大多数的网络犯罪份子对赚取快速利润或提早退休毫不感兴趣。他们视网络犯罪为一种利润丰厚的事业，也极为乐意在隐藏恶意活动的过程中耐心地扩张他们的网络犯罪网络。在本篇博文中，我们讨论犯罪网络如何只从每名受害者身上赚得一两块钱。然后透过让许多的使用者受害，就可以每年赚得上千万元的利润。这些活动皆奠基于牵涉到流氓流量及诈骗知名品牌等商业模式。

　　网络犯罪份子所使用的网络囊括了寄宿在世界各地不同资料中心中，超过上百个以上的服务器。有些网络恶棍手上握有千万元的流动资产，让他们能够对可带来高额报酬率的新型网络犯罪活动做可观的投资。而因此他们的活动也造成大量的间接伤害。

　　浏览器挟持型Trojan木马指的是恶意软件的一种，该软件会将受害者从他们想要进入的网站处重导至其它网站。特定而言，搜索引擎的结果常会被此类恶意软件所挟持。在Google谷歌，Yahoo!雅虎，或Bing这类热门搜索引擎上所做的搜索仍有效。但当受害者点击搜索结果，或点击赞助商联结时，就会被重导至外来的网站，让挟持者可利用点击来赚取金钱。

　　浏览器挟持之所以热门，是因为点击搜索结果的成效良好。利用合法搜索引擎的成功来赚钱的手法既轻松又高利润。一个规模15万的傀儡僵尸网络/傀儡网络 Botnet就可以从挟持搜索结果的手法上，每年为犯罪份子赚得数百万美金。点击盗窃的费用端视所使用的关键字来定价。我们看过每个点击在美金0.01~0.02之间的费用，但如”在家经营事业良机”或”借贷”等的关键字或片语，则每个点击可超过美金2元。挟持傀儡僵尸每天所挟持超过百万的点击数量，以2010年7月20日来看，其赚得的利润如下。

　　要将偷盗得的点击变现金，挟持者通常会将骗得的点击收集贩卖给流量掮客。掮客再把流量重新转售给合法团队如Yahoo!雅虎，Google谷歌，或Ask.com。举例而言，我们就已看到Yahoo!雅虎的搜索结果点击透过一名流量掮客中间人转卖回给Yahoo!另一个范例则是将被偷盗的Google谷歌点击转卖给LookSmart。

　　不过要将偷盗来的流量卖给如Google谷歌，Overture(Yahoo!雅虎)，或LookSmart等合法的团队并不是件微不足道之事，因为这些公司皆备有先进工具来侦测诈骗。为此多数的流量挟持者皆利用掮客，这些掮客与挟持者合作让流量最大化及寻找最佳的买主。有些流量掮客不能被信任，他们本身也是诈骗骗局的一份子。例如一名位在俄国圣彼得堡的掮客”Onwa Ltd.”必然充份了解其转卖流量的诈骗本质。因为这名掮客为混淆的假搜索引擎撰写并贩卖后台软件，使之成为点击诈骗的外貌。(Onwa Ltd.在英国及Seychelles塞席尔群岛皆设有空壳公司)。

　　除此之外，Onwa Ltd.也设立了自己的假Google谷歌网站架构。这名特定的掮客至少从2005年就已经出现，也可能是早在2003年就存在了。这个集团所使用的其它公司名称包括”Ottersearch”，”RBTechgroup”，及”Crossnets”。

　　并非所有的流量掮客皆如Onwa Ltd.一般无耻。不过合法的流量掮客也需受诱骗才会相信自己是和合法的对象交易。为达到此目的，如Onwa Ltd.之类的流氓流量掮客通常会设立网站，让人以为掮客长期以来皆经营合法企业。假的搜索网站也受设立。这些假搜索网站原应可驱动真的使用者流量，但实际上只是成为傀儡僵尸网络/傀儡网络 Botnet网站点击诈骗的中间步骤。

　　假的搜索引擎不会有正常的访客，而如广告商所注意到的，他们的Alexa排名有时会人工化晋升。这是僵尸网络/傀儡网络 Botnet所为，它们会自动进入Alexa的URL来决定哪个网站需给予什麽数量的使用者人数。除此之外，流氓流量掮客往往会将骗得的流量化整为零，让流量看似来自许多不同的来源，而实际上绝大多数的点击只来自一小撮的僵尸网络/傀儡网络 Botnet。如果上游流量买主侦测到诈骗，流氓流量掮客就可以怪罪流氓赞助商并过滤掉其中一个窗口。网络犯罪集团因此只会失去一小部份的收益，而不是损失全部。

　　浏览器挟持是一款喧闹的恶意软件。在看到无预期的重导时，受害者很快便会注意到事情不对劲。因此僵尸网络/傀儡网络 Botnet的平均寿命皆不长。图1显示的是所收集的历史资料所计算出的单一傀儡僵尸的寿命长度。在本个案中，任何一个单一傀儡僵尸的寿命波动通常在6到12天内。

　　为了让僵尸网络/傀儡网络 Botnet的整体规模完整，主使者需要经常感染新系统。图2所示的是所讨论到的僵尸网络/傀儡网络 Botnet每日所增加的新系统数量。每日都有上万的新系统受到感染。在本年度已有超过2百万台的电脑受浏览器挟持软件所感染，我们预期在今年底之际将会有达4百万台的电脑受到感染。

　　趋势科技所观测的浏览器挟持软件同时配备额外的DNS域名系统变更(Domain Name System，简称DNS)元件，可变更系统的域名系统设定，使之指向外来的服务器。所使用的DNS域名系统服务器是写死(hard-coded)在恶意软件中的。我们发现犯罪份子们每天都会透过散播新的恶意软件样本来改变系统的DNS域名系统设定，将之设定到一对个别的外来服务器中。

　　这一对服务器在机器受感染仅一周的时间内，便会将域名改成恶意的IP位址。我们相信这的举动旨在企图延长傀儡僵尸的寿命。当浏览器挟持元件从被感染的电脑中移除后，DNS域名系统变更元件仍存留，因此僵尸网络/傀儡网络 Botnet仍可利用变更DNS域名系统的手法来挟持流量，而其寿命也显着增长。

　　我们预期浏览器挟持软件在未来会更先进及更活跃。今日已可见到如以外来广告取代合法广告的进阶手法。本部落格中所讨论到的僵尸网络/傀儡网络 Botnet在当流氓DNS域名系统元件启动时，会将Double Click广告置换成Clicksor广告。对Double Click来说，这是一种隐型且极难侦测出的点击诈骗手法。但在本个案中我们相信Clicksor和网络犯罪份子间并无中间人的存在。我们认为Clicksor应该能够侦测出这个诈骗。不过如果使用了流氓中间人，就会很难侦测出。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。