “社交工程”手法也常独立于恶意程序外作业,特别是在网络钓鱼攻击中(亦即针对提供网络金融服务的银行所属顾客而进行的攻击)。使用者会收到看似银行寄来的电子邮件。此类邮件会宣称顾客的帐户已遭冻结(这当然与事实相违),顾客需进入邮件中的链接并输入其帐号详细资料以使帐户解冻。链接经特殊设计,看起来与银行的网站地址十分相象。事实上,却会连接至网络罪犯的网站中。如果输入了帐户的详细资料,网络罪犯便能使用该帐户。图4是网络钓鱼电子邮件的范例。

图 4. 针对花期银行顾客的网络钓鱼邮件

    类似的邮件也会借各种其他组织与机构的名义送出,例如支援服务、社会服务等等。

    然而,网络罪犯不只对信用卡资讯有兴趣。他们也想获得受害者电脑中的电子邮件地址。要如何窃取这些地址呢?由卡巴斯基实验室归类为“垃圾邮件工具”的恶意程序在此扮演着重要的角色。这些程序会扫描受害者电脑中的电子邮件地址,而取得的地址会立即根据预先定义的条件进行筛选,例如设定为忽略那些明显属于反病毒公司的地址。接着这些搜集到的地址便会发送至恶意程序写作者/使用者手中。

    此外,尚有其他将木马程序植入使用者电脑中的方法,其中有些方法相当无耻。曾有案例显示,网络罪犯会付钱让网站拥有者在前往访问网站的使用者电脑中载入恶意程序。

    iframeDOLLARS.biz便是此类案例的范例之一:该网站会向网站管理员提供“伙伴方案”,其中牵涉到在网站中放置攻击码,如此恶意程序便会下载至访问网站者的电脑中。(使用者当然不知道这件事)。这些“伙伴”每造成1000笔感染便可获得61美元。

资料遭窃后的用途

    勿庸置疑,窃取资料的主要动机就是为了赚钱。所有遭窃的资讯,到最后不是转卖给他人,便是直接用来操作帐户,并以此获得资金。然而谁需要信用卡资料与电子邮件地址呢?

    资料盗窃只是第一步,接下来,网络犯罪必须从帐户里提领现金,或贩售收集到的资讯,如果攻击行动收到用来存取网络银行系统或电子付款系统的详细资料,即可通过以下各种方式来获取金钱:通过一连串的电子汇兑处转换电子货币(亦即来自某付款系统的金钱)的种类、使用其他网络罪犯所提供的类似服务,或在网上商店购买货物。

    在许多案例中,洗钱对网络罪犯来说是整起犯罪事件里最危险的阶段,因为他们必须提供可以提供辨识的资讯,例如货物的收件地址,银行账户号码等等。为解决此问题,他们会雇佣在俄国网络罪犯黑话中称为(骡子)或(车手)的个人。(车手)用于执行例行性的工作,避免网络罪犯在收取金钱和货物时让自身曝光。(车手)本身不知道他们工作的真正性质。他们通常是国际性的公司通过求职网站进行雇佣。(车手)甚至还可能拥有签名盖印的合约,看来完全合法。然而,(车手)一旦就逮,且遭执法机关询问时,通常无法提供与其雇主相关的有效资讯。其合约与银行详细资料总是伪造的,企业网站以及上头用来联络(车手)的电话号码、邮政地址同样也是伪造的。

    目前网络犯罪体系已经成熟,网络罪犯不再需要自己去找(车手)。在俄国网络罪犯黑话中称为(车手教练)的人,会为他们提供人手。当然,这串犯罪链中每一个提供服务的环节都要抽取佣金。但网络罪犯认为花钱多买一份安全是值得的,这主要是因为花的钱原本就不是他们自己赚的。

    至于窃取到的电子邮件地址,则能以好价钱卖给垃圾邮件寄送者,将来用作大规模寄发垃圾邮件之用。

    关于网络游戏的方面。一般的玩家也许会相当关注自己的游戏帐号所可能发生的事故。玩家经常用电子货币购买虚拟的武器、法术、防具或其他事物。过去也存在虚拟资源以现实世界中数千美元的成交案例。网络犯罪能获取这些财富,而无须为其付出,然后能贱价转卖。这解释了用以窃取网络游戏虚拟财产的恶意程式何以越来越盛行。举知名游戏(传奇)为例,截至2006年7月底,用以窃取该游戏密码的恶意程式,其已知变种数量就超过1300种。更甚者,最近我们的分析师已开始发现不仅至于攻击单一游戏,而是能够同时攻击数种游戏的恶意程式。

