【51CTO.com獨(dú)家報(bào)道】2010年10月21日，RSA2010大會(huì)在北京召開(kāi)，下午會(huì)議開(kāi)始前，我們有幸參與了RSA的身份認(rèn)證總監(jiān)Uri Rivner先生的演講預(yù)演。

[[16427]]

RSA的身份認(rèn)證總監(jiān)Uri Rivner

釣魚(yú)攻擊案例

原來(lái)我們聽(tīng)到在線欺詐行為時(shí)，以為是一個(gè)人，一個(gè)黑客，一個(gè)欺詐者在自己的電腦前進(jìn)行操作就可以了。其實(shí)地下網(wǎng)絡(luò)的操作行為是系統(tǒng)組成的，他們共同進(jìn)行網(wǎng)絡(luò)欺詐。它不適用盜竊所得的數(shù)據(jù)。比如你可能接觸到一個(gè)公司，突然給你發(fā)E-mail邀請(qǐng)你訪問(wèn)他的網(wǎng)站，其實(shí)這個(gè)網(wǎng)站只是一個(gè)釣魚(yú)網(wǎng)站，借此了解你的信息。實(shí)施釣魚(yú)攻擊的人并不知道如何監(jiān)測(cè)你的帳戶(hù)，不知道如何把錢(qián)提出來(lái)。為了從你的帳戶(hù)提現(xiàn)，團(tuán)伙中需要有一個(gè)專(zhuān)家?guī)椭麄冞M(jìn)行欺詐。用戶(hù)在訪問(wèn)網(wǎng)站上輸入信息，之后犯罪份子把數(shù)據(jù)傳輸給取現(xiàn)專(zhuān)家。當(dāng)這些專(zhuān)家接收到信息后，他會(huì)進(jìn)入到用戶(hù)帳戶(hù)。這就是實(shí)際的欺詐行為所發(fā)生的流程。

接下來(lái)我給大家舉個(gè)例子，看看在線銀行。一旦我進(jìn)入到受害者的帳戶(hù)，我就會(huì)把它帳戶(hù)中的10萬(wàn)元轉(zhuǎn)讓給受我雇傭的人——“騾子”，這些“騾子”，其實(shí)是團(tuán)伙的合作人，但有時(shí)候他們自己也不知道自己的行為被牽涉到犯罪。這個(gè)過(guò)程是當(dāng)專(zhuān)家接觸到信息后，進(jìn)入受害者的帳戶(hù)進(jìn)行轉(zhuǎn)帳這筆錢(qián)就進(jìn)入合作者的帳戶(hù)中，之后犯罪團(tuán)伙又要求合作者把這筆錢(qián)匯出到國(guó)外。通常他們都是通過(guò)國(guó)際匯款公司進(jìn)行匯款。這之后，犯罪人就可以收到錢(qián)了。釣魚(yú)行為犯罪人可能是美國(guó)人，提現(xiàn)專(zhuān)家可能是俄羅斯的，位于中間的受害人和合作者可能都是中國(guó)人。之后要求合作匯款人匯款，可能匯給拉脫維亞，之后拉脫維亞人可能把錢(qián)再匯給取現(xiàn)專(zhuān)家。

#p#

安全人員社工釣魚(yú)者

欺詐者之間如何溝通。他們互不認(rèn)識(shí)，只是通過(guò)互聯(lián)網(wǎng)上的虛擬地址進(jìn)行溝通。大家看一下Glock和Golden之間的溝通，他們討論的主題就是分臟，就得50%還是60%進(jìn)行賑圇。Glock說(shuō)希望給我60%，Golden說(shuō)不能給那么多，只給50%，而且要去掉匯款費(fèi)用?？墒荊lock擔(dān)心，怎么保證你給我付錢(qián)呢？其實(shí)我可以告訴大家，我扮演了其中一個(gè)角色，跟真正的欺詐人進(jìn)行溝通。Glock就是我，Golden是一個(gè)真實(shí)的網(wǎng)絡(luò)欺詐者。在這里我給大家分享一些信息，包括ICQ和信使項(xiàng)目，大家還可以看到我跟他進(jìn)行更為私密的對(duì)話。Golden是一個(gè)欺詐專(zhuān)家，但他手頭沒(méi)有受害者信息，而我在其中扮演有受害者信息的欺詐者。類(lèi)似的論壇很多，我只是給大家舉中其中一個(gè)。這個(gè)人用木馬、釣魚(yú)來(lái)收集信息，希望大家相信他信息的可靠性。

