电脑、网路与窃盗
Kaspersky | 01 Nov, 2006 18:06
http://www.ithome.com.tw/plog/index.php?op...eId=6682&blogId=28

电脑已成为我们日常生活密不可分的一部份。 以电脑储存资料的使用者与机构日复一日地增加，而资料正是一种财产。 虽然大部分的人都很关心他们在现实生活中的财产，但是对于虚拟世界的财产则往往等闲视之。

使用者大多未能警觉到，也许正有人在打他们的主意。 他们仍一厢情愿地以为自己的电脑上没有吸引网路罪犯的东西，因此他们无须畏惧恶意软体。 本文将由反面的角度，亦即，由网路罪犯的观点，来看待这项议题。

近年来，由于新技术的发明与应用，网路犯罪已历经了相当程度的演化。 时至今日，网路犯罪已不再是业余的个人所为；此种犯罪已成为有利可图的行业，并由高度组织化的团体所经营。

据各方面估计，在 2005 年间，网路罪犯已获利数百亿甚至数千亿美金，而此金额远超过整体防毒业界的收益。 当然，这些钱并不单是靠着攻击使用者与机构所「赚」来的，但此类的攻击却是网路罪犯收入一大部分的来源。

本报告包括两个部分，第一部份将探讨针对使用者的攻击，第二部分则将讨论针对机构的攻击。 第一部份附带分析何种虚拟财产容易遭网路罪犯的觊觎，以及用来获取使用者资料的手法。

窃盗
窃取的目标是？
网路窃贼对哪种虚拟财产感兴趣？
根据卡巴斯基实验室病毒分析专家针对恶意程式的研究显示，有四类虚拟财产最常遭窃。 但在此亦需强调，网路骗徒所偷取的资讯并非仅限于下述之项目。

使用者最常遭窃的资讯包括：
使用金融服务 (网路银行、信用卡服务、电子货币)、线上拍卖网站 (如 eBay) 等所需的资料；
即时讯息 (IM) 与网站密码
连结至 ICQ 帐号的信箱的密码，以及电脑上所有的电子邮件位址；
网路游戏的密码，其中最受欢迎 (觊觎) 的游戏有「传奇」、游戏橘子的「天堂」，与「魔兽世界」。
只要您在电脑上储存了任何上述的资讯，您的资料对网路罪犯而言便具有吸引力。

稍后我们将于文中说明这些资料为何会被窃取，以及资料一旦遭窃后的下场 (请参阅「资料遭窃后的用途」一节)。 次节为资讯窃取手法的概观。

窃取的手法
在大多数的案例中，网路罪犯利用专门的恶意程式或「社交工程」方法来窃取资料。 此两种方法的结合则能增加其效力。

首先，让我们来看看用以窥伺使用者动作 (例如，记录使用者按下的所有按键)，或在使用者档案或系统登录档中搜寻特定资料的恶意程式。 这类恶意程式所收集到的资料，最终将送至恶意程式的写作者或使用者手中，任其为所欲为。

卡巴斯基实验室将这类程式归类为木马间谍程式或木马-PSW 程式。 下图显示此类程式的各种变形在总数上的成长：



图 1. 用以窃取资料的恶意程式在数量上的增长
间谍程式会经由数种媒介来到受害者的电脑上：使用者参观的恶意网站、电子邮件、网路聊天室、讯息看板、即时讯息程式等。 在大部分的案例中，「社交工程」方法会与恶意程式一同并用，让使用者依按网路罪犯的指示进行动作。 其中一例为 Trojan-PSW.Win32.LdPinch 的变形，这是一种常见的木马程式，用以窃取即时讯息应用程式、信箱、FTP 资源的密码，以及其他资讯。 在进入电脑后，恶意程式会发送类似以下的讯息

看看这个
<恶意程式的连结>
好康的呦 :-)
大多数的收讯人都会按下连结，然后启动木马程式。 这是因为大多数人都信赖 ICQ 送来的讯息，毫不怀疑地相信那是朋友送来的连结。 这正是木马程式散布的方式 - 在感染了您的友人的电脑以后，木马程式就会将自身发送至该名友人的联络人清单中所有位址，同时将窃取来的资料传送给木马程式的写作者。

如今，即使是不熟练的病毒写作者，也能写出这类程式并结合「社交工程」方法使用，这种现象相当值得忧心。 参见下例：该程式是由英语不太灵光的人所写作的– Trojan-Spy.Win32.Agent.ih。 启动后，木马程式会显示下图中的对话视窗



图 2. 由 Trojan-Spy.Win32.Agent.ih 所显示的对话视窗
使用者被要求付 1 美元以继续使用网际网路服务 - 这是典型的「社交工程」手法：
使用者没有时间考虑；使用者必须在见到讯息的当天就付款
使用者被要求付一笔很小的费用 (在本案例中，只需 1 美元)。 如此将大幅增加愿意付费的人数。 当只需付出 1 美元时，很少人会试着去取得额外的资讯；

