一周海外安全事件回顾(2014.03.03–2014.03.09)

2014-03-10 +10 170138人围观 ,发现 6 个不明物体 头条

上周被多家海外安全媒体津津乐道的竟然是一件300美金的DDoS勒索案。DDoS敲诈者和被敲诈者本身没有任何矛盾或利益冲突。如何让被敲诈者乖乖地把钱掏出来不是一件容易的事情。同样,作为被敲诈的对象,规避/减少勒索带来的损失也不容易。

300美金的DDoS敲诈

DDoS敲诈在作为一种网络攻击之前,首先是一个生意。

本周被DDoS攻击勒索的对象是一家在线社会化媒体——Meetup。据该公司老总称,他们接到了一份电子邮件,内容是这样的:

“A competitor asked me to perform a DDoS attack on your website. I can stop the attack for $300. Let me know if you are interested in my offer.”((贵司的)一个竞争对手要我DDoS你们的网站。我可以不打,只要你给我300美金。答不答应给我个回信儿。)

Meetup拒绝了。之后的几天内,Meetup网站遭受了数次严重的DDoS攻击,严重的时候连续24小时网站不可访问。经过数天的攻防对抗,黑客住手了。

“这不是多少钱的事。我们不会向邪恶势力低头。”Meetup CEO振振有词。

毋庸置疑,Meetup在这件事情上的投入,包括可能造成的损失,不要说300美金,3万美金可能都不止。然而,安全专家对Meetup的处理方式大加赞扬。“黑客要挟你,更多是想看看你到底会不会就范。如果你答应了对方的要求,他们就可能抬高价码。”A厂商称。

不管怎样,300美金还是很低,发起一定规模的DDoS攻击,可能连成本都cover不住。一般来说,普遍的DDoS勒索金额在1万美金以上。当然,这事儿和钱的确无关。你掏钱了,你可能就是VIP了。

回顾拿DDoS作为威胁的手段提出金钱要挟的历史应该比较长了。第一起DDoS攻击勒索事件早已无从追溯,从对RBN(Russian Business Network)的研究文档中(见上图),可以看出,最早的DDoS勒索事件应该在2003年前后。不知道这是否是真实情况,应该不会差的太远。

下面是一封发生在去年6月份的DDoS敲诈邮件,敲诈者勒索的金额是1个比特币。

事实上,这只是一封典型却又非常简单的敲诈事件。很多敲诈的模式要远比索要1个比特币复杂的多。站在黑客的角度上,到底敲诈多少钱是一个复杂的问题,和多个因素相关:被敲诈者的规模、社会影响、攻击成本、法律风险、以及涉及产业链分成等等。如何找到一个合适的商业模式并推出一个合理的价格表需要颇费一番脑筋。

从根本上说,DDoS敲诈者和被敲诈者本身没有任何矛盾或利益冲突。如何让被敲诈者乖乖地把钱掏出来不是一件容易的事情。你要挟一个小网站,人家可能宁愿把网站关了也不给你钱;对于大一些的网站,对方可能会权衡给你钱,还是给安全厂商/服务提供商钱;对于大型的网站,你首先要掂量掂量自己手中的鸡够不够“Powerful”,以及可能面临的法律风险,不要最后落个赔了夫人又折兵的结果。

因此,DDoS敲诈在作为一种网络攻击之前,首先是一个生意。千万不要把DDoS敲诈这个生意看的太容易;事实上,360行没有任何一行是容易的。如何敲诈?如何让对方放弃反抗乖乖把钱掏出来?如何规避可能存在的法律风险?甚至需要考虑如何把被敲诈者发展成为你的客户。

下面,我们再看一个相比上面勒索邮件复杂得多的案例。下面是敲诈邮件内容的中文翻译:

如果您希望您的网站还能工作,那么必须每月支付我们10,000卢布。
我们的攻击是这样的:第一波攻击是由2000僵尸主机发起的。如果您联系安全厂商阻止我们的攻击,那么对不起,我们会将僵尸增加到50,000个。您知道,要防住5万个僵尸的攻击是非常非常昂贵的。
第一笔款项的支付须在XX日(注:攻击日)之前完成,剩下每个月的支付款(10,000卢布)须在8月31日后的每个月的31/30日之前支付。请注意,如果您不能按时支付,我们将按日为单位收取100%滞纳金。举例来说,如果您不能在31日完成支付,我们会在第二月的第一天收取100%的滞纳金,即20,000卢布,第三天30,000卢布,以此类推。因此,请务必准时完成支付。
此外,作为我们的客户,我们将为您提供如下增值服务。
1、如果您打算攻击您的竞争对手,我们将为您提供30%折扣。DDoS行业的普遍价格是100美金/晚,而我们只收取70美金/天;
2、如果再有您的竞争者找到我们,要求我们攻击您的网站,我们会拒绝他们。

我们可以看出,能想出这样商业模式的黑客不是一般的黑客。更像是一个商人。

如果你是接到了这样的一封邮件,作为XX网站管理者的你该如何面对呢?实话讲,没有唯一正确的办法。一方面需要考虑你的承受力,不仅包括你防护系统的承受力,还包括一旦你的网站挂了,你能承受的业务损失和可能来自客户/公众压力的能力。另一方面,尽量避免盲目和快速地下结论,向你的朋友,你的同行甚至你的竞争对手请教。他们可能有过类似的经验,可以给你一些可行性建议。你还需要做最坏的准备,有时候系统迁移也是一种有效规避的手段。当然,求助安全专家以及法律也是考虑的方面,这里就不再赘述了。

本周其他事件:

俄罗斯与乌克兰之间的网络攻击已经开始。乌克兰的SBU安全服务主管在周二表示乌克兰电信系统遭到攻击,攻击源来自克里米亚。攻击干扰了乌议会会员的手机通信。 

(完)

(2014年3月9日,@blackscreen)

发表评论

已有 6 条评论

取消
Loading...
css.php