這篇文章我想分享給對網路安全、金融犯罪感興趣的 junior 工程師。最近國際執法部門(包括美國 FBI 與中國公安部等)發起了一場大規模行動,逮捕了超過 270 人並查封了多個詐騙中心,沒收金額高達 7 億美元。
這件事之所以重要,是因為它揭露了現代網路犯罪不再是單打獨鬥的駭客行為,而是一種高度工業化、組織化的犯罪生態系。對於工程師來說,理解這些攻擊路徑能幫助我們在設計系統或分析威脅時,有更全面的視角。
首先我們要理解什麼是殺豬盤(Pig Butchering)。這是一種結合了社交工程與金融詐騙的手段。犯罪者會先在社交軟體上偽裝成成功人士或建立浪漫關係,花時間獲取受害者的信任(像養豬一樣慢慢餵養),最後誘導受害者將資金投入虛假的加密貨幣投資平台。這些平台表面上顯示獲利,但實際上所有資金都被轉移到了犯罪分子的錢包中。
更令人不安的是,這些詐騙中心背後往往牽涉到人口販運。許多被逮捕的執行者其實是被誘騙到東南亞(如緬甸、柬埔寨)的受害者。他們被承諾高薪工作,抵達後卻被禁錮,在暴力威脅下被迫執行詐騙指令。這說明了現代網路犯罪的底層結構:頂層是洗錢與資金管理,中層是管理營運,底層則是被強迫勞動的執行者。
除了社交工程,這次行動還揭露了技術層面的進化,特別是 MaaS(Malware-as-a-Service,惡意軟體即服務)。這意味著開發惡意軟體的團隊將其產品模組化,像訂閱軟體一樣賣給其他犯罪者使用。
這次發現的一款 Android 銀行木馬(Banking Trojan)就是典型案例。它的攻擊鏈條非常完整:首先透過偽裝成政府機關的簡訊或郵件發送惡意連結,誘導使用者下載偽造的 APK 安裝檔。安裝後,木馬會請求高權限以維持持久化(Persistence),讓攻擊者能遠端監控裝置。最關鍵的技術是 Overlay Attack(覆蓋層攻擊),當使用者開啟真正的銀行 App 時,木馬會在上方覆蓋一個長得一模一樣的假介面,誘騙使用者輸入帳號密碼,進而盜取資金。
此外,文章中提到了一種名為 Approval Phishing(授權釣魚)的技巧。這與傳統盜取密碼不同,它是誘導使用者在區塊鏈上簽署一個授權交易。一旦簽署,攻擊者就獲得了對該錢包的完全控制權,可以直接將所有資產轉走,而不需要知道使用者的私鑰。
總結來說,這次的全球掃蕩讓我們看到網路犯罪的三個趨勢:第一,跨境化,犯罪者利用法律漏洞在不同國家間跳轉;第二,工業化,從人口販運到 MaaS 平台,形成了完整的供應鏈;第三,技術複合化,將社交工程、行動裝置漏洞與區塊鏈特性結合。
作為工程師,我們在開發金融或敏感權限應用時,應意識到單純的密碼驗證已不足夠,必須導入多因素認證(MFA)、監控異常的授權請求,並教育使用者警覺任何要求安裝不明 APK 或簽署未知合約的行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。