引:当今的地下网站正在运用发展娴熟的商业手法,到处散播病毒、窃取用户数据、攻击网络服务。
“这是同类程序中我见过的最棒的一个!”一条评论里情不自禁地冒出这句话。“市场上最强大的产品之一,”另一条评论里这样写道。这些评论出现在针对成千上万个程序的上万条评论里,没有什么区别。直到你读到这一条“运行起来很不错……去找个新的攻击对象。”
这些并不仅仅是普通的评论。购买了黑市恶意软件和工具的满意用户在网上和论坛里发表了这些评论,躲在阴影处的在线罪犯们靠着这些东西发财致富,散布垃圾邮件、用病毒搞垮电脑,窃取用户身份信息并从中获利。在Ebay上有些用户的评论会影响到卖主的信誉度。而受欢迎的地下论坛也提供了自己独立的产品测试报告,用来证明攻击程序是否如卖主声称的那样“多才多艺”能完成各种攻击。就像PC World杂志和其他出版物一直为正义的科技产品所做的那样。
有些违法企业甚至还为它们的恶意软件产品提供技术支持和免费的升级,有些论坛还为自己论坛的购买服务提供第三方保管服务。在这些论坛里,它们会以中立方的身份保管交易方的现金直到买主与卖主都确认交易为止——就像购买房子时的托管程序一样。
专家深入调查的发现
Thomas J. Holt是北卡罗莱纳州立大学刑事司法系的助理教授,他和他的团队去年在审视这些黑市站点时,发现了一些这种网站的运行惯例,并收集了有关互联网攻击的数据。在最近举行于拉斯维加斯的DefCon黑客大会上,他告诉人们当今的恶意软件销售网站是如何使用这些面向买主友好的策略招徕顾客的。
在某些领域卖方信誉值这个说法是非常荒谬的事情。但是卖主使用的身份隐藏策略——如Corpse或者Cyber Underground Project项目或者Cr4sh——与eBay帐户名效用相当,某种意义上来说信誉值可以在交易时用到。
Holt说,一个新的恶意软件卖主初次出来兜售产品时都是匿名的。然后等他得到足够的如上文所述的积极评价合,他的信誉值就就得到提高,一直到他成为一名“认证卖主”。相反地,如果他出来欺骗了骗子,他就会被标注为不值得信任的“欺诈者”——就是欺诈了恶意软件买主的人。
即使某些论坛关闭了,这种信誉值在一些权威方的认定下仍然可以延续使用。Holt发现过一个欺诈者的数据库,包括一份参考列表,里面存有已知的欺诈事件,甚至还有未验证的欺诈者的抱怨,已注册会员的投诉,这些数据被认为是更为真实的。这就像是某种黑市的市场运营调节机构一样。
恶意软件实验室测试
病毒发布者的信誉值其实只是现代商业惯例在地下黑市的体现之一而已。有不少病毒似的软件推广网站,它们也效仿对科技产品进行独立测试的实验室对软件产品进行测试。比如PC World测试中心,经常马不停蹄地测试各种产品,比处理器的速度到应用程序的可靠性再到数码相机的照片质量。
有些恶意软件论坛提供了同样的产品测试报告,但并不是测试计算机的运行速度,他们提供的评测是:一个木马程序是否能完成拒绝式服务攻击,就像它的开发者所宣称的那样,或者它能否如所愿地与受感染的电脑进行通讯。Holt发现有些论坛甚至还使用帐户验证工具抽查大批信用卡,以验证帐户是否真实可用的有效帐户。潜在的用户有根据产品旁边的评论来决定是否购买。
|