迈克菲2010一季度安全威胁报告全文

　　网络犯罪审判

　　DarkMarket：Devilman 和 JiLsi 服罪

　　2006 年到 2008 年间，DarkMarket 是伪造卡领域最活跃的地下论坛之一，主要窃取信用卡和借记卡号码并出售牟利。尽管需要受到邀请才能加入 DarkMarket，但其自夸拥有 2000 多个注册用户。FBI 渗透到该论坛并于 2008 年 10 月将其关闭。在其他警察部门的帮助下，FBI 在美国、英国、土耳其和德国逮捕了 50 多人。这些被捕者中包括 Cagatay Evyapan(又名 Chao，土耳其)、Mert Ortac(Kier，土耳其)和 Markus Kellerer(Matrix001，德国)。

　　本季度，两名主要 DarkMarket 成员在伦敦的 Blackfriars 刑事法庭为其犯罪行为伏罪。他们将面临最长10 年的刑期。

　　第一位是 Renukanth Subramaniam，被称为“JiLsi”。这位 33 岁的斯里兰卡人是一名网站管理员，是最早的论坛成员之一。6第二位是 John McHugh。69 岁的“Devilman”是一名评论员。他的工作之一是验证新注册者提供给该团伙的信用卡以确定是否将其接收为成员。7

　　Wiseguys 僵尸网络

　　我们经常听说垃圾邮件制造者绕过 CAPTCHA(Completely Automated Public Turing test to tel Computers and Humans Apart，区分计算机和人的全自动公共图灵机测试)身份验证。通过使用被 bot 感染的计算机，他们可以创建大量的随机电子邮件帐户来发送垃圾邮件。

　　2 月份，美国新泽西州纽华克的联邦法官透露了僵尸网络支持的 CAPTCHA 破解程序的最新使用案例。在此案例中，受被告操纵的计算机被用来从合法门票销售商的网站购买音乐会和体育赛事优惠门票。僵尸网络操纵者随后以稍高的价格转售门票。

　　据起诉书称，该分布式软件由保加利亚的程序员开发。该应用程序绕过了旨在限制个人门票购买的安全保护措施，并抢先订购了最好的座位。与我们经常遇到的僵尸网络不同，此僵尸网络设置在为该目的而设计的专用计算机上。该网络购买了超过 150 万张优惠门票，涉及从 2002 年末到 2009 年 1 月左右的各种活动，获利估计达到 2890 万美元。

　　此偷窃行为背后的雇主、承包者和被告称作 Wiseguys，其名称基于他们在内华达创办的公司名称(Wiseguy Tickets, Inc.)。Wiseguys 僵尸网络是全国范围的计算机网络，每分钟购买数千张门票。该网络的特征令人印象深刻 ：

　　监视在线门票供应商的网站，以准确掌握流行活动门票开始出售的时间。?

　　在门票开始出售的那一刻同时打开数千个连接?

　　在几分之一秒内绕过 CAPTCHA 质询(人类需要 5 至 10 秒)，从而抢先于合法购买者?

　　受 Wiseguys 雇主的监督，它几乎即时地准备好几百张最佳门票的列表?

　　填写完成购买所需的所有字段，包括客户信用卡信息和虚假电子邮件地址?

　　图 17：Wiseguy Tickets 制作的欺诈在线门票出售信息。(来源 ：迈克菲)

　　起诉书阐述了 Wiseguys 如何利用许多流行活动，包括 BCS 足球锦标赛、芭芭拉·史翠珊芝加哥音乐会、

　　汉娜·蒙塔娜新泽西音乐会和 2008 年布鲁斯·斯普林斯汀巡回演出。8对于最后这项活动，该僵尸网络

　　购买了约 11800 张门票。

　　他们的最后一次犯罪发生在 2009 年 1 月，当时该僵尸网络仿冒 1000 个单独的门票购买者，非法购买在新泽西州卢瑟福区东部的 Giants Stadium 举行的 New York Giants 与 Philadelphia Eagles 的美国足球联赛总决赛门票。

　　Operation Bottom Dollar 整治行动

　　本季度，美国联邦商务委员会提出了七宗针对在家工作和工作安排诈骗犯的诉讼。9在 2 月宣布的诉讼中，联邦商务委员会对七家机构进行了指控。这使该机构过去 12 个月提出的诉讼数量达到 11 宗。据联邦商务委员会的控诉称，被告之一的 Real Wealth Inc. 欺骗了 10 多万人，向他们销售所谓的解释如何通过申请政府补助来赚钱的小册子和在家工作明信片及信封。通过使用有时针对老年人和残疾人的邮件直销活动，Real Wealth 使用“我完成 3 分钟的简单表格就收到了 9250 美元”或“我每天只需邮寄 30 张明信片，一周就可以赚到 350 美元”之类的欺骗性陈述来诱骗消费者。Real Wealth 还声称，通过学习有关“7000 亿银行业紧急融资”的“秘诀”，消费者可以“每周快速挣到多达 1500 美元以上或更多实实在在的现金”。

　　在另一起控诉中，Darling Angel Pin Creations 在 Internet 广告中声称，通过购买入门工具箱，消费者每周可通过装配斜销最多挣得 500 美元。

　　Mariposa 僵尸网络

　　2 月份，西班牙公民警卫队逮捕了多名运作 Mariposa 僵尸网络的犯罪团伙成员。此僵尸网络最初出现于 2009 年 5 月，其背后的各种恶意软件已劫持了 190 个国家/地区的 1300 万台 PC。10它在 2009 年12 月被关闭，其目的是窃取信用卡数据、网络银行密码、社交网站帐户信息和其他敏感数据。它通过

　　对等网络、被感染的 USB 驱动器和将受害者指向被感染网站的 MSN 链接进行传播。一旦发现受害者，Mariposa bot 客户端将安装各种恶意软件变种(高级按键记录程序、包括 Zeus 在内的银行特洛伊木马、远程访问特洛伊木马等)，以获得对受害系统的更强控制。该犯罪团队自称为 DDP 团队(表示días de pesadilla 或“噩梦般的日子”)。我们在某些指向这些犯罪分子创建来传播其恶意软件的网站的 WHOIS 查询中发现了此称谓。