流媒体战场:网络犯罪格局面面观
网络威胁并不仅限于大型企业和大规模运动。最常见的攻击也并非高级持续性威胁(APT)和大规模数据泄露,而是作为普通用户每天都会接触到的恶意软件和垃圾邮件。而且,我们最容易受到攻击的领域之一是娱乐活动——尤其是当我们想要寻找免费或较低的价格获取想要的视频或游戏时,犯罪分子就会趁虚而入。
去年,我们研究了网络犯罪分子如何利用热门节目传播恶意软件,而今年,我们将研究重点转向了另一个同样受欢迎的娱乐领域:流媒体平台。
流媒体战场已形成
所谓“流媒体”又称流式媒体,是指以流式技术实现在线传输影音实时观看的互联网音视频媒体产品。流媒体可以分为视频流媒体和音频流媒体。作为一种新兴的互联网应用,其在整个互联网使用时长中的占比越来越高,这也成功吸引了网络犯罪分子的目光。
2019年可以说是流媒体战争正式开始的一年,几乎所有主流网络都在不遗余力地转向消费者的新型首选内容消费方式——流媒体平台,并试图从中获利。这一切始于Apple TV +,紧随其后的是迪士尼+,再之后还有最新加入的HBO Max,它是利用854亿美元收购时代华纳(Time Warner)而开发的项目,同时也是华纳媒体(WarnerMedia)及其母公司美国电话电报公司(AT&T)在流媒体混战中的反击武器。更不用说在世界各地涌现的各种规模的本地平台。实际上,到2024年,全球视频流媒体市场规模预计将达到6887亿美元。
对于网络犯罪分子而言,转向流媒体意味着新的利润丰厚的攻击渠道已经打开。实际上,在迪士尼+推出后仅几小时,成千上万的用户帐户就遭到了黑客入侵,其密码和电子邮件也随之更改。随后,犯罪分子以3至11美元的价格在网上出售了这些帐户信息。
不仅新的流媒体服务容易受到攻击。几年前推出的流行服务(如Netflix和Hulu等)同样是恶意行为者用于分发恶意软件、窃取密码以及发动垃圾邮件和网络钓鱼攻击的主要媒介。鉴于疫情期间大量人员闲赋在家,流媒体平台的订阅用户激增,它们也再次吸引了攻击者的目光。据统计,仅2020年第一季度,Netflix就增加了1500万订户,是预期的两倍多。这也意味着,至少又多了1500万用户容易受到针对流媒体服务的网络犯罪攻击。实际上,根据Flixed的一项最新研究发现,超过1/10的流媒体账户遭到过黑客入侵。
当然,受影响的远不止这数百万的账户购买者,通过共享密码的方式获取购买者账户访问权限的亲朋好友同样会受到影响。
为了帮助全世界的用户意识到威胁并保护自身免受伤害,我们深入研究了流媒体服务的网络犯罪格局。
我们利用卡巴斯基安全网络(KSN)——该系统用于处理科巴斯基用户自愿共享的网络安全威胁相关的匿名数据——的结果,分析了几种不同类型的威胁——与流媒体平台相关的恶意软件及其发布的原始内容,以及网络钓鱼电子邮件和虚假网站/登录页面。
本报告中分析的流媒体平台如下:
· Netflix:这个该类别中首个服务项目。其成立于1997年,最初是第一家在线DVD租赁商店,然后在2005年左右转向流媒体。目前,它仍然是最受欢迎的在线流媒体平台,在190多个国家/地区拥有1.83亿付费会员。
· Hulu:2008年推出的一项美国服务,不仅向订户提供(原始和非原始)节目和电影的流媒体库,还为订户提供观看最近在美国主要广播网络上播放的节目的最新发行集的机会。目前,它在美国拥有3210万订户。
· Amazon Prime Video:该视频流服务于2006年推出,并提供给所有Amazon Prime订阅者(此订阅包括免费的“两日达”,免费的音乐和免费的书籍)。 Amazon Prime Video提供对原始视频和非原始视频和电视节目目录的访问。您还可以为附加组件付费,该附加组件使您可以访问其他频道(例如Starz和HBO)上的内容。 Amazon Prime在全球拥有超过1.5亿用户。当然,此人数包括所有Prime会员,其中一些人可能不使用视频流服务。
