暗网系列之:一张拼图,展示地下网络犯罪活动的成本&利润

执行摘要

在暗网中,一切皆有价。

不夸张的说,你可以在暗网中公开出售或购买到几乎任何东西。

有些人可能认为,想要完成一次网络犯罪活动,必须是一个行家里手,至少需要精通一些必备技能或掌握一定的行业资源,但实际上,如今网络犯罪市场的分工相当明细,威胁演员只需专注于特定的某个领域,提供自己的专业技能、服务或资源,因此,对于网络犯罪分子而言,在实施犯罪行为时,几乎每一次犯罪活动都有来自其他网络成员提供的各种工具和服务。

地下网络犯罪社区的垂直发展,有助于保持整个地下市场的弹性。与贩毒集团相似,即使执法机构撤除了某一个或几个暗网市场或地下论坛,随即便会有其他的对手将空位补上。

因此,有必要直击本源,尝试剖析一下网络犯罪活动的成本和利润究竟如何。

梳理整理暗网和地下论坛中网络攻击活动成本-利润相关信息的过程,很像一场拼图游戏。

背景

在过去的20年中,地下网络犯罪环境是不断发展变化的,最早的时候,有一批被称为“东欧骗子”的犯罪分子,主要围绕电子商务欺诈、以分散的留言板的形式进行犯罪活动,后来逐渐演变成如今的一个一个非常复杂的生态系统,我们将其称为暗网。

当今,互联网的神秘世界中,充满了来自不同地区、不同专业和技能的用户,各类网络犯罪工具和服务交易市场发展繁荣,即使是刚入门的菜鸟也有可能成为令人难以置信的复杂的网络攻击的主谋,这样的例子屡见不鲜。究其原因,除了政治攻击之外,更多的是网络犯罪是受经济利益的驱使,以台湾ATM抢劫案针对俄罗斯银行的恶意攻击活动为例,犯罪分子在一次活动中可以净赚几千万美元。

暗网中支持网络犯罪活动的基础设施(示意图)

威胁分析

针对金融机构的网络攻击活动是一个典型的例子,可以很好的解释网络犯罪链条上各个供应商的作用及收益情况,从中可以看出这些犯罪分子和各个供应商是如何实现利润最大化的。

接下来的就详细的描述一下创建并维护一个犯罪活动所需的前期投入成本,以及相关方可收获的直接的和间接的资金回报。

  • 获取一个银行木马的许可证,占据了一个网络犯罪活动前期的最大额投入,一般需要3000~5000美元不等的价格,从专业的恶意软件制作者手中购买。
  • 接下来,为了拦截银行凭证,需要对每个目标金融机构进行Web注入,每个目标的费用在150~1000美元之间。恶意软件的费用与目标所在的地区有关,例如,研究人员观察到在过去的一年里,针对加拿大机构的Web注入成本大幅上升,而针对美国银行机构的恶意软件的成本保持不变。
  • 为了保持对感染目标(设备和网络)的可视化监控和持续控制,在中东、东欧以及其他一些网络管制比较严格的国家,反弹主机托管服务(Bulletproof Hosting Services)是必不可少的。在犯罪活动的数据中心每月租用一个Web服务器通常需要花费150~ 200美元。
  • 为了确保可以持续地交付有效载荷,且保证它们可以顺利逃避杀毒产品的检测,这些可执行文件必须定期被“清洗”,日常也需要进行代码混淆,在一个规模可观的经营活动中,有效载荷的处理保持着每日几次的频率,一个有效载荷代码混淆服务的价格在20~50美元之间,如果数量较多,可以获得更多优惠。
  • 拥有稳定的Web流量,经目标重定向到受感染的网站,或大批量的发送垃圾电子邮件,这是两种分发恶意有效载荷的主要方式。重定向一千个潜在用户到受感染的网站的价格为15~ 50美元,成功发送一百万封垃圾邮件的费用在400美元左右。
  • 一旦恶意软件被成功植入,并截获银行凭证被,犯罪分子必须与一系列的“骡(mule)处理人员和洗钱中介机构合作,以获得最终的利润。拥有零号声誉的洗钱组织能够快速的进行运作,并从每笔支付订单中抽取高达50%-60%的收益。在某些情况下,犯罪分子还需要向洗钱的操作人员支付一个额外的大约为洗钱金额5-10 %的佣金,通常首选的付款方式是网络形式的,比如如比特币等虚拟资金。
  • 在某些情况下,还需要一个额外的电话确认才能进行转账操作,这个过程由一个地下的呼叫服务提供帮助,每个电话的价格是10~ 15美元。
  • 如果资金转移过程中需要额外的文件和电话核查服务,可以寻找对应的供应商。伪造的驾驶证的服务可在几小时内完成交付,费用在25美元左右,如果需要更复杂的自拍视频,则需要花费100美元左右。
  • 为了尽量减少帐户持有人发现这些未授权交易的纪律,还需要短信拦截服务,或者使用电子邮件/电话的“洪泛攻击”使得账号持有人的收集在交易发生时不可用,这类邮件/电话“洪泛攻击”的花费大约20美元。如果想要克隆SIM卡,成本要高很大,大约在150~300美元之间。

一个在俄语地下论坛提供电话服务推广的例子

除了直接从银行账户窃取资金之外,持续的寻找世界各地互联网上可入侵的受害者,还会带来另外的一些相当可观的收入。这可谓是“物尽其用”,也应了一种古话:“贼不落空”。

  • 攻击者搜集目标的登录凭据,却不直接攻击目标,而是将它们提供给地下社区的其他成员,并可能从中获得额外的100~ 200美元的收益。这类售卖登录凭据服务的产生和发展,主要是切中了一部分用户的需求,这类用户主要借此从事商业地或民族/国家性质的间谍活动。
  • 暗网市场中,信用卡信息售卖是一项热门的服务,每条信息售价在5~10美元左右。
  • 暗网市场或地下论坛对各种电子商务平台用户凭证的需求也是比较稳定的;然而,最近涌现出了大规模的账户接管活动,致使目前交易市场上这类数据过剩,因此其价格讲到了每套1~5美元。
  • 在某些情况下,当攻击者无法实现预期的结果时,可以为其他犯罪分子提供按需安装恶意软件的服务,每个恶意软件的安装费用约为1美元。
  • 最后,还有一项剩余价值可以挖掘,那就是收集僵尸网络中受感染设备上的非结构化的日志信息,这些数据可以很容易地卖到20美元/千兆字节。

正如前文中提到的,这就像是一个拼图游戏,把网络犯罪活动所需的成本和可获得的利润拼接起来,可以得到如下拼图:

展望

虽然本文只讲述了一种流行的网络犯罪活动,但其他常见的网络犯罪活动(如勒索和钓鱼攻击)也有类似的配套的基础设施,总而言之,越是有利可图的产业,分工越明细,随之而来的准入门槛也越低,这也符合一般的经济学发展规律。

只要投入足够的成本,网络犯罪分子可以定制复杂的攻击活动,地下犯罪社区、暗网市场是他们活跃的舞台。

*附录:更多关于信息和攻击工具定价的信息

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106863.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code