電腦、網路與竊盜
Kaspersky | 01 Nov, 2006 18:06
http://www.ithome.com.tw/plog/index.php?op...eId=6682&blogId=28

電腦已成為我們日常生活密不可分的一部份。 以電腦儲存資料的使用者與機構日復一日地增加，而資料正是一種財產。 雖然大部分的人都很關心他們在現實生活中的財產，但是對於虛擬世界的財產則往往等閒視之。

使用者大多未能警覺到，也許正有人在打他們的主意。 他們仍一廂情願地以為自己的電腦上沒有吸引網路罪犯的東西，因此他們無須畏懼惡意軟體。 本文將由反面的角度，亦即，由網路罪犯的觀點，來看待這項議題。

近年來，由於新技術的發明與應用，網路犯罪已歷經了相當程度的演化。 時至今日，網路犯罪已不再是業餘的個人所為；此種犯罪已成為有利可圖的行業，並由高度組織化的團體所經營。

據各方面估計，在 2005 年間，網路罪犯已獲利數百億甚至數千億美金，而此金額遠超過整體防毒業界的收益。 當然，這些錢並不單是靠著攻擊使用者與機構所「賺」來的，但此類的攻擊卻是網路罪犯收入一大部分的來源。

本報告包括兩個部分，第一部份將探討針對使用者的攻擊，第二部分則將討論針對機構的攻擊。 第一部份附帶分析何種虛擬財產容易遭網路罪犯的覬覦，以及用來獲取使用者資料的手法。

竊盜
竊取的目標是？
網路竊賊對哪種虛擬財產感興趣？
根據卡巴斯基實驗室病毒分析專家針對惡意程式的研究顯示，有四類虛擬財產最常遭竊。 但在此亦需強調，網路騙徒所偷取的資訊並非僅限於下述之項目。

使用者最常遭竊的資訊包括：
使用金融服務 (網路銀行、信用卡服務、電子貨幣)、線上拍賣網站 (如 eBay) 等所需的資料；
即時訊息 (IM) 與網站密碼
連結至 ICQ 帳號的信箱的密碼，以及電腦上所有的電子郵件位址；
網路遊戲的密碼，其中最受歡迎 (覬覦) 的遊戲有「傳奇」、遊戲橘子的「天堂」，與「魔獸世界」。
只要您在電腦上儲存了任何上述的資訊，您的資料對網路罪犯而言便具有吸引力。

稍後我們將於文中說明這些資料為何會被竊取，以及資料一旦遭竊後的下場 (請參閱「資料遭竊後的用途」一節)。 次節為資訊竊取手法的概觀。

竊取的手法
在大多數的案例中，網路罪犯利用專門的惡意程式或「社交工程」方法來竊取資料。 此兩種方法的結合則能增加其效力。

首先，讓我們來看看用以窺伺使用者動作 (例如，記錄使用者按下的所有按鍵)，或在使用者檔案或系統登錄檔中搜尋特定資料的惡意程式。 這類惡意程式所收集到的資料，最終將送至惡意程式的寫作者或使用者手中，任其為所欲為。

卡巴斯基實驗室將這類程式歸類為木馬間諜程式或木馬-PSW 程式。 下圖顯示此類程式的各種變形在總數上的成長：



圖 1. 用以竊取資料的惡意程式在數量上的增長
間諜程式會經由數種媒介來到受害者的電腦上：使用者參觀的惡意網站、電子郵件、網路聊天室、訊息看板、即時訊息程式等。 在大部分的案例中，「社交工程」方法會與惡意程式一同併用，讓使用者依按網路罪犯的指示進行動作。 其中一例為 Trojan-PSW.Win32.LdPinch 的變形，這是一種常見的木馬程式，用以竊取即時訊息應用程式、信箱、FTP 資源的密碼，以及其他資訊。 在進入電腦後，惡意程式會發送類似以下的訊息

