研究报告：网络犯罪所造成的经济损失(3)

发布时间:2018-02-26 16:16 作者:James Lewis 来源:McAfee 点击:加载中...次

　　四、金融网络犯罪

银行仍然是高水平网络犯罪分子最热衷的攻击对象，并且这一现象已经维持了至少十年。不同于欺诈和公然盗窃，网络犯罪给金融机构带来了巨大的损失。一份报告称，银行在网络安全方面的支出是非金融机构的三倍，并且银行监管机构就网络犯罪对金融稳定性造成的“系统”风险已经达成了一致。若试图进一步理解金融网络犯罪，我们需要重点关注某三个国家。

由于国家支持大规模的预算，引入大量人才，能够提供司法保护，因此国家已经成为网络犯罪中最危险的源头.CSIS认为，俄罗斯，北朝鲜和伊朗这三个国家在金融机构网络犯罪活动中最为活跃，而间谍活动的翘楚则是中国。伊朗的目标则带有强效及高压特性，比如他们会利用分布式拒绝服务攻击(DDoS)攻击来打击美国的主要银行。

CSIS认为，就网络犯罪而言，影响力最大的两个主要国家是俄罗斯和北朝鲜。他们通过攻击银行以牟利。某个前NSA副局长于3月份公开表示，某些国家正在通过网络抢劫银行。他指的正是2015年至2016年期间，利用SWIFT网络实施的针对数十家银行的网络犯罪活动。通过提交虚拟交易口令，位于发展中国家银行的数千万美元被盗。安全研究员认为此次攻击与北朝鲜侦察总局(RGB)有关联。这次攻击为北朝鲜拓宽了其极为有限的外汇获取渠道。

另外，北朝鲜还企图通过窃取加密货币以资助国内政权。仅2017年一年，韩国至少有3家加密货币交易所被北朝鲜黑客列为网络攻击目标。对北朝鲜而言，加密货币非常有价值，他们可以利用比特币的匿名性来规避国家制裁。一些研究人员推测，北朝鲜犯罪分子也参与了攻击行动。他们试图在被攻陷的电脑上秘密安装比特币挖矿软件以窃取加密货币。平壤科技大学已经为学习计算机科学的学生增设比特币和区块链技术的相关课程，这恰好能够证明北朝鲜对加密货币的浓厚兴趣。

由于主要的国际金融机构大多斥资在防御，反欺诈和交易认证方面，技术较先进的国家和有组织的犯罪团体已经将目标转向了防御网络中的“间隙”，试图利用全球金融网络的脆弱点来实施大规模的犯罪。北朝鲜通过SWIFT网络窃取金钱的行动就是一个很典型的案例。由于从单一西方国家大型银行实施大规模窃取的难度较大，RGB将目标转向了小型的，网络防护不完善的，位于发展中国家的银行，例如孟加拉，越南和厄瓜多尔。在攻陷这些银行的网络系统之后，他们利用受害者的银行凭证向位于其他国家的大银行发送类似合法SWIFT的资金转移请求。由于这些请求是合作银行通过已建连通道发送的，因此对于接受请求的银行而言是合法的。这导致了部分资金发生了转移。

CSIS认为俄罗斯在网络犯罪方面处于领导地位，主要反映在黑客社区的能力以及对西方执法的蔑视态度上。俄罗斯与其犯罪组织之间有着复杂而密切的关联，为高级黑客提供了犯罪的温床，特别是针对金融部门实施的网络犯罪。目前世界上网络犯罪技能最娴熟的黑客就居住于俄罗斯，只要他们避开可能被逮捕的国家，就能在一定程度上免于被起诉。例如，一位黑客在俄罗斯情报机构的要求下对雅虎实施网络攻击，获取数百万的账户权限，并将PII信息转移至俄罗斯政府，同时他还利用窃取的数据进行垃圾邮件与信用卡欺诈，以谋取个人利益。

上述这些国家的黑客，无论他们是否隶属于国家，都是全球网络犯罪的主要源头。除非这些国家不再支持黑客行动，或者通过执法对犯罪黑客实施制裁，否则，网络犯罪将仍是一个重大的国际问题。

　　五、勒索软件

勒索软件是发展最为迅速的网络犯罪形式。勒索软件的受害者包括大型公司，中小企业，以及个人消费者。虽然个人的赎金较低，通常为200美元，但实施犯罪的成本低廉，且能够在攻击面达数千个目标的同时避开被逮捕的危险。这正是这类网络犯罪发展如此迅速的原因。尽管许多受害者不愿意支付赎金，这仍是一笔有利可图的买卖.FBI调查研究称，2015年年全年的赎金总额为2400万美元，而2016年第一季度的赎金总额高达2.09亿美元。究竟是何种原因促成了如此爆炸式的增长呢?