我再給大家舉一些例子，在假的銷(xiāo)售點(diǎn)進(jìn)行欺詐。一般餐廳、加油站有POS機(jī)，只要你刷卡，他就有機(jī)會(huì)進(jìn)行欺詐。有一個(gè)欺詐者想銷(xiāo)售假的POSS機(jī)，這個(gè)機(jī)器價(jià)格很貴，高達(dá)2000歐元，如果用戶(hù)刷卡后，馬上就可以讀出用戶(hù)的卡號(hào)、密碼。一旦你刷了卡，這些信息馬上就傳到網(wǎng)上，欺詐者就可以實(shí)時(shí)在網(wǎng)上得到數(shù)據(jù)。假設(shè)我是俄羅斯來(lái)的欺詐者，通過(guò)中國(guó)一個(gè)合作者，在中國(guó)某些餐廳或者其他地方安置這種裝置，在俄羅斯就可以實(shí)時(shí)得到數(shù)據(jù)。我當(dāng)時(shí)要求欺詐者向我進(jìn)行實(shí)際的展示。欺詐者發(fā)來(lái)了展示短片。

可是他們?cè)讷@取信息后，使用信息的時(shí)間非常簡(jiǎn)短。他們對(duì)于所盜竊的信用卡進(jìn)行復(fù)制、克隆，之后又請(qǐng)?jiān)谀箍频腂adb進(jìn)行很大的提現(xiàn)活動(dòng)。Badb雇傭了50多個(gè)人，遍及日本、香港、意大利、美國(guó)、歐洲。在大概12個(gè)小時(shí)內(nèi)，這50個(gè)人到280各城市2100個(gè)提現(xiàn)點(diǎn)進(jìn)行提現(xiàn)，提現(xiàn)達(dá)到900萬(wàn)美元。而且僅僅花了12個(gè)小時(shí)，非常令人震驚。好消息是Badb之后被FBI逮捕了。因此大家可以看到，這其實(shí)是全球執(zhí)法合作。

#p#

在線欺詐中木馬的使用

我的電腦如果感染了木馬病毒，信息就會(huì)直接進(jìn)入中心區(qū)域。如何感染木馬病毒的呢？在去年4月份，披頭士的粉絲建立的網(wǎng)站被黑客攻擊了，所有瀏覽過(guò)網(wǎng)站的電腦都被感染了木馬病毒，這是一種自動(dòng)的感染，因?yàn)槟愕碾娔X有一定的脆弱性所以就被感染了。比如說(shuō)由你的瀏覽器、JAVA或者FLASH都可能受到感染，如果你的安全程度不高，會(huì)被自動(dòng)感染木馬病毒。

今年下半年，美國(guó)財(cái)政部下屬一個(gè)部門(mén)也受到木馬攻擊，大家知道，如果你去瀏覽了一個(gè)受感染的網(wǎng)站，你自己的電腦也受感染。而且每個(gè)月有成百萬(wàn)人的電腦都被病毒感染。而這種感染的來(lái)源就在于他們推出的DT病毒。比如我收到朋友發(fā)來(lái)的視頻，為了打開(kāi)視頻我首先要下載。如果我但擊是，就會(huì)馬上被感染了。這并不是朋友寄來(lái)的，而是木馬寄過(guò)來(lái)的。也許我朋友或者我朋友的網(wǎng)站被感染了。

木馬病毒指的是你在屏幕上顯示什么，木馬操縱者都可以看到。比如說(shuō)這是一個(gè)正常的銀行網(wǎng)站，它一般是要求你輸入一些密碼或者正常的信息，但除此之外，如果被木馬病毒感染，木馬就會(huì)要求額外的信息，包括信用卡號(hào)，ATM取現(xiàn)密碼。這是一個(gè)實(shí)際存在的網(wǎng)站，你可以看它的網(wǎng)址，確實(shí)是存在的。大家可以看到，這是美國(guó)一個(gè)網(wǎng)銀的網(wǎng)頁(yè)，左面是正常的網(wǎng)頁(yè)，右面網(wǎng)頁(yè)是被感染木馬的頁(yè)面，用戶(hù)輸入了信用卡卡號(hào)以及提現(xiàn)密碼。這并非銀行要求，而是用戶(hù)端木馬要求用戶(hù)填入的。接下來(lái)我想強(qiáng)調(diào)一下Zeus，Zeus是木馬病毒，任何人只要登錄到地下欺詐者網(wǎng)站就可以購(gòu)買(mǎi)。一個(gè)人如果使用了Zeus服務(wù)器，成千臺(tái)電腦就會(huì)被感染。Zeus可以幫助欺詐者盜竊什么信息呢？有網(wǎng)銀信息和電子商務(wù)網(wǎng)站的信息。我們來(lái)看一個(gè)實(shí)例，這個(gè)實(shí)例是在線股票交易體系，一方面需要有密碼輸入，另外在這兒要購(gòu)買(mǎi)某股票，購(gòu)買(mǎi)價(jià)格是50，通過(guò)網(wǎng)站內(nèi)幕做了哪些活動(dòng)的信息都被盜取了。