看看這個
<惡意程式的連結>
好康的呦 :-)
大多數的收訊人都會按下連結，然後啟動木馬程式。 這是因為大多數人都信賴 ICQ 送來的訊息，毫不懷疑地相信那是朋友送來的連結。 這正是木馬程式散佈的方式 - 在感染了您的友人的電腦以後，木馬程式就會將自身發送至該名友人的聯絡人清單中所有位址，同時將竊取來的資料傳送給木馬程式的寫作者。

如今，即使是不熟練的病毒寫作者，也能寫出這類程式並結合「社交工程」方法使用，這種現象相當值得憂心。 參見下例：該程式是由英語不太靈光的人所寫作的– Trojan-Spy.Win32.Agent.ih。 啟動後，木馬程式會顯示下圖中的對話視窗



圖 2. 由 Trojan-Spy.Win32.Agent.ih 所顯示的對話視窗
使用者被要求付 1 美元以繼續使用網際網路服務 - 這是典型的「社交工程」手法：
使用者沒有時間考慮；使用者必須在見到訊息的當天就付款
使用者被要求付一筆很小的費用 (在本案例中，只需 1 美元)。 如此將大幅增加願意付費的人數。 當只需付出 1 美元時，很少人會試著去取得額外的資訊；

編出謊言，刺激使用者付費：在本案例中，使用者被告知除非付款，否則其網路使用權將遭停止；
為減少懷疑，訊息看來會像是由 ISP 的系統管理員所發送。 使用者會認為是系統管理員寫了程式，讓使用者透過程式付款，省時省力。 此外，ISP 知道使用者的電子郵件位址，也是合情合理的事。

程式所進行的第一件事，就是讓使用者毫無選擇地輸入其信用卡資料。 因為沒有其他的選項，乖乖聽話的使用者就會按下「Pay credit card」(以信用卡付費)。 接著便會顯示如圖 3 所示的對話方塊：



圖 3. 由 Trojan-Spy.Win32.Agent.ih 所顯示的信用卡資訊對話方塊
當然，使用者就算填完所有欄位，按下「Pay 1 $」(付 1 元)，也不會真的扣款。 然而信用卡資訊卻會透過電子郵件寄送至網路罪犯處。

「社交工程」手法也常獨立於惡意程式外作業，特別是在網路釣魚攻擊中 (亦即針對提供網路金融服務的銀行所屬顧客而進行的攻擊)。 使用者會收到看似銀行寄來的電子郵件。 此類郵件會宣稱顧客的帳戶已遭凍結 (這當然與事實相違)，顧客需進入郵件中的連結並輸入其帳戶詳細資料以使帳戶解凍。 連結經特殊設計，看來會與銀行的網站位址十分相像。 事實上，卻會連結至網路罪犯的網站中。 如果輸入了帳戶詳細資料，網路罪犯便能使用該帳戶。 圖 4 是網路釣魚電子郵件的範例。

[/img]

圖 4. 針對花旗銀行顧客的網路釣魚郵件。
類似的郵件也會藉各種其他組織與機構的名義送出，例如支援服務、社會服務等等。

然而，網路罪犯不只對信用卡資訊有興趣。 他們也想獲得受害者電腦中的電子郵件位址。 要如何竊取這些位址呢？ 由卡巴斯基實驗室歸類為「垃圾郵件工具」的惡意程式在此扮演著重要的角色。 這些程式會掃描受害者電腦中的電子郵件位址，而取得的位址會立即根據預先定義的條件進行篩選，例如設定為忽略那些明顯屬於防毒公司的位址。 接著這些蒐集到的位址便會發送至惡意程式的寫作者/使用者手中。

此外尚有其它將木馬程式植入使用者電腦中的方法，其中有些方法相當無恥。 曾有案例顯示，網路罪犯會付錢讓網站擁有者在前往參觀網站的使用者電腦中載入惡意程式。 iframeDOLLARS.biz 便是此類案例的範例之一：該網站會向網站管理員提供「夥伴方案」，其中牽涉到在網站上放置攻擊碼，如此惡意程式便會下載至參觀網站者的電腦中。 (使用者當然不會知道這件事。) 這些「夥伴」每造成 1,000 筆感染便可獲得 61 美元。

