網絡犯罪分子利用商業基礎設施的6種方式

Maria Korolov

無論是通過欺詐還是合法購買，網絡犯罪分子越來越依賴于主流服務來支持他們的犯罪活動。

說到網絡犯罪的基礎設施，暗網以其秘密的犯罪市場、非法洗錢服務和“僵尸網絡即服務”而聲名狼藉。犯罪分子也從合法的商業基礎設施提供商那里得到了他們需要的很多東西。

這不僅僅是因為主流供應商比那些通過違法活動謀生的人更可靠，同時使用商業基礎設施也是網絡攻擊者避免被發現的一種方法，使得在他們從事犯罪活動時，看起來貌似是合法的。本文介紹犯罪分子利用和濫用合法技術基礎設施企業和服務提供商的一些方式。

1.盜取或者合法購買云服務

當犯罪分子使用云服務的方式并不明顯違法時，他們可以使用合法的支付方式來支付云服務的費用。

在某些情況下，提供商也會接受比特幣或者其他匿名支付方式。在其他情況下，可能會有經銷商——即從大的云提供商那里購買服務的合法企業，加價轉售給匿名買家。WhiteHat安全公司的安全研究員Bryan Becker評論說：“實際上，這很簡單。我是在一家云托管大提供商那里做到這些的。你訪問一個網站，它看起來和感覺起來都是真的，你購買服務，立刻就能使用。他們是合法的經銷商，但他們的整個商業模式是，你可以使用比特幣和其他加密貨幣購買托管服務。”

Becker介紹說，這些服務是合法使用的，比如，客戶所居住的地區沒有銀行基礎設施的情況。他補充說，一些經銷商可能違反了云服務提供商的服務條款，但他們并不一定違法。

這還不是犯罪分子獲得合法云服務提供商服務使用權限的唯一途徑。安全公司Exabeam的首席研究員Jeff Nathan問道：“當能偷的時候，為什么還要付錢？”例如，犯罪分子經常能使用被盜的信用卡——盡管他們可能要嘗試很多次才能找到一張能用的信用卡。

他說，更好的方法是侵入企業賬戶。Nathan說：“如果這家企業足夠大，擁有云服務提供商的大量賬戶，那么很難追蹤到這些賬戶。各種干擾因素實在太多了。”一旦犯罪分子獲得了某個云賬戶的訪問權，他們就可以使用云賬戶來托管惡意或者欺騙性的網站、協調僵尸網絡數據流、托管惡意軟件下載、臨時存儲被盜的數據，或者進行網絡釣魚活動。

如果數據流來自企業已經在使用的某項服務，那么它一般能繞過安全過濾器。安全公司Protegrity負責產品和開發的高級副總裁Dominic Sartorio最近遇到了使用亞馬遜S3存儲桶的一種有趣的犯罪行為。企業遇到的亞馬遜存儲桶問題一般是在配置細節上，偶爾會設置為允許公共訪問。在他與之合作的一家大型金融服務公司的案例中，正是犯罪分子設置了存儲桶。

Sartorio介紹說：“他們的客戶服務和客戶忠誠度部門想做一些分析。作為影子IT，他們自己做的，沒有經過正確的程序。”犯罪分子侵入了這一過程，使用偽造的公司電子郵件地址向部門員工發送非常令人信服的電子郵件，發給他們S3存儲桶的地址，并邀請他們上傳數據。犯罪分子們已經在存儲桶里植入了假冒但是非常逼真的數據。他說：“于是，營銷部門連接到了這個假的S3存儲桶，認為這是他們自己的，并上傳了真實的數據。”

Sartorio說，這家銀行有好幾種方法可以防止這種情況發生，一旦得知有泄露，他們確實采取了額外的安全措施。Sartorio的公司提供云數據安全軟件，他建議對數據本身進行保護。他說：“如果數據被加密了，那么犯罪分子就不能把數據怎么樣。”

企業還可以應用數據丟失預防（DLP）技術來監控上傳到云平臺的敏感數據。反網絡釣魚技術也可用于發現不良電子郵件。他說：“如果你查看郵件，可能會發現它與發送者的身份不符，而且它的發送過程經歷了一些奇怪的跳躍，但一般的非技術營銷人員意識不到這些。”

2.證書頒發機構被盜或者驗證不充分

用戶知道在訪問網站時要看看有沒有一個“小鎖”的符號，一些瀏覽器或者企業防火墻可能會完全阻止對不安全網站的訪問。這種安全功能依賴于可信證書。證書也用于對軟件進行簽名，這樣用戶就知道他們沒有下載病毒。

Edgewise網絡公司的聯合創始人兼首席執行官Peter Smith表示，濫用證書是目前一種非常常見的攻擊方法。他說：“我們最近看到很多惡意軟件使用合法的證書。在某些情況下，這些證書是被盜的。在其他情況下，它們之所以發布了，是因為驗證過程太糟糕了。”

為了防止這種情況發生，他建議企業一定要有一個相應的系統，該系統要求證書去訪問最新的吊銷列表，并適當地審核證書頒發機構。他說：“你所信賴的供應商務必要采用證書的最佳實踐。”