· Disney +:于2019年11月推出,可访问Pixar、国家地理和迪士尼的整个内容库。它还提供与《星球大战》系列相关的所有内容以及一些原始系列。目前,它在全球拥有5450万订户。
· Apple TV Plus:这项服务于2019年11月推出,就在迪士尼+发布前不久。它主要由原始程序组成,可在100多个国家/地区使用。订户数量尚不清楚,但外部消息来源估计该人数在10到3300万之间。但是,从2019年9月10日起购买新的Apple TV、iPod、iPad、iPhone或Mac的任何人将获得免费的一年订阅。
流媒体平台的恶意软件
对于流媒体平台,当用户试图通过非官方手段(例如通过购买打折账户或尝试访问免费订阅)获得访问权限时,通常会接触到恶意软件和其他威胁。因为很多时候,这些非官方的链接或文件都与其他恶意程序(例如木马和后门程序)捆绑在一起。
利用卡巴斯基安全网络(KSN),我们搜索了与包含上述五个流媒体平台名称的文件捆绑在一起的恶意程序。结果显示那些试图通过非官方手段访问Netflix、Hulu、Amazon Prime Video、Disney +或Apple TV +的用户(移动或PC)遇到了各种威胁。
我们还专门研究了扫号器(account checker):用于在不同站点之间批量检查泄漏的凭据(通常是由于数据泄露)的工具。因为很多人会重复使用帐户登录信息,因此泄露的密码和用户名可以提供对多个在线帐户的访问权限,并且帐户检查工具可让网络罪犯准确地确定哪些帐户,以便他们可以出售对它们的访问权限(或窃取与之关联的财务/个人信息)。
此外,用户还可以访问或下载在线可用的扫号器,以免费访问流媒体平台。当然,使用这些工具会增加遇到恶意软件的风险。
原始系列恶意软件
此外,我们还使用KSN搜索了与包含流行原始电视节目名称的文件捆绑在一起的恶意程序。截至4月8日,迪士尼+只发行了一个主要的原创内容:《曼达洛人(The Mandalorian)》,但是,其他公司,尤其是Netflix,则拥有广泛的原始内容库。因此,我们选择了那些最受欢迎/评论最多的。由于这些平台中的许多都会不定期发布观看次数,因此我们使用了烂番茄,IMDB和Metacritic等公共资源来编制以下列表:
· Disney +:
《曼达洛人(The Mandalorian)》
· Netflix:
《性爱自修室(Sex Education)》;
《黑钱胜地(Ozark)》;
《怪奇物语(Stranger Things)》;
《猎魔人(The Witcher)》;
《爱是盲目的(Love is Blind)》;
《马男波杰克(BoJack Horseman)》;
《女子监狱(Orange is the New Black)》;
《养虎为患(Tiger King)》;
· Amazon Prime Video:
《灾难(Catastrophe)》;
《伦敦生活(Fleabag)》;
《透明人生(Transparent)》;
《博斯(Bosch)》;
《苍穹浩瀚(The Expanse)》;
《了不起的麦瑟尔夫人(The Marvelous Mrs. Maisel)》;
《高堡奇人(The Man in the High Castle)》;
· Hulu:
《城堡岩(Castle Rock)》;
《失恋排行榜(High Fidelity)》;
《星星之火(Little Fires Everywhere)》;
《美眉校探(Veronika Mars)》;
《使女的故事(The Handmaid’s Tale)》;
· Apple TV +:
