【51CTO.com 綜合消息】以RSA為代表的雙因素認(rèn)證是一種安全性非常高的身份認(rèn)證手段，網(wǎng)絡(luò)犯罪分子可謂無(wú)計(jì)可施，很難找到突破口。然而，網(wǎng)絡(luò)犯罪分子會(huì)不斷發(fā)明新的攻擊手段。

來(lái)自RSA反網(wǎng)絡(luò)欺詐指揮中心的《RSA網(wǎng)絡(luò)欺詐報(bào)告》10月月報(bào)顯示，9 月份“瀏覽器中間人(man-in-the-browser, MITB)”攻擊成為全球最新網(wǎng)絡(luò)威脅，數(shù)量不斷增長(zhǎng)，特別突出的是那些密集部署了雙因素認(rèn)證解決方案的地區(qū)，如歐洲消費(fèi)者銀行和美國(guó)企業(yè)銀行市場(chǎng)。

“瀏覽器中間人攻擊”劫取、操縱用戶和網(wǎng)絡(luò)應(yīng)用之間的安全通道上傳送的數(shù)據(jù)。他們?cè)谟脩舻臑g覽器應(yīng)用上嵌入一個(gè)木馬程序，當(dāng)用戶訪問(wèn)特定的網(wǎng)站——如網(wǎng)上銀行網(wǎng)站時(shí)，該木馬程序就會(huì)觸發(fā)。也就是說(shuō)，瀏覽器中間人木馬等待合法用戶發(fā)起交易，隨后實(shí)時(shí)操控收款人（有時(shí)是金額）信息，將資金轉(zhuǎn)移到騾子帳戶中。在受到瀏覽器中間人攻擊時(shí)，用戶對(duì)于自己所發(fā)起的交易，甚至不可能注意到有任何不對(duì)之處。

該報(bào)告還顯示，作為一種攻擊向量，瀏覽器攻擊在去年已經(jīng)經(jīng)歷了指數(shù)級(jí)的增長(zhǎng)，木馬感染在過(guò)去12個(gè)月內(nèi)增加了10倍。在“托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國(guó)家”的趨勢(shì)分析中，與上月相比，中國(guó)比例升到5%，位于第六位。

以下是報(bào)告正文：

《RSA在線欺詐報(bào)告》

2009年10月

RSA反網(wǎng)絡(luò)欺詐指揮中心月度情報(bào)報(bào)告

網(wǎng)絡(luò)犯罪活動(dòng)在不斷地演變。這些網(wǎng)絡(luò)罪犯能夠更迅速的采用先進(jìn)的犯罪軟件，利用秘密行動(dòng)機(jī)制快速地部署。瀏覽器中間人木馬是網(wǎng)絡(luò)欺詐自然演變的其中一部分。在引入雙因素認(rèn)證之前，網(wǎng)絡(luò)犯罪分子可以通過(guò)無(wú)需干預(yù)用戶網(wǎng)絡(luò)活動(dòng)或交易的網(wǎng)絡(luò)釣魚攻擊或標(biāo)準(zhǔn)木馬收集信息，以實(shí)施欺詐活動(dòng)。由于用戶防范意識(shí)和網(wǎng)絡(luò)安全機(jī)制的不斷強(qiáng)健，欺詐者只能升級(jí)他們的工具以克服雙因素認(rèn)證給他們?cè)斐傻恼系K。

這份月度情報(bào)報(bào)告由RSA反網(wǎng)絡(luò)欺詐指揮中心中具有豐富經(jīng)驗(yàn)的欺詐分析師團(tuán)隊(duì)創(chuàng)建，利用對(duì)網(wǎng)絡(luò)欺詐領(lǐng)域的敏銳見(jiàn)解，統(tǒng)計(jì)數(shù)據(jù)和來(lái)自RSA網(wǎng)絡(luò)釣魚知識(shí)庫(kù)統(tǒng)的相關(guān)分析，對(duì)9月份網(wǎng)絡(luò)欺詐的最新情況做出的趨勢(shì)分析。

“瀏覽器中間人”的最新威脅

RSA在2008年已經(jīng)注意到了瀏覽器中間人攻擊的數(shù)量在不斷增長(zhǎng)，特別是那些密集部署了雙因素認(rèn)證解決方案的地區(qū)，如歐洲消費(fèi)者銀行和美國(guó)企業(yè)銀行市場(chǎng)。