诈骗

    诈骗是让使用者心甘情愿付钱的手法。在大多数案例中,诈骗都利用人性贪小便宜的弱点。商业事务不断朝向崭新的领域发展;越来越多的货物与服务皆可在网络上获得,每天都有新的促销活动上市。

    罪犯也紧随着合法商务抢进网络世界,如今正上演着现实世界诈骗事件的网络版本。这类骗局的原则,是以比合法厂商低上许多的价格提供货物,藉以吸引买家和顾客。下方图5显示的,是某家属于此类型的俄国电子商店网页的部分画面:

图 5. 诈骗网站上的低价笔记本电脑

    如图5所示,这些价格低的令人难以置信。如此的低价位应该会引起使用者怀疑,并且让他们再这类网站上购物前三思。为了避免此问题,网络罪犯可能会打着以下的借口:

  • 没收货物特卖;
  • 以失窃信用卡所购买的货物特卖;
  • 用假名赊帐购买的货物特卖。

    这类解释当然是极度有问题的。然而,许多人却选择相信这些解释:他们以为,如果卖家不必为货物付钱,他们就能便宜贩卖货物。

    在订购时,顾客会被要求付首付,有时甚至要预先全额付费。一旦付款后,很自然地、网络罪犯的电话号码或电子邮件地址就不会再有任何回应。而卖家当然也没办法把钱拿回来。这种骗局会在不同的环节上变化。例如在俄国,网上购买的货物通常会由专门递送快递的信差送达。在本案中,网络罪犯可能借口说因为信差常送件到没有订购货物的地址,但是电子商店店主依然要支付信差费用,因而要求预付运费。结果网络罪犯会收到运费,而顾客什么也拿不到。

    假网上商店并非使用者面临的唯一陷阱。在现实生活中发生的所有诈骗案,在网络世界中都会有相对的翻版。还有一种网络诈骗案的例子,就是引诱使用者以相当吸引人的报酬率进行投资的“投资计划案”――报酬率高的让人难以抗拒。图6是这类“投资”网站的部分画面:

图 6. 诈骗的“投资”网站

    它所提供的利率当然不需要多加置评。尽管这类骗局有着荒唐可笑的本质,仍然有人会相信这种“投资计划案”,进行投资,然后白白丧失金钱。

    这份清单可说是无穷无尽:新型的假电子货币汇兑网站,新型的网络老鼠会(跟现实世界中的老鼠会诈骗相似)、宣称某种特殊秘密电子钱包可以让收到金额变成两倍或三倍的垃圾信件,以及其他类似的骗局,不论何时总是不断涌现。如前述所言,这些诈骗都是利用人性贪小便宜的弱点。

勒索

    在2006年,一种危险的趋势逐渐浮上水面:网络勒索案件正在俄国以及其他独联体国家迅速蔓延。新型的木马程序Trojan.Win32.Krotten于2006年1月出现;这套木马程序能修改受害者电脑的系统登录档,让使用者无法使用电脑。电脑重新开机以后,Krotten会显示讯息,要求转帐25 Hrivnia(乌克兰货币,此金额相当于5美元)至程序作者的银行帐户中,电脑就会恢复正常。且具备电脑素养的使用者能够自力将修改的项目恢复原状,或者通过重新安装作业系统,摆脱该恶意程序。然而,其他大多数为了用来勒索而设计的恶意程序系列,则没那么容易摆脱,通常“付不付钱”的问题都是以肯定词来回答的。

    Krotten 会伪装成生动视听的程序,宣称提供免费VoIP、免费上网、免費使用蜂巢式网络等功能,并通过网络聊天室与讯息看板传播。

    2006年1月25日,继Trojan.Win32.Krotten之后,Virus.Win32.GpCode的第一种变体也出现了。这套恶意程序会大量寄送,并将硬盘上储存的资料档案加密,让使用者无法解密。使用者必须付费,资料才能解密。存有加密资料的资料夹皆出现readme.txt档案,内容为:

