在线犯罪是不断进化发展的,行骗者不加区别地攻击任何组织或个人。在线攻击涉及网络钓鱼(网页欺诈)、域欺诈和特洛伊木马,代表着全世界范围内最有组织化、最高深复杂的技术犯罪潮流之一。网络罪犯每日每夜的工作窃取识别信息、在线凭证、信用卡信息,或他们能够有效转化为金钱的其它任何信息。他们针对所有领域的组织,以及在工作场所或在家使用互联网的任何个人。
这些网络罪犯也有供他们使用的新型工具,能够利用先进的犯罪软件比以前更加快速的适应新环境;利用偷窃机制进行快速的配备。他们的供应链已经进化到能够与合法的商业世界相匹敌,包括能够提供RSA首称的“欺诈服务”。
这份情报月报由来自RSA反欺诈指挥中心的富有经验的欺诈分析师组成的团队所创建。它包括每月的精彩内容,报告内容源自对网络欺诈世界的敏锐洞察,以及来自RSA网络钓鱼知识宝库的统计数据和相关分析。
“中间聊天”试图通过虚假实时聊天窃取消费者数据
RSA FraudAction研究实验室最近发现了一种新的,针对网上银行客户的独特网络钓鱼攻击。 RSA称其为“中间聊天”网络钓鱼攻击,这种攻击第一次通过常规手段执行,但它却表现出更先进层次的网络欺诈实施手段。这种网络钓鱼攻击可以诱骗银行客户在一个普通的网络钓鱼网站中输入他们的用户名和密码,但增加的虚假实时聊天支持窗口可以通过由欺诈者发起的实时聊天会话获取银行客户的凭证。
在实时聊天会话中,隐藏在攻击背后的欺诈者假装为银行欺诈部门的代表,试图诱骗网上客户泄露其敏感信息——例如用于网上客户认证的机密问题的答案。这种袭击目前只将一家总部设在美国的金融机构作为其攻击目标。
在检测到该攻击之后,RSA立即通知了受影响的金融机构,并通过RSA反欺诈指挥中心和RSA FraudAction服务启动了标准的网络钓鱼攻击关闭程序。(RSA为保护其安全和隐私不能指明这家银行。)攻击托管在一个众所周知的、供欺诈者“租用”的快速通量网络,该网络托管了大量的恶意网站,如网络钓鱼网站,木马感染点,洗钱网站等。
攻击的设计
该网络钓鱼攻击开始时是一个正常的网络钓鱼网站(见图1),提示客户输入他们的用户名和密码。通常在提供访问凭证后,网络钓鱼受害者就会被重定向到网络钓鱼网站或真正银行网站的下一个页面。
图1 客户登陆页面:中间聊天网络钓鱼攻击的第一阶段
然而,这种攻击却用一种新的、先进的技术继续获取受害人的其他信息——而不是重定向到网络钓鱼工具包或真正网站的下一个页面,作为攻击的一部分,由欺诈者启动出现虚假的实时聊天支持窗口。
图2 虚假实时聊天窗口:中间聊天网络钓鱼攻击的第二阶段
通过社会工程,欺诈者试图在实时聊天平台上获取受害者的进一步信息。欺诈者假装是银行欺诈部门的代表,声称银行“现在需要每名会员验证他们的帐户”。欺诈者随后就可以收集其他用户相关的信息——姓名,电话号码和电子邮件地址。这些详细信息能使欺诈者方便地对该用户的账号实施网络或电话欺诈,并可能就如在聊天窗口中所说的,在随后的阶段用来联系客户。
在这个网络钓鱼攻击工具包内的实时聊天窗口看起来在不断的变化。我们所追踪到的同一工具包的其他版本在聊天窗口以及欺诈者和网络钓鱼受害者之间的交互聊天中显示了不同的文本信息(见图3)。
图3 虚假实时聊天窗口:相同中间聊天攻击的另一个版本
要着重指出的是,实时聊天窗口是由欺诈者启动的,跟安装在受害者计算机上的不管何种即时消息(IM)应用程序绝对没有任何关系。该攻击不是通过即时消息而是通过正常的网络钓鱼网站发起的,IM应用程序并不是攻击目标。>>
还是Jabber即时消息
在欺诈者通过虚假的实施聊天窗口与受害者聊天时,聊天消息通过一个安装在欺诈者计算机上的Jabber模块在后台进行处理。Jabber是一种开放源码的即时消息(IM)协议,最近被用来实时接收所窃取的凭证而在欺诈之中大行其道。正如RSA以前所报告的,Jabber正被欺诈者用来将被感染计算机上所窃取的凭证实时地从宙斯木马下拉服务器转发给木马操纵者。而基于浏览器的聊天窗口不需要受害者在他们的计算机上安装Jabber或即时消息应用程序,Jabber被欺诈者用来在后端管理一对一的聊天。
