暗网系列之:揭秘深暗网中的热销商品和服务的定价

背景介绍

对于网络犯罪分子、诈骗者、由国家/民族支持的威胁演员及其他人而言,深暗网与地上网络相比匿名性更好,不仅可以遮蔽他们的恶意计划,还促进了一个广阔的地下经济的发展。这里汇集了不同技能的人,混杂着各种不同的动机,整体而言,日趋普遍的网络威胁和物理威胁是深暗网地下经济背后的驱动力。

需要注意的是,事实上,这些非法论坛和交易市场的存在和发展只是过去发生的数据泄漏、内部威胁、未打补丁的漏洞、骗局及其他安全事件的副产品,在许多情况下,历史的负债成为当前和未来安全事故存在和发生的重要因素。

对于当下许多组织面临的网络和实体风险而言,这种地下经济的内部运作发挥了重要作用。为了加深公众对暗网中非法商品和服务的获取、滥用以及最终可能导致的风险的了解,闪点的情报分析人员对暗网市场中销售的各种商品及售价进行细致的调研。当然了,由于数据收集工作不可能面面俱到(我们会尽力做得更全面些),而且暗网市场是不断变换的,因此本报告中所提到的内容可以解释为个案研究和对深暗网经济的一般观察,所提供的结论也并不是精确的统计数据,但已能够而且应该有助于机构或组织(甚至个人)重新审视自身的安全和风险战略。

言归正传,接下来将详述我们的调查结果和有关建议。

一、完整的个人可识别信息(FULLZ

“Fullz”是指完整的个人可识别信息(PII)集合,如一个人的社会安全号码(身份证号)、出生日期、姓名等。这些信息通常被用来支持各种各样的骗局,在深暗网中,这类信息极为丰富而且价格低廉。

在英语语言的暗网市场上,美国公民的fullz价格范围通常是1~8美元,分析人员还观察到一些批量购买会有折扣的例子。2016年7月,在一个俄罗斯语言的论坛上有个发广告出售10000个 fullz,这些信息是从一家美国医疗机构窃取到的,一次性购买200以上的话售价为0.15美元/个,一次性购买500个以上的话价格可降为0.10美元/个。

Fullz被打包成更完整的信息,包括个人的支付卡号、CVV码等,价格范围一般是20~ 75美元。这些信息可以使买家对购买到的支付卡进行套现,还可以开展其他各种诈骗计划。

网络犯罪分子也会根据Fullz里包含PII信息来跟踪这个个体的信用积分并设定不同的售价:一旦罪犯拥有一个目标的Fullz,就可以通过通过一个免费的在线信用监控服务使用这个人的姓名、出生日期和社会安全号码来访问个人的信用评分,并评估其财务状况。信用评分700 +的Fullz的售价约为60美元,而信用评分800 +的Fullz的售价通常高达80美元。

深暗网中,Fullz的售价变得更加低廉了,这与最近发生的多起大规模的数据泄漏有关,而这些安全实践大多是由于用户访问控制松懈、密码防护措施薄弱、未能及时为漏洞打补丁、安全意识不足等因素导致的。

然而,Fullz的价格并不能反映出受害者可能遭受的损失,因为有效的利用这些信息还可以实施身份盗窃或其他形式的欺诈行为。近几年数据泄漏日益普遍,影响愈加严重,存储客户数据的组织应当承担巨大责任。

图1:暗网中某一市场上, “CVV Fullz +ATM PIN”售价75美元

图2:暗网中某一市场上, “一套Fullz 信息(包括受害者的出生日期、母亲家的姓氏、账单信息)”售价8美元。

二、漏洞利用工具包(ELK

EXPLOIT KITS,简称ELK,指漏洞利用工具包,通常用于分发有效载荷,如勒索软件、银行木马和其他类型的恶意软件。ELK颇受技术不娴熟的新手的欢迎,能使他们迅速开展网络犯罪活动。攻击者利用ELK可以相对容易地批量地感染目标用户。统计暗网市场中ELK工具的售价,大致范围是80~100美元/天,500~700美元/周,1400~2000美元/月。

