【51CTO.com 綜合消息】在線犯罪是不斷進(jìn)化發(fā)展的，行騙者不加區(qū)別地攻擊任何組織或個人。在線攻擊涉及網(wǎng)絡(luò)釣魚（網(wǎng)頁欺詐）、域名劫持和特洛伊木馬，代表著全世界范圍內(nèi)最有組織化、最高深復(fù)雜的技術(shù)犯罪潮流之一。網(wǎng)絡(luò)罪犯每日每夜的工作竊取個人網(wǎng)絡(luò)身份、在線憑證、信用卡信息，或他們能夠有效轉(zhuǎn)化為金錢的其它任何信息。他們針對所有領(lǐng)域的組織，以及在工作場所或在家使用互聯(lián)網(wǎng)的任何個人。

這些網(wǎng)絡(luò)罪犯也有供他們使用的新型工具，能夠利用先進(jìn)的犯罪軟件比以前更加快速的適應(yīng)新環(huán)境；根據(jù)偷竊機(jī)制進(jìn)行快速的部署。他們的供應(yīng)鏈已經(jīng)進(jìn)化到能夠與合法的商業(yè)世界相匹敵，包括能夠提供RSA首稱的“欺詐服務(wù)”。

這份情報月報由來自RSA反欺詐指揮中心的富有經(jīng)驗(yàn)的反欺詐分析師組成的團(tuán)隊所創(chuàng)建。它每月的精彩內(nèi)容源自對網(wǎng)絡(luò)欺詐世界的敏銳洞察，以及來自RSA網(wǎng)絡(luò)釣魚知識寶庫的統(tǒng)計數(shù)據(jù)和相關(guān)分析。

一、宙斯(Zeus)特洛伊木馬利用IM即時通訊軟件轉(zhuǎn)發(fā)偷到的在線賬戶數(shù)據(jù)

在對過去3個月內(nèi)數(shù)個宙斯特洛伊木馬攻擊進(jìn)行調(diào)查的期間，RSA FraudAction研究實(shí)驗(yàn)室發(fā)現(xiàn)并跟蹤到一個新型的在線攻擊方式，罪犯能采用這種方法快速的利用被盜用的網(wǎng)絡(luò)帳號。

RSA對數(shù)個宙斯特洛伊木馬變種的研究發(fā)現(xiàn)一些網(wǎng)絡(luò)罪犯已經(jīng)開始利用Jabber即時聊天軟件（IM）的開放協(xié)議，當(dāng)作一種被盜用的網(wǎng)絡(luò)身份的快速提交機(jī)制。他們利用Jabber軟件，一旦從被宙斯特洛伊木馬感染的機(jī)器上收集到信息，被竊取的信息就能立即發(fā)送給這些特別的行騙者（注意：這種行騙者利用Jabber軟件所生成的新型行騙手法和合法在線用戶對Jabber軟件的任何使用之間并沒有直接關(guān)系。）

Jabber IM模塊已經(jīng)植入這些特別的特洛伊木馬，并經(jīng)過配置能從宙斯特洛伊木馬的“卸貨”（drop）服務(wù)器數(shù)據(jù)庫中提取到所竊的用戶網(wǎng)絡(luò)帳號 —而無論網(wǎng)絡(luò)罪犯身處何方，隨后立即將那些帳號發(fā)送給他。

然而，留在斷線服務(wù)器中所竊的帳號沒必要實(shí)時發(fā)送給網(wǎng)絡(luò)罪犯。罪犯可能呆在世界的另一個地區(qū)，或者可能不與服務(wù)器24x7全天候連接在一起。 

因此，罪犯正在將他們所收集到的帳號立即利用Jabber IM自動轉(zhuǎn)發(fā)并接收所竊的帳號。在這種情況下，網(wǎng)絡(luò)罪犯利用2個Jabber賬號，一個用以從卸貨服務(wù)器數(shù)據(jù)庫中發(fā)送選定的被盜用的用戶網(wǎng)絡(luò)帳戶，另一個用來接收那些帳戶信息。

RSA FraudAction研究實(shí)驗(yàn)室發(fā)現(xiàn)每一個Jabber IM模塊都經(jīng)過配置以執(zhí)行不同系列的活動并按照罪犯的個人喜好進(jìn)行重大的“定制化”。一個典型的宙斯特洛伊木馬卸貨服務(wù)器能保留所竊信息，這些信息都屬于被特洛伊木馬所感染電腦的用戶，而且這些用戶是由許多金融機(jī)構(gòu)以及其它目標(biāo)組織的客戶組成。

