Maria Korolov

無論是通過欺詐還是合法購買，網(wǎng)絡(luò)犯罪分子越來越依賴于主流服務(wù)來支持他們的犯罪活動(dòng)。

說到網(wǎng)絡(luò)犯罪的基礎(chǔ)設(shè)施，暗網(wǎng)以其秘密的犯罪市場(chǎng)、非法洗錢服務(wù)和“僵尸網(wǎng)絡(luò)即服務(wù)”而聲名狼藉。犯罪分子也從合法的商業(yè)基礎(chǔ)設(shè)施提供商那里得到了他們需要的很多東西。

這不僅僅是因?yàn)橹髁鞴?yīng)商比那些通過違法活動(dòng)謀生的人更可靠，同時(shí)使用商業(yè)基礎(chǔ)設(shè)施也是網(wǎng)絡(luò)攻擊者避免被發(fā)現(xiàn)的一種方法，使得在他們從事犯罪活動(dòng)時(shí)，看起來貌似是合法的。本文介紹犯罪分子利用和濫用合法技術(shù)基礎(chǔ)設(shè)施企業(yè)和服務(wù)提供商的一些方式。

1.盜取或者合法購買云服務(wù)

當(dāng)犯罪分子使用云服務(wù)的方式并不明顯違法時(shí)，他們可以使用合法的支付方式來支付云服務(wù)的費(fèi)用。

在某些情況下，提供商也會(huì)接受比特幣或者其他匿名支付方式。在其他情況下，可能會(huì)有經(jīng)銷商——即從大的云提供商那里購買服務(wù)的合法企業(yè)，加價(jià)轉(zhuǎn)售給匿名買家。WhiteHat安全公司的安全研究員Bryan Becker評(píng)論說：“實(shí)際上，這很簡單。我是在一家云托管大提供商那里做到這些的。你訪問一個(gè)網(wǎng)站，它看起來和感覺起來都是真的，你購買服務(wù)，立刻就能使用。他們是合法的經(jīng)銷商，但他們的整個(gè)商業(yè)模式是，你可以使用比特幣和其他加密貨幣購買托管服務(wù)。”

Becker介紹說，這些服務(wù)是合法使用的，比如，客戶所居住的地區(qū)沒有銀行基礎(chǔ)設(shè)施的情況。他補(bǔ)充說，一些經(jīng)銷商可能違反了云服務(wù)提供商的服務(wù)條款，但他們并不一定違法。

這還不是犯罪分子獲得合法云服務(wù)提供商服務(wù)使用權(quán)限的唯一途徑。安全公司Exabeam的首席研究員Jeff Nathan問道：“當(dāng)能偷的時(shí)候，為什么還要付錢？”例如，犯罪分子經(jīng)常能使用被盜的信用卡——盡管他們可能要嘗試很多次才能找到一張能用的信用卡。

他說，更好的方法是侵入企業(yè)賬戶。Nathan說：“如果這家企業(yè)足夠大，擁有云服務(wù)提供商的大量賬戶，那么很難追蹤到這些賬戶。各種干擾因素實(shí)在太多了?！币坏┓缸锓肿荧@得了某個(gè)云賬戶的訪問權(quán)，他們就可以使用云賬戶來托管惡意或者欺騙性的網(wǎng)站、協(xié)調(diào)僵尸網(wǎng)絡(luò)數(shù)據(jù)流、托管惡意軟件下載、臨時(shí)存儲(chǔ)被盜的數(shù)據(jù)，或者進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。

如果數(shù)據(jù)流來自企業(yè)已經(jīng)在使用的某項(xiàng)服務(wù)，那么它一般能繞過安全過濾器。安全公司Protegrity負(fù)責(zé)產(chǎn)品和開發(fā)的高級(jí)副總裁Dominic Sartorio最近遇到了使用亞馬遜S3存儲(chǔ)桶的一種有趣的犯罪行為。企業(yè)遇到的亞馬遜存儲(chǔ)桶問題一般是在配置細(xì)節(jié)上，偶爾會(huì)設(shè)置為允許公共訪問。在他與之合作的一家大型金融服務(wù)公司的案例中，正是犯罪分子設(shè)置了存儲(chǔ)桶。

Sartorio介紹說：“他們的客戶服務(wù)和客戶忠誠度部門想做一些分析。作為影子IT，他們自己做的，沒有經(jīng)過正確的程序。”犯罪分子侵入了這一過程，使用偽造的公司電子郵件地址向部門員工發(fā)送非常令人信服的電子郵件，發(fā)給他們S3存儲(chǔ)桶的地址，并邀請(qǐng)他們上傳數(shù)據(jù)。犯罪分子們已經(jīng)在存儲(chǔ)桶里植入了假冒但是非常逼真的數(shù)據(jù)。他說：“于是，營銷部門連接到了這個(gè)假的S3存儲(chǔ)桶，認(rèn)為這是他們自己的，并上傳了真實(shí)的數(shù)據(jù)?！?/p>

