數字時代的銀行大劫案：犯罪分子如何盜取數字貨幣

譯文聲明本文是翻譯文章，文章原作者 Pieter Arntz，文章來源：http://blog.malwarebytes.com

原文地址：https://blog.malwarebytes.com/cybercrime/2018/02/bank-robbers-2-0-digital-thievery-stolen-cryptocoins/

一、前言

想像一下，假設有一位不法分子，背著剛剛搶來的1.56噸金條，在東四環輔路上奔跑。如果他想要逃脫英明神武的警方和朝陽群眾的追捕，無疑是極其困難的，並且還需要擁有極強的身體素質。

然而，這正是第二代」銀行悍匪」病毒在2017年12月所做的事情，他們從挖礦市場NiceHash竊取了超過6000萬美元的比特幣。事實證明，相比於搶劫金條來說，竊取比特幣並不需要太強的身體素質。

（特別聲明：本文中所提及的金額，是按照2017年12月竊取事件發生時的比特幣價值換算而成，目前的比特幣市場已經今非昔比。）

通過調查，研究人員發現，目前的攻擊者已經具有一套數字化的銀行劫取方案。這樣的方式擁有更強的匿名性，從而讓攻擊者能進行高風險的敏感攻擊行為。此外，他們將攻擊目標瞄準了虛擬貨幣。

二、搶銀行的原始方法

此次的NiceHash入侵事件，其涉案金額在迄今為止的金融盜竊案件中排名第二。根據吉尼斯世界紀錄的記載（ http://www.guinnessworldrecords.com/world-records/greatest-robbery-of-a-bank ），排名第一的是2005年巴西的一家銀行失竊事件，涉案金額近7000萬美元，罪犯成功運走了近3.50噸的支票。這次犯罪共有25名成員參與，其中包括數學家、工程師以及挖掘方面的專家，他們在銀行附近的一家園林景觀公司挖掘了一個78米長的隧道，並且打通了厚約1米的鋼筋混凝土，從而進入到銀行金庫。

此外，美國最大的銀行劫案於1972年發生在加州聯合銀行。根據其主腦在《Vault》一書中的描述，共有包括警報器專家、爆破專家和盜竊工具設計者在內的7人闖入銀行保險庫，並將裡面的現金和貴重物品搶走，估測價值為3000萬美元。

這兩起劫案的共同之處在於，為了成功竊取，需要大量的犯罪分子共同參與犯罪，並且其中的人具有某個領域的技能。然而，只要是通過物理的方式實現盜竊，就會留下犯罪的痕迹，甚至有可能在犯罪過程中留下指紋或DNA。同時，他們還必須要防止被他人看到。

關於加州聯合劫案的詳情請參考維基百科：https://en.wikipedia.org/wiki/United_California_Bank_robbery 。

三、數字時代的搶銀行方法

在如今的數字時代，竊取金錢甚至可以在網路進行，罪犯無需再考慮如何運送贓物、如何逃離現場，也不需要再挖掘或炸毀東西，他們也沒有被當場抓獲的風險。一些足夠」聰明」的罪犯，可以獨立工作，並讓自己保持匿名，甚至是同夥都不清楚其身份信息。要破獲數字化盜竊案件，就需要先調查出犯罪人員的身份、所在位置和犯罪計劃，這一點相比於傳統劫案要複雜得多。

3.1 社會工程學

2013年，某組織針對30個國家的100家銀行和金融機構進行了長達數月的攻擊，據媒體報道（ https://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0 ），總竊取金額超過3億美元。根據調查顯示，犯罪分子都是通過社會工程學，直接在銀行員工所使用的系統上安裝惡意程序。

劫匪會尋找負責銀行轉賬或負責遠程控制ATM的員工，並試圖控制他們的電腦。通過這種方式，就可以將資金轉賬到劫匪的賬戶中，而銀行將不會有所察覺。舉例來說，一些有漏洞的系統可以修改儲戶的賬戶餘額，假如某賬戶有1萬美元，攻擊者將其修改為10萬，這樣就非法獲得了9萬的金錢，同時不會引起任何人的注意。

