觀點

有需求就有供給─不景氣中逆勢成長的地下經濟

2009 / 02 / 09
iseditor
有需求就有供給─不景氣中逆勢成長的地下經濟
隨著科技快速發展,駭客竊取個資手法也趨向專業化,地下經濟市場已逐漸
擴大。

賽門鐵克(Symantec) 在2008年11月所公佈的" Symantec Report on the Underground Economy"報告中,揭露了現在逐漸趨於專業化的線上犯罪交易經濟。 駭客在獲得存取線上資料權限之後,並不會立即將所有資料拿走,反而是先拿出幾十筆樣本資料,到網路上去販售這個「進入系統」的方法與途徑。還可以讓「買家」有時間去「驗證」刷卡卡號的有效性,以確保交易的「品質」。因為這些小偷並沒有動到太多的資訊,所以系統管理人員也很難發現這樣的一個徵兆,更不會在系統上面找到所謂的木馬與後門等惡意程式。然後他們便將訊息張貼到一些「專門買賣資料的留言版或討論區」以及IRC頻道中。Symantec調查了135台的地下經濟交易伺服器,幾乎都有看到這一類公開且合法的論壇與線上頻道中出現資料販售的交易市集。在這些買賣平台中還有很多是非常有秩序而且有專人看管的。像是把攻擊程式綁成一包來販售,或者是提供惡意程式客製化服務,都像是商業經營者的態勢。報告中還指出,他們估計這只是最表層的「地下經濟」,真正的現實狀況應該更嚴峻。以攻擊武器來說,最近在網路上流傳著所謂的IE 7.0零時差攻擊產生器,價格約5,000至120,000人民幣(約台幣20,000~480,000元),造成了很大的一個衝擊,而且至少流傳了2個月以上。

垃圾郵件也異地備援
現在每天一打開電腦收信,都會看到很多垃圾郵件,公司不是已經有防堵垃圾郵件的機制了嗎?為什麼還是有這麼多垃圾郵件呢?根據台灣網際網路協會統計,現在平均每人每天收到29封的垃圾郵件,台灣一年有1,172億封電子垃圾郵件流竄,以寄信成本每封約新台幣0.02元計算,未開啟就刪除的垃圾郵件每年就耗費約20億,你要花時間去移動或刪除它,會造成工作上成本的浪費,平均每人每年花費30小時處理垃圾郵件,每年造成的經濟損失達440億元。而且現在很多垃圾郵件已經跳脫傳統防禦方式的範疇,反而是以很正常的郵件內容,夾帶情色訊息、詐騙訊息等,讓你自己被吸引打開。這樣的問題已經不是會不會被入侵、詐騙了。究竟這些垃圾郵件從哪邊來的呢?
我們來看一下垃圾郵件概況:今年11月初,一家位於美國加州之惡性重大ISP業者McCoLo(佔全球垃圾郵件流量前3名)被關閉之後,有7成的殭屍網路瞬間失聯,包含約50萬台的bots,雖然垃圾郵件的問題有稍微減緩幾天,但是稍後垃圾郵件像要報復似的大反撲,不減反增,這些惡意流量的來源已經做到「異地備援」的快速轉移陣地、另起爐灶。像是Srizbi 與Rustock這2大殭屍網路就是造成垃圾郵件異地備援可以快速轉移的原因之一,Srizbi曾經是全球最大的Botnet,因為這些殭屍網路之間彼此也會暗地較勁、互搶地盤,因此數量增長波動則依照現況而定。
日前NCC提出新版的「濫發商業電子郵件管理條例」,每封垃圾郵件可求償500至2,000元,對於隱匿垃圾郵件發送者資料的業者,也增訂3~30萬元的處罰條例,所以平均一天收30封,一個月就可以求償180萬,值得注意的是允許商業電子信件發送廠商可以發送第1封,說明廣告用途、聯絡資訊與退訂機制,收信人若沒有任何回應,就表示拒絕該封廣告信件。這的確可以為電子商務留下一道門,不會放錯人罰錯人;不過在執行上與舉證上可能會遇到一些實務上的問題,像是利用botnet寄送垃圾郵件的追蹤與責任釐清問題。

犯罪者擁有高知識與科技,但動機不良
俄羅斯黑幫可以說是最有組織的網路犯罪團體,目前大多數網路犯罪來源是俄羅斯、中國與美洲,如何區分他們的不同呢?除了從IP位址的追蹤之外,俄羅斯駭客的目標是信用卡與財務資訊、中國駭客目標是科技智慧財產、政府軍事資料,而美洲駭客則是以獲取電腦殭屍(bot)為主。而其他來自第三世界的駭客則是以炫耀自己為主,這大約是5年前其他地區駭客的心理狀態。
網路上兜售信用卡資料、殭屍網路者甚為猖獗,不過已經轉趨地下化,透過自訂的通訊平台與加密方式,成為一個"out-of-band"化外之地,也是法制力量所不及之處。一般在網路上論壇可以看到的兜售行為應該只是一小部分,而在冰山之下的網路犯罪產業更為驚人的龐大。