Sartorio說，這家銀行有好幾種方法可以防止這種情況發(fā)生，一旦得知有泄露，他們確實(shí)采取了額外的安全措施。Sartorio的公司提供云數(shù)據(jù)安全軟件，他建議對(duì)數(shù)據(jù)本身進(jìn)行保護(hù)。他說：“如果數(shù)據(jù)被加密了，那么犯罪分子就不能把數(shù)據(jù)怎么樣。”

企業(yè)還可以應(yīng)用數(shù)據(jù)丟失預(yù)防（DLP）技術(shù)來監(jiān)控上傳到云平臺(tái)的敏感數(shù)據(jù)。反網(wǎng)絡(luò)釣魚技術(shù)也可用于發(fā)現(xiàn)不良電子郵件。他說：“如果你查看郵件，可能會(huì)發(fā)現(xiàn)它與發(fā)送者的身份不符，而且它的發(fā)送過程經(jīng)歷了一些奇怪的跳躍，但一般的非技術(shù)營銷人員意識(shí)不到這些。”

2.證書頒發(fā)機(jī)構(gòu)被盜或者驗(yàn)證不充分

用戶知道在訪問網(wǎng)站時(shí)要看看有沒有一個(gè)“小鎖”的符號(hào)，一些瀏覽器或者企業(yè)防火墻可能會(huì)完全阻止對(duì)不安全網(wǎng)站的訪問。這種安全功能依賴于可信證書。證書也用于對(duì)軟件進(jìn)行簽名，這樣用戶就知道他們沒有下載病毒。

Edgewise網(wǎng)絡(luò)公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Peter Smith表示，濫用證書是目前一種非常常見的攻擊方法。他說：“我們最近看到很多惡意軟件使用合法的證書。在某些情況下，這些證書是被盜的。在其他情況下，它們之所以發(fā)布了，是因?yàn)轵?yàn)證過程太糟糕了?！?/p>

為了防止這種情況發(fā)生，他建議企業(yè)一定要有一個(gè)相應(yīng)的系統(tǒng)，該系統(tǒng)要求證書去訪問最新的吊銷列表，并適當(dāng)?shù)貙徍俗C書頒發(fā)機(jī)構(gòu)。他說：“你所信賴的供應(yīng)商務(wù)必要采用證書的最佳實(shí)踐?！?/p>

3.公共安全研究與披露

很多網(wǎng)絡(luò)安全信息和工具都可以通過商業(yè)渠道獲得，犯罪分子很容易就能獲取其中的大部分。安全公司Balbix的創(chuàng)始人兼首席執(zhí)行官Gaurav Banga說，犯罪分子幾乎能和安全專業(yè)人員同時(shí)發(fā)現(xiàn)新漏洞，而且會(huì)立即加以利用。他說：“好人必須遵守企業(yè)的協(xié)議。這樣導(dǎo)致壞人的反應(yīng)會(huì)更快?！?/p>

一些安全供應(yīng)商發(fā)布威脅的排名列表。他說，這讓攻擊者很清楚財(cái)富500強(qiáng)企業(yè)將會(huì)采取何種措施進(jìn)行防御。然后就出現(xiàn)了像VirusTotal和SpamHaus這樣的工具。Banga說，它們對(duì)安全專業(yè)人員很有用，但對(duì)編寫病毒和電子郵件以繞過防火墻的犯罪分子同樣有用。

Virtru安全公司的產(chǎn)品管理副總裁Rob McDonald說，犯罪分子長期以來一直都在使用安全工具。他說：“與其說這些工具是新出現(xiàn)的，不如說是犯罪分子們使用的太老練了?！?/p>

McDonald補(bǔ)充道，首席安全官必須提高他們的水平。他說：“我不想這么說，但現(xiàn)實(shí)情況是，很多企業(yè)仍然沒有盡快修補(bǔ)其漏洞。這取決于企業(yè)的規(guī)模，可能需要數(shù)周甚至數(shù)月的時(shí)間才會(huì)作出響應(yīng)。”他說，企業(yè)應(yīng)該在補(bǔ)漏洞方面做得更好，如果不能選擇立即修補(bǔ)，則應(yīng)采取其他安全措施來降低風(fēng)險(xiǎn)。

4.匿名支付服務(wù)

守法公民使用匿名支付服務(wù)的理由有很多。例如，他們可能想給朋友和家人贈(zèng)送禮品卡?；蛘撸?dāng)他們看到新聞?lì)^條上有如此多的泄露事件時(shí)，他們可能不想讓別人看到他們真實(shí)的支付信息。Nathan說：“現(xiàn)在有很多服務(wù)，比如Blur和Privay.com，可以讓你創(chuàng)建匿名信用卡?！?/p>

當(dāng)然，還有比特幣。并非所有商業(yè)基礎(chǔ)設(shè)施提供商都接受匿名支付方式。如果一個(gè)犯罪分子真的想要使用其中一家供應(yīng)商，而且是支付真正的錢，不是使用被盜的賬戶憑據(jù)或者被盜的信用卡，那么一些經(jīng)銷商將充當(dāng)中間人。