還有一個(gè)網(wǎng)游的例子，大家知道在全世界范圍內(nèi)，網(wǎng)游是非常流行的，這個(gè)游戲可以建立宇宙飛船，用戶(hù)可以進(jìn)入帳戶(hù)并且選擇密碼，這里選擇了一個(gè)叫“惡夢(mèng)”的用戶(hù)，他登陸的時(shí)候網(wǎng)站提醒你密碼保密程度不夠，之后用戶(hù)改為Nightmare8。當(dāng)然現(xiàn)在保密程度夠了，可是客戶(hù)又猶豫，又改成了Nightmare89，你的密碼保護(hù)程度夠了，但木馬把所有的過(guò)程都盜取了。因?yàn)閷?duì)于用戶(hù)來(lái)說(shuō)，他們經(jīng)常使用同一個(gè)密碼進(jìn)入不同的網(wǎng)站。木馬收集后，會(huì)利用不同的組合進(jìn)入很多的網(wǎng)站中。

我再舉最后一個(gè)例子，美國(guó)人經(jīng)常會(huì)向議會(huì)議員發(fā)信件，這里有一個(gè)涉及奧巴馬總統(tǒng)的健康帳單。通過(guò)Zeus病毒，就可以把里面的信息都竊取出來(lái)。并不是議員自己的網(wǎng)站有問(wèn)題，而是電腦被感染了病毒。我總結(jié)一下，現(xiàn)在有很多非常復(fù)雜的木馬，蔓延速度非常快。因?yàn)樗鼈冇蟹浅：玫穆訖C(jī)制。在中國(guó)主要是對(duì)零售和電子商務(wù)網(wǎng)站，出現(xiàn)了很多釣魚(yú)攻擊。還有一些木馬盜竊了用戶(hù)所有的東西。可是在中國(guó)，公眾對(duì)于這些方面的活動(dòng)，知曉度是非常低的。大家記得我提到過(guò)，一方面你竊取了大量的信息，但是必須有專(zhuān)家?guī)椭氵M(jìn)行提現(xiàn)?，F(xiàn)在全球的金融危機(jī)使得經(jīng)濟(jì)不景氣，而這就幫助了欺詐者。

有一個(gè)公司叫做Air Parcel Express，這家公司聲稱(chēng)自己是瑞典的大型物流公司，他們剛剛在歐洲塞拉維亞建立了物流中心，其實(shí)這是一個(gè)根本不存在的公司。他們只是利用虛假故事招聘單位合作人。比如招聘物流中心的經(jīng)理，并把盜竊到的物品銷(xiāo)售到國(guó)外去。他們會(huì)到網(wǎng)站上發(fā)布招聘廣告，登陸招聘網(wǎng)的人會(huì)直接轉(zhuǎn)到這個(gè)網(wǎng)站。設(shè)置這個(gè)網(wǎng)站，在家里即可操作，不用去辦公室。我們了解到兩天的時(shí)間里有2000人來(lái)應(yīng)聘。2007年12月份-2009年12月份之中，合伙人招聘的數(shù)字不斷增加。一方面我們有很多木馬、很多釣魚(yú)，另外一方面又有很多合作人，能夠把盜竊到的物品和金錢(qián)輸送到國(guó)外。我們面臨的威脅實(shí)在越來(lái)越大，但我們這個(gè)行業(yè)可以用很好的應(yīng)對(duì)方式加以解決。

#p#

更嚴(yán)格的審核機(jī)制在對(duì)抗欺詐者

我們有一些服務(wù)可以幫助大家察覺(jué)到木馬和釣魚(yú)的存在，之后把這些有問(wèn)題的網(wǎng)站關(guān)閉。我們對(duì)于智能進(jìn)行很多的投入，以便于幫助我們了解木馬是如何運(yùn)行的。而這項(xiàng)工作是有一些執(zhí)法部門(mén)、金融機(jī)構(gòu)、RSA這樣的公司來(lái)進(jìn)行的。我們有團(tuán)隊(duì)對(duì)大家就技術(shù)、運(yùn)營(yíng)架構(gòu)、基礎(chǔ)設(shè)施進(jìn)行模擬。我們進(jìn)行的審核是幕后，欺詐人都不知道，我們的審核越來(lái)越嚴(yán)格。網(wǎng)銀活動(dòng)也可以通過(guò)電話進(jìn)行識(shí)別。通過(guò)我們提供的整合技術(shù)方案，可以使金融機(jī)構(gòu)、電子商務(wù)網(wǎng)站應(yīng)對(duì)出現(xiàn)的欺詐行為。

