【51CTO.com 綜合消息】來自RSA反網(wǎng)絡(luò)欺詐指揮中心的《RSA網(wǎng)絡(luò)欺詐報告》9月月報顯示，RSA FraudAction研究實驗室最近發(fā)現(xiàn)了一種新的、針對網(wǎng)上銀行客戶的獨特網(wǎng)絡(luò)釣魚攻擊。這種網(wǎng)絡(luò)釣魚攻擊誘騙銀行客戶在普通的網(wǎng)絡(luò)釣魚網(wǎng)站中輸入用戶名和密碼，但增加的虛假實時聊天支持窗口可以通過欺詐者發(fā)起的實時聊天會話獲取銀行客戶的憑證。這種攻擊第一次通過常規(guī)手段執(zhí)行，但它卻表現(xiàn)出更先進(jìn)層次的網(wǎng)絡(luò)欺詐實施手段。

該報告還顯示，8月份網(wǎng)絡(luò)釣魚攻擊的數(shù)量超過了2008年4月的15002起攻擊高峰值，達(dá)到創(chuàng)紀(jì)錄的16164起。在“托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家”中，中國所托管攻擊的比例從7月的2%上升到8月的3%，排名也從第七位上升到第六位。在“攻擊數(shù)量排名前十位的國家”中，中國的比例從7月的1%上升到8月的2%。

在線犯罪是不斷進(jìn)化發(fā)展的，行騙者不加區(qū)別地攻擊任何組織或個人。在線攻擊涉及網(wǎng)絡(luò)釣魚（網(wǎng)頁欺詐）、域欺詐和特洛伊木馬，代表著全世界范圍內(nèi)最有組織化、最高深復(fù)雜的技術(shù)犯罪潮流之一。網(wǎng)絡(luò)罪犯每日每夜的工作竊取識別信息、在線憑證、信用卡信息，或他們能夠有效轉(zhuǎn)化為金錢的其它任何信息。他們針對所有領(lǐng)域的組織，以及在工作場所或在家使用互聯(lián)網(wǎng)的任何個人。

這些網(wǎng)絡(luò)罪犯也有供他們使用的新型工具，能夠利用先進(jìn)的犯罪軟件比以前更加快速的適應(yīng)新環(huán)境；利用偷竊機(jī)制進(jìn)行快速的配備。他們的供應(yīng)鏈已經(jīng)進(jìn)化到能夠與合法的商業(yè)世界相匹敵，包括能夠提供RSA首稱的“欺詐服務(wù)”。

“中間聊天”試圖通過虛假實時聊天竊取消費(fèi)者數(shù)據(jù)

RSA FraudAction研究實驗室最近發(fā)現(xiàn)了一種新的，針對網(wǎng)上銀行客戶的獨特網(wǎng)絡(luò)釣魚攻擊。 RSA稱其為“中間聊天”網(wǎng)絡(luò)釣魚攻擊，這種攻擊第一次通過常規(guī)手段執(zhí)行，但它卻表現(xiàn)出更先進(jìn)層次的網(wǎng)絡(luò)欺詐實施手段。這種網(wǎng)絡(luò)釣魚攻擊可以誘騙銀行客戶在一個普通的網(wǎng)絡(luò)釣魚網(wǎng)站中輸入他們的用戶名和密碼，但增加的虛假實時聊天支持窗口可以通過由欺詐者發(fā)起的實時聊天會話獲取銀行客戶的憑證。

在實時聊天會話中，隱藏在攻擊背后的欺詐者假裝為銀行欺詐部門的代表，試圖誘騙網(wǎng)上客戶泄露其敏感信息——例如用于網(wǎng)上客戶認(rèn)證的機(jī)密問題的答案。這種襲擊目前只將一家總部設(shè)在美國的金融機(jī)構(gòu)作為其攻擊目標(biāo)。

在檢測到該攻擊之后，RSA立即通知了受影響的金融機(jī)構(gòu)，并通過RSA反欺詐指揮中心和RSA FraudAction服務(wù)啟動了標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚攻擊關(guān)閉程序。（RSA為保護(hù)其安全和隱私不能指明這家銀行。）攻擊托管在一個眾所周知的、供欺詐者“租用”的快速通量網(wǎng)絡(luò)，該網(wǎng)絡(luò)托管了大量的惡意網(wǎng)站，如網(wǎng)絡(luò)釣魚網(wǎng)站，木馬感染點，洗錢網(wǎng)站等。