網路虛擬交易成為新的洗錢管道
曾有人開玩笑說海角7億算什麼,網路虛擬交易貨幣一洗就沒人知道。一語道破現在新的科技平台已經產生了新的治安漏洞,而成為新的洗錢管道。因為網路商業和Web2.0的流行,在網路上犯罪者盜刷信用卡、銀行帳號的犯罪行為規模已經達1,000億美元。透過線上的虛擬交易平台,這些從現實世界的現金流轉入網路世界後,透過買賣攻擊武器、殭屍網路的行為,再用虛擬貨幣付款交易,甚至使用線上遊戲中值錢的寶物做為交換,已經可以規避現有的洗錢管道與監察方法。
今年10月,美國FBI破獲一個專門販售交易個資與資訊攻擊武器的Dark Market論壇,會員數高達2,500名,而這只是滄海一粟,黑市個資已經氾濫,就像是今年發生的5,000萬筆個資外洩事件,這些價值都已經隨時間過去逐漸的下滑,因此網路用戶資料風險還是相當高,畢竟有需求就會有供給,殺頭的生意有人做。犯罪者再透過大量的垃圾郵件與網路釣魚、網路掛馬,建立龐大的殭屍電腦網路,再利用此網路進行垃圾郵件、攻擊等獲取利益。像這樣的殭屍網路在亞洲與第三世界國家非常之龐大,亞洲區以中國的狀況最為嚴重。今年的APCERT(亞太區電腦網路危機處理組織)在12月則針對了這樣的地下經濟進行了演練,模擬網路犯罪集團對於亞太經濟體的網路攻擊,針對跨國應變協調的機制驗證其效用。因為地下經濟活動已經足以干涉到實體世界的經濟活動與政治穩定,而且趨向於更龐大且有組織化。
有製造、有銷售、有用戶,地下經濟產生了專業分工的結構,已經不是只有駭客,還包含出錢的金主、販售的人員以及專門做入侵偷資料的工人,造成了一個很龐大的犯罪體系,也讓網路上流竄的惡意程式更加多樣化,使原先的防禦機制有效力大大降低。這樣造成的經濟損失包含防禦處理的成本以及頻寬成本,啃食著微薄的經濟成長率,加上入門的門檻很低,隨處可得的後門程式,所以才會發生前一陣子入侵偷拍入浴的彩虹橋事件,還有男女朋友發生感情問題竟使用駭客工具相互監控,加上防毒軟體的防禦速度已經跟不上駭客的自動產生機,未來相關的法規和配套措施尚未到位之前,有哪些防禦方法是可以先採行的,要如何因應相關法規通過之後正常商務活動的運作,而非成為集體訴訟取財的對象?或者,以另外一個角度來看資安的防禦,就是避免經濟的損失,包含智慧財產權、時間成本、人力物力等 這都是我們必須亟思處置的問題。
Symantec Report on the Underground Economy摘要 (統計期間2007/07/01到2008/06/30) 
1. 網路論壇和IRC頻道是黑市買家和賣家的主要媒介。 
2. 地下交易前3名為信用卡號碼、金融銀行帳號,垃圾郵件和釣魚資訊。 
3. 銀行帳號最具價值,每筆約為10~1,000美金。
4.此報告週期內,地下經濟交易總額超過2.76億美金,其中信用卡佔了59%、個資佔了16%,而伺服器帳號為10%,第10名為線上遊戲帳號,只有不到1%
5.交易攻擊武器及服務是地下經濟交易的主要品項:個人資料、肉機(跳板)、Botnet(攻擊流量)、攻擊武器(程式)、軟體弱點(秘方) 。 
6. 垃圾郵件及釣魚工具前3名:釣魚主機、釣魚網頁、垃圾郵件軟體。 
7. 惡意程式:綑綁器Binders、加殼工具Packers、木馬後門Trojans、鍵盤側錄與竊密碼工具。 
8. 最常使用的付款方式:線上貨幣服務、交易其他商品、線上付款服務。
9.IRC伺服器及頻道以國家區分,前3名分別為美國(41%)、羅馬尼亞(13%)和德國(11%);亞太地區只有澳洲(4%)及南韓(2%)分列第6及第8名。
10.用於進行地下經濟交易IRC伺服器,其平均存活週期,小於1週(36%)、介於1週到1個月間(41%),介於1個月到半年間(21%)。