來自RSA反網(wǎng)絡(luò)欺詐指揮中心的《RSA網(wǎng)絡(luò)欺詐報(bào)告》9月月報(bào)顯示，RSA FraudAction研究實(shí)驗(yàn)室最近發(fā)現(xiàn)了一種新的、針對網(wǎng)上銀行客戶的獨(dú)特網(wǎng)絡(luò)釣魚攻擊。這種網(wǎng)絡(luò)釣魚攻擊誘騙銀行客戶在普通的網(wǎng)絡(luò)釣魚網(wǎng)站中輸入用戶名和密碼，但增加的虛假實(shí)時(shí)聊天支持窗口可以通過欺詐者發(fā)起的實(shí)時(shí)聊天會話獲取銀行客戶的憑證。這種攻擊第一次通過常規(guī)手段執(zhí)行，但它卻表現(xiàn)出更先進(jìn)層次的網(wǎng)絡(luò)欺詐實(shí)施手段。

    該報(bào)告還顯示，8月份網(wǎng)絡(luò)釣魚攻擊的數(shù)量超過了2008年4月的15002起攻擊高峰值，達(dá)到創(chuàng)紀(jì)錄的16164起。在“托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家”中，中國所托管攻擊的比例從7月的2%上升到8月的3%，排名也從第七位上升到第六位。在“攻擊數(shù)量排名前十位的國家”中，中國的比例從7月的1%上升到8月的2%。

    以下是報(bào)告正文：

    《RSA網(wǎng)上欺詐報(bào)告》

    2009年9月

    RSA反欺詐指揮中心月度情報(bào)報(bào)告

    在線犯罪是不斷進(jìn)化發(fā)展的，行騙者不加區(qū)別地攻擊任何組織或個(gè)人。在線攻擊涉及網(wǎng)絡(luò)釣魚(網(wǎng)頁欺詐)、域欺詐和特洛伊木馬，代表著全世界范圍內(nèi)最有組織化、最高深復(fù)雜的技術(shù)犯罪潮流之一。網(wǎng)絡(luò)罪犯每日每夜的工作竊取識別信息、在線憑證、信用卡信息，或他們能夠有效轉(zhuǎn)化為金錢的其它任何信息。他們針對所有領(lǐng)域的組織，以及在工作場所或在家使用互聯(lián)網(wǎng)的任何個(gè)人。

    這些網(wǎng)絡(luò)罪犯也有供他們使用的新型工具，能夠利用先進(jìn)的犯罪軟件比以前更加快速的適應(yīng)新環(huán)境；利用偷竊機(jī)制進(jìn)行快速的配備。他們的供應(yīng)鏈已經(jīng)進(jìn)化到能夠與合法的商業(yè)世界相匹敵，包括能夠提供RSA首稱的“欺詐服務(wù)”。

    這份情報(bào)月報(bào)由來自RSA反欺詐指揮中心的富有經(jīng)驗(yàn)的欺詐分析師組成的團(tuán)隊(duì)所創(chuàng)建。它包括每月的精彩內(nèi)容，報(bào)告內(nèi)容源自對網(wǎng)絡(luò)欺詐世界的敏銳洞察，以及來自RSA網(wǎng)絡(luò)釣魚知識寶庫的統(tǒng)計(jì)數(shù)據(jù)和相關(guān)分析。

    “中間聊天”試圖通過虛假實(shí)時(shí)聊天竊取消費(fèi)者數(shù)據(jù)

    RSA FraudAction研究實(shí)驗(yàn)室最近發(fā)現(xiàn)了一種新的，針對網(wǎng)上銀行客戶的獨(dú)特網(wǎng)絡(luò)釣魚攻擊。 RSA稱其為“中間聊天”網(wǎng)絡(luò)釣魚攻擊，這種攻擊第一次通過常規(guī)手段執(zhí)行，但它卻表現(xiàn)出更先進(jìn)層次的網(wǎng)絡(luò)欺詐實(shí)施手段。這種網(wǎng)絡(luò)釣魚攻擊可以誘騙銀行客戶在一個(gè)普通的網(wǎng)絡(luò)釣魚網(wǎng)站中輸入他們的用戶名和密碼，但增加的虛假實(shí)時(shí)聊天支持窗口可以通過由欺詐者發(fā)起的實(shí)時(shí)聊天會話獲取銀行客戶的憑證。

