攻擊的設(shè)計(jì)
該網(wǎng)絡(luò)釣魚攻擊開始時(shí)是一個(gè)正常的網(wǎng)絡(luò)釣魚網(wǎng)站(見圖1)��,提示客戶輸入他們的用戶名和密碼��。通常在提供訪問憑證后���,網(wǎng)絡(luò)釣魚受害者就會(huì)被重定向到網(wǎng)絡(luò)釣魚網(wǎng)站或真正銀行網(wǎng)站的下一個(gè)頁(yè)面��。
然而�,這種攻擊卻用一種新的��、先進(jìn)的技術(shù)繼續(xù)獲取受害人的其他信息–而不是重定向到網(wǎng)絡(luò)釣魚工具包或真正網(wǎng)站的下一個(gè)頁(yè)面���,作為攻擊的一部分���,由欺詐者啟動(dòng)出現(xiàn)虛假的實(shí)時(shí)聊天支持窗口。
圖2 虛假實(shí)時(shí)聊天窗口:中間聊天網(wǎng)絡(luò)釣魚攻擊的第二階段
通過社會(huì)工程���,欺詐者試圖在實(shí)時(shí)聊天平臺(tái)上獲取受害者的進(jìn)一步信息���。欺詐者假裝是銀行欺詐部門的代表����,聲稱銀行"現(xiàn)在需要每名會(huì)員驗(yàn)證他們的帳戶"�����。欺詐者隨后就可以收集其他用戶相關(guān)的信息–姓名�,電話號(hào)碼和電子郵件地址�����。這些詳細(xì)信息能使欺詐者方便地對(duì)該用戶的賬號(hào)實(shí)施網(wǎng)絡(luò)或電話欺詐����,并可能就如在聊天窗口中所說的,在隨后的階段用來(lái)聯(lián)系客戶�。
在這個(gè)網(wǎng)絡(luò)釣魚攻擊工具包內(nèi)的實(shí)時(shí)聊天窗口看起來(lái)在不斷的變化。我們所追蹤到的同一工具包的其他版本在聊天窗口以及欺詐者和網(wǎng)絡(luò)釣魚受害者之間的交互聊天中顯示了不同的文本信息(見圖3)���。
圖3 虛假實(shí)時(shí)聊天窗口:相同中間聊天攻擊的另一個(gè)版本
(要著重指出的是�����,實(shí)時(shí)聊天窗口是由欺詐者啟動(dòng)的�����,跟安裝在受害者計(jì)算機(jī)上的不管何種即時(shí)消息(IM)應(yīng)用程序絕對(duì)沒有任何關(guān)系��。該攻擊不是通過即時(shí)消息而是通過正常的網(wǎng)絡(luò)釣魚網(wǎng)站發(fā)起的��,IM應(yīng)用程序并不是攻擊目標(biāo)��。)
還是Jabber即時(shí)消息
在欺詐者通過虛假的實(shí)施聊天窗口與受害者聊天時(shí)���,聊天消息通過一個(gè)安裝在欺詐者計(jì)算機(jī)上的Jabber模塊在后臺(tái)進(jìn)行處理����。Jabber是一種開放源碼的即時(shí)消息(IM)協(xié)議���,最近被用來(lái)實(shí)時(shí)接收所竊取的憑證而在欺詐之中大行其道����。正如RSA以前所報(bào)告的�����,Jabber正被欺詐者用來(lái)將被感染計(jì)算機(jī)上所竊取的憑證實(shí)時(shí)地從宙斯木馬下拉服務(wù)器轉(zhuǎn)發(fā)給木馬操縱者��。而基于瀏覽器的聊天窗口不需要受害者在他們的計(jì)算機(jī)上安裝Jabber或即時(shí)消息應(yīng)用程序�����,Jabber被欺詐者用來(lái)在后端管理一對(duì)一的聊天����。
實(shí)時(shí)聊天的策略也確保了被感染信息能實(shí)時(shí)地交付給欺詐者–這是那些需要實(shí)時(shí)訪問受害者帳戶的攻擊場(chǎng)景的必要特征。盡管該攻擊正在調(diào)查之中����,但RSA目前還沒有信息表明,隱藏在中間聊天攻擊背后的欺詐者在使用受害者的被盜憑證登錄被感染帳戶���。
盡管目前為止RSA只發(fā)現(xiàn)了一個(gè)這種攻擊的實(shí)例�,我們建議用戶憑證已經(jīng)成為攻擊目標(biāo)的所有網(wǎng)上銀行網(wǎng)站和其它網(wǎng)站的經(jīng)營(yíng)者需要格外的警惕���。這包括���,但不僅限于,告知顧客要注意不正常的在線聊天活動(dòng)����,并提醒他們,他們的銀行和其他大多數(shù)網(wǎng)站永遠(yuǎn)不會(huì)要求他們透露其用戶名/密碼或質(zhì)詢/回答問題的相關(guān)信息��。
