近日接連發生勒索事件,數碼港、消委會都成為受害者。據網絡安全服務供應商 Sophos 報告指出,網絡犯罪組織在網上論壇搞合法的「徵文比賽」,並且提供高額獎金,由論壇成員做評判選出優勝者,而論壇擁有人和比賽贊助商則就得到新的攻擊和入侵方法。
Sophos X-Ops 團隊的最新研究報告指出,參賽作品將由網路犯罪分子作專業分析,並透過競賽形式激發各式各樣的網絡犯罪行為,同時為黑客提供有助他們突破安全障礙的建議,而勝出者將可獲得可觀的獎金、同行的認可以及工作機會。
報告指犯罪論壇上的競賽式研究已經發展了一段日子,多年來他們所研究的技術持續提升。早期這種比賽以問答遊戲、圖形設計競賽和猜謎遊戲為主,現時則改為邀請黑客提交指定攻擊技術的文章,並需於提交作品時附上原始程式碼、影片或螢幕截圖,最終由所有論壇用戶選出勝出者。不過研究的評審準則並非完全透明,而論壇擁有人和比賽贊助商則擁有獨立投票權。
Sophos 威脅研究總監 Christopher Budd 表示:「由網路犯罪分子參與和贊助競賽式研究的模式可見,犯罪組織現時正改善其攻擊策略和技術,同時於比賽中招募其他知名度高的黑客組織。」
研究顯示犯罪組織愈來愈關注與 Web-3 相關的技術,包括加密貨幣、智能合約和 NFT,即使參賽黑客所提交的作品不是特別新穎,但由於技術能投入實際使用,所以令其深受用戶歡迎。可見,現時犯罪團體視相關技術為優先應用的攻擊技術,亦有機會表示黑客將嶄新的研究留為己用,以便他們於現實世界以網絡攻擊獲利多。
最近,俄語網絡犯罪論壇 Exploit 的競賽主題則圍繞加密貨幣,而 XSS 主辧的競賽主題則圍繞社會工程、迴避系統偵測和詐騙等策略。當中,許多獲獎作品都集中利用合法平台進行詐騙,並分享如何以首次代幣發行 (ICOs)為加密貨幣籌集資金,以及有關操縱特權代幣以迴避 Windows Defender 的偵測。