【51CTO.com独家报道】2010年10月21日,RSA2010大会在北京召开,下午会议开始前,我们有幸参与了RSA的身份认证总监Uri Rivner先生的演讲预演。
RSA的身份认证总监Uri Rivner
钓鱼攻击案例
原来我们听到在线欺诈行为时,以为是一个人,一个黑客,一个欺诈者在自己的电脑前进行操作就可以了。其实地下网络的操作行为是系统组成的,他们共同进行网络欺诈。它不适用盗窃所得的数据。比如你可能接触到一个公司,突然给你发E-mail邀请你访问他的网站,其实这个网站只是一个钓鱼网站,借此了解你的信息。实施钓鱼攻击的人并不知道如何监测你的帐户,不知道如何把钱提出来。为了从你的帐户提现,团伙中需要有一个专家帮助他们进行欺诈。用户在访问网站上输入信息,之后犯罪份子把数据传输给取现专家。当这些专家接收到信息后,他会进入到用户帐户。这就是实际的欺诈行为所发生的流程。
接下来我给大家举个例子,看看在线银行。一旦我进入到受害者的帐户,我就会把它帐户中的10万元转让给受我雇佣的人——“骡子”,这些“骡子”,其实是团伙的合作人,但有时候他们自己也不知道自己的行为被牵涉到犯罪。这个过程是当专家接触到信息后,进入受害者的帐户进行转帐这笔钱就进入合作者的帐户中,之后犯罪团伙又要求合作者把这笔钱汇出到国外。通常他们都是通过国际汇款公司进行汇款。这之后,犯罪人就可以收到钱了。钓鱼行为犯罪人可能是美国人,提现专家可能是俄罗斯的,位于中间的受害人和合作者可能都是中国人。之后要求合作汇款人汇款,可能汇给拉脱维亚,之后拉脱维亚人可能把钱再汇给取现专家。
#p#
安全人员社工钓鱼者
欺诈者之间如何沟通。他们互不认识,只是通过互联网上的虚拟地址进行沟通。大家看一下Glock和Golden之间的沟通,他们讨论的主题就是分脏,就得50%还是60%进行赈囵。Glock说希望给我60%,Golden说不能给那么多,只给50%,而且要去掉汇款费用。可是Glock担心,怎么保证你给我付钱呢?其实我可以告诉大家,我扮演了其中一个角色,跟真正的欺诈人进行沟通。Glock就是我,Golden是一个真实的网络欺诈者。在这里我给大家分享一些信息,包括ICQ和信使项目,大家还可以看到我跟他进行更为私密的对话。Golden是一个欺诈专家,但他手头没有受害者信息,而我在其中扮演有受害者信息的欺诈者。类似的论坛很多,我只是给大家举中其中一个。这个人用木马、钓鱼来收集信息,希望大家相信他信息的可靠性。
我再给大家举一些例子,在假的销售点进行欺诈。一般餐厅、加油站有POS机,只要你刷卡,他就有机会进行欺诈。有一个欺诈者想销售假的POSS机,这个机器价格很贵,高达2000欧元,如果用户刷卡后,马上就可以读出用户的卡号、密码。一旦你刷了卡,这些信息马上就传到网上,欺诈者就可以实时在网上得到数据。假设我是俄罗斯来的欺诈者,通过中国一个合作者,在中国某些餐厅或者其他地方安置这种装置,在俄罗斯就可以实时得到数据。我当时要求欺诈者向我进行实际的展示。欺诈者发来了展示短片。
可是他们在获取信息后,使用信息的时间非常简短。他们对于所盗窃的信用卡进行复制、克隆,之后又请在莫斯科的Badb进行很大的提现活动。Badb雇佣了50多个人,遍及日本、香港、意大利、美国、欧洲。在大概12个小时内,这50个人到280各城市2100个提现点进行提现,提现达到900万美元。而且仅仅花了12个小时,非常令人震惊。好消息是Badb之后被FBI逮捕了。因此大家可以看到,这其实是全球执法合作。
#p#
在线欺诈中木马的使用
我的电脑如果感染了木马病毒,信息就会直接进入中心区域。如何感染木马病毒的呢?在去年4月份,披头士的粉丝建立的网站被黑客攻击了,所有浏览过网站的电脑都被感染了木马病毒,这是一种自动的感染,因为你的电脑有一定的脆弱性所以就被感染了。比如说由你的浏览器、JAVA或者FLASH都可能受到感染,如果你的安全程度不高,会被自动感染木马病毒。
今年下半年,美国财政部下属一个部门也受到木马攻击,大家知道,如果你去浏览了一个受感染的网站,你自己的电脑也受感染。而且每个月有成百万人的电脑都被病毒感染。而这种感染的来源就在于他们推出的DT病毒。比如我收到朋友发来的视频,为了打开视频我首先要下载。如果我但击是,就会马上被感染了。这并不是朋友寄来的,而是木马寄过来的。也许我朋友或者我朋友的网站被感染了。
木马病毒指的是你在屏幕上显示什么,木马操纵者都可以看到。比如说这是一个正常的银行网站,它一般是要求你输入一些密码或者正常的信息,但除此之外,如果被木马病毒感染,木马就会要求额外的信息,包括信用卡号,ATM取现密码。这是一个实际存在的网站,你可以看它的网址,确实是存在的。大家可以看到,这是美国一个网银的网页,左面是正常的网页,右面网页是被感染木马的页面,用户输入了信用卡卡号以及提现密码。这并非银行要求,而是用户端木马要求用户填入的。接下来我想强调一下Zeus,Zeus是木马病毒,任何人只要登录到地下欺诈者网站就可以购买。一个人如果使用了Zeus服务器,成千台电脑就会被感染。Zeus可以帮助欺诈者盗窃什么信息呢?有网银信息和电子商务网站的信息。我们来看一个实例,这个实例是在线股票交易体系,一方面需要有密码输入,另外在这儿要购买某股票,购买价格是50,通过网站内幕做了哪些活动的信息都被盗取了。
