I miei 2 centesimi qui: sebbene non tecnicamente illegale queste aziende siano riuscite a sviluppare malware ed exploit, senza chiunque li infastidisca, perché li vendono a governi, forze dell'ordine, servizi segreti, organizzazioni e, nel caso di alcune società, a chiunque altro interessato.

Tali società includono:

• VUpen
• Paladion

Ulteriori informazioni sono disponibili: qui.

Non posso commentare la scena lavorativa effettiva, ma conosco un po 'le statistiche del crimine informatico.

In termini di guadagno finanziario, le statistiche sono piuttosto interessanti. In termini di profitto, i primi tre sono i seguenti:

1. Frode pubblicitaria pay-per-click : fino a poco tempo fa non era così redditizio, ma i blackhats sembrano essersi concentrati su questo metodo più intensamente da quando il mercato dello spam si è saturato. Si stima che le botnet più grandi, con numeri nell'ordine dei milioni, generino fino a $ 100.000 al giorno .
2. Email spam : ancora molto redditizio, ma è un mercato altamente saturo. Le botnet spam devono essere enormi per ottenere un profitto utile, il che le rende un obiettivo principale per i whitehat. Sistemi anti-spam più intelligenti rendono anche molto difficile prendere di mira gli utenti di tutti i giorni (ad esempio hotmail, gmail, ecc.). Si stima che la botnet BredoLab abbia generato circa $ 139.000 al mese per il proprietario.
3. Carding / skimming - Il vecchio standard. Sebbene lo sforzo richiesto per acquisire le credenziali sia ragionevolmente semplice, è più laborioso e rischioso utilizzare effettivamente le carte. Tuttavia, il guadagno generato da una carta utilizzabile può essere elevato: centinaia o migliaia di dollari per ogni successo.

Tuttavia, non pensare che sia tutto sole, arcobaleni e prostitute di alto livello. ! La maggior parte dei grandi gestori di botnet e dei truffatori di carte viene catturata e molti di loro finiscono in prigione:

• Lo scrittore di BredoLab è stato arrestato per 4 anni.
• 3 persone sono state arrestate e sono in attesa di condanne riguardanti la botnet Mariposa.
• Nell'ambito della repressione dell'FBI contro il trojan Zeus, circa 100 persone sono state arrestate e diverse sono state condannate al carcere.
• La botnet Srizbi ha causato un L'intera società di hosting è stata chiusa dal governo e sono stati effettuati ulteriori arresti.
• L'autore della botnet Akbot è stato arrestato, ma è stato successivamente rilasciato a causa di problemi con il caso. Fuga fortunata!
• Centinaia di persone vengono arrestate ogni anno per frode con carta di credito.

Un'opzione non menzionata qui è lo spionaggio. Il patriottismo o il finanziamento aziendale potrebbero essere una delle ragioni per cui potresti finire nello spionaggio.

In qualità di contrattista di spionaggio potresti addebitare una tariffa piuttosto alta per fare uno qualsiasi dei tanti diversi tipi di nero operazioni di cappello.

Furto, informazioni aziendali (piani di progettazione, ricatto, corruzione di dati, furto di fondi). Nel documentario chiamato Corporation intervistano un consulente di spionaggio aziendale.

Governativo

Lavoro nel settore governativo come ufficiale di guerra informatica. Lavoreresti in team per fare cose come rendere inutilizzabile la struttura di arricchimento di uranio iraniano .

O eliminare i dissidenti del governo come l'hack gmail del 2009. Rubare progetti e piani avanzati per attrezzature militari di prossima generazione (F35 JSF). L'hack di Aurora

Come la risposta di NlightNFotis, esistono numerose aziende che scrivono malware legale per i governi, che sono fornitori della ISS World Training. Li ho documentati qui: http://0xdabbad00.com/2011/12/10/legal-malware/

Immagino che la maggior parte del denaro andrebbe in circoli di criminalità organizzata, che gestiscono botnet per distribuire malware. Da lì possono attaccare singoli clienti bancari per rubare denaro o creare conti mulo. Potrebbero anche affittare le loro botnet ad altri per la distribuzione di computer.

Probabilmente molti spyware sono ancora là fuori, forse inietti i tuoi ID di affiliazione in tutti i link amazon su un gran numero di zombi, forse li servi popup o falsi software antivirus.

Forse elimini i siti web aziendali attraverso l'estorsione.

Forse svolgi solo molte attività automatizzate che generano entrate su una grande rete, frodi sui clic, avvelenamento da motori di ricerca.

Ho letto un bel libro di qualche anno fa con vari articoli accademici sui crimini informatici, se riesco a trovarlo o un set di aggiornamento tornerò qui e lo posterò.

Oltre a ciò che ha detto Eric, esiste un altro campo per generare denaro: la codifica di malware personalizzato. Un esempio è questo ragazzo - Tataye - autore del famoso Beast Trojan. Ora vende il suo lavoro per soldi su http://www.spytector.com/. Un altro esempio è questo ragazzo: http://www.nuclearwintercrew.com/Buy-Princeali/

Sky è il limite solo se sai programmare.

Parzialmente aneddotico: sembra che, salvo una manciata di eccezioni, gli unici grandi vincitori in questo settore sono le bande della criminalità organizzata, che sono in grado di utilizzare abili scrittori di exploit, hacker, ingegneri sociali ecc. per creare creatori di denaro.

Sebbene alcuni di questi programmatori di exploit vengano pagati abbastanza bene (ad esempio il mercato degli exploit blackhat paga da 5 a 10 volte quello che il mercato white hat ti darà) è improbabile che siano in grado di ritirarsi con i loro guadagni. In effetti, se hanno molto successo, potrebbero scoprire che le minacce della criminalità organizzata potrebbero costringerli a rimanere in attività.

In alternativa, molti scrittori di exploit vengono effettivamente pagati molto poco.

Sebbene non riguardi affatto l'hacking, penso che quanto segue abbia molto in comune in linea di principio con il vivere la vita "sotterranea" e spiega perché la stragrande maggioranza delle persone in quella scena non può guadagnarsi da vivere, tanto meno una fortuna :

http://www.freakonomics.com/books/freakonomics/chapter-excerpts/chapter-3/