    在實(shí)時(shí)聊天會話中，隱藏在攻擊背后的欺詐者假裝為銀行欺詐部門的代表，試圖誘騙網(wǎng)上客戶泄露其敏感信息――例如用于網(wǎng)上客戶認(rèn)證的機(jī)密問題的答案。這種襲擊目前只將一家總部設(shè)在美國的金融機(jī)構(gòu)作為其攻擊目標(biāo)。

    在檢測到該攻擊之后，RSA立即通知了受影響的金融機(jī)構(gòu)，并通過RSA反欺詐指揮中心和RSA FraudAction服務(wù)啟動了標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚攻擊關(guān)閉程序。(RSA為保護(hù)其安全和隱私不能指明這家銀行。)攻擊托管在一個(gè)眾所周知的、供欺詐者“租用”的快速通量網(wǎng)絡(luò)，該網(wǎng)絡(luò)托管了大量的惡意網(wǎng)站，如網(wǎng)絡(luò)釣魚網(wǎng)站，木馬感染點(diǎn)，洗錢網(wǎng)站等。

    攻擊的設(shè)計(jì)

    該網(wǎng)絡(luò)釣魚攻擊開始時(shí)是一個(gè)正常的網(wǎng)絡(luò)釣魚網(wǎng)站，提示客戶輸入他們的用戶名和密碼。通常在提供訪問憑證后，網(wǎng)絡(luò)釣魚受害者就會被重定向到網(wǎng)絡(luò)釣魚網(wǎng)站或真正銀行網(wǎng)站的下一個(gè)頁面。

    然而，這種攻擊卻用一種新的、先進(jìn)的技術(shù)繼續(xù)獲取受害人的其他信息――而不是重定向到網(wǎng)絡(luò)釣魚工具包或真正網(wǎng)站的下一個(gè)頁面，作為攻擊的一部分，由欺詐者啟動出現(xiàn)虛假的實(shí)時(shí)聊天支持窗口。

    通過社會工程，欺詐者試圖在實(shí)時(shí)聊天平臺上獲取受害者的進(jìn)一步信息。欺詐者假裝是銀行欺詐部門的代表，聲稱銀行“現(xiàn)在需要每名會員驗(yàn)證他們的帳戶”。欺詐者隨后就可以收集其他用戶相關(guān)的信息――姓名，電話號碼和電子郵件地址。這些詳細(xì)信息能使欺詐者方便地對該用戶的賬號實(shí)施網(wǎng)絡(luò)或電話欺詐，并可能就如在聊天窗口中所說的，在隨后的階段用來聯(lián)系客戶。

    在這個(gè)網(wǎng)絡(luò)釣魚攻擊工具包內(nèi)的實(shí)時(shí)聊天窗口看起來在不斷的變化。我們所追蹤到的同一工具包的其他版本在聊天窗口以及欺詐者和網(wǎng)絡(luò)釣魚受害者之間的交互聊天中顯示了不同的文本信息。

    (要著重指出的是，實(shí)時(shí)聊天窗口是由欺詐者啟動的，跟安裝在受害者計(jì)算機(jī)上的不管何種即時(shí)消息(IM)應(yīng)用程序絕對沒有任何關(guān)系。該攻擊不是通過即時(shí)消息而是通過正常的網(wǎng)絡(luò)釣魚網(wǎng)站發(fā)起的，IM應(yīng)用程序并不是攻擊目標(biāo)。)

    還是Jabber即時(shí)消息

    在欺詐者通過虛假的實(shí)施聊天窗口與受害者聊天時(shí)，聊天消息通過一個(gè)安裝在欺詐者計(jì)算機(jī)上的Jabber模塊在后臺進(jìn)行處理。Jabber是一種開放源碼的即時(shí)消息(IM)協(xié)議，最近被用來實(shí)時(shí)接收所竊取的憑證而在欺詐之中大行其道。正如RSA以前所報(bào)告的，Jabber正被欺詐者用來將被感染計(jì)算機(jī)上所竊取的憑證實(shí)時(shí)地從宙斯木馬下拉服務(wù)器轉(zhuǎn)發(fā)給木馬操縱者。而基于瀏覽器的聊天窗口不需要受害者在他們的計(jì)算機(jī)上安裝Jabber或即時(shí)消息應(yīng)用程序，Jabber被欺詐者用來在后端管理一對一的聊天。