瀏覽器中間人攻擊是為了劫取并操作在用戶和網(wǎng)絡(luò)應(yīng)用之間的安全通信上傳送的數(shù)據(jù)。在用戶的瀏覽器應(yīng)用上嵌入了一個(gè)木馬程序，并且該木馬設(shè)計(jì)成當(dāng)用戶訪問(wèn)特定的網(wǎng)站——如網(wǎng)上銀行網(wǎng)站時(shí)就會(huì)觸發(fā)。在這種情況下，瀏覽器中間人木馬等待合法用戶發(fā)起交易，并隨后實(shí)時(shí)操控收款人（有時(shí)是金額）信息，以試圖將資金轉(zhuǎn)移到騾子帳戶中。在受到瀏覽器中間人攻擊時(shí)，用戶對(duì)于自己所發(fā)起的交易，甚至不可能注意到有任何不對(duì)的地方。

現(xiàn)在大量的木馬被欺詐者所使用以實(shí)施瀏覽器中間人攻擊，包括Zeus、Adrenaline、Sinowal和Silent Bankers。有些瀏覽器中間人木馬非常的先進(jìn)，它們簡(jiǎn)化了實(shí)施欺詐的流程，能夠完全自動(dòng)地執(zhí)行從感染到套現(xiàn)的整個(gè)流程?，F(xiàn)在，其他瀏覽器中間人木馬所提供的功能還包括： 

◆HTML注入以顯示社會(huì)工程化網(wǎng)頁(yè) 

◆實(shí)時(shí)地將木馬與騾子帳戶數(shù)據(jù)庫(kù)相結(jié)合，以幫助轉(zhuǎn)移資金 

◆繞過(guò)包括CAP EMV、交易簽名、iTAN和一次性密碼認(rèn)證1在內(nèi)的各種雙因素認(rèn)證系統(tǒng)的能力。對(duì)于瀏覽器中間人攻擊，基于時(shí)間的一次性密碼要比基于事件的一次性密碼更為安全些，因?yàn)榛跁r(shí)間的解決方案出現(xiàn)窗口的機(jī)會(huì)通常少于一分鐘。

從服務(wù)器端難以檢測(cè)瀏覽器中間人攻擊的原因是由于任何執(zhí)行的活動(dòng)看起來(lái)都好像源自合法用戶的web瀏覽器。諸如Windows語(yǔ)言、用戶代理字符串以及IP地址等特征值與用戶的真實(shí)數(shù)據(jù)看起來(lái)一模一樣。這給區(qū)分真實(shí)交易和惡意交易帶來(lái)了巨大的挑戰(zhàn)。

全球被檢測(cè)到的地區(qū)

瀏覽器中間人并不只局限于一個(gè)區(qū)域或地域；它是一種全球性的威脅，對(duì)世界上所有地區(qū)都造成了影響。那些密集部署了大量雙因素認(rèn)證解決方案的地區(qū)尤為如此，因?yàn)闉g覽器中間人對(duì)犯罪分子來(lái)說(shuō)，是其中一種能成功繞過(guò)雙因素認(rèn)證的最有效工具。如今，多數(shù)瀏覽器中間人攻擊在以下地區(qū)被檢測(cè)到并予以了報(bào)告： 

◆英國(guó)遭到的由一種稱為PSP2-BBB的全新木馬和其他木馬所發(fā)起的瀏覽器中間人攻擊的數(shù)量在不斷增加，在英國(guó)，許多銀行都部署了EMV-CAP協(xié)議。 

◆一些歐洲國(guó)家如荷蘭、西班牙、法國(guó)、德國(guó)和波蘭在前幾年部署了雙因素認(rèn)證解決方案，因此在最近的12個(gè)月中，瀏覽器中間人攻擊的數(shù)量得到了增長(zhǎng)。 

◆美國(guó)的金融機(jī)構(gòu)也遭到了攻擊，但威脅主要局限在商業(yè)銀行或具有高凈值的客戶。因?yàn)樵诿绹?guó)，一次性密碼認(rèn)證在消費(fèi)者銀行的用戶中并不是很普遍，因此這個(gè)地區(qū)遭受瀏覽器中間人攻擊的用戶數(shù)量要遠(yuǎn)遠(yuǎn)少于歐洲的消費(fèi)者銀行客戶。 