与其他的软件程序一样,ELK的价格可以反映出该产品的功能性和时效性。 2016年10月,RIG ELK的作者和供应商以每周700美元的价格出售新版的RIG4 套件,同时还以每周300美元的兜售RIG3套件。与此同时,另一个供应商以50000美元的价格出售RIG ELK的源代码。

ELK一般都是以服务的形式(as-a-service)出租某一特定的时间的,很少作为一种永久性的产品或服务,这使它们更加便利和灵活。ELK工具一般具有自动化和用户体验友好的特性,极大的降低了羽翼未丰的威胁行为者进入网络犯罪市场的壁垒,使之能够在不具备高级的专门知识的情况下发动全面的攻击。

经常更新安全补丁对保护网络和系统有很大的帮助,不过更重要的是,组织必须认识到,某些攻击者可能一直在积极寻求零日漏洞、创建新的ELK,并进一步开发和改进现有漏洞。因此,组织应时刻保持高度的警觉,要求员工参加综合性的安全培训计划以提高安全意识,并积极寻求了解新兴的社会工程策略和恶意软件的机会,这样做可以帮助企业各部门降低被入侵的风险。

三、DDoS租用(DDoS-FOR-HIRE

像ELK一样,暗网市场中提供越来越多的DDoS租用服务(DDoS-FOR-HIRE),大大降低了业务攻击者的进入门槛。通过对暗网中DDoS-FOR-HIRE服务的观察,发现其定价取决于许多因素,而且缺乏明确的趋势,不过这些服务相对而言都很廉价,售价在一定程度上可以反映出DDoS攻击上文规模和可能造成的潜在损害。

僵尸网络(用于执行DDoS攻击、由众多受感染的机器组成的网络)的租金价格在1~27美元。Booter服务(以客户的名义进行DDoS攻击)的价格根据规模而定。一个基本账户的售价在5~30美元之间,这类账户可以发动的攻击规模大小约为1~5千兆每秒,这个规模可能有点小,不足以对大多数目标造成实质性的破坏或长期损害;费用较高的账户,攻击的时间更长,规模更大;高并发的攻击的价格更高。

DDoS出租服务也可以以小时为单位进行兜售。攻击一个普通的网站,通常是每小时10美元,攻击那些使用了基本的DDoS攻击防护措施的网站,通常是每小时25美元。针对政府、军事或银行网站的DDoS攻击的出租服务价格是最昂贵的,每小时100~150美元不等。

发起DDoS攻击的攻击比较复杂多样,可能是为了求的关注,也可能是对电子游戏中作弊行为的报复,或者是简单的以破坏游戏正常运行为乐,此外还有一些更为严重的攻击,如敲诈勒索、政治干预、恶意竞争,甚至网络战。攻击时长和之后所造成的损害取决于攻击的大小、目标的缓解策略和攻击者的动机。虽然DDoS缓解技术不是万无一失的,但它们通常能够有效地防止大多数先进的DDoS攻击。

四、远程桌面协议(RDP

过去的几年中,出售可入侵的RDPs已成为暗网市场中越来越受欢迎的,因为它们可以作为入侵攻击目标的一个原始突破口。

图3:暗网中讨论“RDP”话题的内容在2017年7月达到一个高峰

不考虑国籍、操作系统或其他因素的影响,在暗网中,RDPs的售价一般在10美元左右。

图4:暗网中,有些市场上RDPs的售价约为10美元,有些市场则更贵一些


*注释:关于RDPs内容的详情,可以查阅MottoIN之前发布过的一篇文章《暗网系列之:出售可被入侵的RDP服务器的服务,越来越受网络犯罪分子的欢迎


五、卡片数据和银行日志(CARD DATA & BANK LOGS

许多暗网上的卡片交易市场都出售各类卡片数据(支付卡和信用卡)和转储数据,这些数据的价格差别很大,受多种因素的影响,例如信息的新鲜度、来源、适用地区和卡的到期日期等。根据分析师观察到的结果,一张卡的大致价格介于2~20美元之间,转储数据的价格介于5~100美元之间,关于这两个评估结果,前者比后者更为准确。