《仆人(Servant)》;
《狄金森(Dickinson)》;
《影子写手(Ghostwriter)》;
《早间新闻(The Morning Show)》;
结果显示,网络犯罪分子经常通过包含上述节目名的恶意文件作为诱饵威胁用户(移动或PC端)。重要发现主要如下:
· 常见的网络钓鱼方案涉及要求用户确认或更新其流媒体平台帐户的付款信息。这样,网络罪犯就可以访问用户的财务信息(信用卡信息/帐单明细);
· 到目前为止,Netflix是罪犯最常使用的平台,诱使用户下载各种威胁,以试图获得对该平台的访问权限,修改应用程序或是收集登录信息;
· 利用上述节目名进行的所有攻击中,用户遭遇最频繁的就是各种类型的木马,占所有威胁的47%;
· 以Netflix名为诱饵的攻击大多数来自德国,以Amazon Prime名为诱饵的攻击大多数来自美国,以Hulu名为诱饵的攻击大多数来自多米尼加共和国,而以 Disney +名为诱饵的攻击大多数来自阿尔及利亚;
· 共有6,661名卡巴斯基用户在尝试通过帐户检查程序访问Hulu,Netflix,Amazon Prime或Disney +时遇到恶意软件;
· 总共有57,784次尝试感染了这6,661位用户;
· 恶意软件开发者最常使用5个原始节目(《曼达洛人》《怪奇物语》《猎魔人》《性爱自修室》《女子监狱》)来吸引潜在受害者的注意并引诱他们安装各种威胁;
· 超过一半(51%)的此类攻击(将上述5个节目之一作为诱饵)来自西班牙。
网络钓鱼凭证
网络钓鱼是窃取帐户凭据的最古老,最有效的方法之一。一旦获得您的电子邮件地址和密码,他们便可以将这些信息用于各种目的:发起其他垃圾邮件或网络钓鱼攻击,获得对您其他帐户的访问权限(很多时候,人们习惯重复使用密码)或检索与该帐户相关的帐单和信用卡信息。
与流媒体平台相关的网络钓鱼诈骗包括创建伪造的登录页面,以获取凭据。其中,Netflix仍然是最受欢迎的目标。 卡巴斯基的研究人员发现了四种不同语言的Netflix伪造登录页面:法语,葡萄牙语,西班牙语和英语。此外,研究人员还发现了伪造的Hulu登录页面。
虚假的西班牙语Netflix登录页面
虚假的Hulu登录页面
随着Disney +的推出,网络犯罪分子找到了新的目标:他们开始创建网络钓鱼页面,以定位潜在客户。
诱骗用户注册免费Disney +账户的意大利语钓鱼页面
这样的网络钓鱼骗局并不新奇。卡巴斯基在2019年指出,网络罪犯正在越来越多地利用重大体育和娱乐活动发动攻击。《权力的游戏》最后一季推出时,就出现了此类骗局。如今,迪斯尼+推出,这些罪犯开始使用相同的方案来试图窃取财务信息。
一年免费迪士尼+订阅的欺诈性报价
另一种常见的出于经济动机的攻击类型是诱使用户确认其付款细节或添加其账单信息。当然,一旦完成,犯罪分子就可以使用与受害者的信用卡和/或银行帐户相关的资金。这些攻击可能会以伪造成真实平台的虚假页面形式出现,也可能以发送到用户账户的电子邮件方式出现。
左:添加了要求新付款方式的虚假Netflix付款页面。
右:一个网络钓鱼骗局,要求用户将其帐单信息添加到其Hulu帐户中。
电子邮件的内容是相似的:警告用户,他们的付款方式已过时或必须经过确认,并且,除非他们尽快更新,否则其帐户访问权限或成员资格将被暂停。那些遭受此类欺诈的人很容易暴露其帐户凭据、银行帐户信息和信用卡详细信息。
要求收件人为他们的Amazon Prime帐户提供新的有效付款方式的电子邮件
网络钓鱼是犯罪分子快速、轻松获利的一种古老且奏效的方法。考虑到流媒体服务用户的数量只会日益增加,与这些平台相关的网络钓鱼欺诈的数量很可能也会随之增加,同时,目标平台的数量也只会不断增加。
下载你喜欢的流媒体应用程序-以及一些恶意软件