資料遭竊後的用途
無庸置疑地，竊取資料的主要動機就是為了賺錢。 所有遭竊的資訊，到最後不是轉賣給他人，便是直接用來操作帳戶，並以此取得資金。 然而誰需要信用卡資料與電子郵件位址呢？

資料竊盜只是第一步。 接下來，網路罪犯必須從帳戶裡提領金錢，或販售收集到的資訊。 如果攻擊行動收集到用來存取網路銀行系統或電子付款系統的詳細資料，即可透過以下各種方式來獲取金錢：透過一連串的電子匯兌處轉換電子貨幣 (亦即來自某付款系統的金錢) 的種類、使用其他網路罪犯所提供的類似服務，或在線上商店購買貨物。

在許多案例中，洗錢對網路罪犯來說是整起犯罪事件裡最危險的階段，因為他們必須提供可供辨識的資訊，例如貨物的收件地址、銀行帳戶號碼等等。為解決此問題，他們會僱用在俄國網路罪犯黑話中稱為「騾子」或「車手」的個人。 「車手」用於執行例行性的工作，避免網路罪犯在收取金錢或貨物時讓自身曝光。 「車手」本身通常不知道他們工作的真正性質為何。 他們通常是由國際性的公司透過求職網站所僱用。 「車手」甚至還可能擁有簽名蓋印的合約，看來完全合法。 然而，「車手」一旦就逮，且遭執法機關詢問時，通常無法提供與其雇主相關的有效資訊。 其合約與銀行詳細資料總是假造的，企業網站，以及上頭用來聯絡「車手」的電話號碼、郵政地址也是一樣。

目前網路犯罪體系已經成熟，網路罪犯不再需要自己去找「車手」。 在俄國網路罪犯黑話中稱為「車手教練」的人，會為他們提供人手。 當然，這串犯罪鏈中每一個提供服務的環節都要抽取佣金。 但網路罪犯認為花錢買多一分安全是值得的，這主要是因為花的錢原本就不是他們自己賺來的。

至於竊取到的電子郵件位址，則能以好價錢賣給垃圾郵件寄送者，將來用作大規模寄發垃圾信件之用。
關於網路遊戲的方面。 一般的玩家也許會相當關注自己的遊戲帳號所可能發生的事故。 玩家經常用電子貨幣購買虛擬的武器、法術、防具或其他事物。 過去亦存在虛擬資源以現實世界中的數千美元成交的案例。 網路罪犯能獲取這些財富，而無須為其付出，然後再賤價轉賣。 這解釋了用以竊取網路遊戲虛擬財產的惡意程式何以越來越盛行。 舉知名遊戲「傳奇」為例，截至 2006 年 7 月底，用以竊取該遊戲密碼的惡意程式，其已知變種數量就超過 1,300 種。更甚者，最近我們的分析師已開始發現不僅止於攻擊單一遊戲，而是能夠同時攻擊數種遊戲的惡意程式。

詐騙
詐騙是讓使用者心甘情願付錢的手法。 在大多數案例中，詐騙都利用人性貪小便宜的弱點。 商業事務不斷朝向嶄新的領域發展；越來越多的貨物與服務皆可在網路上獲得，每天都有新的促銷活動上市。
罪犯也緊隨著合法商務搶進網路世界，如今正上演著現實世界詐騙事件的網路版本。 這類騙局的鐵則，是以較合法廠商低上許多的價格提供貨物，藉以吸引買家或顧客。 下方圖 5 顯示的，是某家屬於此類型的俄國電子商店網頁的部分畫面：