编出谎言，刺激使用者付费：在本案例中，使用者被告知除非付款，否则其网路使用权将遭停止；
为减少怀疑，讯息看来会像是由 ISP 的系统管理员所发送。 使用者会认为是系统管理员写了程式，让使用者透过程式付款，省时省力。 此外，ISP 知道使用者的电子邮件位址，也是合情合理的事。

程式所进行的第一件事，就是让使用者毫无选择地输入其信用卡资料。 因为没有其他的选项，乖乖听话的使用者就会按下「Pay credit card」(以信用卡付费)。 接着便会显示如图 3 所示的对话方块：



图 3. 由 Trojan-Spy.Win32.Agent.ih 所显示的信用卡资讯对话方块
当然，使用者就算填完所有栏位，按下「Pay 1 $」(付 1 元)，也不会真的扣款。 然而信用卡资讯却会透过电子邮件寄送至网路罪犯处。

「社交工程」手法也常独立于恶意程式外作业，特别是在网路钓鱼攻击中 (亦即针对提供网路金融服务的银行所属顾客而进行的攻击)。 使用者会收到看似银行寄来的电子邮件。 此类邮件会宣称顾客的帐户已遭冻结 (这当然与事实相违)，顾客需进入邮件中的连结并输入其帐户详细资料以使帐户解冻。 连结经特殊设计，看来会与银行的网站位址十分相像。 事实上，却会连结至网路罪犯的网站中。 如果输入了帐户详细资料，网路罪犯便能使用该帐户。 图 4 是网路钓鱼电子邮件的范例。

[/img]

图 4. 针对花旗银行顾客的网路钓鱼邮件。
类似的邮件也会藉各种其他组织与机构的名义送出，例如支援服务、社会服务等等。

然而，网路罪犯不只对信用卡资讯有兴趣。 他们也想获得受害者电脑中的电子邮件位址。 要如何窃取这些位址呢？ 由卡巴斯基实验室归类为「垃圾邮件工具」的恶意程式在此扮演着重要的角色。 这些程式会扫描受害者电脑中的电子邮件位址，而取得的位址会立即根据预先定义的条件进行筛选，例如设定为忽略那些明显属于防毒公司的位址。 接着这些搜集到的位址便会发送至恶意程式的写作者/使用者手中。

此外尚有其它将木马程式植入使用者电脑中的方法，其中有些方法相当无耻。 曾有案例显示，网路罪犯会付钱让网站拥有者在前往参观网站的使用者电脑中载入恶意程式。 iframeDOLLARS.biz 便是此类案例的范例之一：该网站会向网站管理员提供「伙伴方案」，其中牵涉到在网站上放置攻击码，如此恶意程式便会下载至参观网站者的电脑中。 (使用者当然不会知道这件事。) 这些「伙伴」每造成 1,000 笔感染便可获得 61 美元。

资料遭窃后的用途
无庸置疑地，窃取资料的主要动机就是为了赚钱。 所有遭窃的资讯，到最后不是转卖给他人，便是直接用来操作帐户，并以此取得资金。 然而谁需要信用卡资料与电子邮件位址呢？

资料窃盗只是第一步。 接下来，网路罪犯必须从帐户里提领金钱，或贩售收集到的资讯。 如果攻击行动收集到用来存取网路银行系统或电子付款系统的详细资料，即可透过以下各种方式来获取金钱：透过一连串的电子汇兑处转换电子货币 (亦即来自某付款系统的金钱) 的种类、使用其他网路罪犯所提供的类似服务，或在线上商店购买货物。

在许多案例中，洗钱对网路罪犯来说是整起犯罪事件里最危险的阶段，因为他们必须提供可供辨识的资讯，例如货物的收件地址、银行帐户号码等等。为解决此问题，他们会雇用在俄国网路罪犯黑话中称为「骡子」或「车手」的个人。 「车手」用于执行例行性的工作，避免网路罪犯在收取金钱或货物时让自身曝光。 「车手」本身通常不知道他们工作的真正性质为何。 他们通常是由国际性的公司透过求职网站所雇用。 「车手」甚至还可能拥有签名盖印的合约，看来完全合法。 然而，「车手」一旦就逮，且遭执法机关询问时，通常无法提供与其雇主相关的有效资讯。 其合约与银行详细资料总是假造的，企业网站，以及上头用来联络「车手」的电话号码、邮政地址也是一样。