流媒体服务不仅为垃圾邮件和网络钓鱼诈骗提供了主要目标,而且在分发恶意软件方面也承担了重要角色。当然,大多数情况下,通过官方渠道订阅流媒体服务并且仅使用经过批准的应用程序版本的用户,可以避免意外下载恶意软件或其他威胁。但是那些希望通过“黑客”账户,下载免费版本或收集免费订阅来获得访问权限的用户,除了访问权限外,他们还会收获各种各样的威胁。这并不意味着订户就能完全免疫。当他们尝试下载该应用程序的任何非官方或修改版本时(例如,黑色背景而不是红色背景的Netflix),他们也可能会遇到恶意软件。如果网络罪犯试图窃取其账户凭据,他们也会沦为恶意软件的牺牲品。
尝试通过非官方方式观看流行的流媒体平台时,遇到各种威胁的卡巴斯基用户数量如下所示:
2019年1月-2020年4月8日期间尝试通过非官方手段访问平台过程中遇到各种威胁的用户数量
数据显示,到目前为止,Netflix仍然是罪犯最常使用以吸引用户下载各种威胁的平台,Hulu是第二受欢迎的平台,Amazon Prime是第三受欢迎的平台。尝试通过非官方方式观看迪士尼+时,只有28位用户遇到了各种威胁,而尝试观看Apple TV +时,则没有用户遇到威胁。
不过,这并不意味着迪士尼+和Apple TV +要安全得多,而主要是因为相较于其他流媒体平台,它们的推出时间较短而且受众范围较小。
2019年1月-2020年4月8日期间,用户以流行的流媒体平台的名义伪装的不同类型威胁的百分比分布
用户尝试通过非官方方式观看流媒体平台时遇到的最常见(47%)也是最危险的威胁:木马。这些类型的恶意文件使网络罪犯可以执行从删除和阻止数据到中断计算机性能的所有操作。其中分发的某些木马还是间谍木马,能够跟踪用户对受感染设备的操作。使用间谍软件,网络罪犯可以轻松地收集用户的个人文件和照片以及其财务帐户的登录名和密码信息。
第二大常见威胁是风险软件或广告软件。风险软件的范围很广,从下载管理器到远程管理工具,广告软件的功能就是通过不需要的广告轰炸用户。
有点令人震惊的是遇到后门的用户比例很高。这些恶意文件使犯罪分子可以远程控制设备并执行他们所需的几乎所有任务,包括使计算机成为僵尸网络的一部分。
扫号器威胁
在迪士尼+推出后仅几小时,成千上万的用户帐户就遭到了黑客入侵,其密码和电子邮件也随之更改。随后,犯罪分子以3至11美元的价格在网上出售了这些帐户信息。实际上,在黑市上出售流媒体服务账号是一项利润可观的业务,其历史可追溯到很多年前。任何有兴趣购买流媒体服务帐户的人都可以在其Google浏览器中搜索“免费Netflix帐户”或“购买廉价Hulu订阅”,然后就会弹出许多结果。甚至还有专门用于打折帐户登录信息销售的专业网站。
收集凭证的方式有很多种。最常见的一种就是通过网络钓鱼电子邮件和伪造网站(见上文)。2016年,趋势科技发现了一个骗局,攻击者诱骗Netflix用户单击通过电子邮件发送的恶意链接,随后,附件中的恶意软件就会自动收集用户帐户登录信息。使用此骗局,攻击者收集了超过300,000个密码,然后将其出售。
而收集凭据的常用攻击工具就是“扫号器”。扫号器可以测试从不同网站的漏洞或转储站点中发现的密码,以查看它们是否提供对帐户的访问权限。一旦匹配成功(例如,一个有效的Amazon Prime帐户的电子邮件和密码),犯罪分子就可以接管该帐户以及其中存储的所有财务信息,然后在线出售凭证。
2019年1月-2020年4月8日期间,使用扫号器遇到各种威胁的用户数量
原始内容背后的威胁
像Netflix这样的流媒体服务不光依靠第三方电影和电视节目涨粉,它们还创作了很多原创的内容。Netflix最受欢迎的一些节目是原创节目,今年它将花费173亿美元购买原创内容。 Apple TV +等服务也紧随其后;后者为其发布的原始内容投资了60亿美元。对于那些想要观看这些原始节目,又不想每月支付5- 10美元订阅费的人来说,观看它们的唯一方法是从第三方渠道下载。当然,这就加剧了下载恶意软件的风险。
