数字时代的银行大劫案:犯罪分子如何盗取数字货币

阅读量335918

|

发布时间 : 2018-02-13 16:00:43

x
译文声明

本文是翻译文章,文章原作者 Pieter Arntz,文章来源:blog.malwarebytes.com

原文地址:https://blog.malwarebytes.com/cybercrime/2018/02/bank-robbers-2-0-digital-thievery-stolen-cryptocoins/

译文仅供参考,具体内容表达以及含义原文为准。

 

一、前言

想象一下,假设有一位不法分子,背着刚刚抢来的1.56吨金条,在东四环辅路上奔跑。如果他想要逃脱英明神武的警方和朝阳群众的追捕,无疑是极其困难的,并且还需要拥有极强的身体素质。
然而,这正是第二代”银行悍匪”病毒在2017年12月所做的事情,他们从挖矿市场NiceHash窃取了超过6000万美元的比特币。事实证明,相比于抢劫金条来说,窃取比特币并不需要太强的身体素质。
(特别声明:本文中所提及的金额,是按照2017年12月窃取事件发生时的比特币价值换算而成,目前的比特币市场已经今非昔比。)
通过调查,研究人员发现,目前的攻击者已经具有一套数字化的银行劫取方案。这样的方式拥有更强的匿名性,从而让攻击者能进行高风险的敏感攻击行为。此外,他们将攻击目标瞄准了虚拟货币。

 

二、抢银行的原始方法

此次的NiceHash入侵事件,其涉案金额在迄今为止的金融盗窃案件中排名第二。根据吉尼斯世界纪录的记载( http://www.guinnessworldrecords.com/world-records/greatest-robbery-of-a-bank ),排名第一的是2005年巴西的一家银行失窃事件,涉案金额近7000万美元,罪犯成功运走了近3.50吨的支票。这次犯罪共有25名成员参与,其中包括数学家、工程师以及挖掘方面的专家,他们在银行附近的一家园林景观公司挖掘了一个78米长的隧道,并且打通了厚约1米的钢筋混凝土,从而进入到银行金库。
此外,美国最大的银行劫案于1972年发生在加州联合银行。根据其主脑在《Vault》一书中的描述,共有包括警报器专家、爆破专家和盗窃工具设计者在内的7人闯入银行保险库,并将里面的现金和贵重物品抢走,估测价值为3000万美元。
这两起劫案的共同之处在于,为了成功窃取,需要大量的犯罪分子共同参与犯罪,并且其中的人具有某个领域的技能。然而,只要是通过物理的方式实现盗窃,就会留下犯罪的痕迹,甚至有可能在犯罪过程中留下指纹或DNA。同时,他们还必须要防止被他人看到。
关于加州联合劫案的详情请参考维基百科:https://en.wikipedia.org/wiki/United_California_Bank_robbery

 

三、数字时代的抢银行方法

在如今的数字时代,窃取金钱甚至可以在网络进行,罪犯无需再考虑如何运送赃物、如何逃离现场,也不需要再挖掘或炸毁东西,他们也没有被当场抓获的风险。一些足够”聪明”的罪犯,可以独立工作,并让自己保持匿名,甚至是同伙都不清楚其身份信息。要破获数字化盗窃案件,就需要先调查出犯罪人员的身份、所在位置和犯罪计划,这一点相比于传统劫案要复杂得多。

3.1 社会工程学

2013年,某组织针对30个国家的100家银行和金融机构进行了长达数月的攻击,据媒体报道( https://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0 ),总窃取金额超过3亿美元。根据调查显示,犯罪分子都是通过社会工程学,直接在银行员工所使用的系统上安装恶意程序。
劫匪会寻找负责银行转账或负责远程控制ATM的员工,并试图控制他们的电脑。通过这种方式,就可以将资金转账到劫匪的账户中,而银行将不会有所察觉。举例来说,一些有漏洞的系统可以修改储户的账户余额,假如某账户有1万美元,攻击者将其修改为10万,这样就非法获得了9万的金钱,同时不会引起任何人的注意。
此次攻击事件的嫌疑组织Carbanak Group尚未被捕,他们编写的恶意软件变种仍在网络上持续发布。
关于社会工程学,请参考此前文章:https://blog.malwarebytes.com/glossary/social-engineering/