攻擊的設(shè)計

該網(wǎng)絡(luò)釣魚攻擊開始時是一個正常的網(wǎng)絡(luò)釣魚網(wǎng)站（見圖1），提示客戶輸入他們的用戶名和密碼。通常在提供訪問憑證后，網(wǎng)絡(luò)釣魚受害者就會被重定向到網(wǎng)絡(luò)釣魚網(wǎng)站或真正銀行網(wǎng)站的下一個頁面。 

圖1 中間聊天網(wǎng)絡(luò)釣魚攻擊的第一階段

然而，這種攻擊卻用一種新的、先進(jìn)的技術(shù)繼續(xù)獲取受害人的其他信息——而不是重定向到網(wǎng)絡(luò)釣魚工具包或真正網(wǎng)站的下一個頁面，作為攻擊的一部分，由欺詐者啟動出現(xiàn)虛假的實時聊天支持窗口。 

圖2 中間聊天網(wǎng)絡(luò)釣魚攻擊的第二階段

通過社會工程，欺詐者試圖在實時聊天平臺上獲取受害者的進(jìn)一步信息。欺詐者假裝是銀行欺詐部門的代表，聲稱銀行“現(xiàn)在需要每名會員驗證他們的帳戶”。欺詐者隨后就可以收集其他用戶相關(guān)的信息——姓名，電話號碼和電子郵件地址。這些詳細(xì)信息能使欺詐者方便地對該用戶的賬號實施網(wǎng)絡(luò)或電話欺詐，并可能就如在聊天窗口中所說的，在隨后的階段用來聯(lián)系客戶。

在這個網(wǎng)絡(luò)釣魚攻擊工具包內(nèi)的實時聊天窗口看起來在不斷的變化。我們所追蹤到的同一工具包的其他版本在聊天窗口以及欺詐者和網(wǎng)絡(luò)釣魚受害者之間的交互聊天中顯示了不同的文本信息（見圖3）。  

圖3 相同中間聊天攻擊的另一個版本

（要著重指出的是，實時聊天窗口是由欺詐者啟動的，跟安裝在受害者計算機(jī)上的不管何種即時消息（IM）應(yīng)用程序絕對沒有任何關(guān)系。該攻擊不是通過即時消息而是通過正常的網(wǎng)絡(luò)釣魚網(wǎng)站發(fā)起的，IM應(yīng)用程序并不是攻擊目標(biāo)。）

還是Jabber即時消息

在欺詐者通過虛假的實施聊天窗口與受害者聊天時，聊天消息通過一個安裝在欺詐者計算機(jī)上的Jabber模塊在后臺進(jìn)行處理。Jabber是一種開放源碼的即時消息（IM）協(xié)議，最近被用來實時接收所竊取的憑證而在欺詐之中大行其道。正如RSA以前所報告的，Jabber正被欺詐者用來將被感染計算機(jī)上所竊取的憑證實時地從宙斯木馬下拉服務(wù)器轉(zhuǎn)發(fā)給木馬操縱者。而基于瀏覽器的聊天窗口不需要受害者在他們的計算機(jī)上安裝Jabber或即時消息應(yīng)用程序，Jabber被欺詐者用來在后端管理一對一的聊天。

實時聊天的策略也確保了被感染信息能實時地交付給欺詐者——這是那些需要實時訪問受害者帳戶的攻擊場景的必要特征。盡管該攻擊正在調(diào)查之中，但RSA目前還沒有信息表明，隱藏在中間聊天攻擊背后的欺詐者在使用受害者的被盜憑證登錄被感染帳戶。

盡管目前為止RSA只發(fā)現(xiàn)了一個這種攻擊的實例，我們建議用戶憑證已經(jīng)成為攻擊目標(biāo)的所有網(wǎng)上銀行網(wǎng)站和其它網(wǎng)站的經(jīng)營者需要格外的警惕。這包括，但不僅限于，告知顧客要注意不正常的在線聊天活動，并提醒他們，他們的銀行和其他大多數(shù)網(wǎng)站永遠(yuǎn)不會要求他們透露其用戶名/密碼或質(zhì)詢/回答問題的相關(guān)信息。#p#

8月份網(wǎng)絡(luò)釣魚攻擊的形勢變化

8月份網(wǎng)絡(luò)釣魚攻擊的數(shù)量超過了2008年4月的15002起攻擊高峰值，達(dá)到創(chuàng)紀(jì)錄的16164起。在上個月發(fā)起的快速通量攻擊數(shù)量的急劇飆升直接導(dǎo)致攻擊總數(shù)增加了20%。盡管8月份的標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊僅僅增加了2%，但快速通量攻擊卻急劇上升了38%。眾所周知，絕大多數(shù)快速通量攻擊都是由臭名昭著的Rock網(wǎng)絡(luò)釣魚團(tuán)伙發(fā)起的。 