8月份網(wǎng)絡(luò)釣魚攻擊的形勢(shì)變化
8月份網(wǎng)絡(luò)釣魚攻擊的數(shù)量超過了2008年4月的15002起攻擊高峰值,達(dá)到創(chuàng)紀(jì)錄的16164起���。在上個(gè)月發(fā)起的快速通量攻擊數(shù)量的急劇飆升直接導(dǎo)致攻擊總數(shù)增加了20%���。盡管8月份的標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊僅僅增加了2%,但快速通量攻擊卻急劇上升了38%���。眾所周知�����,絕大多數(shù)快速通量攻擊都是由臭名昭著的Rock網(wǎng)絡(luò)釣魚團(tuán)伙發(fā)起的�。
來(lái)源:RSA反欺詐指揮中心
按托管方法劃分的攻擊分布
由于上月發(fā)起的快速通量攻擊數(shù)量增加了38%����,托管在快速通量網(wǎng)絡(luò)上的攻擊比例也從上月的61%增長(zhǎng)至73%。托管在劫持網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊則從25%下降到了18%���。托管在商業(yè)網(wǎng)絡(luò)托管服務(wù)上的攻擊從8%降至4%���,而托管在免費(fèi)網(wǎng)絡(luò)托管服務(wù)上的攻擊也從3%降至2%。托管在劫持計(jì)算機(jī)上的攻擊則與上月持平���,仍為3%�。
來(lái)源:RSA反欺詐指揮中心
遭受攻擊的品牌總數(shù)
盡管在8月份發(fā)起的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了22%,但遭受攻擊的品牌數(shù)量卻只增長(zhǎng)了4%����。8個(gè)實(shí)體在上個(gè)月第一次遭受到了網(wǎng)絡(luò)釣魚攻擊��,整月中遭受攻擊次數(shù)小于5次的共有117個(gè)實(shí)體����,相當(dāng)于總數(shù)的60%。這標(biāo)志著由于8月份攻擊數(shù)量的急劇攀升�,這個(gè)數(shù)字比7月份所紀(jì)錄的55%有了一定的增加,這些數(shù)字表明了網(wǎng)絡(luò)犯罪分子反復(fù)攻擊同一品牌�,而不是試圖攻擊新品牌的趨勢(shì)。這些數(shù)字也可以歸因于包括絕大多數(shù)快速通量攻擊在內(nèi)的Rock網(wǎng)絡(luò)釣魚攻擊�����,以及那些針對(duì)少數(shù)品牌發(fā)起反復(fù)攻擊的攻擊者���。
來(lái)源:RSA反欺詐指揮中心
美國(guó)境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分
在八月份遭受攻擊的地區(qū)性美國(guó)銀行比例下降了13%��,而針對(duì)全國(guó)性銀行和信用合作社的攻擊比例卻有了增加��。全國(guó)性銀行增加了6%��,而信用合作社則增加了7%��。這兩個(gè)數(shù)字是美國(guó)信用合作社6個(gè)月以來(lái)的最高位����,同時(shí)也是全國(guó)性銀行3個(gè)月以來(lái)的最高位。
來(lái)源:RSA反欺詐指揮中心
托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國(guó)家
在8月份發(fā)起的大部分網(wǎng)絡(luò)釣魚攻擊都托管在7月份記錄的同一批國(guó)家之中��。美國(guó)和加拿大注冊(cè)者所注冊(cè)的大量Rock網(wǎng)絡(luò)釣魚域�����,使得它們所托管的攻擊數(shù)分別比上月增加了16%和13%�。美國(guó)仍然是托管攻擊數(shù)最多的國(guó)家,加拿大在8月份托管的攻擊數(shù)從第八攀升至第二��。英國(guó)和德國(guó)仍然排在第三和第四位�,而意大利則從第二降至第五位。