◆澳大利亞、亞洲和拉丁美洲的金融機(jī)構(gòu)在不斷為他們網(wǎng)上銀行用戶推進(jìn)雙因素認(rèn)證解決方案的部署，因此這個(gè)地區(qū)的用戶遭受到瀏覽器中間人攻擊的數(shù)量也在不斷增長(zhǎng)。 #p#

木馬感染不斷上升 

圖1 欺詐者討論繞過(guò)雙因素認(rèn)證的方法

瀏覽器中間人攻擊主要是為繞過(guò)雙因素認(rèn)證而構(gòu)想的。在一個(gè)由RSA發(fā)現(xiàn)的帖子中，欺詐者在討論著各種可以繞過(guò)一次性密碼認(rèn)證的可用方法（參見(jiàn)圖1）。欺詐者所使用的術(shù)語(yǔ)“自動(dòng)轉(zhuǎn)帳”就是指瀏覽器中間人攻擊，是他們所討論的其中一種方法。其中一個(gè)欺詐者駁斥了所建議的其他方法，聲稱瀏覽器中間人是對(duì)付一次性密碼唯一可行的解決方案。 

圖2 保羅-麥卡特尼的歌迷網(wǎng)頁(yè)被欺詐者篡改，以將惡意軟件傳播給訪問(wèn)者。

作為一種攻擊向量，瀏覽器攻擊在去年已經(jīng)經(jīng)歷了指數(shù)級(jí)的增長(zhǎng)。RSA見(jiàn)證了木馬感染在過(guò)去的12個(gè)月內(nèi)增加了10倍——這個(gè)結(jié)果也得到了其他行業(yè)觀察和報(bào)告的支持，熊貓實(shí)驗(yàn)室報(bào)告稱，在2008年上半年和2008年下半年之間，瀏覽器中間人感染率增長(zhǎng)了8倍。這種增長(zhǎng)部分是由于“下載驅(qū)動(dòng)”（指在未經(jīng)用戶同意或用戶不知曉的情況下，一個(gè)程序就自動(dòng)下載到了用戶的計(jì)算機(jī)上。這種程序的下載甚至在只是訪問(wèn)網(wǎng)站或查看電子郵件的時(shí)候就會(huì)發(fā)生。）感染數(shù)量的不斷增長(zhǎng)所致，“下載驅(qū)動(dòng)”感染往往是由于合法網(wǎng)站的漏洞被僵尸網(wǎng)絡(luò)和感染工具所利用，而在被侵害網(wǎng)站上放置了iFrame。從而將公眾流量傳播到感染點(diǎn)，試圖將木馬下載到每個(gè)訪問(wèn)者的計(jì)算機(jī)上。其中一個(gè)很好的例子就是保羅-麥卡特尼歌迷網(wǎng)站的侵害（參見(jiàn)圖2）。在2009年4月，該網(wǎng)站被黑掉了兩天，所有訪問(wèn)者都成為一種危險(xiǎn)的金融惡意軟件的受害者。

另一種效率極高的感染方法就是利用流行事件或關(guān)注話題將流量誘導(dǎo)至被感染網(wǎng)站。RSA發(fā)現(xiàn)并關(guān)閉了一個(gè)此類網(wǎng)站，它通過(guò)垃圾電子郵件攻擊誘騙人們?cè)L問(wèn)一個(gè)看起來(lái)很像CNN.com的虛假網(wǎng)站。虛假網(wǎng)頁(yè)含有一個(gè)看起來(lái)像合法視頻的鏈接。當(dāng)訪問(wèn)者點(diǎn)擊連接查看這個(gè)視頻時(shí)，他們就會(huì)接收到一條錯(cuò)誤消息，提示他們需要安裝Adobe Flash Player 10，但實(shí)際上卻會(huì)被一個(gè)木馬所感染。

最后，社交網(wǎng)站的極度流行以及參與到社交活動(dòng)的龐大用戶數(shù)量同樣也是木馬攻擊不斷增加的原因之一。極其旺盛的人氣以及這些網(wǎng)站的全球可達(dá)性也使它們成為被欺詐者利用的主要目標(biāo)。今天，接近20%的網(wǎng)絡(luò)攻擊都是針社交網(wǎng)站（Breach安全實(shí)驗(yàn)室，“網(wǎng)絡(luò)黑客事件數(shù)據(jù)庫(kù)（WHID）2009雙年度報(bào)告）。