3.2 庞氏骗局

比特币储蓄和信托公司(Bitcoin Savings & Trust,简称BST)是一家大型比特币投资公司,他们每周向持有比特币的投资者提供7%的利息,后被证明是一场金字塔骗局,俗称”空手套白狼”,利用新投资人的钱来向老投资者支付利息和短期回报,以制造赚钱的假象进而骗取更多的投资。当虚拟对冲基金于2012年关闭时,其大部分投资者的钱都没有被退还。而在BST关闭时,他们已经拥有50万比特币,价值560万美元,然而BST的创始人pirateat40仅向一小部分用户支付了一笔小额款项。后来经调查才知道,他个人挪用了近15万美元的客户资金,用于支付租金、支付汽车相关费用、缴纳公共事业费用、采购消费、赌场赌博和餐饮方面。
相关的报道请参见:https://insidebitcoins.com/news/trendon-shavers-bitcoin-ponzi-schemer-charged-40-million-fine/24716

3.3 黑客攻击

尽管目前尚不清楚具体细节,但可以确认此次NiceHash失窃事件( https://www.theregister.co.uk/2017/12/06/nicehash_diced_up_by_hackers_thousands_of_bitcoin_pilfered/ )是黑客通过安全漏洞进行攻击实现的。共有约4732个比特币从NiceHash内部的钱包地址转移到一个未知钱包地址中。根据调查,疑似是黑客使用了该公司员工的证书进入NiceHash系统。就目前而言,他们到底是如何获得的证书还不得而知,但坊间流传说公司存在内鬼。

3.4 窃取钱包密钥

2011年9月,MtGot热钱包(Hot Wallet)私钥被盗( http://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html ),窃取方式非常简单,攻击者只需要复制一个wallet.dat文件即可实现。该私钥的失窃,使得黑客不仅能立即获得大量比特币,还能够将用户存入比特币的流向修改为文件中所包含的任何地址。该窃取行为直至2014年才被发现,在此之前共计损失约4.5亿美元。该案件的嫌疑人于2017年被捕。

3.5 交易可锻性攻击

当一笔比特币交易完成时,付款方将会对重要信息进行签名,其中包括交易的比特币数量、付款方和收款方。随后,由该信息生成交易ID,也就是这笔交易的唯一名称。但是,一些被用于生成交易ID的数据来源于交易中未经签名、不安全的部分。因此,有可能在付款方不知情的情况下实现对交易ID的修改。比特币协议中的这一漏洞就被称为”交易可锻性”(Transaction Malleability,一些地方也称之为交易延展性)。
交易可锻性在2014年是一个热门话题,研究人员发现攻击者可以轻松利用这一漏洞。例如,一位窃取者可以先修改他的交易,随后声称他的交易没有在期望的ID下出现(即目标收款方没有收到他的比特币),认为此次交易失败。随后,系统将会自动重试,启动第二笔交易,从而他能让目标ID收到更多的比特币。
据称,丝绸之路2.0( https://www.forbes.com/sites/andygreenberg/2014/02/13/silk-road-2-0-hacked-using-bitcoin-bug-all-its-funds-stolen/#6b4d31b72025 )在2014年盗取的260万美元就是利用了这一漏洞,但其真实性未被证实。

3.6 中间人攻击(根据设计原理)