还有一个网游的例子,大家知道在全世界范围内,网游是非常流行的,这个游戏可以建立宇宙飞船,用户可以进入帐户并且选择密码,这里选择了一个叫“恶梦”的用户,他登陆的时候网站提醒你密码保密程度不够,之后用户改为Nightmare8。当然现在保密程度够了,可是客户又犹豫,又改成了Nightmare89,你的密码保护程度够了,但木马把所有的过程都盗取了。因为对于用户来说,他们经常使用同一个密码进入不同的网站。木马收集后,会利用不同的组合进入很多的网站中。
我再举最后一个例子,美国人经常会向议会议员发信件,这里有一个涉及奥巴马总统的健康帐单。通过Zeus病毒,就可以把里面的信息都窃取出来。并不是议员自己的网站有问题,而是电脑被感染了病毒。我总结一下,现在有很多非常复杂的木马,蔓延速度非常快。因为它们有非常好的蔓延机制。在中国主要是对零售和电子商务网站,出现了很多钓鱼攻击。还有一些木马盗窃了用户所有的东西。可是在中国,公众对于这些方面的活动,知晓度是非常低的。大家记得我提到过,一方面你窃取了大量的信息,但是必须有专家帮助你进行提现。现在全球的金融危机使得经济不景气,而这就帮助了欺诈者。
有一个公司叫做Air Parcel Express,这家公司声称自己是瑞典的大型物流公司,他们刚刚在欧洲塞拉维亚建立了物流中心,其实这是一个根本不存在的公司。他们只是利用虚假故事招聘单位合作人。比如招聘物流中心的经理,并把盗窃到的物品销售到国外去。他们会到网站上发布招聘广告,登陆招聘网的人会直接转到这个网站。设置这个网站,在家里即可操作,不用去办公室。我们了解到两天的时间里有2000人来应聘。2007年12月份-2009年12月份之中,合伙人招聘的数字不断增加。一方面我们有很多木马、很多钓鱼,另外一方面又有很多合作人,能够把盗窃到的物品和金钱输送到国外。我们面临的威胁实在越来越大,但我们这个行业可以用很好的应对方式加以解决。
#p#
更严格的审核机制在对抗欺诈者
我们有一些服务可以帮助大家察觉到木马和钓鱼的存在,之后把这些有问题的网站关闭。我们对于智能进行很多的投入,以便于帮助我们了解木马是如何运行的。而这项工作是有一些执法部门、金融机构、RSA这样的公司来进行的。我们有团队对大家就技术、运营架构、基础设施进行模拟。我们进行的审核是幕后,欺诈人都不知道,我们的审核越来越严格。网银活动也可以通过电话进行识别。通过我们提供的整合技术方案,可以使金融机构、电子商务网站应对出现的欺诈行为。
就交易的审核,我在这儿给大家举个例子有的交易看起来是在国外发生的,拿英国为例,危险最高的国家是尼日利亚。如果大家发现有些钱涉及到英国,通常都是因为交易行为。比较美国和俄罗斯,美国的风险更高一些。我们必须提到美国的银行,这个问题比较奇怪。俄罗斯欺诈者要隐藏自己的身份,使用代理主机、代理服务器。比如在这张表中,出现了GBR和CHN交易,是否有欺诈?如果你问英国人,英国人说肯定是欺诈,很多英国人电脑上不会出现中国的字母。可这是一个真实的案例,并没有出现欺诈。所以对于欺诈,要进行细致的分析。
在这个案例中,胡森(音)把1000元转给另一个人,我们认为欺诈系数是0-1000,我们对这笔交易的屏级是993。由于各种因素,反欺诈部门认为这笔交易危险性太高,跟胡森核实,他说没有转过这笔钱,这说明这笔交易是欺诈行为。
最后我想提下信息分享,现在全球很多机构在分享信息。我们看一下这家美国在线银行,有很多交易是在佛罗里达州进行。可是我们分析了一下数据,表明这个人在佛罗里达,而20分钟之后这个人在德克萨斯州,他通过了一个新PC进行联机。交易监测体系觉得这个交易很有风险,因为20分钟之内你不可能从佛罗里达州到达德克萨斯州。之后我们跟用户进行了沟通,经核实这是一笔欺诈交易。我们总是可以从电子欺诈网络中找到欺诈资源。比如这笔有问题的交易被是被侦查到了IP,但是几周之后这个IP又被用在别的交易,从戴尔网站购买了一台2000元的电脑,是通过不同的银行进行的。同样的IP地址还是在德克萨斯州,我们对这个交易比较怀疑,进行了停止。这是由于跟银行互享信息,得以及时发现问题。
我对预防措施进行一下总结。我们要进行多层面的怀疑,我了解到这样的网络危险演变得非常快。昨天用得好的的技术,也许明天就没有效率了。我们有必要建立起一个非常复杂的战略。为了看清危险,必须开发出多层面的防御工具。
51CTO编者按:Uri Rivner在讲解过程中还给我们演示了一段POS刷卡机的钓鱼视频,这是他们在暗访时拍摄到的,结果令人惊讶。刷过卡之后,卡的所有信息都被抓走,不但可以用来网上购物,还可以克隆一张同样的卡。在线欺诈已经不再仅仅出现在PC上,从目前的趋势看来,手机、ATM机、POS机。任何与支付相关的设备都在面临钓鱼攻击的威胁。钓鱼者不但拥有高超的技术,更有让人生畏的社会工程学伎俩……