卡片信息通常来源于网上交易,包括卡号、有效期和持卡人姓名等信息。转储数据,其中包括Track 1和Track 2的信息,比卡片信息更适于开展欺诈活动,这部分信息往往是直接从POS终端获取到的,途径是恶意软件感染POS或撇销的POS终端。

网络犯罪市场和论坛上也公开出售“银行记录”(可访问的在线银行账户),价格通常取决于银行账户的可用余额,有较高余额的账户售价更高。例如,一个著名的威胁演员出售一个余额为1000美元的银行记录,售价90美元;另一个余额为25000美元的银行记录,售价390美元。

与Fullz一样,尽管卡号信息和银行记录的售价相对很低,但却足以给受害者造成严重的财务损失。

六、美国护照(US PASSPORTS

在暗网市场上销售的非法美国护照主要有三种格式:数字扫描、护照模板和实物证件。其中数据扫描版的美国护照由买方提供的信息创建,价格通常从5美元到65美元不等;护照模板允许买方根据创建自己的数字护照,售价通常在29~89美元之间;实物护照要贵得多,价格介于2980美元到5000美元不等。

在一些较为高端的护照交易中,有时也会包含一些其他的实物证件,如驾驶执照、社会保险卡和/或出生证等。

目前还不清楚在深暗网上这些实物证件的提供者是否是有能力发行真正的美国护照(或是是恶意的内幕人士?),也有可能这些出售的护照仅仅是伪造或变造的证件。

使用虚假护照可用来隐藏身份、实施银行诈骗等金融犯罪、获得社会福利服务、获取国际性的出入境的便利。考虑上以上这些不同的应用场景,这些文件在地下市场进行交易所带来的风险可能因护照的格式和购买它们的行为者的能力和动机而有很大的不同。

图5:一个威胁演员在暗网市场上出售一张定价为65美元的美国护照(扫描件)

图5:一个威胁演员在暗网市场上出售一张定价为2980美元的美国护照(实物文件)

评估

在无数个针对个人和组织的网络和物理威胁中,地下经济将永远发挥着不可或缺的作用。虽然这些暗网市场和地下论坛中交换的非法商品和服务的定价可能是复杂多变的,而且永远带有一些无法释明的差异,但它们的定价却不能体现它们所能造成的潜在损害的成本。换句话说,尽管Fullz、支付卡数据、RDP的登录凭据和其他非法产品在深暗网的售价相对低廉,但这并不意味着它们不能造成实质性的重大损害,最终的结果往往还受攻击者的技能和动机的影响。

最重要的是,发布本报告是为了帮助组织和个人更积极地应对这些非法产品和服务可能带来的网络和物理风险。虽然不可能阻止数据泄露、恶意软件感染、欺诈、身份盗窃等案例的发生,但至少可以保证组织和个人采取了基本的防护措施。例如:保持良好的操作安全;保持良好的密码管理;定期更新软件和系统;及时修复漏洞;提高安全意识并在组织内部积极的推广安全培训工作。

安全建议

MottoIN专注于跟进最新的、有针对性的网络攻击活动,主要提供以下几种安全服务:

  • 及时跟踪国内外最新的APT攻击活动,熟知网络攻击的最新特征,包括攻击者使用的工具、技术和程序,为客户输出有针对性的威胁预警报告;
  • 实时监控地下论坛和暗网中的各类威胁情报,为客户提供专项的数据安全分析报告;
  • 大数据积累,智能预警分析,整合全球范围内活跃的APT组织的相关指标,考虑地缘政治风险和区域内部的各项威胁指标,为客户提供全面的风险评估报告;
  • 提供全面的安全咨询服务,根据客户的需求,提供业内最佳解决方案。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/107162.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code