美國資安研究公司iSight Partner網路威脅分析師鍾安娜表示,中國黑色產業積極向東歐黑色產業取經,引進美國綠點儲值卡服務後,更容易將美國資料變現。

圖片來源: 

iThome

許多黑帽駭客利用技術找出系統漏洞、入侵並竊取帳號、密碼後,再將獲得的資料用來販售或者是詐欺,藉此獲得金錢利益,這已經形成一種完整的黑色產業鏈(簡稱黑產)。

美國第二大零售業者Target的POS機資料外洩事件中,唯一和美國FBI共同調查的資安研究公司iSight Partners,該公司網路威脅分析師鍾安娜日前訪臺時表示,中國的黑色產業發展蓬勃,連常見的網路代購服務都已經成為駭客洗錢管道,許多環節分工細膩,甚至已經做到全球分工的地步。

中國黑產透過QQ私下交易變現,需求甚殷

中國黑色經濟發展蓬勃,鍾安娜以「什麼都買、什麼都賣、什麼都不奇怪」來形容,更有甚者,她也親眼在中國常用的QQ通訊軟體上,看到很多人公開要買一些像是剛往生的死者資料,買賣這些資料的目的,不外乎是要提供給殯葬業者做生意,或者是藉此偽造身分,也可觀察到買方需求十分強烈。

在中國黑色產業的地下市場販售的資料來自世界各地,包括日本、臺灣、韓國、澳洲、義大利和法國等各國資料庫在內,而販售價格會因有無包含信用卡資料、是否加解密等條件而有所不同。

鍾安娜解釋,這些在地下市場販售的資料,可以透過2種常見的手法產出。

第一種就是中國黑帽駭客常用的「撞庫」手法,其實就是黑帽駭客先收集其他網路上已經外洩的使用者帳號密碼,產生一個新的資料庫後,再利用這些彙整收集而來的資料,匯入一套自動掃號的工具,就可以模擬使用者登入網站的方式,確認這個帳號密碼是否有效。而這些確認有效的帳號密碼就可以產生一套新的資料庫,另外對外販售。

第二種手法就是「拖庫」,鍾安娜指出,這也是最常見的網站入侵手法,黑帽駭客直接入侵某個網站,並竊取相關資料庫中的資訊,黑帽駭客可以備份一份完整的資料庫,也可以將資料庫中的資料匯出到其他的本地端或雲端的儲存空間。

若要進一步解釋撞庫手法,比較類似幾年前,臺灣電子商務業者遭遇到駭客利用從其他地方取得的帳號密碼,再利用資訊拼圖的手法,將這些從其他地方搜集到的帳號密碼,用來測試使用者是否也在該電子商務網站中,使用相同的帳號密碼。至於拖庫,則是一般常見的網站入侵、竊取資料庫的手法。

但是,不論是撞庫或拖庫,鍾安娜說,黑色產業最終的目的就是要讓這些資料變黃金,這個變現的過程就是所謂的「洗庫」,也就是一連串的洗錢過程。

另外,日本JP CERT資安研究員林永熙表示,中國地下市場使用的自動掃號工具,已經對日本民眾造成很大的危害,光是今年,就有一間知名手機營運商和兩間很大規模的物流業者,公開要求日本民眾注意相關工具帶來的危害。

網路代買代購服務,成為資料變現管道

資料如果不能賣錢就沒有價值,因此,根據鍾安娜的研究觀察,中國黑色產業的地下市場會利用4種方式將資料變現。第一種就是利用網路代買代購的服務,將資料變現。

她進一步解釋,黑色產業從業人員會將取得的假信用卡資料,利用在美國、日本等的電子商務網站代買代購的方式,購買高單價商品後,再將網購商品寄回中國,因為匯率比一般金融體系的匯率好,深受許多網友歡迎。

如果駭客植入木馬程式的電腦,在瀏覽器的COOKIE中存有信用卡資料,駭客也可以直接下單寄到作為洗錢的人頭帳戶(又稱為車手)地址後,再將商品轉賣掉。

第二種就是將取得的網銀帳戶資料,登入後將帳戶內的錢轉帳轉走,或者是把這個帳戶作為洗錢的人頭帳戶之用。

第三種則採用類似釣魚網站的手法,駭客會假冒銀行或電信業者發送簡訊,宣稱某個帳戶密碼即將到期,要求收到簡訊的使用者,點入簡訊所附的連結後更改成新的帳號密碼,在更改密碼的過程中,會要求使用者輸入現有的帳號密碼,駭客就可以取得正確的帳號密碼後登入使用者的帳號。

