对抗行为（五）：依赖网络的有组织犯罪分子对手的特征

《网络安全知识体系》

对抗行为（五）：

对手的特征之依赖网络的有组织犯罪分子

---

依赖网络的有组织犯罪分子

在本节中，我们将描述具有财务目标并使用复杂的技术基础设施（例如僵尸网络）进行的犯罪。与上一节中描述的网络犯罪不同，在上一节中，犯罪分子基本上是复制物理犯罪操作并使用互联网来增强其覆盖范围，依赖网络的犯罪犯罪分子必须建立复杂的技术基础设施才能实现其目标。这些操作的复杂性促使犯罪生态系统出现区隔，每个恶意行为者都专注于网络犯罪操作的特定部分（例如，用恶意软件感染计算机或进行洗钱），并共同努力实现共同目标。在本节中，我们提供了近年来研究文献研究的一些依赖于网络的犯罪的例子。然后，在第2节中，我们详细介绍了犯罪分子为使其行动成功而需要实施的各种要素。

垃圾邮件。在过去的二十年中，垃圾邮件一直是互联网用户的主要麻烦，但它也一直处于非常成功的犯罪行动的最前沿，他们通过恶意消息接触到数十亿潜在客户，成功地将假冒商品和药品的销售货币化。垃圾邮件被定义为未经请求的批量电子邮件;此定义突出了问题的两个主要因素：受害者收到的邮件是未经请求的（即，它们首先没有被请求），并且它们是批量发送以覆盖尽可能多的受害者。

虽然第一封垃圾邮件记录在1978年，但垃圾邮件在1990年代变得突出，当时犯罪分子建立了小型业务，与上一节中描述的预付费欺诈业务没有什么不同。这些行动的目标是在线销售商品，从饮食补充剂到纳粹纪念品。在现阶段，犯罪分子将依靠自己的专门知识和少数同伙的帮助，开展建立成功的垃圾邮件行动所需的所有活动：（一）收集电子邮件地址以发送恶意消息，（ii）创作电子邮件内容，（iii）批量发送垃圾邮件，（iv）处理想要购买广告商品的人的订单，（v）对执法部门的突袭做出反应（例如，扣押电子邮件服务器）。尽管与未来十年的垃圾邮件操作相比，这些犯罪活动还很简陋，但这些犯罪活动促使制定了立法来规范未经请求的批量电子邮件，例如欧盟的隐私和电子通信指令，英国的隐私和电子通信法规4和美国的CAN-SPAM法案。5这些立法帮助起诉了一些早期的垃圾邮件发送者。2004年，美国在线（AOL）赢得了针对戴维斯·沃尔夫冈·霍克（DavisWolfgang Hawke）的法庭诉讼，后者通过垃圾邮件销售纳粹小工具。霍克被判处支付12.8M美元的罚款。

2000年代初的技术进步，特别是僵尸网络的发展，即由同一网络犯罪分子控制的受感染计算机网络，为想要从事电子邮件的犯罪分子提供了前所未有的机会。今天的垃圾邮件。垃圾邮件不再是一个人的操作，而是由蓬勃发展的犯罪生态系统支持。垃圾邮件发送者可以从专门使用恶意软件感染计算机的犯罪分子那里租用僵尸网络，从专业行为者那里购买目标电子邮件地址列表，并注册一个联盟计划，这将为垃圾邮件发送者提供广告的方式，以及照顾运输和付款。

自20世纪90年代以来，与减少垃圾邮件有关的军备竞赛一直在进行，并提出了许多缓解措施。目前，反垃圾邮件技术可确保绝大多数恶意电子邮件永远不会到达受害者的邮箱。为了解决这个问题，犯罪分子必须发送数百亿封电子邮件，以保持其运营盈利。另一个问题是，在那些通过垃圾邮件到达的受害者中，只有一小部分会购买广告商品并为犯罪分子带来利润。研究人员对Storm僵尸网络进行了案例研究，显示僵尸网络发送的4.69亿封垃圾邮件中，只有0.01%达到了目标。其中，只有0.005%的用户点击了电子邮件中包含的链接，而最终购买商品的用户数量更少-在达到的4.69亿用户中，总共只有28个用户，占总。尽管急剧下降，McCoy等人表明，流行的垃圾邮件联盟计划在三年内能够创造高达8500万美元的收入。他们还表明，这一成功的关键是回头客。实际上，垃圾邮件只需要到达感兴趣的客户一次，此人以后可以在网站上继续购买，而不必担心垃圾邮件过滤器。

