文/Larry Greenemeier,J. Nicholas Hoover 译/赵红权
通过花样翻新的攻击手段,被盗的消费者数据已在互联网上传播,并在黑市网站和聊天室中待价而沽。
零售商TJX公司近日表示,该公司于去年12月发现,其用于存储信用卡、借记卡、支票以及退货交易数据的计算机系统被黑客攻破。但维萨国际组织 (Visa)的安全官员称,他们发现,自去年11月中旬以来,针对与TJX资产相关的信用卡和借记卡的欺诈行为与日俱增,其中包括该公司旗下的 T.J.Mazz、Marshalls和HomeGoods等商店。这意味着被盗的消费者数据很可能已在互联网上传播,并在黑市网站和聊天室中待价而沽,而且为时至少已有2个月的时间了。
虽然独立黑客依然存在(请原谅,在此我们仍然以外行的眼光来看待黑客)。但美国联邦调查局(FBI)在形形色色的黑客社区中发现了货真价实的有组织犯罪,特别是在东欧,该局仅次于反恐和情报的第三大部门——网络犯罪科的特别情报人员克里斯·斯汤戈尔(Chris Stangl)指出,“在那个世界中,你会发现专职攻击计算机系统的黑客、收集数据的人以及靠倒卖数据赚钱的人。”“黑客经济”的花招也在不断创新。
恶意软件已成“大气候”
黑客经济中的重要社区是诸如病毒、蠕虫和特洛伊木马程序等恶意软件。正是这些臭名昭著的漏洞攻击给黑客提供了长驱直入企业系统的“入场券”。
互联网安全系统公司(Internet Security Systems)在最近发布的一份报告中警告说,“漏洞攻击服务”(Exploits-as-a-Service)产业正在“蓬勃”兴起,这一产业甚至具备了与计算机行业的合法生产渠道近似的庞杂的制造和分销网络。该报告指出,“管理漏洞攻击提供商开始秘密收购漏洞攻击代码,然后对之进行加密,以防止盗版,再以天价卖给垃圾邮件销售商。”
与任何市场经济一样,多数贵重物品都价值不菲。去年12月,有人发现,微软公司(Microsoft,下称微软)最近发布的Windows Vista操作系统中的一个漏洞在罗马尼亚的一个网络论坛上被标以5万美元的高价,安全厂商趋势科技公司(Trend Micro)的首席技术官(CTO)莱蒙德·吉恩(Raimund Genes)分析道。他还称,2005年,恶意软件业的收入甚至超过了合法信息安全厂商260亿美元的营收额。
如此的大笔收入自然也吸引着重量级的犯罪。零时间漏洞攻击(Zero-Day Exploit)是指一旦漏洞被发现后,黑客抢在厂商发布相应的补丁软件之前,即利用安全漏洞实施攻击。吉恩还透露说,去年,零时间漏洞攻击的售价已高达每个漏洞2万~3万美元。
网络钓鱼大行其道
一位网名为RSnake的网络应用安全咨询顾问表示,网络钓鱼可谓另外一项增长迅速的地下业务,这类公司通常雇佣大量采用不同技术的人。这些 “垃圾邮件制造者”会迅速浏览整个网络,搜寻可以卖给“黑客”的电子邮件地址,这些黑客的职责是搜索可以利用的安全漏洞,以创建网络钓鱼网站,他们还会告诉垃圾邮件制造者,以其名义将网络钓鱼电子邮件发往何处。与此同时,靠伪造信用卡信息渔利的人再买下黑客偷来的信息,以创建假冒的信用卡和借记卡,并以之将钱盗出或将卡卖给其他罪犯。当然,也有一人身兼数职的网络罪犯,RSnake补充道。
公共和私人合作组织反垃圾工作组(Anti-Phishing Working Group)表示,网络钓鱼诈骗犯所采用的工具的复杂性也不可同日而语。该工作组去年12月的报告显示,仅当月一个月网络钓鱼罪犯使用的 Keylogger和特洛伊木马中的新变种就有340个之多,创下历史最高记录。该报告还指出,如此的繁殖速度,主要原因在于罪犯们现在能“更娴熟地利用软件工具自动创建和测试新变种。”