“瀏覽器中間人”調(diào)查結(jié)論

根據(jù)對(duì)木馬威脅，特別是“瀏覽器中間人”廣泛深入的調(diào)查，我們可以得出以下幾個(gè)結(jié)論： 

◆登錄保護(hù)不足以阻止瀏覽器中間人攻擊。即使在真正的用戶登錄帳戶后，木馬也可以在用戶登錄后接管web流量。交易保護(hù)，或?qū)Φ卿浐蟮目梢苫顒?dòng)進(jìn)行監(jiān)控和識(shí)別是扭轉(zhuǎn)瀏覽器中間人攻擊所造成的威脅所必須的。相比于登錄到一個(gè)賬戶的動(dòng)作，交易通常需要更多的詳細(xì)審查，同時(shí)也具有更多的風(fēng)險(xiǎn)。例如，一個(gè)未經(jīng)授權(quán)的用戶可能可以安全地登錄訪問(wèn)一個(gè)賬戶，但一旦試圖執(zhí)行交易，將會(huì)是極其危險(xiǎn)的事，如將帳戶內(nèi)的資金轉(zhuǎn)出去。交易保護(hù)解決方案就能恰當(dāng)?shù)慕鉀Q這些活動(dòng)帶來(lái)的問(wèn)題。 

◆由于一些木馬使用HTML注入來(lái)請(qǐng)求憑證以通過(guò)進(jìn)一步的認(rèn)證，帶外認(rèn)證對(duì)瀏覽器中間人來(lái)說(shuō)更具彈性，因?yàn)樗@開了在線認(rèn)證渠道。 

◆情報(bào)信息是消除戰(zhàn)略中的一個(gè)主要部分。欺詐者使用復(fù)雜的更新和感染點(diǎn)，以及下拉區(qū)的通信系統(tǒng)，以傳播他們的木馬并收集被侵害的憑證。自2009年1月以來(lái)，RSA已經(jīng)處理的木馬通信資源增長(zhǎng)了3倍多。同樣，騾子帳戶在套現(xiàn)過(guò)程中發(fā)揮著日益重要的作用。能夠充分利用這些信息，特別是曝光木馬的通信渠道和他們所使用的騾子帳戶，對(duì)于開發(fā)一個(gè)完整的解決方案來(lái)說(shuō)至關(guān)重要。#p#

每月網(wǎng)絡(luò)釣魚攻擊趨勢(shì)分析

9月份的統(tǒng)計(jì)數(shù)據(jù)又一次打破了紀(jì)錄，網(wǎng)絡(luò)釣魚攻擊增加了7%，達(dá)到創(chuàng)紀(jì)錄的17365起。與8月相比，網(wǎng)絡(luò)釣魚攻擊數(shù)量的飆升歸因于標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊44%的大幅增長(zhǎng)。同時(shí)，主要由Rock網(wǎng)絡(luò)釣魚團(tuán)伙發(fā)起的快速通量攻擊則減少了13%。

盡管標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊在數(shù)量上有了增長(zhǎng)，但9月份仍然延續(xù)了快速通量攻擊在數(shù)量上連續(xù)5個(gè)月超過(guò)通過(guò)其他諸如被劫持網(wǎng)站，被劫持個(gè)人電腦，免費(fèi)或商業(yè)托管服務(wù)等方法托管的攻擊的趨勢(shì)。 

圖3

按托管方法劃分的攻擊分布

與上月發(fā)起的快速通量攻擊下降13%的事實(shí)相應(yīng)證（主要由Rock網(wǎng)絡(luò)釣魚團(tuán)伙發(fā)起），將快速通量網(wǎng)絡(luò)作為托管方法的攻擊從上個(gè)月的73%減少到了62%，也下降了13%。托管在劫持網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊從18%增加到了22%，而托管在商業(yè)網(wǎng)站托管服務(wù)的攻擊同樣從4%上升到10%。被劫持計(jì)算機(jī)占據(jù)了網(wǎng)絡(luò)釣魚攻擊總數(shù)的3%，這一數(shù)據(jù)與上月相同，而托管在免費(fèi)網(wǎng)站托管服務(wù)上的攻擊卻從2%增加到了3%。 