网络钓鱼。一种特殊类型的垃圾邮件是网络钓鱼，犯罪分子发送假装来自真实服务（例如，网上银行，社交网站）的电子邮件。这些电子邮件通常通过向用户提供一封可信的电子邮件，要求他们访问网站（例如，检索他们最新的账户对账单），从而诱使他们向这些服务分发用户名和密码。通过单击电子邮件中的链接，用户将被定向到显示虚假但逼真的登录页面的网站。一旦他们输入了他们的凭据，犯罪分子就可以访问它们，他们以后将能够代表用户登录这些服务，可能直接赚钱或在黑市上出售凭据。

对于犯罪分子来说，网络钓鱼页面成功的一个关键组成部分是设置尽可能与原始网页相似的网页。为了促进这项任务，专门的网络犯罪分子开发和销售所谓的网络钓鱼工具包，这些程序可以安装在服务器上，并将为许多流行服务生成一个外观合适的网页。这些工具包通常还提供功能，使犯罪分子更容易收集和跟踪被盗凭据。犯罪分子托管这些页面所需的另一个元素是他们控制的服务器。与垃圾邮件类似，犯罪分子，研究人员和从业者也参与了军备竞赛，以识别网络钓鱼网页并将其列入黑名单，因此犯罪分子建立自己的服务器没有经济意义。相反，犯罪分子经常将这些网站托管在受感染的服务器上，为此他们不必付费。

在窃取大量凭据后，犯罪分子可以自己利用这些账户或在黑市上出售用户名和密码。以前的研究表明，这些犯罪分子通常会自己登录账户并花时间评估其价值，例如，通过在网络邮件账户中查找财务信息。

金融恶意软件。另一个流行的犯罪活动是金融恶意软件。在此设置中，犯罪分子的目标是在受害者的计算机上安装恶意软件并窃取财务凭据，例如信用卡号和网上银行用户名和密码。这一趋势始于Zeus恶意软件，犯罪分子可以在黑市上购买并用于建立其操作。一旦安装在受害者计算机上，Zeus将等待用户访问犯罪分子可以指定的有趣列表上的预配置列表上的网站。然后，它会在用户键入用户名和密码时记录它们，并将它们发送到犯罪分子设置的命令和控制服务器。

一个更复杂的信息窃取僵尸网络是Torpig。与Zeus不同，Torpig使用僵尸网络即服务模型，其中单个专业犯罪分子负责托管僵尸网络基础设施，而其他犯罪分子可以运行他们的活动来感染受害者计算机，支付费用以使用鱼雷基础设施，然后检索被盗的凭据。研究人员表明，在2009年，Torpig僵尸网络能够在十天内窃取8，310个唯一的银行账户凭证和1，660个唯一的信用卡号。

为了将他们的业务货币化，网络犯罪分子可以在地下论坛上出售被盗的财务信息。犯罪分子可以要求这些凭据的价格根据他们能够窃取的记录类型而有所不同。例如，在地下市场上，有两种类型的信用卡记录被交易：dumpz，其中包含允许犯罪分子克隆信用卡的信息（即卡号，到期日期，安全码）和fullz，其中还包含与卡相关的账单地址。富尔兹在黑市上更值钱，因为它们允许歹徒在线购买物品。

一种越来越受欢迎的相关犯罪类型是卡片撇脂。在这种网络犯罪中，犯罪分子在ATM机器上安装设备，这些设备收集不知情用户插入机器的卡的详细信息。然后，犯罪分子可以收集设备以检索被盗的财务凭据。虽然这种类型的犯罪很严重，但它也是与在线犯罪相比，物理犯罪局限性的一个很好的例子：犯罪分子对物理行动的需求限制了操作的规模，而金融恶意软件操作可以影响更多的受害者。例如，Torpig恶意软件安装在超过100，000台计算机上。

请注意，执行金融欺诈并不总是需要恶意软件。在某些情况下，金融机构内部的内部威胁可能会采取恶意行为并欺骗其机构和客户。在其他情况下，信用卡号等财务信息可能通过利用在线系统中的漏洞（例如，通过转储在线商店的数据库）而被盗在其他情况下，被盗的银行SWIFT凭证可用于执行大型欺诈性汇款.