    Some files are coded by RSA method. (部分档案已通过RSA 方法编码。) To buy decoder mail: xxxxxxx@yandex.ru这个已经被反垃圾邮件程序保护,您需要启动 (如需购买解码程序,邮寄至: xxxxxxx@yandex.ru这个已经被反垃圾邮件程序保护,您需要启动) with subject: RSA 5 68251593176899861 (主旨为:RSA 5 68251593176899861)

    程序作者虽然宣称是以PSA演算法执行加密,但事实上却使用了标准的对称式加密方法。还原资料的工作因此较为简单。

    在短短的6个月过程种,GpCode已有相当程度的发展,使用了不同的、更为复杂的加密演算法。此程序的不同变种针对资料解密所要求的赎金也各有不同:价格由30美元至70美元不等。这些程序都还只是开端。勒索用途的程序系列总数今年来已攀升(Daideneg, Schoolboys, Cryzip, MayArchive 与其他种类相继出现),程序所影响的地理范围也渐渐扩大。迄本年度中时,已在英国、德国以及其他国家发现此类恶意程序。

    然而,其他勒索方法仍如同之前一般广泛的运用。其中一例是针对21岁的英国学生Alex Tew的攻击,这位学生建立网站,贩卖由数个象素大小的无数方块群所组成的广告空间。Tew计划要用这项不寻常的创意在四个月内赚进一百万元。网络罪犯要求这位成功的学生付出一大笔钱,并威胁如果不付钱就要对他的网站发动DDoS攻击。在收到威胁的三天后,这个学生的网站便受到DDoS(分散式阻断服务)攻击。为了他的信誉,他拒绝付款。但是为何勒索与敲诈行为在网络罪犯简如此盛行呢?答案很简单:受害人本身助长了此等犯罪行为,他们愿意屈就于任何要求,好让他们失去或受损的资料还原。

如何避免沦为网络罪犯的受害者

    读者可能认为这篇文章用意在恐吓使用者,并且作出结论,只有反病毒程序能保护他们的资料。但事实上,如果网际网络使用者不采取基本的预防措施,没有任何的反病毒解决方案能够救得了他们。以下是能够协助您避免轻易沦为网络罪犯受害者的建议事项清单:

  • 在进行任何付款动作或输入个人资料前,先看看其他使用者对相关网站的评价。然而,切勿相信网站上的评论,那些评论可能是网络罪犯所写的。最好能向您个人所认识的人咨询意见。
  • 避免在网际网络上透露您的金融卡详细资料。如果您需要在网际网络上付款,请使用独立的金融卡或电子货币账户,然后在购买前将足额的金额转至卡片或账户中。
  • 如果网上商店、投资基金或其他组织将网站架设在第三级网域上,尤其是架设在免费提供首页服务的网域上时,便应特别留意。能够自重的机构,一定会有足够的小额经费,用以登录次级网域。
  • 调查网上商店使用的网域是在何时、何地登录的,商店本身位于何处,以及其所提供的地址、电话号码是否真实。简单的打一通电话,便能证实或解开您的疑惑,进而同时解决数种问题。如果网域名称是一个月前登录的,而您却被告知该公司已经存在于市场上数年,这就值得您仔细调查。
  • 不要预先付款,即使是运费也不行。当您收到货物时,再一次付清所有款项。如果您被告知人们常用错误的地址订购货物,信差因而无法送货时,别看这一套。宁可多小心一些,就算是误会也无妨,选择其他的商店,免得上当受骗。
  • 不要回复银行、投资基金与其他财务机构的邮件:这类机构绝对不会寄送大量邮件的。如果怀疑,请用电话确认邮件是否真的来去其所宣称的寄件者。但切勿使用邮件中提供的电话号码:如果邮件是由网络罪犯寄出,里面所给的电话号码也会是属于这个罪犯的。

总结

    本文第一部分概述最常用来偷取网际网络使用者虚拟财产的方法。如果您自己不保管好自己的财产安全,其他人更不会替您做这件事。俗话说得好,有备无患,我们希望此处所提供的资讯能派上用场。

    本文第二部分谈论针对组织机构的类似攻击,提供统计资讯并审视黑市中的趋势演变。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