【24】資安的原罪 ch.3-4.a 黑色產業

本張見證網路犯罪背後的龐大商機。

顯性受害

這類案件會造成受害者立即且明顯的經濟損失，因此是最常被受害者採取法律或求償行動的類型，也最容易成為新聞焦點。

1. 金融詐騙（Financial fraud）

金融詐騙的直接目的是從個人或企業帳戶竊取金錢。常見手法包含：盜用支付資料（如信用卡或銀行登入憑證）、帳號接管（account takeover），以及透過假冒或社交工程誘導受害者主動轉帳。

2. 勒索（Ransom）

通常以惡意軟體（例如加密受害者資料）或其他方式阻斷受害者對資產或系統的存取，並以金錢要求換回解密金鑰或恢復服務。勒索常造成受害方營運中斷或重大損失。

3. 敲詐（Extortion）

以威脅公開敏感資訊（例如商業機密、個人資料或可能損害名譽的內容）來逼迫受害者支付金錢或妥協。敲詐的核心在於以可能造成的名譽或實際損害作為脅迫手段，迫使受害者讓步。

隱性受害

此類情況下，當事人雖然遭受直接損害，但整個過程受害者可能都處在毫無察覺的情況下，完全沒有發覺。

1.智慧財產（IP）竊取

• 盜取設計圖、原始程式碼、研發資料、專利相關文件或未公開的商業策略。
• 這些資料可能直接賣給競爭對手、仿製生產者，或用來啟動新詐騙（例如使用企業內部流程發動針對性攻擊）。

2. 個資竊取與黑市交易（Data Theft & Resale）

• 竊取個人資料、支付資訊、帳號密碼、醫療紀錄或企業存取憑證，並在暗網或地下市場進行分級販售。
• 資料買家可能進一步用於銀行詐騙、身份盜用、社交工程攻擊，或轉售給其他惡意組織。

3. 挖礦劫持（Cryptojacking）

• 攻擊者在受害者設備（如伺服器、個人電腦、IoT 裝置等）中偷偷執行挖礦程式，利用其 CPU/GPU 資源為自己挖取加密貨幣。
• 早期攻擊偏好高效能設備（如伺服器），極大化算力與收益；如今則傾向控制大量裝置，以低調方式進行分散式挖礦，積少成多。^6 ^7 ^11

第三方受害

此類受害者通常不是被感染的裝置所有者，而是因他人或被控制的設備所產生的惡意行為而間接受害（例如廣告主、網站或是提供服務的企業等）。

1.點擊詐欺

透過控制操控感染裝置偽造點擊廣告或流量，導致廣告主支付無效點擊費用，並扭曲廣告成效與分析。研究估計點擊詐欺使廣告商每年蒙受約 160 億美元的損失。2018的 Zero Access 殭屍網路每天可產生約 10 萬美元收益，近期的 SlopAds 一天可點擊2.3億次廣告牟利。^13

2. 買流量／刷量服務（Traffic buying / View fraud）

利用大量受控裝置自動導流到特定網站、影片或服務，透過虛假流量提高瀏覽數、點擊數或觀看時長，進而操控排名或推薦演算法。造成平台推薦機制與廣告分發的錯誤判斷，使廣告主、內容創作者與一般使用者受到間接損害。

3. 分散式阻斷服務（DDoS — Distributed Denial of Service）

攻擊者以大量虛假或惡意流量耗盡目標的頻寬、連線、記憶體、儲存或 CPU 資源，使合法使用者無法存取服務。除了直接用來攻擊自身競爭對手，也可以用服務模式的方式販售給第三方賺取金錢。^14

舒緩（緩解）DDoS 服務

市場上也因此孕育而出許多舒緩（緩解）DDoS 服務，可以幫助緩解DDoS的問題。然而同樣被犯罪份子找到利用空間，藉由持續發動DDoS，迫使受害者尋求自家的DDoS緩解服務，達到自產自銷的效果。

犯罪服務（Crime-as-a-Service）

此類模式下，攻擊者本身不一定直接執行最終犯罪行為，而是以「服務」或工具的形式提供給下游使用者，讓其他人代為實施犯罪。這種分工降低了技術門檻，擴大了犯案規模與可及性。

1. MaaS — Malware‑as‑a‑Service（惡意軟體即服務）

• 技術熟練的操作者開發惡意軟體，並將其出售或出租給技術能力較低的使用者（包含所謂的「script kiddies」）。
• 產品型態可能包含現成的勒索軟體、木馬、釣魚套件（phishing kits）等，常附帶管理面板、操作說明與客服支援。
• 買家不需具備深厚技術背景，即可付費發動攻擊；交易多以加密貨幣完成。
• MaaS 降低入門門檻，導致惡意活動更廣泛且更難追蹤。^12