此次攻擊事件的嫌疑組織Carbanak Group尚未被捕，他們編寫的惡意軟體變種仍在網路上持續發布。

關於社會工程學，請參考此前文章：https://blog.malwarebytes.com/glossary/social-engineering/ 。

3.2 龐氏騙局

比特幣儲蓄和信託公司（Bitcoin Savings & Trust，簡稱BST）是一家大型比特幣投資公司，他們每周向持有比特幣的投資者提供7%的利息，後被證明是一場金字塔騙局，俗稱」空手套白狼」，利用新投資人的錢來向老投資者支付利息和短期回報，以製造賺錢的假象進而騙取更多的投資。當虛擬對沖基金於2012年關閉時，其大部分投資者的錢都沒有被退還。而在BST關閉時，他們已經擁有50萬比特幣，價值560萬美元，然而BST的創始人pirateat40僅向一小部分用戶支付了一筆小額款項。後來經調查才知道，他個人挪用了近15萬美元的客戶資金，用於支付租金、支付汽車相關費用、繳納公共事業費用、採購消費、賭場賭博和餐飲方面。

相關的報道請參見：https://insidebitcoins.com/news/trendon-shavers-bitcoin-ponzi-schemer-charged-40-million-fine/24716 。

3.3 黑客攻擊

儘管目前尚不清楚具體細節，但可以確認此次NiceHash失竊事件（ https://www.theregister.co.uk/2017/12/06/nicehash_diced_up_by_hackers_thousands_of_bitcoin_pilfered/ ）是黑客通過安全漏洞進行攻擊實現的。共有約4732個比特幣從NiceHash內部的錢包地址轉移到一個未知錢包地址中。根據調查，疑似是黑客使用了該公司員工的證書進入NiceHash系統。就目前而言，他們到底是如何獲得的證書還不得而知，但坊間流傳說公司存在內鬼。

3.4 竊取錢包密鑰

2011年9月，MtGot熱錢包（Hot Wallet）私鑰被盜（ http://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html ），竊取方式非常簡單，攻擊者只需要複製一個wallet.dat文件即可實現。該私鑰的失竊，使得黑客不僅能立即獲得大量比特幣，還能夠將用戶存入比特幣的流向修改為文件中所包含的任何地址。該竊取行為直至2014年才被發現，在此之前共計損失約4.5億美元。該案件的嫌疑人於2017年被捕。

3.5 交易可鍛性攻擊

當一筆比特幣交易完成時，付款方將會對重要信息進行簽名，其中包括交易的比特幣數量、付款方和收款方。隨後，由該信息生成交易ID，也就是這筆交易的唯一名稱。但是，一些被用於生成交易ID的數據來源於交易中未經簽名、不安全的部分。因此，有可能在付款方不知情的情況下實現對交易ID的修改。比特幣協議中的這一漏洞就被稱為」交易可鍛性」（Transaction Malleability，一些地方也稱之為交易延展性）。

交易可鍛性在2014年是一個熱門話題，研究人員發現攻擊者可以輕鬆利用這一漏洞。例如，一位竊取者可以先修改他的交易，隨後聲稱他的交易沒有在期望的ID下出現（即目標收款方沒有收到他的比特幣），認為此次交易失敗。隨後，系統將會自動重試，啟動第二筆交易，從而他能讓目標ID收到更多的比特幣。

據稱，絲綢之路2.0（ https://www.forbes.com/sites/andygreenberg/2014/02/13/silk-road-2-0-hacked-using-bitcoin-bug-all-its-funds-stolen/#6b4d31b72025 ）在2014年盜取的260萬美元就是利用了這一漏洞，但其真實性未被證實。