    實(shí)時(shí)聊天的策略也確保了被感染信息能實(shí)時(shí)地交付給欺詐者――這是那些需要實(shí)時(shí)訪問受害者帳戶的攻擊場景的必要特征。盡管該攻擊正在調(diào)查之中，但RSA目前還沒有信息表明，隱藏在中間聊天攻擊背后的欺詐者在使用受害者的被盜憑證登錄被感染帳戶。

    盡管目前為止RSA只發(fā)現(xiàn)了一個(gè)這種攻擊的實(shí)例，我們建議用戶憑證已經(jīng)成為攻擊目標(biāo)的所有網(wǎng)上銀行網(wǎng)站和其它網(wǎng)站的經(jīng)營者需要格外的警惕。這包括，但不僅限于，告知顧客要注意不正常的在線聊天活動，并提醒他們，他們的銀行和其他大多數(shù)網(wǎng)站永遠(yuǎn)不會要求他們透露其用戶名/密碼或質(zhì)詢/回答問題的相關(guān)信息。

    8月份網(wǎng)絡(luò)釣魚攻擊的形勢變化

    8月份網(wǎng)絡(luò)釣魚攻擊的數(shù)量超過了2008年4月的15002起攻擊高峰值，達(dá)到創(chuàng)紀(jì)錄的16164起。在上個(gè)月發(fā)起的快速通量攻擊數(shù)量的急劇飆升直接導(dǎo)致攻擊總數(shù)增加了20%。盡管8月份的標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊僅僅增加了2%，但快速通量攻擊卻急劇上升了38%。眾所周知，絕大多數(shù)快速通量攻擊都是由臭名昭著的Rock網(wǎng)絡(luò)釣魚團(tuán)伙發(fā)起的。

    按托管方法劃分的攻擊分布

    由于上月發(fā)起的快速通量攻擊數(shù)量增加了38%，托管在快速通量網(wǎng)絡(luò)上的攻擊比例也從上月的61%增長至73%。托管在劫持網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊則從25%下降到了18%。托管在商業(yè)網(wǎng)絡(luò)托管服務(wù)上的攻擊從8%降至4%，而托管在免費(fèi)網(wǎng)絡(luò)托管服務(wù)上的攻擊也從3%降至2%。托管在劫持計(jì)算機(jī)上的攻擊則與上月持平，仍為3%。

    遭受攻擊的品牌總數(shù)

    盡管在8月份發(fā)起的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了22%，但遭受攻擊的品牌數(shù)量卻只增長了4%。8個(gè)實(shí)體在上個(gè)月第一次遭受到了網(wǎng)絡(luò)釣魚攻擊，整月中遭受攻擊次數(shù)小于5次的共有117個(gè)實(shí)體，相當(dāng)于總數(shù)的60%。這標(biāo)志著由于8月份攻擊數(shù)量的急劇攀升，這個(gè)數(shù)字比7月份所紀(jì)錄的55%有了一定的增加，這些數(shù)字表明了網(wǎng)絡(luò)犯罪分子反復(fù)攻擊同一品牌，而不是試圖攻擊新品牌的趨勢。這些數(shù)字也可以歸因于包括絕大多數(shù)快速通量攻擊在內(nèi)的Rock網(wǎng)絡(luò)釣魚攻擊，以及那些針對少數(shù)品牌發(fā)起反復(fù)攻擊的攻擊者。

    美國境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分

    在八月份遭受攻擊的地區(qū)性美國銀行比例下降了13%，而針對全國性銀行和信用合作社的攻擊比例卻有了增加。全國性銀行增加了6%，而信用合作社則增加了7%。這兩個(gè)數(shù)字是美國信用合作社6個(gè)月以來的最高位，同時(shí)也是全國性銀行3個(gè)月以來的最高位。

