多年来,暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑市还出现了其他服务,包括黑客服务和恶意软件开发。新平台允许没有任何技术的骗子创建自己的勒索软件并将其传播。无论这些恶意行为者是在寻找 “勒索软件及服务” (RaaS) 以要挟系统管理员获取利益,还是寻找可以用于进行身份盗用的个人身份信息 (PII),亦或是寻找黑客工具来自行收集信息,地下黑市供应链中总有人愿意为了获利而提供相应的产品和服务。
Armor 公司威胁对抗小组 (Threat Resistance Unit,简称TRU) 研究团队的研究人员最近发布了一份报告,详细分析了许多常见黑市产品的价格。这些调查结果,以及去年 Deloitte 和 ESET 研究人员发布的最新报告数据,为本指南的编辑提供了有力的数据支持,同时也为我们揭秘了地下黑市的定价现状。
1. 完整身份数据 (Fullz)
完整身份数据 (Fullz) 是指个人身份信息的完整包装,其中包括个人姓名、出生日期、家庭住址、电话号码、母亲的婚前姓名、社会安全号码以及驾驶执照号码等等。
据 Armor 报告指出,生活在欧洲部分地区(包括法国、瑞典,意大利、丹麦和爱尔兰等)的人们,完整身份数据的价格已经上涨了 10%-39%,这可能是受到欧盟《通用数据保护条例》 (GDPR) 的影响;而美国完整身份数据的价格却在近年出现了大幅下跌的现象,这主要是受到几起规模巨大的数据泄露事件的影响,大量的个人身份信息外泄造成了 “供过于求” 的市场状态。
价格:
美国数据 30-40 美元;
英国数据 35-50美元;
亚洲数据15-20美元;
数据来源:
Armor2019 年黑市调查报告
2. 恶意软件“按次安装付费” (PPI) 服务
所谓的恶意软件 “加载” 服务为攻击者提供了恶意软件分发和支持功能。通常来说,该服务的分发者需要与恶意软件开发者合作,以提供用于传播成功感染的服务。这种 “加载” 服务通常以每 1000 次安装作为收费标准,继而可以根据用户需求将其用于构建僵尸网络、传播垃圾邮件、发送恶意广告、执行暴力破解以及其他攻击类型等等。
价格:
全球——每1000个系统60美元;
美国——每1000个系统400美元;
数据来源:
Deloitte2019年美国地下黑市生态系统
3. 勒索软件即服务 (RaaS)
就像软件即服务 (Saas) 是在灵活订阅的基础上为用户提供软件一样,勒索软件即服务 (RaaS) 也使用相同的模型为犯罪分子提供产品和服务。
勒索软件即服务是恶意软件销售商及其客户的盈利模式。使用这种方法的恶意软件销售商可以获取新的感染媒介,并有可能通过传统方法(如电子邮件垃圾邮件或受感染网站)接触到无法接触的新受害者。RaaS 客户可以通过 RaaS 轻松获取勒索软件,只需配置一些功能并将恶意软件分发给不知情的受害者即可。
可以说,RaaS 商业模式的兴起使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动,这也是导致新的勒索软件市场泛滥的原因。
价格:
低至每月120美元;
数据来源:
Armor2019年地下黑市报告
4. ATM 和 PoS 机分离器 (Skimmer)
ATM Skimmer,即 ATM 分离器,国内很多新闻报道中称之为 “银行卡信息窃取器”:使用伪装的读卡器覆盖在 ATM 插卡处读取银行卡信息,并在键盘周围安装针孔摄像头或直接在键盘上覆盖假键盘记录用户输入的密码。2016 Black Hat 大会上,两名研究人员就使用了一款叫 Shimmer 的工具来演示盗取 ATM 银行卡数据的过程。
随着技术的不断发展,如今,这种用于暗中嵌入可操作的 ATM 和 PoS 机设备的 Skimmer 硬件和软件组合有多种形状和型号可供选择,以匹配当今使用的最常见的 ATM 和 PoS 设备。
价格:
700-1500美元/个;
数据来源:
Armor2019年地下黑市报告
5. 账号检查器/扫号器 (Account Checker)
账号检查器是一种软件服务,它是凭证填充攻击的引擎。“凭证填充攻击” 的战略非常简单:攻击者获取大量用户名和密码(通常来自公司的重大漏洞),并尝试将这些凭据“stuf”放入其他数字服务的登录页面。由于人们经常在多个站点间重用相同的用户名和密码,攻击者通常可以使用一条凭证信息来解锁多个帐户。近年来,Nest、Dunkin&X27、Donuts、OkCupid 以及视频平台 Dailymotion 的用户都纷纷沦为凭证填充攻击的受害者。