就受影响的用户数量而言,以下十个原始节目是罪犯最常用来吸引用户并分发各种威胁(包括恶意软件)的节目,具体如下:
最常被利用的10个原始节目受害用户数
数据显示,《曼达洛人》(1614人)是攻击者最常利用的原创节目,由迪士尼+于2019年推出。紧随其后的是《怪奇物语》(1291人),《猎魔人》(1076人),《性爱自修室》(420人)。在这10个原始节目中,5个来自Netflix,3个来自Amazon Prime Video,1个来自Hulu,还有1个来自Disney +。
Netflix拥有最大的原始内容目录,预计未来其节目将更频繁地用于伪装恶意文件诱骗用户。
展望未来
流媒体战争才刚刚开始,与此相关的各种网络犯罪也已经开始。疫情蔓延以及不断激增的订户量无疑为网络犯罪分子提供了针对此类平台的额外动力。
不断涌现的平台也使得用户更易遭受网络攻击的侵害:用户拥有的订阅越多,监视他们的可疑活动就会越难。此外,人们倾向于重用密码,这就意味着如果网络犯罪分子获得一个账户的登录凭据,他们就能使用相同的信息来访问其他流式账户-并收集与之关联的个人和财务信息。
而且,购买流媒体内容实际上也是一项不小的支出。按照每个订阅售价6-12美元/月,如果想要访问上述5个平台,你每月至少也花费30多美元,这还不包括对任何其他本地频道或本地平台的订阅。平台越多,用户可能需要购买更多的订阅来观看他们喜欢的所有内容,这意味着他们将不得不花更多的钱——然而,他们可能并没有钱。换句话说,流式传输越昂贵,人们越倾向于购买打折账户,使用扫号器,甚至陷入免费订阅的骗局以寻求更便宜的方式来访问这些服务。这也使得他们更容易受到恶意软件和其他网络威胁的攻击。
作为攻击者最常使用的流媒体平台,Netflix在全球范围内拥有的订户数量最多。但是,随着新平台的迭代出现,这种情况或许会发生变化。迪士尼+在短短六个月内就积累了5450万订户,这表明它可能成为Netflix的巨大竞争对手。随着一些节目和平台的流行度变化,网络犯罪分子的主要攻击目标也会随之变化。
无论你选择观看哪个节目或平台,请务必采取一定的防御措施以确保安全。为了防止与流媒体平台相关的网络钓鱼诈骗,安全专家建议:
· 请仔细查看发件人的地址:如果它来自免费的电子邮件服务或包含无意义的字符,则很可能是假冒的;
· 注意正文:知名公司不会发送格式错误或语法错误的电子邮件;
· 不要点击流媒体服务电子邮件中的附件或链接,尤其是在发件人一再强调和坚持的情况下。最好直接访问官方网站,然后从那里登录你的账户;
· 警惕任何看起来太过诱惑的交易,例如“一年免费订阅”;
· 在确定网站合法且以“https”开头前,切勿轻易访问任何网站;
· 进入网站后,别急着输入登录凭据,先确定其真实性;
· 在开始任何下载之前,请仔细检查URL的格式或公司名称的拼写,以及阅读评论并检查域的注册数据;
· 使用可靠的安全解决方案来识别恶意附件并阻止网络钓鱼站点;
在尝试观看流媒体平台或其原始系列时,为了保护自己免受恶意软件的侵害,请执行以下操作:
· 请尽量只通过你自己的付费订阅(无论是官网还是官方市场上的应用程序)访问流媒体平台;
· 请勿下载这些平台应用程序的任何非官方版本或修改版本;
· 为你的每个账户设置一个不同的强密码;
· 使用可靠的安全解决方案在所有设备上提供高级防护能力。
本文翻译自:https://securelist.com/the-streaming-wars-a-cybercriminals-perspective/97851/如若转载,请注明原文地址。