圖 5. 詐騙網站上的低價筆記型電腦
如圖 5 所示，這些價格低的令人難以置信。 如此的低價位應該會引起使用者懷疑，並且讓他們在這類網站上購物前三思。 為了避免此問題，網路罪犯可能會打著以下的藉口：
沒收貨物特賣；
以失竊信用卡所購買的貨物特賣；
用假名賒帳購買的貨物特賣。
這類解釋當然是極度有問題的。 然而，許多人卻選擇相信這些解釋：他們以為，如果賣家不必為貨物付錢，他們就能便宜販賣貨物。

在訂購時，顧客會被要求付頭期款，有時甚至要預先全額付費。 一旦付款後，很自然地，網路罪犯的電話號碼或電子郵件位址就不會再有任何回應。 而買家當然也沒辦法把錢拿回來。 這種騙局會在不同的環節上變化。 例如在俄國，線上購買的貨物通常會由專門遞送急件的信差送達。 在本案例中，網路罪犯可能藉口說因為信差常送件到沒有訂購貨物的地址，但是電子商店主依然要支付信差工資，因而要求預付運費。 結果網路罪犯會收到運費，而顧客什麼也拿不到。

假線上商店並非使用者面臨的唯一陷阱。 在現實生活中發生的所有詐騙案，在網路世界中都會有相對的翻版。 還有一種網路詐騙案的例子，就是引誘使用者以相當吸引人的報酬率進行投資的「投資計劃案」 – 報酬率高的讓人難以抗拒。 圖 6 是這類「投資」網站的部分畫面：



圖 6. 詐騙的「投資」網站
它所提供的利率當然不需多加置評。 儘管這類騙局有著荒唐可笑的本質，仍然有人會相信這種「投資計劃案」，進行投資，然後白白喪失金錢。

這份清單可說是無窮無盡：新型的假電子貨幣匯兌網站、新型的網路老鼠會 (跟現實世界中的老鼠會詐騙相似)、宣稱某種特殊秘密電子錢包可以讓收到金額變成兩倍或三倍的垃圾信件，以及其它類似的騙局，不論何時總是不斷湧現。 如前述所言，這些詐騙都是利用人性貪小便宜的弱點。

勒索
在 2006 年，一種危險的趨勢逐漸浮上檯面：網路勒索案件正在俄國以及其他獨立國協國家迅速蔓延。 新型的木馬程式 Trojan.Win32.Krotten 於 2006 年 1 月出現；這套木馬程式能修改受害電腦的系統登錄檔，讓使用者無法使用電腦。 電腦重新開機以後，Krotten 會顯示訊息，要求轉帳 25 Hrivnia (烏克蘭貨幣，此金額相當於約 5 美元) 至程式作者的銀行戶頭中，電腦就能恢復正常。 具備電腦素養的使用者能夠自力將修改的項目恢復原狀，或者藉由重新安裝作業系統，擺脫該惡意程式。 然而，其它大多數為了用來勒索而設計的惡意程式系列，則沒那麼容易擺脫，通常「付不付錢」的問題都是以肯定詞來回答的。

Krotten 會偽裝成聳動視聽的程式，宣稱提供免費 VoIP、免費上網、免費使用蜂巢式網路等功能，並透過網路聊天室與訊息看板傳播。

2006 年 1 月 25 日，繼 Trojan.Win32.Krotten 之後，Virus.Win32.GpCode 的第一種變形也出現了。 這套惡意程式會大量寄送，並將硬碟上儲存的資料檔案加密，讓使用者無法解密。 使用者必須付費，資料才能解密。 存有加密資料的資料夾皆出現 readme.txt 檔案，內容為：Some files are coded by RSA method. (部分檔案已透過 RSA 方法編碼。) To buy decoder mail:
xxxxxxx@yandex.ru 這個email住址已經被防垃圾郵件程式保護，您需要啟動Javascript才能觀看
(如需購買解碼程式，郵寄至：
xxxxxxx@yandex.ru 這個email住址已經被防垃圾郵件程式保護，您需要啟動Javascript才能觀看
) with subject: RSA 5 68251593176899861 (主旨為：RSA 5 68251593176899861)
程式作者雖然宣稱是以 RSA 演算法執行加密，但事實上卻使用了標準的對稱式加密方法。 還原資料的工作因此較為簡單。