5.“防彈”代理

防彈代理服務(wù)（也稱為智能代理）能夠隱藏用戶的位置。而防彈托管服務(wù)也有其另一面，也就是保護(hù)了惡意網(wǎng)站。合法目的是保護(hù)腐敗政權(quán)中的積極分子。半合法目的是允許用戶規(guī)避內(nèi)容提供商的地理限制。然而，在實(shí)踐中，犯罪分子經(jīng)常使用智能代理來發(fā)動(dòng)攻擊。

該服務(wù)可以訪問數(shù)百萬甚至數(shù)千萬個(gè)住宅IP地址。從今年5月到7月，安全供應(yīng)商Cequence安全公司發(fā)現(xiàn)住宅防彈代理在零售業(yè)的流量增長了800%。金融業(yè)整體增長518%，增幅361%。Cequence公司的威脅研究主管Will Glazier說：“這些網(wǎng)絡(luò)并不一定是非法的，因?yàn)槠渲幸恍┦怯勺栽讣尤刖W(wǎng)絡(luò)的用戶建立的。他們自愿是因?yàn)樗麄兓旧媳幻沈_了。”例如，一個(gè)這樣的網(wǎng)絡(luò)向用戶承諾提供免費(fèi)的點(diǎn)對(duì)點(diǎn)VPN服務(wù)，而實(shí)際上，他們的計(jì)算機(jī)被代理僵尸網(wǎng)絡(luò)控制了。

有些網(wǎng)絡(luò)提供的代理數(shù)量超過了3200萬個(gè)，所以不太可能所有的IP地址都來自自愿的志愿者。僵尸網(wǎng)絡(luò)中充斥著受感染的計(jì)算機(jī)、路由器、智能攝像頭——住宅IP地址上的任何與網(wǎng)絡(luò)相連的設(shè)備。

一旦準(zhǔn)備好，這些僵尸網(wǎng)絡(luò)就可以用來采用被攻破的用戶名和密碼嘗試登錄銀行。Glazier說：“他們將通過100萬個(gè)不同IP和100萬個(gè)不同憑證對(duì)，為100萬個(gè)請(qǐng)求尋找路由。目的是讓它看起來像100萬個(gè)不同的普通美國用戶?！蓖瑯拥牟呗砸部梢杂糜趶V告點(diǎn)擊欺詐和其他攻擊源看起來像普通人的攻擊。

Glazier說，該問題必須從幾個(gè)方面著手解決。他說，例如，網(wǎng)絡(luò)服務(wù)提供商（ISP）自己拆除僵尸網(wǎng)絡(luò)。“我們直接找到ISP，告訴他們，‘我們看到你的5萬個(gè)IP地址攻擊了一個(gè)客戶，我們認(rèn)為它們來自同一類路由。他們會(huì)更新路由器，并重置。”

對(duì)于防范憑據(jù)造假和廣告點(diǎn)擊欺詐的個(gè)別公司來說，當(dāng)前的最佳做法是使用行為分析來發(fā)現(xiàn)可疑的登錄。例如，安全攝像頭通常不會(huì)在凌晨兩點(diǎn)檢查其銀行余額。Glazier說：“另一個(gè)與常規(guī)行為不同的是登錄速度。人不會(huì)以恒定的速度打字?！?/p>

6.呼叫轉(zhuǎn)發(fā)平臺(tái)

Protegrity公司的Sartorio說，如果電話號(hào)碼看起來很像自己熟悉的電話號(hào)碼，那么人們更有可能接聽電話。企業(yè)員工尤其如此，他們很容易識(shí)別出屬于公司電話總機(jī)的號(hào)碼，或者非常相似的號(hào)碼。他補(bǔ)充說：“很多公司不會(huì)使用整個(gè)號(hào)段。他們只是使用其中的一部分號(hào)碼?！?/p>

例如，Protegrity公司本身有一個(gè)IP承載語音（VoIP）系統(tǒng)，其中所有電話號(hào)碼都以相同的區(qū)號(hào)開始，然后是相同的前三位數(shù)字。公司網(wǎng)站上公布了主要的號(hào)碼，所以犯罪分子很容易找到。

Sartorio說：“有了這些電話中心平臺(tái)，就可以自動(dòng)提供新的電話號(hào)碼，并可以保護(hù)與目標(biāo)號(hào)碼非常相似的電話號(hào)碼?！惫粽邔⑦@些服務(wù)用于他們的機(jī)器電話程序，和一名公司員工接通電話，使用社會(huì)工程攻擊方法讓他們認(rèn)為自己在與公司的技術(shù)支持人員通話。他說，Protegrity公司已經(jīng)把這一主題添加到了員工的安全意識(shí)培訓(xùn)中。

Maria Korolov過去20年一直涉足新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址

https：//www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html