目前网路犯罪体系已经成熟，网路罪犯不再需要自己去找「车手」。 在俄国网路罪犯黑话中称为「车手教练」的人，会为他们提供人手。 当然，这串犯罪链中每一个提供服务的环节都要抽取佣金。 但网路罪犯认为花钱买多一分安全是值得的，这主要是因为花的钱原本就不是他们自己赚来的。

至于窃取到的电子邮件位址，则能以好价钱卖给垃圾邮件寄送者，将来用作大规模寄发垃圾信件之用。
关于网路游戏的方面。 一般的玩家也许会相当关注自己的游戏帐号所可能发生的事故。 玩家经常用电子货币购买虚拟的武器、法术、防具或其他事物。 过去亦存在虚拟资源以现实世界中的数千美元成交的案例。 网路罪犯能获取这些财富，而无须为其付出，然后再贱价转卖。 这解释了用以窃取网路游戏虚拟财产的恶意程式何以越来越盛行。 举知名游戏「传奇」为例，截至 2006 年 7 月底，用以窃取该游戏密码的恶意程式，其已知变种数量就超过 1,300 种。更甚者，最近我们的分析师已开始发现不仅止于攻击单一游戏，而是能够同时攻击数种游戏的恶意程式。

诈骗
诈骗是让使用者心甘情愿付钱的手法。 在大多数案例中，诈骗都利用人性贪小便宜的弱点。 商业事务不断朝向崭新的领域发展；越来越多的货物与服务皆可在网路上获得，每天都有新的促销活动上市。
罪犯也紧随着合法商务抢进网路世界，如今正上演着现实世界诈骗事件的网路版本。 这类骗局的铁则，是以较合法厂商低上许多的价格提供货物，藉以吸引买家或顾客。 下方图 5 显示的，是某家属于此类型的俄国电子商店网页的部分画面：



图 5. 诈骗网站上的低价笔记型电脑
如图 5 所示，这些价格低的令人难以置信。 如此的低价位应该会引起使用者怀疑，并且让他们在这类网站上购物前三思。 为了避免此问题，网路罪犯可能会打着以下的藉口：
没收货物特卖；
以失窃信用卡所购买的货物特卖；
用假名赊帐购买的货物特卖。
这类解释当然是极度有问题的。 然而，许多人却选择相信这些解释：他们以为，如果卖家不必为货物付钱，他们就能便宜贩卖货物。

在订购时，顾客会被要求付头期款，有时甚至要预先全额付费。 一旦付款后，很自然地，网路罪犯的电话号码或电子邮件位址就不会再有任何回应。 而买家当然也没办法把钱拿回来。 这种骗局会在不同的环节上变化。 例如在俄国，线上购买的货物通常会由专门递送急件的信差送达。 在本案例中，网路罪犯可能藉口说因为信差常送件到没有订购货物的地址，但是电子商店主依然要支付信差工资，因而要求预付运费。 结果网路罪犯会收到运费，而顾客什么也拿不到。

假线上商店并非使用者面临的唯一陷阱。 在现实生活中发生的所有诈骗案，在网路世界中都会有相对的翻版。 还有一种网路诈骗案的例子，就是引诱使用者以相当吸引人的报酬率进行投资的「投资计划案」 – 报酬率高的让人难以抗拒。 图 6 是这类「投资」网站的部分画面：



图 6. 诈骗的「投资」网站
它所提供的利率当然不需多加置评。 尽管这类骗局有着荒唐可笑的本质，仍然有人会相信这种「投资计划案」，进行投资，然后白白丧失金钱。

这份清单可说是无穷无尽：新型的假电子货币汇兑网站、新型的网路老鼠会 (跟现实世界中的老鼠会诈骗相似)、宣称某种特殊秘密电子钱包可以让收到金额变成两倍或三倍的垃圾信件，以及其它类似的骗局，不论何时总是不断涌现。 如前述所言，这些诈骗都是利用人性贪小便宜的弱点。

勒索
在 2006 年，一种危险的趋势逐渐浮上台面：网路勒索案件正在俄国以及其他独立国协国家迅速蔓延。 新型的木马程式 Trojan.Win32.Krotten 于 2006 年 1 月出现；这套木马程式能修改受害电脑的系统登录档，让使用者无法使用电脑。 电脑重新开机以后，Krotten 会显示讯息，要求转帐 25 Hrivnia (乌克兰货币，此金额相当于约 5 美元) 至程式作者的银行户头中，电脑就能恢复正常。 具备电脑素养的使用者能够自力将修改的项目恢复原状，或者藉由重新安装作业系统，摆脱该恶意程式。 然而，其它大多数为了用来勒索而设计的恶意程式系列，则没那么容易摆脱，通常「付不付钱」的问题都是以肯定词来回答的。