就交易的審核，我在這兒給大家舉個(gè)例子有的交易看起來(lái)是在國(guó)外發(fā)生的，拿英國(guó)為例，危險(xiǎn)最高的國(guó)家是尼日利亞。如果大家發(fā)現(xiàn)有些錢(qián)涉及到英國(guó)，通常都是因?yàn)榻灰仔袨?。比較美國(guó)和俄羅斯，美國(guó)的風(fēng)險(xiǎn)更高一些。我們必須提到美國(guó)的銀行，這個(gè)問(wèn)題比較奇怪。俄羅斯欺詐者要隱藏自己的身份，使用代理主機(jī)、代理服務(wù)器。比如在這張表中，出現(xiàn)了GBR和CHN交易，是否有欺詐？如果你問(wèn)英國(guó)人，英國(guó)人說(shuō)肯定是欺詐，很多英國(guó)人電腦上不會(huì)出現(xiàn)中國(guó)的字母?？蛇@是一個(gè)真實(shí)的案例，并沒(méi)有出現(xiàn)欺詐。所以對(duì)于欺詐，要進(jìn)行細(xì)致的分析。

在這個(gè)案例中，胡森（音）把1000元轉(zhuǎn)給另一個(gè)人，我們認(rèn)為欺詐系數(shù)是0-1000，我們對(duì)這筆交易的屏級(jí)是993。由于各種因素，反欺詐部門(mén)認(rèn)為這筆交易危險(xiǎn)性太高，跟胡森核實(shí)，他說(shuō)沒(méi)有轉(zhuǎn)過(guò)這筆錢(qián)，這說(shuō)明這筆交易是欺詐行為。

最后我想提下信息分享，現(xiàn)在全球很多機(jī)構(gòu)在分享信息。我們看一下這家美國(guó)在線銀行，有很多交易是在佛羅里達(dá)州進(jìn)行?？墒俏覀兎治隽艘幌聰?shù)據(jù)，表明這個(gè)人在佛羅里達(dá)，而20分鐘之后這個(gè)人在德克薩斯州，他通過(guò)了一個(gè)新PC進(jìn)行聯(lián)機(jī)。交易監(jiān)測(cè)體系覺(jué)得這個(gè)交易很有風(fēng)險(xiǎn)，因?yàn)?0分鐘之內(nèi)你不可能從佛羅里達(dá)州到達(dá)德克薩斯州。之后我們跟用戶(hù)進(jìn)行了溝通，經(jīng)核實(shí)這是一筆欺詐交易。我們總是可以從電子欺詐網(wǎng)絡(luò)中找到欺詐資源。比如這筆有問(wèn)題的交易被是被偵查到了IP，但是幾周之后這個(gè)IP又被用在別的交易，從戴爾網(wǎng)站購(gòu)買(mǎi)了一臺(tái)2000元的電腦，是通過(guò)不同的銀行進(jìn)行的。同樣的IP地址還是在德克薩斯州，我們對(duì)這個(gè)交易比較懷疑，進(jìn)行了停止。這是由于跟銀行互享信息，得以及時(shí)發(fā)現(xiàn)問(wèn)題。

我對(duì)預(yù)防措施進(jìn)行一下總結(jié)。我們要進(jìn)行多層面的懷疑，我了解到這樣的網(wǎng)絡(luò)危險(xiǎn)演變得非常快。昨天用得好的的技術(shù)，也許明天就沒(méi)有效率了。我們有必要建立起一個(gè)非常復(fù)雜的戰(zhàn)略。為了看清危險(xiǎn)，必須開(kāi)發(fā)出多層面的防御工具。

51CTO編者按：Uri Rivner在講解過(guò)程中還給我們演示了一段POS刷卡機(jī)的釣魚(yú)視頻，這是他們?cè)诎翟L時(shí)拍攝到的，結(jié)果令人驚訝。刷過(guò)卡之后，卡的所有信息都被抓走，不但可以用來(lái)網(wǎng)上購(gòu)物，還可以克隆一張同樣的卡。在線欺詐已經(jīng)不再僅僅出現(xiàn)在PC上，從目前的趨勢(shì)看來(lái)，手機(jī)、ATM機(jī)、POS機(jī)。任何與支付相關(guān)的設(shè)備都在面臨釣魚(yú)攻擊的威脅。釣魚(yú)者不但擁有高超的技術(shù)，更有讓人生畏的社會(huì)工程學(xué)伎倆……