[圖片來源] gbhackers.com
今天來跟大家分享一個新的資安專業名詞 : Cybercrime as a Service(CaaS),直接翻譯的話就叫作"網路電腦犯罪即服務",聽起來又是一種新的SaaS服務,但其實它並不是SaaS,而是一種電腦網路犯罪企業化的概念。
還是先從 Cybercrime as a Service(CaaS)的定義說起吧:就是採用產品服務化的商業模式(如同把軟體打包成SaaS服務一樣),使網路電腦犯罪集團可以提供網路犯罪服務和駭客工具給任何願意支付現金或與他們共享犯罪所得的客戶。
也就是說這是一種把網路電腦攻擊技術打包成一種線上產品(服務或駭客工具包)然後銷售或租借給客戶的概念,因為如此的商業營利模式如同現在的SaaS服務,所以就給與這一類商業行為一個類似的名詞CaaS,即 Cybercrime as a Service 。
要把網路犯罪技術打包成一種服務或產品有一個很重要的點是"客戶不需要知道網路犯罪知識或技術,只要會使用CaaS產品",這個意思是該服務提供的不只是軟體或工具,而是包含"人"在內的全方位網路電腦犯罪的Support,客戶唯一要做的就是付錢並告訴CaaS賣家他要對誰發動什麼攻擊,所以客戶是完全不用知道網路電腦犯罪攻擊的技術的,就好像你買了車,你只要會開,不需要知道車子怎麼製造一樣。
所以更精確點來說,CaaS是一群包含惡意軟體開發者、駭客、和其它威脅作業人員(threat actors)所組織而成的一個看似合法的企業組織,專門在暗網(dark web)販售或租借駭客工具和服務給需要的客戶,租借服務可以是以時以天或以月來計費,服務的價格則根據犯罪需要的技術複雜度而有不同。
是的,CaaS的賣家是可以在暗網找到的,只要你出錢,他就會提供你相應的服務,這也是很重要的一點,因為這代表只要你有錢,在暗網就可以買到幫你做網路電腦攻擊服務的"集團"(注意!是集團,而不是個別的駭客或個人),他們可以行流水化的作業幫你完成整個複雜的攻擊服務,過程你完全不需要介入或對電腦網路知識有所涉獵,這也將推動著CaaS的需求日益增加,而且是快速成長。
所以CaaS是一種新興的網路攻擊商業模式,他讓真正想發動攻擊的人不再需要了解專業知識便可對世界上的電腦資訊設備發動攻擊,而這一切不用太麻煩,只需要知道怎麼上暗網和有一點錢,人人都可辦到!
[Reference]
- What Is Cybercrime as a Service? https://www.makeuseof.com/what-is-cybercrime-as-a-service/?utm_source=MUO-NL-RP&utm_medium=newsletter
2021年5月4日星期二
留言列表