最後一種方法則是,黑帽駭客在使用者電腦植入木馬程式,平常保持安靜並不動作,在取得使用者電子郵件帳號密碼後,便會透過「關鍵字搜尋」,蒐集該名使用者的信用卡和帳號,作為將資料變現的洗錢之用。

引進美國綠點儲值服務,更易將資料變現

鍾安娜表示,中國黑色產業雖然蒐集並販售來自全球各地的資料庫,但也會依據消費者需求進行各種在地化和客製化的調整,以滿足資料購買者的需求。

不過,中國黑色產業的發展也經歷過一些轉折,她指出,早在2010年,各種資料販售管道,主要是以中國論壇各種貼吧作為黑色產業從業人員和買家的溝通平臺。

但經歷2012年,中國政府大規模的淨網行動後,黑色產業曾經出現一段時間的衰退期,爾後,雖然在2013年慢慢復甦,但資料買家和賣家的溝通方式,到2014年更多人則直接改採QQ等即時通訊方式私下交易,也可以躲避中國執法單位的查緝。

使用QQ等通訊方式,確保黑色產業資料交易的隱匿性,但鍾安娜表示,過往,中國黑色產業從業人員面臨到的困境則是,很難將美國資料庫的資料變現,但是,自從中國黑色產業跟東歐黑色產業取經,並在2014年引進美國綠點(Green Dot)的儲值卡服務後,終於讓美國的資料庫可以更順利的變現。

她進一步解釋,因為美國不是每個人都可以在銀行擁有帳戶,而綠點則是美國一種可在連鎖商店及加油站購買的儲值預付卡。

駭客把偷到的網銀資料帳戶的錢,轉到綠點儲值卡的人頭帳戶後,就可以利用在美國電子商務網站以代買代購的方式,將綠點帳戶中的錢,轉帳支付電子商務網站購物的費用。這樣美國網站刷卡轉帳換人民幣現金的方式,就讓以往較難變現的美國資料,有了順利變現的方式。

鎖定日韓,販售遊戲虛擬寶物洗錢

不過,到2015年則發現,中國黑色產業更直接鎖定日、韓兩國,進行將資料變現的過程。鍾安娜表示,中國黑色產業從業人員主要是利用日韓的遊戲帳號,透過虛擬寶物的銷售作為洗錢管道,尤其是日本,更是主要鎖定的對象。

中國黑帽駭客鎖定日本將外洩資料變現的方式,主要有3種管道,第一種是透過合法網路拍賣帳號被駭或合法建立拍賣帳號並累積名聲,大量在地下市場銷售,作為洗錢脫手之用;第二種,因為大家瘋狂搶購網路銀行帳號作為洗錢的人頭帳戶,僧多粥少,這些黑帽駭客只願意提供人頭帳戶的租賃服務,而不願意賣斷。

最後一種則是,架設以假亂真的釣魚網站,詐騙使用者資料,但為了提高釣魚網站的可信度,會另行購買Proxy代理伺服器的VPN(虛擬私有通道)服務,假裝該釣魚網站是在日本架設的網站,並會將惡意程式加殼,藉此躲避各種防毒軟體的偵測。

中國黑色產業從業人員則針對韓國民眾最常使用的Android手機,開發許多針對Android手機平臺的木馬程式,和可以躲避手機防毒軟體偵測的木馬免殺服務,藉此即可取得使用者網路登入帳號密碼,作為後續販售或再利用。

她進一步表示,中國地下市場這兩年針對日韓兩國,衍生許多攻擊手法和洗錢模式,從2015到2016年還看不到有任何衰退的趨勢。

不過,中國黑色產業為了提升競爭力,則會持續學習東歐及俄羅斯黑色產業地下市場的洗錢模式,也會將相關的工具在地化後,再引進到中國市場使用。

中國黑色產業規模之大和參與人數之多,已經難以估計。不過,根據中國媒體推估,該產業規模已經高達樹千億人民幣,從偷資料、賣資料到騙到錢的過程,已經形成完整的黑色產業鏈。

根據鍾安娜個人觀察,黑色產業的交易,首要目標是外洩的數據資料,其次才是工具,一般企業與資安公司在意的漏洞資訊,其實很少被交易。


Advertisement

更多 iThome相關內容