2018年,某个Tor代理被发现( https://www.proofpoint.com/us/threat-insight/post/double-dipping-diverting-ransomware-bitcoin-payments-onion-domains )会同时从勒索软件作者和被感染用户那里窃取比特币。Tor代理服务是一个网站,允许用户无需安装Tor浏览器即可访问托管在Tor网络上的.onion域名。由于Tor代理服务器在设计上就具有中间人(MitM)特性,因此窃取者很容易替换被感染用户支付赎金的比特币地址,将其换成自己的地址。这样就导致勒索软件作者无法收到赎金,同时导致被感染的用户无法得到解密所需的密钥。

3.7 劫持用户挖掘加密货币

加密货币劫持(Cryptojacking)又被称为挖矿劫持,是一种新型匿名劫持技巧,其中包括可能会在用户不知情的前提下在第三方系统上进行挖矿活动。即使仅从每个用户那里窃取少量金额的加密货币,由于被感染用户众多,总金额也相当大。目前,有许多实现方法,Malwarebyte的Jérôme Segura曾经发表过一份白皮书,可以参考阅读( https://go.malwarebytes.com/rs/805-USG-300/images/Drive-by_Mining_FINAL.pdf )。
与诱导下载恶意软件不同,挖矿劫持更侧重于利用被感染用户计算机的处理能力来挖掘加密货币,特别是那些可以容纳非专用处理器的加密货币( https://blog.malwarebytes.com/security-world/2017/12/how-cryptocurrency-mining-works-bitcoin-vs-monero/ )。用户可能会通过恶意广告、捆绑插件、浏览器扩展或木马的方式感染。攻击者的收入很难预测,但根据Malwarebytes每天在Coinhive和同类网站上( https://blog.malwarebytes.com/security-world/2017/10/why-is-malwarebytes-blocking-coinhive/ )的监测显示,这一攻击行为所能收到的利润恐怕会打破此前的所有记录。

3.8 数字化货币的物理窃取

在如今,仍然有人通过传统的方式来窃取比特币。2018年1月,三名武装分子企图抢劫一个加拿大的比特币交易所,一名员工偷偷报警,因此该抢劫以失败告终( https://motherboard.vice.com/en_us/article/ne4pvg/police-in-ottawa-canada-charged-a-teen-with-armed-bitcoin-robbery-are-hunting-two-suspects )。然而,也有成功通过物理方式抢劫数字化货币的案例。在曼哈顿地区,一位男子连同其帮凶一起,持枪胁迫了他的一位朋友( https://gizmodo.com/man-charged-with-stealing-1-8-million-in-cryptocurrenc-1821252074 ),并抢劫价值180万美元的数字化货币,获得了其钱包,并强迫受害者交出了数字化货币的密钥。

 

四、总结

根据上面的例子,我们可以得出结论,网络犯罪分子拥有更多的犯罪方式。并且与传统的抢银行相比,抢劫者自身受到伤害的风险较低,并且抢劫的难度有所降低,因此他们进行抢劫活动的总体风险变得更低。然而,抢劫数字货币的唯一难点就在于如何在不引起怀疑的情况下,将其转换为法定货币,同时还要尽量减少洗钱所需的开支。
尽管网络犯罪不使用暴力,也没有人因此受到人身上的伤害,但我们必须坚定打击犯罪,对其进行防范。最重要的一点就是,不要随意相信他人,更不要轻信网络上的诱导。那么,如何在数字时代避免被现代化窃贼侵害利益?我们有如下提示:

  1. 不要把所有的鸡蛋放在同一个篮子里。
  2. 在决定商业合作之前,首先进行背景调查,特别是要对公司的背景和高管的身份进行了解,这样百利而无一害。
  3. 尽量不要将所有存款都投入到加密货币之中。

 

五、参考阅读

  1. 交易可锻性的相关解释:https://bitcointechtalk.com/transaction-malleability-explained-b7e240236fc7
  2. ATM吐钱(Jackpotting)攻击:http://time.com/money/5125106/what-is-atm-jackpotting/

原文链接:

本文翻译自blog.malwarebytes.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
P!chu
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66