黑市價格大公開:Paypal 帳戶每個 250 美元、未確認 eBay 帳戶有價有市?
除了假電話詐騙之外,2015 年第二季亦充斥著各種重大漏洞和黑客攻擊,網絡罪犯的攻擊手法越來越出人意料,並且開始滲透及攻擊一些人們通常毫無警覺的生活科技。在趨勢科技發表的第二季資訊保安報告「新興浪潮:危及公共事業安全的最新黑客攻擊」(A Rising Tide: New Hacks Threaten Public Technologies) 之中便詳細分析了黑客攻擊工具及手法的演進,以及黑客如何從網上犯罪中獲得最大的投資回報。
用户資料有幾值錢?
我們都知道,從事黑客活動的最終目的就是賺取可觀收入,究竟黑客活動有幾高價值?以下便是一些最新的黑市價格供大家參考。
一個帳戶餘額高於 500 美元以上的 Paypal 帳戶 — 黑市價:USD 250.00
100 個未經確認的 Paypal 帳戶 — 黑市價:USD 100.00
100 個未經確認的 eBay 帳戶 — 黑市價:USD 100.00
100 個未經確認的信用卡號碼以及 CVV2 驗證碼 — 黑市價:USD 150.00
偽造歐洲護照 x 1 — 黑市價:USD 855.00
偽造美國護照 x 1 — 黑市價:USD 912.00
我們之所以向大家分享這些資訊,目的就是希望大家珍惜自己的個人資料,其實黑客大規模進行攻擊及入侵,真的十分輕易便可一次過取得數以萬計的用戶資料!作為精明的用户,你總不希望自己的資料出現在地下市場,所以在進行每個動作前,先停一停、想一想,究竟即將進行的動作會否為自己帶來資料外洩的風險?
報告之中除了提到上述的地下市場價錢之外,亦公佈了在第二季發現的網絡威脅情況。報告指現時網絡罪犯的技巧越來越純熟、犯罪形式越來越有創意,除了強化現有攻擊手法之外,更將手法應用到新的途徑。普羅大眾再也不能忽視網絡犯罪的威脅。本季已見識到網絡攻擊的潛在破壞力,它們已不再只是單純的軟件問題,就連飛機、智能汽車及電視台都可能遭到攻擊。
黑客開始採取更有策略的手法與更純熟的技巧,並且更仔細篩選攻擊目標來提升其成功率。有幾種傳統手法的攻擊案例暴增,可反映出這個現象,例如:採用 Angler 攻擊套件的案例增加 50%;漏洞攻擊套件整體威脅數量增加 67%;黑客慣常使用 CryptoWall 勒索軟件,受害目標多數集中在美國 (79%) 等。
此外,政府機構也在第二季見識到網絡攻擊的驚人威力,美國國家稅務局 (Internal Revenue Service) 和美國人事管理局 (Office of Personnel Management) 分別在五月和六月發生大規模數據外洩事件。美國人事管理局攻擊事件更是有史以來最大規模的數據外洩事件,約有 2,100 萬人的身分識別資料被公開。其他政府機構也同樣遭到各種威脅攻擊,包括:採用巨集惡意程式的 APT 攻擊、新的幕後操縱 (C&C) 伺服器,以及 Pawn Storm 持續利用最新零時差漏洞發動攻擊。
重點如下:
黑客攻擊造成公共建設停頓
新聞媒體網絡、民航客機、自動化運輸系統與家用路由器不僅面臨惡意程式感染的風險,更導致生活上的不便和威脅。
網絡犯罪個體戶因勒索軟件和 PoS 攻擊的成功而崛起
個人黑客 Lordfenix 和 Frapstar 所散布的 FighterPoS 和 MalumPoS,以及 Hawkeye 鍵盤側錄程式攻擊,證明了就算是網絡犯罪個體戶也有能力在今日造成重大衝擊。
政府機構對網絡犯罪展開反擊
國際刑警組織 (Interpol)、歐洲刑警組織 (Europol)、美國國土安全部 (Department of Homeland Security) 以及聯邦調查局 (FBI) 共同破獲了一個運作已久的殭屍網絡。此外,Silk Road (絲路) 地下市集創辦人 Ross Ulbricht 遭到起訴,也讓黑暗網絡 (Dark Web) 的黑暗面紗及危險性暴露在陽光下。
針對政府機構的攻擊造成了全國政治效應
美國人事管理局攻擊事件讓大家赫然驚覺,沒有任何人的個人資料是安全的。巨集惡意程式、跳島式攻擊與 C&C 伺服器都是罪犯在此次及其他類似外洩事件當中用來攻擊政府機構的手法。
公共網站和流動裝置面臨新的威脅
儘管軟件威脅存在已久,但事實證明,網站應用程式的漏洞亦同樣危險。黑客會利用任何可用的漏洞。因此,客製化應用程式需要客製化的安全防護來確保沒有任何入侵機會。