圖4

遭受攻擊的品牌總數(shù)分析

9月份作為攻擊目標(biāo)的品牌數(shù)量也攀升了11%。就如在8月份，7個(gè)實(shí)體在上個(gè)月第一次遭受到了網(wǎng)絡(luò)釣魚攻擊，整月中遭受攻擊次數(shù)小于5次的共有119個(gè)實(shí)體，相當(dāng)于總數(shù)的55%。這一比例要低于8月份報(bào)告的60%。

這些數(shù)字表明，盡管大多數(shù)品牌遭受的攻擊次數(shù)在5次以下，但與8月份相比，上月遭受攻擊次數(shù)多于5次的品牌卻有了增加。由于Rock網(wǎng)絡(luò)釣魚團(tuán)伙總是反復(fù)攻擊相同的幾個(gè)品牌，因此遭受攻擊品牌數(shù)量的上升，有可能是其他網(wǎng)絡(luò)犯罪分子或網(wǎng)絡(luò)釣魚團(tuán)伙活動(dòng)的結(jié)果。 

圖5

美國(guó)境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分

在9月份每個(gè)美國(guó)銀行部門中遭受攻擊的銀行中，地區(qū)性銀行仍然是做為攻擊目標(biāo)最多的部門，比上月上升了7%。針對(duì)全國(guó)性銀行的攻擊比例增加了4個(gè)百分點(diǎn)，創(chuàng)造了四個(gè)月來(lái)的新高，而針對(duì)美國(guó)信用合作社的攻擊卻下降了11%。 

圖6

托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國(guó)家

由于Rock網(wǎng)絡(luò)釣魚域名在諸如意大利、丹麥等國(guó)家的注冊(cè)，托管網(wǎng)絡(luò)釣魚攻擊數(shù)量最多國(guó)家的動(dòng)態(tài)發(fā)生了變化。盡管美國(guó)仍然托管了大部分網(wǎng)絡(luò)釣魚攻擊，但意大利卻從第五位攀升至第二位，它托管了9月份23%的網(wǎng)絡(luò)釣魚攻擊。英國(guó)仍然維持在名單中的第三位，而丹麥則從第八位上升至第四位。以色列繼在5月份的短暫亮相后，重新出現(xiàn)在了名單的第五位。在圖表的后五名中，中國(guó)和韓國(guó)分別位于第六和第七，他們比例的變化不超過(guò)2%。加拿大則從上月的第二位下降至第八位，而俄羅斯和法國(guó)則進(jìn)入了9月份的名單中。

上個(gè)月，Rock網(wǎng)絡(luò)釣魚團(tuán)伙的大部分域托管在意大利，丹麥，美國(guó)，英國(guó)和以色列。 

圖7

攻擊數(shù)量最多的前十位國(guó)家

這是自2008年11月以來(lái)，英國(guó)首次在9月份遭受到了數(shù)量最多的網(wǎng)絡(luò)釣魚攻擊。在英國(guó)的攻擊比例上升27%的同時(shí)，美國(guó)的攻擊數(shù)量下降了26%。除了完全從圖表中消失的西班牙和澳大利亞以外，前十名單中其余國(guó)家所遭受攻擊比例的變化都不超過(guò)1個(gè)百分點(diǎn)。 

圖8

按遭受攻擊品牌劃分的前十位國(guó)家分析

盡管在9月份發(fā)動(dòng)的攻擊總數(shù)有了增加，同時(shí)作為攻擊目標(biāo)的品牌數(shù)量也在增加，但網(wǎng)絡(luò)釣魚攻擊者普遍都在繼續(xù)攻擊同一批國(guó)家的品牌，即美國(guó)，英國(guó)，加拿大，意大利，西班牙，韓國(guó)，南非和澳大利亞。因此，與8月份報(bào)告的情況相比鮮有變化。除了完全從圖表中消失的哥倫比亞和法國(guó)，以及9月份進(jìn)入名單的巴西和新西蘭，名單中其他國(guó)家遭受攻擊的品牌比例的變化都不超過(guò)2%。 

圖9