他们之所以有机可乘,还有其他原因:这些工具一般出自IT本领高强的东欧人之手,他们以创建自动网络钓鱼程序和垃圾邮件引擎而闻名, RSnake指出。“我认识一些非常年轻的东欧人,也就20多岁。”他介绍说,“他们中有些人受过正规教育,另外一些人没有。有些人生活在罗马尼亚等国家,那里的互联网流量要比美国的某些企业高。过去10年来,这些人即生长于互联网时代,而他们所在国家的法律没有美国等世界其他国家和地区严格。”
复杂的IT并非网络钓鱼交易所仰仗的唯一工具。听起来有些令人难以置信:尼日利亚的“419”垃圾邮件制造者至今仍然在继续欺诈那些轻易上当的电子邮件用户。这些电子邮件通常这样开头:“我需要你的帮助,”接着描述自己的处境:需要将一大笔钱从一个国家抢救出来或者转移到另外一个国家。这被称作 “垫款费”请求,因为这些垃圾邮件制造者请求受骗者邮寄现款以凑足资金,并承诺将提供丰厚的回报。在这里,“419”指的是尼日利亚犯罪代码中的欺诈部分。
今年一月,美国密歇根州阿尔科纳县(Alcona County)的前财务主管即被指控擅自挪用120万美元的公款,并已被逮捕,据悉他至少将120万美元中的部分拨给了臭名昭著的尼日利亚电子邮件垃圾制造者。美国联邦贸易委员会(Federal Trade Commission)在其网站上公布了如下警告:“如果你收到来自某人的电子邮件,声称需要你的帮助,以从尼日利亚或其他任一国家抢救一笔钱出来,请将邮件转发给联邦贸易委员会spam@uce.gov。”
炒股诈骗依然风行
今年1月25日,美国证券交易委员会(SEC)指控佛罗里达州一名21岁的男子非法侵入大量在线经纪人账户,并提取了这些账户中的钱款。有关调查人员表示,佛罗里达州坦帕市的阿莱克西·卡玛丁(Aleksey Kamardin)于去年夏天的5周内,攻破了嘉信理财公司(Charles Schwab)、电子交易金融公司(E-Trade)、摩根大通公司(JPMorgan Chase)、TD Ameritrade公司以及其他在线经纪公司等多家机构的多个账户,并利用其中的资金购买那些股票交易市场上畅销的股票,赚取了8.2万多美元。但是,这类行为却造成了一种假象,看似是合法交易量的增加导致了股票价格的上涨。当卡玛丁接着抛售他早先买的股票时,其他合法投资者会发现股票价格直线下降,调查人员进一步分析道。
这种“炒股诈骗”(Pump-and-Dump)手段并非什么新鲜把戏。在这些案例中,窃贼会利用在开曼群岛或者其他离岸地点开设的账户投资廉价股票,因为可以在这些地方匿名开设账户。就像在卡玛丁案中发生的情形一样,一旦窃贼购买或盗窃了身份信息,他们即可建立假冒账户或者大量购买廉价股票,从而导致股价飞速飙升。
而金融服务机构对这种情形则难断虚实。“他们并不打算阻止人们进行交易,因此,由于这些假冒账户的存在,金融服务机构在做生意时要冒相当的风险。”RSA消费者解决方案部门市场总监马克·盖凡(Marc Gaffan)认为。他还表示,由于交易定单具有极强的时效性,因此很难对之进行仔细核查。投资者会因为延迟提交定单而损失投资,并因此而丧失与某家特定的公司做生意的兴趣。去年,E-Trade即亲身经历了这种进退维谷的两难境地,当时,该公司的一台计算机由于被攻破而门户大开,网络攻击者长驱直入,对公司客户大肆上演炒股欺诈伎俩,该欺诈行为最终导致E-Trade当年第三季度损失了1,800万美元。