点击欺诈。网络广告是网络货币化的主要方式。Web管理员可以决定在他/她的网站上托管广告，每当访问者查看或单击它们时，他们都会从广告商那里获得少量费用。为了调解这种互动，出现了被称为广告交换的专门服务。由于网络广告易于货币化，因此欺诈的时机已经成熟。特别是，犯罪分子可以在自己的网站上托管广告，然后产生“虚假”点击（例如，通过使用机器人）。这会导致广告交易平台向犯罪分子支付非“真实”广告展示次数，最终欺骗广告客户。

犯罪分子再次卷入了与广告交易所的军备竞赛，他们有兴趣将服务上的欺诈行为降至最低。为了帮助犯罪分子产生大量点击，并通过从大量IP地址获得访问权限而保持在雷达之下，出现了所谓的点击欺诈僵尸网络。一个例子是Zero access，它在2013年处于活动状态。在受感染的计算机上，此恶意软件将像普通用户一样运行，浏览网站并单击其所有者选择的广告。研究人员表明，这个僵尸网络给广告业造成了每天约10万美元的损失。

未经授权的加密货币挖矿。随着加密货币的日益普及，犯罪分子开辟了新的机会：使用受感染的计算机来挖掘货币。2014年，Huang等人揭示了这种威胁，表明僵尸网络被用来开采比特币。在揭示这种新的恶意软件货币化的同时，作者还得出结论，这些操作似乎并没有赚到多少钱，每天最多900美元。

然而，最近的一项研究表明，僵尸网络的加密货币挖掘可能比以前想象的更有回报。Pastrana和Suarez-Tangil表明，通过开采门罗币并使用多种技术来增加他们开采货币的机会（例如，使用矿池），犯罪分子可以弥补在两年内达到1800万美元。

网络犯罪的另一个新兴趋势包括利用Web浏览器来挖掘可怕的情况。歹徒不是在受害者计算机上安装恶意软件并将其用于挖矿，而是将脚本添加到网页上，并让访问者挖掘加密货币。这种类型的恶意活动称为加密劫持。尽管使用这些脚本不一定是非法的（即，Web管理员可以以类似于广告的方式合法地将它们安装在其网页上），但犯罪分子已多次被发现将它们添加到受感染的网站上。科诺特等人表明恶意活动每周可以赚取31，000英镑，而Ru ̈th等人。表明，Monero区块链中1.18%的开采区块可以归因于最受欢迎的加密劫持库Coinhive。

勒索软件。恶意软件的最新趋势是勒索软件。作为该操作的一部分，crimi-nals用恶意软件感染其受害者系统，该恶意软件对用户的个人文件（例如文档）进行加密，并将加密密钥发送给犯罪分子，然后犯罪分子要求赎金以换取用户再次访问其数据。使用公钥加密技术将受害者的数据作为人质的恶意软件的想法并不新鲜，容在1996年已经提出了理论。然而，在20年中，恶意软件交付端的技术进步使得接触大量受害者成为可能，并引入了匿名支付方式。例如比特币使犯罪分子更安全地收集这些付款。

在撰写本文时，勒索软件是网络犯罪分子的黄金标准。这种类型的恶意软件操作已经解决了在其他类型的网络犯罪计划中非常重要的货币化问题：犯罪分子不必说服受害者购买商品，例如在垃圾邮件的情况下，或陷入欺诈，例如在网络钓鱼的情况下。此外，受害者被高度激励支付赎金，因为犯罪分子拥有用户需要的加密文件（以及他们为此需要的文件）的可能性很大。没有备份副本）很高。事实上，最近的研究能够追踪比特币区块链上的1600万美元付款，这些付款可归因于勒索软件活动。

虽然最复杂的勒索软件活动涉及加密受害者的文件，但Kharraz等人。表明恶意软件作者使用其他技术将受害者锁定在他/她的计算机之外并不罕见。这些技术包括设置受密码保护的引导加载程序，除非用户付费，否则不会将密码提供给用户。虽然这些技术可能会为犯罪分子带来利润，但它们也更容易缓解，因为受害者的文件在计算机上是安全的，并且对恶意软件的简单清理（并恢复原始的主启动记录）可以解决问题。

拒绝服务。所有连接到Internet的设备都具有的一项功能是网络连接。犯罪分子可以利用受感染设备的带宽对目标执行分布式拒绝服务（DDoS）攻击。犯罪分子可以简单地使用僵尸网络生成的带宽，或利用放大攻击（即，由配置错误的网络设备或默认设置较差的设备生成的网络流量）来增强其DDoS攻击的威力。

然后，犯罪分子可以设置服务，提供DDoS出租。例如，这些服务对那些希望其商业竞争对手走上绝境的不道德行为者或希望将对手从互联网上击败以赢得游戏的在线玩家游戏具有吸引力。为了隐藏其业务的非法性质，这些服务经常将自己宣传为“压力测试员”，Web管理员可以使用这些服务来测试其Web应用程序在压力下的性能。但是，实际上，这些服务不会检查购买DDoS攻击的客户是否实际上是拥有目标域的同一个人。

原文始发于微信公众号（河南等级保护测评）：对抗行为（五）：依赖网络的有组织犯罪分子对手的特征