RSA追蹤到的第一個Jabber模塊經(jīng)過配置能從美國本土的單個金融機(jī)構(gòu)中抽取被盜用的網(wǎng)絡(luò)用戶帳號，表示它是一種有針對性的宙斯特洛伊木馬攻擊。在另外一個案例中，一種有著Jabber模塊的宙斯特洛伊木馬被罪犯用于發(fā)送來自5個不同金融機(jī)構(gòu)被盜用的網(wǎng)絡(luò)用戶帳號(請參加圖1)。RSA也發(fā)現(xiàn)這種特殊的特洛伊木馬也經(jīng)過特別配置，能夠通過電子郵件轉(zhuǎn)發(fā)所竊的用戶帳號。

圖 1 宙斯特洛伊木馬的Jabber發(fā)出通知，有一位受害者試圖登錄到特定實(shí)體

根據(jù)利用Jabber IM提交所竊在線帳號的方式，其事件流程如下所示：

1.宙斯特洛伊木馬一個變種通過一位特洛伊木馬操縱者（他是一種在線行騙者，在網(wǎng)絡(luò)欺詐供應(yīng)鏈中扮演一個關(guān)鍵的角色）發(fā)動的在線攻擊從而感染了合法用戶的電腦。

2.這些操縱者將竊取的帳號密碼信息發(fā)送到宙斯特洛伊木馬操縱者的卸貨服務(wù)器中。

3.Jabber IM模塊能在特定組織（通常是金融機(jī)構(gòu)）的卸貨服務(wù)器數(shù)據(jù)庫中搜尋到屬于用戶的賬戶信息。

4.Jabber IM模塊將這種特定賬戶信心通過一個Jabber“發(fā)送方”賬戶來進(jìn)行傳送。

5.罪犯能快速收到通過Jabber“接收方”賬戶獲得的所竊用戶帳號。

6.特洛伊木馬操縱者現(xiàn)在可以占據(jù)被盜用的用戶帳號，這可以使得他能夠登錄賬戶并執(zhí)行欺詐性轉(zhuǎn)賬。在一些情況下，轉(zhuǎn)賬需要合法用戶產(chǎn)生的數(shù)據(jù)，例如一次性密碼，就被網(wǎng)絡(luò)罪犯實(shí)時利用。

利用即時聊天應(yīng)用軟件來接收新收集到被盜用賬戶的通知或者客戶登錄嘗試的通知，這不是一個新型的網(wǎng)絡(luò)犯罪手段。舉例而言，早就在2008年，已經(jīng)知道Sinowal 病毒組織采用了一個Jabber模塊。Sinowal木馬病毒背后的罪犯就利用Jabber即時聊天軟件接收新收集到網(wǎng)絡(luò)帳戶的實(shí)時通知，以及被感染的用戶嘗試登錄的實(shí)時通知(請參加圖2)。實(shí)時通知使得Sinowal的操作員能夠使用網(wǎng)上銀行帳號，接著就能利用該犯罪組織活動的網(wǎng)絡(luò)會話中完全交易。

圖2

圖2 Jabber通知Sinowal網(wǎng)上欺詐組織，有關(guān)一個受害者嘗試登錄到被入侵的電腦及其網(wǎng)絡(luò)賬戶的情況#p#
 
二、7月網(wǎng)絡(luò)釣魚式攻擊趨勢分析

7月份新增的攻擊數(shù)量與6月份相比只增加了1.5%，但仍然是12個月來的高峰。在上個月標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚式攻擊下降5%的同時，快速通量（fast-flux）攻擊上升了7%?？焖偻抗魯?shù)量現(xiàn)在已經(jīng)連續(xù)3個月都超過了標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚式攻擊；這種趨勢也反映在托管方式統(tǒng)計數(shù)據(jù)中。

圖3

#p#

三、托管方式的攻擊分布趨勢分析

7月份快速通量攻擊的數(shù)量上升5%，與此有相關(guān)性的是，托管在快速通量網(wǎng)絡(luò)上的攻擊比例在上個月從56%攀升到61%。托管在被劫持的網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊從26%下降到25%，其商業(yè)托管比例不變?yōu)?%。托管在被劫持電腦上的攻擊從7%下降到3%，而免費(fèi)網(wǎng)絡(luò)托管保持穩(wěn)定，為3%。

圖4

幾種托管方式：

◆快速通量網(wǎng)絡(luò)生成高級的域名解析服務(wù)(DNS)技巧，能利用一個被入侵電腦組成的網(wǎng)絡(luò)，即所稱的僵尸網(wǎng)絡(luò)，來托管并提供網(wǎng)絡(luò)釣魚和惡意軟件網(wǎng)站。被入侵的電腦臨時充當(dāng)受害者和網(wǎng)站之間的代理服務(wù)器或中間人。很難揭露并擊退快速通量網(wǎng)絡(luò)，因?yàn)樘峁┚W(wǎng)絡(luò)釣魚和惡意軟件網(wǎng)站的內(nèi)容服務(wù)器隱藏在一群被入侵的電腦背后，其地址極其快速的變更以躲避偵測。

