黑客赚钱是个众所周知的事实,但是,这个行业有多赚钱?黑客们又是怎样进行内部交易以避免互相倾轧?就像与其业务类似的黑手党和地下帮派的精密体系,黑客们也创立了他们自己的极其精密复杂的系统,而且其经营规模也是令人震惊的。
最近信息安全公司 Trustwave 向公众披露了一份关于互联网犯罪弱点的研究报告,研究显示,只要黑客知道怎样操作和向哪里下手,就能迅速敛取大量钱财。据保守估计,哪怕是最初级的黑客也能每月入账数万美元。
做到这一点并不难,入侵和漏洞利用程序售卖的世界中充斥着叫卖程序编码的小贩,黑客生态系统包含租售已做好的漏洞利用途径。这种服务在'克雷格列表'(Craigslist) 之类的网站有售,但只有黑客才能看到。使用这类网站的大多是俄罗斯人或东欧人,进入这些隐匿网络非常困难,因为只有获得其他网络罪犯的信任才可以加入,但一旦挤进这个圈子,即使是黑客新手也可以随意享用的大量恶意服务。
在此举个例子,想向网站注入恶意链接的黑客需要两个步骤:第一,找到登录流行网站的方法以植入恶意链接;第二,借用漏洞将恶意代码注入受害者主机。然后,黑客也许还想让恶意软件不被发现,不管什么样的需求,所有这些服务都是可用的、现成的、在线的,只要你出得起价钱。
地下黑客的运作方式与商业非常相似,想生意开张,你需要有物资和办公场地,这些都是要花钱的。一名黑客在起步之初可能的投资数额,总计大约有 5900 美元。
采用非常保守的估算,一个黑客每月可以成功虏获多少个受害者呢?如果漏洞植入到流量不错的页面,那每天可能会有 2 万名用户看到,其中估计只有 10% 会中招。而这 10% 中,如果漏洞是勒索软件,也就是绑架了受害者的文件直到支付赎金才解锁的那种,那么实际支付率又只有 0.5%,这么算下来,每天能入账 3000 美元,扣掉各项支出,每月能得 8.4 万美元。
实际上这些估算都很保守,但它们都是根据 Trustwave 查到的第一手交易数据得出的,其证明了地下黑客或其团伙使用不太难的网络犯罪手法大量掘取金钱。而这些网络犯罪技巧之所以卓有成效,是黑客行为已像上好油的机器般运转良好,它不再是黑客个人的行为,而是由某几个程序员提供他们的专业技能 (当然,要付钱的)。当你将黑客活动的所有部分拼接起来,你会发现一个真正复杂的黑客生态系统,与延续百年的工业生态体系有的一拼。
为了摸清这些地方到底在发生着什么,安全研究人员自己潜入到地下黑市中,以尽早地知道黑客们正在研制的恶意软件,并了解整个系统的运作方式。Trustwave 的研究已经进行了几年之久,如今已有很多内容可供展示,包括黑客团伙的敛金数额以及网络犯罪生态系统确切的运作方式。
1. 论坛:网络罪犯们出售货物的线上集市
论坛就是'克雷格列表的地下论坛形式',在上面可以看到这些犯罪分子是怎样为自己想出售的恶意软件做广告的。这是一个黑客和黑客团伙兜售货物的集市,木马、僵尸网络和其他恶意软件都能在这儿找到。不过,要进入到这些论坛非常困难,需要经过重重审查,以及其他罪犯的信任。
2. 漏洞利用工具包
漏洞利用工具包是网络罪犯得以成功实施大规模黑客活动的基本生活资料,它们有着各种方法分发恶意软件,包括使用漏洞利用代码'鸡尾酒'的隐身网页应用。
漏洞利用工具包为网络罪犯所钟爱是因为它们能提高犯罪成功率。以前,平均只有 10% 的用户成功中招,而如果采用新的更好的漏洞利用工具包则可以将成功率提升至 40% 之多。
漏洞利用工具包里有什么呢?这是一张漏洞利用工具包成分列表,这些东西就是网络罪犯付款购买的各种恶意软件,之后便会被他们进一步投放到毫无防备的受害者电脑中。
3. 在线黑客团伙
这是一个真实世界的案例,让我们看看一个名为 RIG 的俄罗斯黑客团伙,是怎样推广他们的漏洞利用工具包及其效果的。广告词是用俄语写就,但 Trustwave 翻译了其中重要部分,比如,RIG 自夸其漏洞利用代码'拥有利用大量网络流量的能力'。
这类漏洞利用工具包的要价基于租金,因此,一名黑客可以在世界上任何地方租用该工具包一天、一周或一个月,租金从 30 美元到 500 美元不等。500 美元听起来似乎很多,但对于丰富的利润来说,这真心不算贵。
4. 商业模式
RIG 的商业运作模式与零售业颇为相似,有仓库,也有经销商。一名 RIG 经理可以以不同的价格直接出售漏洞利用工具,或卖给其他的经销商。经销商再以更高的价格出售给其他黑客,RIG 在一周内能从这一个经理手中总共敛入 9 万多美元。
5. 其他商业模式
最普遍的商业模式就是 RIG 类型的,一级一级分销漏洞利用工具,但黑客团伙直接销售给顾客的新模式正在崛起。
不过,采用这种新模式,黑客团伙 (本案例中是 Magnitude) 是免费供给顾客他们的漏洞利用工具包,他们得到的,是客户分享给他们的一定比例的恶意软件访问量。分享比例基于恶意软件累积的访问量,而黑客团伙在得到支付过来的访问量时,就可以用任何想采用的恶意软件感染受害者了。
因此,如果买家想使用漏洞利用工具包,他们得将之注入到一个网站,但 5%~20% 不等的访问流量就直接送回到可对受害者为所欲为的原始卖家手中了。这种商业模式非常聪明,购买者不需要投入任何金钱,黑客团伙则可以从抓到的访问流量中获取大量金钱。这种形式的租赁系统在目前依然较为普遍。
6. 勒索软件
通过漏洞利用流量感染受害者主机的恶意软件 Magnitude 被称为'勒索软件',它遵循一个简单的概念:如果受害者被成功感染,其电脑上的文件就会被加密,意味着受害者无法访问所有这些数据。
很明显,受害者想要寻回对这些数据的控制权,不过,这需要付出代价。Magnitude 会要求受害者用比特币支付,赎金数额则决定于使用的是哪款勒索软件。这种网络勒索的形式是相当有利可图的,Trustwave 跟踪了流向勒索软件账户的比特币流,仅仅一周就有 6 万美元之多。