圖4

按托管方法劃分的攻擊分布

由于上月發(fā)起的快速通量攻擊數(shù)量增加了38%，托管在快速通量網(wǎng)絡(luò)上的攻擊比例也從上月的61%增長至73%。托管在劫持網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊則從25%下降到了18%。托管在商業(yè)網(wǎng)絡(luò)托管服務(wù)上的攻擊從8%降至4%，而托管在免費(fèi)網(wǎng)絡(luò)托管服務(wù)上的攻擊也從3%降至2%。托管在劫持計算機(jī)上的攻擊則與上月持平，仍為3%。 

圖5

遭受攻擊的品牌總數(shù)

盡管在8月份發(fā)起的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了22%，但遭受攻擊的品牌數(shù)量卻只增長了4%。8個實體在上個月第一次遭受到了網(wǎng)絡(luò)釣魚攻擊，整月中遭受攻擊次數(shù)小于5次的共有117個實體，相當(dāng)于總數(shù)的60%。這標(biāo)志著由于8月份攻擊數(shù)量的急劇攀升，這個數(shù)字比7月份所紀(jì)錄的55%有了一定的增加，這些數(shù)字表明了網(wǎng)絡(luò)犯罪分子反復(fù)攻擊同一品牌，而不是試圖攻擊新品牌的趨勢。這些數(shù)字也可以歸因于包括絕大多數(shù)快速通量攻擊在內(nèi)的Rock網(wǎng)絡(luò)釣魚攻擊，以及那些針對少數(shù)品牌發(fā)起反復(fù)攻擊的攻擊者。 

圖6

美國境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分

在八月份遭受攻擊的地區(qū)性美國銀行比例下降了13%，而針對全國性銀行和信用合作社的攻擊比例卻有了增加。全國性銀行增加了6%，而信用合作社則增加了7%。這兩個數(shù)字是美國信用合作社6個月以來的最高位，同時也是全國性銀行3個月以來的最高位。 

圖7

托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家

在8月份發(fā)起的大部分網(wǎng)絡(luò)釣魚攻擊都托管在7月份記錄的同一批國家之中。美國和加拿大注冊者所注冊的大量Rock網(wǎng)絡(luò)釣魚域，使得它們所托管的攻擊數(shù)分別比上月增加了16%和13%。美國仍然是托管攻擊數(shù)最多的國家，加拿大在8月份托管的攻擊數(shù)從第八攀升至第二。英國和德國仍然排在第三和第四位，而意大利則從第二降至第五位。

中國和韓國所托管攻擊的比例分別排在第六位和第七位，與7月份相比僅變化了1個百分點。這個月新出現(xiàn)的丹麥，盧森堡和羅馬尼亞分別位列第八、第九和第十，將墨西哥，法國和俄羅斯擠出了托管網(wǎng)絡(luò)釣魚國家的名單。

上個月，大多數(shù)被Rock網(wǎng)絡(luò)釣魚團(tuán)伙所使用的域都托管在美國，加拿大和英國。 

圖8

攻擊數(shù)量最多的前十位國家

美國，英國，意大利和加拿大全都保持著與7月份相同的位置，這幾個國家遭受了最大比例的網(wǎng)絡(luò)釣魚式攻擊。許多美國注冊者所注冊的Rock網(wǎng)絡(luò)釣魚域是導(dǎo)致上個月美國大部分網(wǎng)絡(luò)釣魚攻擊的原因，與7月份相比，剩余國家所遭受的攻擊比例變化了不超過2個百分點，其中羅馬尼亞完全從名單中消失，而愛爾蘭則進(jìn)入了名單之中。

在過去的一年中，一直遭受最多攻擊的前五個國家分別是美國，英國，意大利，加拿大和南非。 

圖9

按遭受攻擊品牌劃分的前十位國家

就如其他品牌相關(guān)的統(tǒng)計數(shù)據(jù)一樣，8月份遭受攻擊品牌數(shù)最多的國家與7月份相類似。遭受攻擊品牌數(shù)比例最高的前六個國家，其數(shù)據(jù)變化的幅度不超過3個百分點，美國，英國仍然保持領(lǐng)先的位置。澳大利亞從第四升至第三，意大利從第五降到第四，而加拿大則從第三下降到第五，南非從第七降至第八。西班牙，哥倫比亞和法國是新進(jìn)入名單中的國家。

在過去一年中遭受攻擊品牌數(shù)最多的國家分別是美國，英國，加拿大，意大利，西班牙，南非和澳大利亞。 

圖10