3.公共安全研究與披露

很多網絡安全信息和工具都可以通過商業渠道獲得，犯罪分子很容易就能獲取其中的大部分。安全公司Balbix的創始人兼首席執行官Gaurav Banga說，犯罪分子幾乎能和安全專業人員同時發現新漏洞，而且會立即加以利用。他說：“好人必須遵守企業的協議。這樣導致壞人的反應會更快。”

一些安全供應商發布威脅的排名列表。他說，這讓攻擊者很清楚財富500強企業將會采取何種措施進行防御。然后就出現了像VirusTotal和SpamHaus這樣的工具。Banga說，它們對安全專業人員很有用，但對編寫病毒和電子郵件以繞過防火墻的犯罪分子同樣有用。

Virtru安全公司的產品管理副總裁Rob McDonald說，犯罪分子長期以來一直都在使用安全工具。他說：“與其說這些工具是新出現的，不如說是犯罪分子們使用的太老練了。”

McDonald補充道，首席安全官必須提高他們的水平。他說：“我不想這么說，但現實情況是，很多企業仍然沒有盡快修補其漏洞。這取決于企業的規模，可能需要數周甚至數月的時間才會作出響應。”他說，企業應該在補漏洞方面做得更好，如果不能選擇立即修補，則應采取其他安全措施來降低風險。

4.匿名支付服務

守法公民使用匿名支付服務的理由有很多。例如，他們可能想給朋友和家人贈送禮品卡。或者，當他們看到新聞頭條上有如此多的泄露事件時，他們可能不想讓別人看到他們真實的支付信息。Nathan說：“現在有很多服務，比如Blur和Privay.com，可以讓你創建匿名信用卡。”

當然，還有比特幣。并非所有商業基礎設施提供商都接受匿名支付方式。如果一個犯罪分子真的想要使用其中一家供應商，而且是支付真正的錢，不是使用被盜的賬戶憑據或者被盜的信用卡，那么一些經銷商將充當中間人。

5.“防彈”代理

防彈代理服務（也稱為智能代理）能夠隱藏用戶的位置。而防彈托管服務也有其另一面，也就是保護了惡意網站。合法目的是保護腐敗政權中的積極分子。半合法目的是允許用戶規避內容提供商的地理限制。然而，在實踐中，犯罪分子經常使用智能代理來發動攻擊。

該服務可以訪問數百萬甚至數千萬個住宅IP地址。從今年5月到7月，安全供應商Cequence安全公司發現住宅防彈代理在零售業的流量增長了800%。金融業整體增長518%，增幅361%。Cequence公司的威脅研究主管Will Glazier說：“這些網絡并不一定是非法的，因為其中一些是由自愿加入網絡的用戶建立的。他們自愿是因為他們基本上被蒙騙了。”例如，一個這樣的網絡向用戶承諾提供免費的點對點VPN服務，而實際上，他們的計算機被代理僵尸網絡控制了。

有些網絡提供的代理數量超過了3200萬個，所以不太可能所有的IP地址都來自自愿的志愿者。僵尸網絡中充斥著受感染的計算機、路由器、智能攝像頭——住宅IP地址上的任何與網絡相連的設備。

一旦準備好，這些僵尸網絡就可以用來采用被攻破的用戶名和密碼嘗試登錄銀行。Glazier說：“他們將通過100萬個不同IP和100萬個不同憑證對，為100萬個請求尋找路由。目的是讓它看起來像100萬個不同的普通美國用戶。”同樣的策略也可以用于廣告點擊欺詐和其他攻擊源看起來像普通人的攻擊。

Glazier說，該問題必須從幾個方面著手解決。他說，例如，網絡服務提供商（ISP）自己拆除僵尸網絡。“我們直接找到ISP，告訴他們，‘我們看到你的5萬個IP地址攻擊了一個客戶，我們認為它們來自同一類路由。他們會更新路由器，并重置。”

對于防范憑據造假和廣告點擊欺詐的個別公司來說，當前的最佳做法是使用行為分析來發現可疑的登錄。例如，安全攝像頭通常不會在凌晨兩點檢查其銀行余額。Glazier說：“另一個與常規行為不同的是登錄速度。人不會以恒定的速度打字。”

6.呼叫轉發平臺

Protegrity公司的Sartorio說，如果電話號碼看起來很像自己熟悉的電話號碼，那么人們更有可能接聽電話。企業員工尤其如此，他們很容易識別出屬于公司電話總機的號碼，或者非常相似的號碼。他補充說：“很多公司不會使用整個號段。他們只是使用其中的一部分號碼。”

例如，Protegrity公司本身有一個IP承載語音（VoIP）系統，其中所有電話號碼都以相同的區號開始，然后是相同的前三位數字。公司網站上公布了主要的號碼，所以犯罪分子很容易找到。

Sartorio說：“有了這些電話中心平臺，就可以自動提供新的電話號碼，并可以保護與目標號碼非常相似的電話號碼。”攻擊者將這些服務用于他們的機器電話程序，和一名公司員工接通電話，使用社會工程攻擊方法讓他們認為自己在與公司的技術支持人員通話。他說，Protegrity公司已經把這一主題添加到了員工的安全意識培訓中。

Maria Korolov過去20年一直涉足新興技術和新興市場。

原文網址

https：//www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html