駭客公然拍賣ID、高薪徵才
最近,有關資訊竊賊與資料外洩的新聞總是層出不窮,不僅在日本,世界上其他地區也是如此。但是隨著這類事件發生頻率愈來愈高,歹徒也愈來愈明目張膽。儘管遭竊資訊透過地下論壇、佈告欄、線上聊天室等管道販售的情況早已司空見慣,但現在惡意程式作者似乎根本不在乎他們的活動是否會被人發現。
這類交易活動浮上檯面之後,他們公然在許多知名網站上進行交易 — 形成一種我們稱之為網路犯罪普及化的趨勢。.
二月時,我們曾在日文版的部落格中發佈一篇與類似案例有關的文章,文中提及一家頗受歡迎的韓國網路拍賣公司 Auction, Inc. (
www.auction.co.kr) 坦承該網站 1,081 萬使用者的個人資料確實已經外洩。這起規模相當龐大的資訊遭竊案起碼會令網站使用者擔心受害,其中有些群體甚至考慮提起訴訟。
稍後中國的入口網站 O2SKY 也被捲入其中,該網站的免費市場網頁中被發現至少兩個疑似與前述韓國事件有關的廣告:第一個是在 3 月 29 日發佈,第二個則是在 4 月 11 日發佈。這些廣告表示:"Naver, I can sell the IDs of Auction, Inc. (Naver,我可以出售 Auction, Inc. 的 ID。)" Naver 是韓國著名的入口網站之一。這些廣告都提供了賣方的電子郵件地址與電話號碼。
以下就是這些廣告的畫面擷取圖:
[attach]249[/attach]
O2SKY 的經營者是位於中國吉林省的 Yan Fan, Inc.。雖然這是一家中國公司,但我們假設這些廣告是韓國使用者刊登的,因為吉林與韓國具有地利之便。
仔細查看其他相關廣告之後,我們還發現一些鼓勵瀏覽者嘗試滲透及入侵網站技巧的內容。這些都是高薪徵求這類技術人才的廣告。這些公開的廣告目的在於招攬心術不正的人,其企圖昭然若揭。
以下就是這些「求才」廣告的畫面擷取圖:
[attach]250[/attach]
在以上描述的兩個案例中,我們有充分理由相信這些活動應被歸類為專業或組織化犯罪。其一就是惡意使用者在幾乎人人都能匿名存取的公開論壇中公然發表他們的個人連絡資訊。
如果這些行為並非出自專業或組織化犯罪集團之手,還有哪些人可能發佈這些訊息呢?可能的來源還包括:
Script Kiddy – 他們通常會使用公開提供的入侵工具竊取資訊,然後轉售給他人。
網路罪犯的「客戶」 – 他們會將向專業罪犯購買的個人資料轉售給他人。
閱讀媒體報導的人 – 這些人會佯裝販售個人資料,但事實上手中並沒有這些資訊。另一種可能是屬於冒險犯難型的讀者,這些人想依據由媒體獲得的資訊模仿罪犯的不法行為。
我們不應忽視所謂的 Script Kiddy 的存在。而上述這些入侵與滲透技巧現在不僅更容易取得,此外也變得更為先進,因此未來要區分手動執行與自動化操作的入侵活動之間的差異將更加困難。
為提昇防禦能力,有些企業會僱用所謂的道德駭客 (Ethical Hacker) 協助補強企業的安全防護措施。孫子兵法的謀攻篇中便透漏了一個要訣:「知己知彼,百戰百勝。」 無論是 (或特別是) 網路犯罪或我們持續推動的打擊行動,都可適用這個基本原則。