◆被劫持的網(wǎng)站都是那些行騙者將他們的非法內(nèi)容托管在合法網(wǎng)站的網(wǎng)絡(luò)子域中，避開登記他們自己的域來進(jìn)行網(wǎng)絡(luò)釣魚攻擊。

◆商業(yè)托管涉及到行騙者將他們的惡意網(wǎng)站通過繳費(fèi)的形式托管給其它行騙者。

◆被劫持的電腦由被入侵的電腦構(gòu)成，其IP地址被分配成一個特定的網(wǎng)絡(luò)釣魚域。

◆免費(fèi)托管指的是利用免費(fèi)托管服務(wù)來展開攻擊。#p#

四、受攻擊品牌的總數(shù)趨勢分析

在整個7月份，網(wǎng)絡(luò)釣魚攻擊的數(shù)量略微增加，而受攻擊的品牌數(shù)量下降了9%，有10個實(shí)體遭受他們首次的網(wǎng)絡(luò)釣魚攻擊。整個7月，有104個品牌遭到低于5次的攻擊，其比例相當(dāng)于55%，標(biāo)志著從6月份所報告的63%已有大的降低。

這些數(shù)字表示即使在7月份受到攻擊的品牌數(shù)量減少，但與6月相比，他們遭受更多攻擊數(shù)量的比例增多。這些數(shù)字也可歸因于“巖石網(wǎng)絡(luò)釣魚組織”（Rock Phish Gang），包含大部分的快速通量攻擊。巖石網(wǎng)絡(luò)釣魚組織據(jù)稱已經(jīng)發(fā)起了許多有針對性的攻擊少量品牌的行動。

圖5

#p#

五、美國境內(nèi)受攻擊的金融機(jī)構(gòu)細(xì)分情況趨勢分析

在7月份，每個美國銀行領(lǐng)域受攻擊的銀行數(shù)量和6月相比保持穩(wěn)定。7月份唯一的變化就是美國地區(qū)銀行的比例上升了1個百分點(diǎn)，而美國聯(lián)邦信貸協(xié)會比例下降1個百分點(diǎn)。與6月相比，美國全國銀行保持同一個受攻擊比例。 

圖6

#p#

六、托管網(wǎng)絡(luò)釣魚攻擊的前十位國家趨勢分析

在7月份，在美國被托管的攻擊比例 — 按照美國在前十位國家中的比例 — 幾乎下降了30%到42%。相反，意大利的比例卻上升了5%，托管了26%的前十位國家中攻擊量，英國在2個月缺榜之后重新出現(xiàn)在托管國家榜單中，為9%，德國以8%緊隨其后。在這些托管比例最高的四個國家中全部都有巖石網(wǎng)絡(luò)釣魚攻擊的登記記錄。除了英國以外，墨西哥和中國也是本月的新來者，而澳大利亞和比利時完全跌落。

在去年整年內(nèi)，總是占據(jù)網(wǎng)絡(luò)釣魚攻擊最多托管的國家為美國、英國、德國、法國、俄羅斯和韓國。

圖7

#p#

七、攻擊數(shù)量排名前十位的國家趨勢分析

在7月份，前十個受攻擊最多的國家其遭受攻擊的比例類似于6月的比例。美國和英國在過去的8個月一直保持同樣的領(lǐng)先地位，而意大利取代澳大利亞成為遭受最多攻擊第三位的國家。7月榜單中唯一的大變化是中國的加入及愛爾蘭跌落出榜單。

在去年整年內(nèi)，總是遭受最大比例攻擊的5個國家在美國、英國、意大利、加拿大和南非。

圖8

#p#

八、受攻擊品牌前十位國家趨勢分析

7月份關(guān)于成為攻擊目標(biāo)的品牌數(shù)量其數(shù)字與6月數(shù)字保持類似：美國和英國繼續(xù)維持其幾近永久的第一和第二的領(lǐng)導(dǎo)性地位，而加拿大和澳大利亞各自交換著第三和第四位。從第5位到第10位的國家其比例不超過1個百分點(diǎn)，除了名單上新增的兩個國家愛爾蘭和迪拜，將巴西和瑞士擠出了前十名榜單。迪拜在餅圖中的出現(xiàn)，標(biāo)志著其首次登上網(wǎng)絡(luò)釣魚統(tǒng)計數(shù)據(jù)前十名榜單。

圖9