实时聊天的策略也确保了被感染信息能实时地交付给欺诈者——这是那些需要实时访问受害者帐户的攻击场景的必要特征。尽管该攻击正在调查之中,但RSA目前还没有信息表明,隐藏在中间聊天攻击背后的欺诈者在使用受害者的被盗凭证登录被感染帐户。
尽管目前为止RSA只发现了一个这种攻击的实例,我们建议用户凭证已经成为攻击目标的所有网上银行网站和其它网站的经营者需要格外的警惕。这包括,但不仅限于,告知顾客要注意不正常的在线聊天活动,并提醒他们,他们的银行和其他大多数网站永远不会要求他们透露其用户名/密码或质询/回答问题的相关信息。
8月份网络钓鱼攻击的形势变化
8月份网络钓鱼攻击的数量超过了2008年4月的15002起攻击高峰值,达到创纪录的16164起。在上个月发起的快速通量攻击数量的急剧飙升直接导致攻击总数增加了20%。尽管8月份的标准网络钓鱼攻击仅仅增加了2%,但快速通量攻击却急剧上升了38%。众所周知,绝大多数快速通量攻击都是由臭名昭著的Rock网络钓鱼团伙发起的。
来源:RSA反欺诈指挥中心
按托管方法划分的攻击分布
由于上月发起的快速通量攻击数量增加了38%,托管在快速通量网络上的攻击比例也从上月的61%增长至73%。托管在劫持网站上的网络钓鱼攻击则从25%下降到了18%。托管在商业网络托管服务上的攻击从8%降至4%,而托管在免费网络托管服务上的攻击也从3%降至2%。托管在劫持计算机上的攻击则与上月持平,仍为3%。
来源:RSA反欺诈指挥中心
遭受攻击的品牌总数
尽管在8月份发起的网络钓鱼攻击数量增加了22%,但遭受攻击的品牌数量却只增长了4%。8个实体在上个月第一次遭受到了网络钓鱼攻击,整月中遭受攻击次数小于5次的共有117个实体,相当于总数的60%。这标志着由于8月份攻击数量的急剧攀升,这个数字比7月份所纪录的55%有了一定的增加,这些数字表明了网络犯罪分子反复攻击同一品牌,而不是试图攻击新品牌的趋势。这些数字也可以归因于包括绝大多数快速通量攻击在内的Rock网络钓鱼攻击,以及那些针对少数品牌发起反复攻击的攻击者。
来源:RSA反欺诈指挥中心>>
美国境内遭受攻击的金融机构细分
在八月份遭受攻击的地区性美国银行比例下降了13%,而针对全国性银行和信用合作社的攻击比例却有了增加。全国性银行增加了6%,而信用合作社则增加了7%。这两个数字是美国信用合作社6个月以来的最高位,同时也是全国性银行3个月以来的最高位。
来源:RSA反欺诈指挥中心
托管网络钓鱼攻击最多的前十位国家
来源:RSA反欺诈指挥中心
在8月份发起的大部分网络钓鱼攻击都托管在7月份记录的同一批国家之中。美国和加拿大注册者所注册的大量Rock网络钓鱼域,使得它们所托管的攻击数分别比上月增加了16%和13%。美国仍然是托管攻击数最多的国家,加拿大在8月份托管的攻击数从第八攀升至第二。英国和德国仍然排在第三和第四位,而意大利则从第二降至第五位。
中国和韩国所托管攻击的比例分别排在第六位和第七位,与7月份相比仅变化了1个百分点。这个月新出现的丹麦,卢森堡和罗马尼亚分别位列第八、第九和第十,将墨西哥,法国和俄罗斯挤出了托管网络钓鱼国家的名单。
上个月,大多数被Rock网络钓鱼团伙所使用的域都托管在美国,加拿大和英国。
攻击数量最多的前十位国家
来源:RSA反欺诈指挥中心
美国,英国,意大利和加拿大全都保持着与7月份相同的位置,这几个国家遭受了最大比例的网络钓鱼式攻击。许多美国注册者所注册的Rock网络钓鱼域是导致上个月美国大部分网络钓鱼攻击的原因,与7月份相比,剩余国家所遭受的攻击比例变化了不超过2个百分点,其中罗马尼亚完全从名单中消失,而爱尔兰则进入了名单之中。
在过去的一年中,一直遭受最多攻击的前五个国家分别是美国,英国,意大利,加拿大和南非。
按遭受攻击品牌划分的前十位国家
来源:RSA反欺诈指挥中心
就如其他品牌相关的统计数据一样,8月份遭受攻击品牌数最多的国家与7月份相类似。遭受攻击品牌数比例最高的前六个国家,其数据变化的幅度不超过3个百分点,美国,英国仍然保持领先的位置。澳大利亚从第四升至第三,意大利从第五降到第四,而加拿大则从第三下降到第五,南非从第七降至第八。西班牙,哥伦比亚和法国是新进入名单中的国家。
在过去一年中遭受攻击品牌数最多的国家分别是美国,英国,加拿大,意大利,西班牙,南非和澳大利亚。 |