对于寻求欺诈活动的犯罪分子来说,账号检查器可谓是非常实用有效的工具,他们通常会选择SaaS模式租用这些工具来实施攻击。
价格:
每月60美元,用于检查三个金融机构的1,000个有效账户;
数据来源:
Deloitte2019年美国地下黑市生态系统
6. 被盗账户
在高度专业化的网络犯罪活动世界中,通过被盗账户获利的并不总是那些利用网络钓鱼和恶意账号接管等手段入侵账户的人。这对于他们中的许多人来说风险太大,因为它会带来更大的司法影响,这也解释了为什么整个市场只是选择出售被盗账户。
价格:
被盗账户可用信用额度的10%;
数据来源:
Welivesecurity 2019年网络犯罪黑市web服务和定价研究
7. 钱骡 (Money Mule)
“钱骡” 是指通过互联网将用于诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗分子的居住地。
近年来,钱骡的需求量不断上升,这主要是因为身处发展中国家的犯罪分子可以通过恶意软件和网络钓鱼获取居住在第一世界国家人的信用卡账号、银行账号、密码以及其他金融信息,但是要想把这些窃取到的信息变成犯罪分子所在国可用的钱款却很困难。很多商业网点也会拒绝将款物转移到诈骗交易高发的一些国家。因此,犯罪分子就会在窃取金融信息的目标国招募一个钱骡,让其在当地接收款物转移然后再将款物转移到犯罪分子手中,转移成功后钱骡会得到一笔佣金。
价格:
转移款物价值的10%-20%;
数据来源:
Armor2019年地下黑市报告
8. 雇主识别号码 (EIN) 和公司章程
钱骡使用空壳公司作为开设商业银行账户的前线,可用于转移欺诈行为获取的赃款。黑市通过经审查的现成公司文件和雇主识别号码 (EIN) 为他们提供一个简单的方式hi来建立虚假信誉。
所谓 “雇主识别号码” (Employer Identification Number,简称EIN) 也称作联邦税号,作为美国的纳税人识别号 (Taxpayer Identification Numbers,简称ITIN) 其中的一个类型,是美国公司报税的号码,具有唯一性,每个美国公司对应一个税号,记录着公司的纳税情况,如果没有税号,美国公司将无法进行纳税申报(可以理解为中国 “纳税人识别号”)。
价格:
800-1600美元;
数据来源:
Armor2019年地下黑市报告
9. 洗钱
对于那些没有钱骡资源,并且自身不想参与赃物转移的犯罪分子来说,地下黑市正为他们提供一种新型的全方位洗钱服务。所谓洗钱,就是要把非法的收入,转换成合法的收入,同时要保值、增值,并且能够安全长久保存,同时这些钱在流动的时候,要避开相关政府部门的监管。
传统洗钱的第一个过程基本上是转移资金,其无法追溯到其原始的非法来源。通常情况下,犯罪分子会购买像金条这样的资产并出售它们来做这件事。
在加密世界中,这需要将钱带入加密货币系统来转移它。加密货币在系统中转移的次数越多,追踪其来源就越困难。鉴于加密货币的匿名性质,这使调查人员难以追踪资金。
加密货币中的这些各种洗钱服务从用户那里获取资金,将它们混合在一起并将资金输出回用户,从而创建一个错综复杂的交易网络,使得资金来源难以识别。
此外,其中一些服务现在将其投入和产出资金分开。简而言之,他们对所偷来的资金有一个单独的账户,而另一个用于资金的账户。这是方法论的演变——鉴于 2016 年和 2017 年,加密货币洗钱者通常将所有资金保存在一个账户中。
过去两年,情况发生了变化。资金被存入一个交易所,然后在将资金转移到一个账户之前在各个交易所之间移动。这降低了交易成本,并在初始账户和最终账户之间创建了国际壁垒。此外,一些犯罪分子还利用加密货币赌博网站洗钱。通过简单地建立账户,他们就可以将资金进出,从而阻止这些非法资金的流动。
价格:
交易价值的10%-12%;
数据来源:
Armor2019年地下黑市报告
10. DDoS攻击服务
有些黑客因为不懂 DDOS 脚本的代码,也不知道怎么搭建,于是会去网上购买别人搭建好的 API 或者购买压力测试厂商的服务。如今,大型僵尸网络所有者正将其庞大的受损设备基础设施租赁作分布式拒绝服务 (DDoS) 攻击服务。其租金可以按小时、日、周,甚至是月进行结算。
价格:
60美元/小时;
280美元/天;
479-679美元/周;
2000美元/月;
数据来源:
Armor2019年地下黑市报告