    來源：RSA反欺詐指揮中心

    托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家

    在8月份發(fā)起的大部分網(wǎng)絡(luò)釣魚攻擊都托管在7月份記錄的同一批國家之中。美國和加拿大注冊者所注冊的大量Rock網(wǎng)絡(luò)釣魚域，使得它們所托管的攻擊數(shù)分別比上月增加了16%和13%。美國仍然是托管攻擊數(shù)最多的國家，加拿大在8月份托管的攻擊數(shù)從第八攀升至第二。英國和德國仍然排在第三和第四位，而意大利則從第二降至第五位。

    中國和韓國所托管攻擊的比例分別排在第六位和第七位，與7月份相比僅變化了1個(gè)百分點(diǎn)。這個(gè)月新出現(xiàn)的丹麥，盧森堡和羅馬尼亞分別位列第八、第九和第十，將墨西哥，法國和俄羅斯擠出了托管網(wǎng)絡(luò)釣魚國家的名單。

    上個(gè)月，大多數(shù)被Rock網(wǎng)絡(luò)釣魚團(tuán)伙所使用的域都托管在美國，加拿大和英國。

    攻擊數(shù)量最多的前十位國家

    美國，英國，意大利和加拿大全都保持著與7月份相同的位置，這幾個(gè)國家遭受了最大比例的網(wǎng)絡(luò)釣魚式攻擊。許多美國注冊者所注冊的Rock網(wǎng)絡(luò)釣魚域是導(dǎo)致上個(gè)月美國大部分網(wǎng)絡(luò)釣魚攻擊的原因，與7月份相比，剩余國家所遭受的攻擊比例變化了不超過2個(gè)百分點(diǎn)，其中羅馬尼亞完全從名單中消失，而愛爾蘭則進(jìn)入了名單之中。

    在過去的一年中，一直遭受最多攻擊的前五個(gè)國家分別是美國，英國，意大利，加拿大和南非。

    按遭受攻擊品牌劃分的前十位國家

    就如其他品牌相關(guān)的統(tǒng)計(jì)數(shù)據(jù)一樣，8月份遭受攻擊品牌數(shù)最多的國家與7月份相類似。遭受攻擊品牌數(shù)比例最高的前六個(gè)國家，其數(shù)據(jù)變化的幅度不超過3個(gè)百分點(diǎn)，美國，英國仍然保持領(lǐng)先的位置。澳大利亞從第四升至第三，意大利從第五降到第四，而加拿大則從第三下降到第五，南非從第七降至第八。西班牙，哥倫比亞和法國是新進(jìn)入名單中的國家。

    在過去一年中遭受攻擊品牌數(shù)最多的國家分別是美國，英國，加拿大，意大利，西班牙，南非和澳大利亞。

    附：RSA反欺詐指揮中心簡介

    RSA反欺詐指揮中心是7X24小時(shí)全天候協(xié)助組織探測，阻斷，監(jiān)測，跟蹤并關(guān)閉在140多個(gè)國家傳播的網(wǎng)絡(luò)釣魚、域名劫持和木馬攻擊的作戰(zhàn)室。RSA反欺詐指揮中心為世界各地的300多家機(jī)構(gòu)提供了保護(hù)，使他們免受網(wǎng)絡(luò)攻擊的危險(xiǎn)，截止到現(xiàn)在，AFCC已經(jīng)關(guān)閉了超過16萬5千起網(wǎng)絡(luò)釣魚攻擊，它是針對新興網(wǎng)上威脅的一個(gè)核心的行業(yè)情報(bào)信息來源。

    RSA反欺詐指揮中心配備了一支由100多名經(jīng)驗(yàn)豐富的欺詐分析師組成的團(tuán)隊(duì)，并與世界各地?cái)?shù)十家互聯(lián)網(wǎng)服務(wù)供應(yīng)商，以及一些計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組和執(zhí)法機(jī)構(gòu)建立了直接、公開的渠道。RSA反欺詐指揮中心還提供了近200種語言的多語言翻譯支持，以進(jìn)一步提高其在全球范圍內(nèi)檢測，阻斷和關(guān)閉欺詐網(wǎng)站的能力，并使網(wǎng)絡(luò)攻擊的平均壽命得到顯著降低。