2. PhaaS — Phishing‑as‑a‑Service（網釣/釣魚即服務）

• 提供套裝化的釣魚工具與即時發動平臺，讓不具技術的犯罪分子也能大規模發起信用卡盜刷、登入憑證竊取等攻擊。
• 近年來此類服務數量與功能迅速增加，常內建偽裝與偵測規避機制，並透過社群平台（如 Telegram、WeChat 等）進行宣傳與銷售。^10

3. RaaS — Ransomware‑as‑a‑Service（勒索軟體即服務）

• 開發者將勒索軟體以租賃或分潤模式提供給「加盟」的攻擊者（affiliate），加盟者負責入侵、散布或擴散，成功後雙方分贓。
• 現代 RaaS 常支援多平台攻擊（Windows、macOS、Linux、網路儲存設備等）、快速加密、並具檔案加密金鑰管理等功能；而且不斷出現變種與自動化能力，推升了勒索事件的頻率與影響力。^9

4. BaaS — Botnet‑as‑a‑Service（殭屍網路即服務）

• 殭屍網路擁有者將已控制的設備（或整個 botnet）出租或出售給其他犯罪分子，買家可用來發動 DDoS、散發垃圾郵件、刷流量或執行其他惡意任務。
• BaaS 使攻擊者能以較低成本、快速地取得大量資源執行攻擊，並加劇第三方受害的風險。

操控股市

此類犯罪透過非法手段操縱證券價格，最終在合法市場中獲利。主要手法包含：

1. 擅自上下單

駭客入侵投資者或經紀商帳戶，控制買賣指令，進而製造價格波動以圖利。曾有報導指出，駭客入侵日本投資者帳戶以操控股價，涉及金額龐大。^16

2. 釋放消息

犯罪份子先行做空，接著散播透過駭入公司或其產品產生的負面消息，造成股價下跌以獲利。像是 MEDSEC 被指控先建立空頭部位，然後散布不利訊息導致目標公司股價下跌，從中獲利。^15

3. 偷取財報

通過入侵儲存財務報告或公司內部通訊的伺服器，搶先取得尚未公開的季報或重大訊息，根據內線資訊事先買賣以牟利。耶爾瑪柯夫透過入侵兩家存放季報的伺服器，利用取得的未公開財報資訊交易 IBM、Snap、Tesla、Microsoft 等股票，合計獲利約 8,250 萬美元。

後續／進階攻擊（Follow‑on / Advanced Attacks）

即使當下未直接獲利，也能作為未來長遠龐大利益的基石。

• 持續散發釣魚郵件或惡意軟體，擴大感染範圍與可操控資源。
• 作為中繼或跳板，掩蓋真實攻擊來源，增加追蹤難度。
• 執行大規模弱密碼掃描、撞庫（credential stuffing）與暴力破解攻擊，擷取更多帳號憑證。
• 在受害組織內進行橫向移動，滲透更多內部系統與敏感資料。
• 作為供應鏈攻擊中的上下游節點，進一步滲透合作夥伴與客戶系統。

原罪

1. 賺錢

扯到錢問題就變得複雜了，在 2009 年，AT&T 的首席資安長 Edward Amoroso 指出，網路犯罪的年收益已超越毒品走私，成為全球最賺錢的非法產業，估計年獲利超過一兆美元 ^1。隨著時間的推移，犯罪規模的估算持續上升，有報告預測全球網路犯罪造成的年損失在 2025 年可達 10.5 兆美元^2。面對如此高額的潛在利潤，網路犯罪的吸引力可想而知。

2. 輕鬆

趨勢科技網路犯罪研究前瞻威脅研究總監 Robert Mardo 在資安大會上指出：「犯罪份子只想輕鬆過日子」^5。相比研發創新、提供有價值、對社會有幫助的事，使用現成工具、破壞、剽竊他人成果輕鬆多了。嚮往輕鬆是人性，自然對人有強大的吸引力。

3. 風險

不論想輕鬆還是賺大錢，本身都沒有問題，但是沒有道德的犯罪是問題。現實中法律的約束，能夠遏止這些犯罪份子，但是對比現實中其他犯罪，網路犯罪的風險不成比例的低，由於網路天生的匿名性、跨國性，讓它難以調查、追緝犯罪份子，使網路犯罪猖獗。