在短短 6 個月的過程中，GpCode 已有相當程度之發展，使用了不同的、更為複雜的加密演算法。 此程式的不同變種針對資料解密所要求的贖金也各有不同：價格由 30 美元至 70 美元不等。 這些程式都還只是開端。 勒索用途的程式系列總數近年來已攀升 (Daideneg, Schoolboys, Cryzip, MayArchive 與其他種類相繼出現)，程式所影響的地理範圍也漸漸擴大。 迄本年度年中時，已在英國、德國及其他國家發現此類惡意程式。

然而，其它勒索方法仍如同之前一般廣泛地運用。 其中一例是針對 21 歲的英國學生 Alex Tew 的攻擊，這位學生建立網站，販賣由數個像素大小的無數方塊群所組成的廣告空間。 Tew 計劃要用這項不尋常的創意在四個月內賺進一百萬元。 網路罪犯要求這位成功的學生付出一大筆錢，並威脅如果不付錢就要對他的網站發動 DDoS 攻擊。 在收到威脅的三天後，這位學生的網站便受到 DDoS (分散式阻斷服務) 攻擊。 為了他的信譽，他拒絕付款。 但是為何勒索與敲詐行為在網路罪犯間如此盛行呢？ 答案很簡單：受害人本身助長了此等犯行，他們願意屈就於任何要求，好讓他們失去或受損的資料還原。

如何避免淪為網路罪犯的受害者
讀者可能認為這篇文章用意是在嚇唬使用者，並且做出結論，只有防毒程式能保護他們的資料。 但事實上，如果網際網路使用者不採取基本的預防措施，沒有任何的防毒解決方案能夠救得了他們。 以下是能夠協助您避免輕易淪為網路罪犯受害者的建議事項清單：

在進行任何付款動作或輸入個人資料前，先查查看其它使用者對相關網站的評價。 然而，切勿相信網站上的評論，那些評論可能是網路罪犯所寫的。 最好能向您個人所認識的人諮詢意見。

避免在網際網路上送出您的金融卡詳細資料。 如果您需要在網際網路上付款，請使用獨立的金融卡或電子貨幣帳戶，然後在購買前將足額的金額轉至卡片或帳戶中。

如果線上商店、投資基金或其他組織將網站架設在第三級網域上，尤其是架設在免費提供首頁服務的網域上時，便應特別留意。 能夠自重的機構，一定會有足夠的小額經費，用以登錄次級網域。

調查線上商店使用的網域是在何時、何地登錄的，商店本身位於何處，以及其所提供的地址、電話號碼是否為真。 簡單的打一通電話，便能證實或解開您的疑惑，進而同時解決數種問題。 如果網域名稱是一個月前才登錄的，而您卻被告知該公司已經存在於市場上數年，這就值得您仔細調查。

不要預先付款，即使是運費也不行。 當您收到貨物時，再一次付清所有款項。 如果您被告知人們常用錯誤的地址訂購貨物，信差因而無法送貨時，別信這一套。 寧可多小心一些，就算是誤會也無妨，選擇其它的商店，免得上當受騙。

不要回覆銀行、投資基金與其他財務機構的郵件：這類機構絕對不會寄送大量郵件。 如果懷疑，請用電話確認郵件是否真的來自其所宣稱的寄件者。 但切勿使用郵件中提供的電話號碼：如果郵件是由網路罪犯寄出，裡面所給的電話號碼也會是屬於這些罪犯的。

總結
本文第一部份概述最常用來偷取網際網路使用者虛擬財產的方法。 如果您自己不確保財產安全，其他人更不會替您做這件事。 俗話說的好，有備無患，我們希望此處所提供的資訊能派上用場。
本文第二部分談論針對組織機構的類似攻擊，提供統計資訊並審視資訊黑市中的趨勢演變。

資料來源： 卡巴斯基實驗室