勒索软件最开始通过邮件以及软盘进行传播，编造谎言声称可以评估个体感染艾滋的风险，邀请受害者参与社会调研。当软盘被插入主机后，软件将直接锁定计算机，并要求受害者将189元美金寄给位于巴拿马的一个邮政信箱。自此以后，勒索软件变得越发复杂，已经由手工开发转向了大众市场。截止2015年，勒索软件通常由犯罪组织自己编写并实施犯罪活动。从2012年至2015年，33款勒索软件被发布，但这个数字在2016年翻了一倍，可使用的新的勒索软件系列产品高达70款。

我们可以看到，勒索软件正在被商业化。仅需几美元，你就可以获取勒索软件的一站式工具包，其中专业产品的售价为3000美金。购买一款勒索软件安装包的中位数成本仅仅为10美金，如此低廉的价格为黑客实施勒索攻击提供了极大的便利。目前，已经有超过6000个在线犯罪平台正在销售勒索软件相关产品和服务，且能够提供超过45000种不同的产品。

随着勒索软件套件的迅速普及，逐渐衍生出一种勒索软件即服务(勒索-作为一种服务，RAAS)的概念.RaaS允许勒索软件的作者与其他网络犯罪分子共享代码，这极大地扩宽了这些勒索软件的潜在影响范围。不同于单个个体或组织开发勒索软件后自行发布的过程，RAAS模型允许勒索软件的作者设置平台，便于其他使用者将软件部署到个人的目标列表中。通常情况下，勒索软件的作者会削减赎金的价格，但部分作者可能会收取预付费用，或根据输入指令以及取得服务器控制权的时间长短来收费。电子邮件仍然是最受欢迎的攻击目标计算机的载体。这意味着只要通过暗网获取RAAS产品，但凡能够成功发起钓鱼攻击的攻击者，就能通过勒索软件轻松获利。正是这种易用性推动了勒索软件产业的快速增长，只要仍然有受害者愿意支付赎金，网络犯罪分子就将继续向勒索软件产品。

另一个新兴趋势为勒索软件蠕虫，它们通过网络进行传播，能够通过最初感染目标的大面积感染受害计算机.WannaCry事件展示了这类蠕虫病毒的工作原理，并且这类攻击事件未来可能会越来越多。新式的勒索软件攻击将具备更强的渗透能力，在窃取目标文件的同时锁定用户账号。现在，由于全球范围内存在大量的安防性能低下的无线通信设备，勒索软件已将攻击矛头指向了移动系统终端，安卓勒索软件套件已然出现在了流通市场上。物联网设备由于缺乏安全保护，极有可能成为下一步被攻击的目标，尤其是工业物联网设备，在犯罪分子眼里将是潜在的待宰肥羊。

　　六、网络犯罪即服务(网络犯罪-作为一种服务，CAAS)

在过去的20年里，我们可以发现网络犯罪变得越发专业化和复杂化。网络犯罪拥有繁盛的市场，可为有犯罪倾向的分子提供一系列的工具和服务。从诸如漏洞利用套装和定制恶意软件等产品到诸如僵尸网络租赁和勒索软件分发等服务，网络犯罪产品的多样化和数量已达到了历史的巅峰。这导致了网络犯罪的危害性同时在水平和纵深方面延伸。由于新工具和平台易于获取，且参与者无需具备先进技术能力，这导致了大量新生的犯罪分子参与进了网络犯罪的行列。与此同时，经验丰富的犯罪分子得以聚焦于开发更专业的产品，并且能够通过繁盛的暗网生态系统寻找志同道合的人员完善服务或共同开发出前所未有的复杂犯罪工具。

网络犯罪的生态系统始终在持续演变，复杂性也持续提升，从而能够适应不断新增的犯罪分子和新推出的审查监督制度。由于执法行动的威胁，大多数网络犯罪活动转移进入暗网，洋葱路由和比特币的匿名性确保了犯罪分子的身份不易被识别。在这些社区中谈信任是不切实际的，这就导致一些市场推出托管支付系统以促进高风险交易，并且促使部分销售者为产品提供服务支撑和退款保证。市场变得越发层次化，高级犯罪分子倾向于选择专业的讨论区，以此避开警察和诈骗分子的威胁。除此之外，一个繁盛的网络犯罪经济体正从这些社区中诞生，它能提供从产品开发到技术支持，分发，质量保障，甚至于桌面支持等服务。

网络犯罪分子越来越依靠Tor以维持匿名性.Tor是洋葱路由器(Onion Router)的缩写，它允许用户加密自身流量，通过多个随机中继路由访问目的网站，从而达到了匿名浏览互联网的目的。这一过程使得执法机构几乎不可能跟踪用户或者确定网站的访问者身份。尽管托尔可以确保用户匿名访问维基百科或YouTube的等普通网站，但它对于犯罪分子而言最大的价值在于能够在暗网上访问“ dot.onion”等特殊的地址，而这些地址则是大多数互联网地下市场的主页。