Krotten 会伪装成耸动视听的程式，宣称提供免费 VoIP、免费上网、免费使用蜂巢式网路等功能，并透过网路聊天室与讯息看板传播。

2006 年 1 月 25 日，继 Trojan.Win32.Krotten 之后，Virus.Win32.GpCode 的第一种变形也出现了。 这套恶意程式会大量寄送，并将硬碟上储存的资料档案加密，让使用者无法解密。 使用者必须付费，资料才能解密。 存有加密资料的资料夹皆出现 readme.txt 档案，内容为：Some files are coded by RSA method. (部分档案已透过 RSA 方法编码。) To buy decoder mail:
xxxxxxx@yandex.ru 这个email住址已经被防垃圾邮件程式保护，您需要启动Javascript才能观看
(如需购买解码程式，邮寄至：
xxxxxxx@yandex.ru 这个email住址已经被防垃圾邮件程式保护，您需要启动Javascript才能观看
) with subject: RSA 5 68251593176899861 (主旨为：RSA 5 68251593176899861)
程式作者虽然宣称是以 RSA 演算法执行加密，但事实上却使用了标准的对称式加密方法。 还原资料的工作因此较为简单。

在短短 6 个月的过程中，GpCode 已有相当程度之发展，使用了不同的、更为复杂的加密演算法。 此程式的不同变种针对资料解密所要求的赎金也各有不同：价格由 30 美元至 70 美元不等。 这些程式都还只是开端。 勒索用途的程式系列总数近年来已攀升 (Daideneg, Schoolboys, Cryzip, MayArchive 与其他种类相继出现)，程式所影响的地理范围也渐渐扩大。 迄本年度年中时，已在英国、德国及其他国家发现此类恶意程式。

然而，其它勒索方法仍如同之前一般广泛地运用。 其中一例是针对 21 岁的英国学生 Alex Tew 的攻击，这位学生建立网站，贩卖由数个像素大小的无数方块群所组成的广告空间。 Tew 计划要用这项不寻常的创意在四个月内赚进一百万元。 网路罪犯要求这位成功的学生付出一大笔钱，并威胁如果不付钱就要对他的网站发动 DDoS 攻击。 在收到威胁的三天后，这位学生的网站便受到 DDoS (分散式阻断服务) 攻击。 为了他的信誉，他拒绝付款。 但是为何勒索与敲诈行为在网路罪犯间如此盛行呢？ 答案很简单：受害人本身助长了此等犯行，他们愿意屈就于任何要求，好让他们失去或受损的资料还原。

如何避免沦为网路罪犯的受害者
读者可能认为这篇文章用意是在吓唬使用者，并且做出结论，只有防毒程式能保护他们的资料。 但事实上，如果网际网路使用者不采取基本的预防措施，没有任何的防毒解决方案能够救得了他们。 以下是能够协助您避免轻易沦为网路罪犯受害者的建议事项清单：

在进行任何付款动作或输入个人资料前，先查查看其它使用者对相关网站的评价。 然而，切勿相信网站上的评论，那些评论可能是网路罪犯所写的。 最好能向您个人所认识的人谘询意见。

避免在网际网路上送出您的金融卡详细资料。 如果您需要在网际网路上付款，请使用独立的金融卡或电子货币帐户，然后在购买前将足额的金额转至卡片或帐户中。

如果线上商店、投资基金或其他组织将网站架设在第三级网域上，尤其是架设在免费提供首页服务的网域上时，便应特别留意。 能够自重的机构，一定会有足够的小额经费，用以登录次级网域。

调查线上商店使用的网域是在何时、何地登录的，商店本身位于何处，以及其所提供的地址、电话号码是否为真。 简单的打一通电话，便能证实或解开您的疑惑，进而同时解决数种问题。 如果网域名称是一个月前才登录的，而您却被告知该公司已经存在于市场上数年，这就值得您仔细调查。

不要预先付款，即使是运费也不行。 当您收到货物时，再一次付清所有款项。 如果您被告知人们常用错误的地址订购货物，信差因而无法送货时，别信这一套。 宁可多小心一些，就算是误会也无妨，选择其它的商店，免得上当受骗。

不要回覆银行、投资基金与其他财务机构的邮件：这类机构绝对不会寄送大量邮件。 如果怀疑，请用电话确认邮件是否真的来自其所宣称的寄件者。 但切勿使用邮件中提供的电话号码：如果邮件是由网路罪犯寄出，里面所给的电话号码也会是属于这些罪犯的。

总结
本文第一部份概述最常用来偷取网际网路使用者虚拟财产的方法。 如果您自己不确保财产安全，其他人更不会替您做这件事。 俗话说的好，有备无患，我们希望此处所提供的资讯能派上用场。
本文第二部分谈论针对组织机构的类似攻击，提供统计资讯并审视资讯黑市中的趋势演变。

资料来源： 卡巴斯基实验室