中國(guó)和韓國(guó)所托管攻擊的比例分別排在第六位和第七位��,與7月份相比僅變化了1個(gè)百分點(diǎn)����。這個(gè)月新出現(xiàn)的丹麥�,盧森堡和羅馬尼亞分別位列第八��、第九和第十�����,將墨西哥���,法國(guó)和俄羅斯擠出了托管網(wǎng)絡(luò)釣魚國(guó)家的名單。
上個(gè)月�,大多數(shù)被Rock網(wǎng)絡(luò)釣魚團(tuán)伙所使用的域都托管在美國(guó),加拿大和英國(guó)����。
來(lái)源:RSA反欺詐指揮中心
攻擊數(shù)量最多的前十位國(guó)家
美國(guó),英國(guó)�����,意大利和加拿大全都保持著與7月份相同的位置��,這幾個(gè)國(guó)家遭受了最大比例的網(wǎng)絡(luò)釣魚式攻擊�����。許多美國(guó)注冊(cè)者所注冊(cè)的Rock網(wǎng)絡(luò)釣魚域是導(dǎo)致上個(gè)月美國(guó)大部分網(wǎng)絡(luò)釣魚攻擊的原因,與7月份相比���,剩余國(guó)家所遭受的攻擊比例變化了不超過2個(gè)百分點(diǎn)�,其中羅馬尼亞完全從名單中消失����,而愛爾蘭則進(jìn)入了名單之中。
在過去的一年中�����,一直遭受最多攻擊的前五個(gè)國(guó)家分別是美國(guó)�����,英國(guó)��,意大利��,加拿大和南非��。
來(lái)源:RSA反欺詐指揮中心
按遭受攻擊品牌劃分的前十位國(guó)家
就如其他品牌相關(guān)的統(tǒng)計(jì)數(shù)據(jù)一樣�����,8月份遭受攻擊品牌數(shù)最多的國(guó)家與7月份相類似。遭受攻擊品牌數(shù)比例最高的前六個(gè)國(guó)家����,其數(shù)據(jù)變化的幅度不超過3個(gè)百分點(diǎn),美國(guó)�����,英國(guó)仍然保持領(lǐng)先的位置���。澳大利亞從第四升至第三����,意大利從第五降到第四�����,而加拿大則從第三下降到第五���,南非從第七降至第八。西班牙�,哥倫比亞和法國(guó)是新進(jìn)入名單中的國(guó)家。
在過去一年中遭受攻擊品牌數(shù)最多的國(guó)家分別是美國(guó),英國(guó)���,加拿大�����,意大利�,西班牙����,南非和澳大利亞。
來(lái)源:RSA反欺詐指揮中心
附:RSA反欺詐指揮中心簡(jiǎn)介
RSA®反欺詐指揮中心是7X24小時(shí)全天候協(xié)助組織探測(cè)�����,阻斷�,監(jiān)測(cè),跟蹤并關(guān)閉在140多個(gè)國(guó)家傳播的網(wǎng)絡(luò)釣魚����、域名劫持和木馬攻擊的作戰(zhàn)室。RSA反欺詐指揮中心為世界各地的300多家機(jī)構(gòu)提供了保護(hù)����,使他們免受網(wǎng)絡(luò)攻擊的危險(xiǎn)�����,截止到現(xiàn)在���,AFCC已經(jīng)關(guān)閉了超過16萬(wàn)5千起網(wǎng)絡(luò)釣魚攻擊,它是針對(duì)新興網(wǎng)上威脅的一個(gè)核心的行業(yè)情報(bào)信息來(lái)源���。
RSA反欺詐指揮中心配備了一支由100多名經(jīng)驗(yàn)豐富的欺詐分析師組成的團(tuán)隊(duì)�,并與世界各地?cái)?shù)十家互聯(lián)網(wǎng)服務(wù)供應(yīng)商����,以及一些計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組和執(zhí)法機(jī)構(gòu)建立了直接、公開的渠道��。RSA反欺詐指揮中心還提供了近200種語(yǔ)言的多語(yǔ)言翻譯支持�,以進(jìn)一步提高其在全球范圍內(nèi)檢測(cè),阻斷和關(guān)閉欺詐網(wǎng)站的能力��,并使網(wǎng)絡(luò)攻擊的平均壽命得到顯著降低��。
RSA反欺詐指揮中心配備了100多名經(jīng)驗(yàn)豐富的欺詐分析師