截止2017年6月，欧洲刑警组织发现Tor的网络拥有超过220万用户，以及近6万个独有的洋葱域名。研究人员对于Tor的网络上非法流量占比的意见无法统一，但最近的一项研究表明约有57%的洋葱网站存在非法内容。尽管部分执法行动已经成功利用的Tor网络的漏洞依法取缔了儿童色情网站，但Tor的网络仍然被认为是对抗执法工作的利器。过去成功关闭暗网市场大部分是利用网站管理员的失误，而不是通过Tor的网络本身。

根据FBI调查统计，暗网市场AlphaBay在2017年7月垮台前，已经为超过20万用户提供服务，并拥有4万家供应商。尽管这些社区的参与人数众多，一些执法官员认为，仅有极少部分人需要为大部分最重要的网络犯罪产品负责。2015年，英国国家网络犯罪小组副主任表示，执法部门相信的CaaS经济体背后的工作团队仅有100至200人，且这部分参与者的待遇丰厚。一个研究小组发现，一些犯罪分子仅依靠出售勒索软件工具包，一年的收益就可超过10万美金，这几乎是东欧软件开发商年薪的两倍多。

不同于传统的金融欺诈或身份窃取等网络犯罪，如今的网络犯罪分子获利的方式很多。第一种是研究即服务(Reasearch-作为一种服务)，个体即可为犯罪活动提供“原材料“。这可能包括向恶意软件开发者出售系统漏洞，或者向垃圾邮件发送者拍卖电子邮件地址列表。最近，软件漏洞的出售引起了极大的关注，Shadow Brokers发布了具有争议的订阅方案，使得用户能够访问未经修补的系统漏洞。

自2014年以来，发现的0天漏洞(未被产品供应商检测到)的数量稳步下降，这可能是由于“漏洞奖励”计划促使了漏洞被合法披露，这导致了0天漏洞的价格上涨，其中一部分最有价值的漏洞在暗网市场中的售价超过10万美金。其他一部分网络犯罪分子则专攻通过销售电子邮件数据库来促进网络犯罪活动，例如最近就有犯罪分子以30万美元的价格向几名垃圾邮件发送者出售30亿雅虎账户。

恶意软件研发的一个主要领域是网络注入，将代码片段注入到网页中后，黑客可以获取目标网站的控制权，修改网页以欺骗受害者以泄漏敏感信息。由于网络注入要求较高的专业水准，因此它是恶意软件开发中最有可能被主要网络犯罪团伙外包的阶段之一。

漏洞利用套装是暗网市场上流行的另一类产品，它为网络犯罪新手提供了攻陷各种系统的工具。然而，欧洲刑警组织的工作表明，在过去一年中，漏洞利用套装的普及率已经下降。这是因为顶级产品不再提供支持，而替代品难以维持相同的复杂性或流行度。欧洲刑警组织还指出，由于网络犯罪分子逐渐转向勒索软件和DDoS的这类更易于货币化的工具，未来恶意软件将不再成为威胁。

黑客从日益复杂的网络犯罪经济体中获利的第三种方式是为网络犯罪提供基础设施即服务(基础设施作为一种服务)。该领域的犯罪分子负责为其他犯罪分子实施攻击提供所需要服务和基础设施。这里的基础设施服务包括防弹主机(bulletproof hosting)和僵尸网络租赁。防弹主机可帮助网络犯罪分子避开执法部门的威胁，在互联网上建立网页和服务器。允许网络犯罪分子支付临时访问受感染的计算机网络的费用，并利用这些感染计算机完成从垃圾邮件分发到的DoS攻击的任何网络犯罪。

使用僵尸网络进行的DoS攻击已被大多数网络犯罪分子采纳，是特别经济有效的方式，这些犯罪分子威胁网站所有者关闭网站服务来勒索钱财。研究人员估算表明，一个僵尸网络每天的租金仅需60美元，但它可能给受害组织造成高达72万美金的损失，而控制僵尸网络的黑客在出租服务时的利润率竟超过了70%。由于网络犯罪分子持续利用物联网设备漏洞创建规模更大的网络，僵尸网络的使用在未来几年内仍将持续上涨。物联网僵尸网络带来的危险在2016年得到了清晰的展现，当时大批感染未来恶意软件的物联网僵尸网络攻击了域名提供商的Dyn，向的Twitter，Netflix公司，书签交易和CNN等网站发起了迄今为止最大规模的攻击。

(责任编辑：安博涛)