3.6 中間人攻擊（根據設計原理）

2018年，某個Tor代理被發現（ https://www.proofpoint.com/us/threat-insight/post/double-dipping-diverting-ransomware-bitcoin-payments-onion-domains ）會同時從勒索軟體作者和被感染用戶那裡竊取比特幣。Tor代理服務是一個網站，允許用戶無需安裝Tor瀏覽器即可訪問託管在Tor網路上的.onion域名。由於Tor代理伺服器在設計上就具有中間人（MitM）特性，因此竊取者很容易替換被感染用戶支付贖金的比特幣地址，將其換成自己的地址。這樣就導致勒索軟體作者無法收到贖金，同時導致被感染的用戶無法得到解密所需的密鑰。

3.7 劫持用戶挖掘加密貨幣

加密貨幣劫持（Cryptojacking）又被稱為挖礦劫持，是一種新型匿名劫持技巧，其中包括可能會在用戶不知情的前提下在第三方系統上進行挖礦活動。即使僅從每個用戶那裡竊取少量金額的加密貨幣，由於被感染用戶眾多，總金額也相當大。目前，有許多實現方法，Malwarebyte的Jér?me Segura曾經發表過一份白皮書，可以參考閱讀（ https://go.malwarebytes.com/rs/805-USG-300/images/Drive-by_Mining_FINAL.pdf ）。

與誘導下載惡意軟體不同，挖礦劫持更側重於利用被感染用戶計算機的處理能力來挖掘加密貨幣，特別是那些可以容納非專用處理器的加密貨幣（ https://blog.malwarebytes.com/security-world/2017/12/how-cryptocurrency-mining-works-bitcoin-vs-monero/ ）。用戶可能會通過惡意廣告、捆綁插件、瀏覽器擴展或木馬的方式感染。攻擊者的收入很難預測，但根據Malwarebytes每天在Coinhive和同類網站上（ https://blog.malwarebytes.com/security-world/2017/10/why-is-malwarebytes-blocking-coinhive/ ）的監測顯示，這一攻擊行為所能收到的利潤恐怕會打破此前的所有記錄。

3.8 數字化貨幣的物理竊取

在如今，仍然有人通過傳統的方式來竊取比特幣。2018年1月，三名武裝分子企圖搶劫一個加拿大的比特幣交易所，一名員工偷偷報警，因此該搶劫以失敗告終（ https://motherboard.vice.com/en_us/article/ne4pvg/police-in-ottawa-canada-charged-a-teen-with-armed-bitcoin-robbery-are-hunting-two-suspects ）。然而，也有成功通過物理方式搶劫數字化貨幣的案例。在曼哈頓地區，一位男子連同其幫凶一起，持槍脅迫了他的一位朋友（ https://gizmodo.com/man-charged-with-stealing-1-8-million-in-cryptocurrenc-1821252074 ），並搶劫價值180萬美元的數字化貨幣，獲得了其錢包，並強迫受害者交出了數字化貨幣的密鑰。

四、總結

根據上面的例子，我們可以得出結論，網路犯罪分子擁有更多的犯罪方式。並且與傳統的搶銀行相比，搶劫者自身受到傷害的風險較低，並且搶劫的難度有所降低，因此他們進行搶劫活動的總體風險變得更低。然而，搶劫數字貨幣的唯一難點就在於如何在不引起懷疑的情況下，將其轉換為法定貨幣，同時還要盡量減少洗錢所需的開支。

儘管網路犯罪不使用暴力，也沒有人因此受到人身上的傷害，但我們必須堅定打擊犯罪，對其進行防範。最重要的一點就是，不要隨意相信他人，更不要輕信網路上的誘導。那麼，如何在數字時代避免被現代化竊賊侵害利益？我們有如下提示：

1. 不要把所有的雞蛋放在同一個籃子里。
2. 在決定商業合作之前，首先進行背景調查，特別是要對公司的背景和高管的身份進行了解，這樣百利而無一害。
3. 盡量不要將所有存款都投入到加密貨幣之中。

五、參考閱讀

1. 交易可鍛性的相關解釋：https://bitcointechtalk.com/transaction-malleability-explained-b7e240236fc7 。
2. ATM吐錢（Jackpotting）攻擊：http://time.com/money/5125106/what-is-atm-jackpotting/ 。

推薦閱讀：