暗网系列之:网络犯罪分子滥用平台奖励积分

背景介绍

暗网上,网络犯罪分子想要窃取的数据不仅局限于个人身份信息和财务信息,最近,在几个论坛上观察到一些关于网上平台奖励积分项目的讨论,尤其是一些与旅行相关的平台是犯罪分子们最感兴趣的目标。

这些讨论与网络罪犯分子对酒店、机票和汽车租赁领域的欺诈服务的兴趣是一致的。通过持续的观察可以知道,在过去的几年时间里,这类欺诈服务已经逐渐在各种地下社区蔓延开来。

威胁行动者在首次提供这类非法的“订票服务”时,可以获得各种类型的旅游奖励积分。这也吸引了攻击者试图去入侵那些拥有各种奖励积分卡的用户的账户,攻击者利用这些积分可以在线完成诸如订购机票、车票,预定酒店和租车等服务。

俄语的暗网市场和地下论坛

在暗网和地下论坛中,这类积分滥用服务相当泛滥。例如,在一个准入门槛较低、级别也较低的俄语论坛上,成员们甚至建立了兴趣小组,专门致力于实施针对酒店领域的网络犯罪。在其中,我们观察到有一名成员从2014年12月开始就在两个层次较低的论坛上宣传他们团队的旅行预订服务。使用他们的服务,用户可以订购世界上任何地方的机票;唯一的限制是在俄罗斯境内没有国内航班。购买这些服务的用户还会分享他们的旅行照片以示感谢。

图1:游客晒出了一张旅行照片,使用了某个俄语“订购代理”机构的订购服务,便签上注明了提供非法服务的供应商的信息(已打马赛克)

英语和西班牙语的暗网市场和地下论坛

在地下网络犯罪经济中,除了使用俄语的暗网市场和地下论坛之外,在一些英语和西班牙语的暗网市场和地下论坛中,也存在奖励积分滥用的服务。曾经知名的AlphaBay市场上,从2015年3月起就出现了类似的非法订票服务。这类服务的市场很大,用户需求量相当可观,我们跟踪了一个提供酒店预订和汽车租赁服务的供应商,在2015年3月和2016年12月这段时间内,一共吸纳了3601个客户。受利益驱动的影响,从2016年9月开始,至少有一个活跃在俄语地下论坛的供应商将业务扩展到了AlphaBay市场上。

如今,在英语暗网市场上这类奖励积分滥用服务的应用越来越广泛了。

图2:一家使用英语的机票订购供应商,提供包括需要身份证件和不需要身份证件的订票服务

在一个使用西班牙语的暗网市场上,有一家非法的“旅行代购”机构(现在已经被撤除)曾经借助奖励积分滥用服务牟取了暴利,供应商提供提供预定打折机票、预定航班、预订五星级酒店、租车、邮轮、度假等与旅游活动相关的一系列服务。允许甚至鼓励客户使用自己的身份信息订购这些服务,预定的时间范围宽泛,可以提前一个月,也可以提前一小时,面向全球任何地方。与前文所述的俄语供应商一样,这个西班牙语的“机构”也不提供预订任何国内航班的服务,他们称这么做油水太少了。此外,供应商对预定酒店的总费用有一定的限制,只提供总费用超过200美元的酒店的预定服务。有趣的是,在价格参考方面,供应商主要是基于旅游网站上公布的预定酒店的价格。

值得强调的是,滥用奖励积分的途径不仅仅在于旅行相关的服务,网络犯罪分子利用窃取到的奖励积分,还可以购买各种礼品卡,进一步的转售,从而获利。在AlphaBay市场上,有些供应商提供各种面额的礼品卡,可以在各大连锁零售店和餐馆使用。

攻击链分析

各类暴力破解软件为网络犯罪分子滥用奖励积分提供了便利,攻击者对目标网站上的用户的密码进行暴力破解,成功获取到登录凭据后,就可以访问与受损帐户相关的任何奖励积分。这类黑客工具的发展和窃取凭据的黑客攻击之间存在一种共生关系。

图3:暴力破解工具的操作界面(示例)

图4:过去几年中在深暗网中对涉及关键词 “rewards points”(即“奖励积分”,绿色线条表示)和“non-carded”(即“不需要身份证明信息”,蓝色线条表示)的监控结果。

由上图可知,2017年2月提到“rewards points”的人数达到了高峰;2017年3月谈及“non-carded”的人数达到了高峰。

结论

预计在暗网市场和地下论坛中,滥用奖励积分的交易将会继续发展。

对于企业和日常消费者而言,为了尽可能地减少这种威胁带来的损害,有必要实行严格的密码管理措施。由于网络犯罪分子通常会使用暴力破解工具突破用户的账户进而获取这些奖励积分,因此在账户安全防护方面,应遵循一些最佳安全实践,如限定密码的复杂度、开启二次认证等。

除此之外,对于企业而言,一旦发生了大规模的数据泄漏事件,如何快速的感知并妥善的的处理,真正的做到对用户负责,就不仅仅是一个技术范畴的问题了。

安全建议

MottoIN专注于跟进最新的、有针对性的网络攻击活动,主要提供以下几种安全服务:

  • 及时跟踪国内外最新的APT攻击活动,熟知网络攻击的最新特征,包括攻击者使用的工具、技术和程序,为客户输出有针对性的威胁预警报告;
  • 实时监控地下论坛和暗网中的各类威胁情报,为客户提供专项的数据安全分析报告;
  • 大数据积累,智能预警分析,整合全球范围内活跃的APT组织的相关指标,考虑地缘政治风险和区域内部的各项威胁指标,为客户提供全面的风险评估报告;
  • 提供全面的安全咨询服务,根据客户的需求,提供业内最佳解决方案。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/107207.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code