RSA 10月报告：中国网络钓鱼升至第六

资讯摘要以RSA为代表的双因素认证是一种安全性非常高的身份认证手段，网络犯罪分子可谓无计可施，很难找到突破口。然而，网络犯罪分子会不断发明新的攻击手段。

以RSA为代表的双因素认证是一种安全性非常高的身份认证手段，网络犯罪分子可谓无计可施，很难找到突破口。然而，网络犯罪分子会不断发明新的攻击手段。
来自RSA反网络欺诈指挥中心的《RSA网络欺诈报告》10月月报显示，9 月份“浏览器中间人(man-in-the-browser, MITB)”攻击成为全球最新网络威胁，数量不断增长，特别突出的是那些密集部署了双因素认证解决方案的地区，如欧洲消费者银行和美国企业银行市场。
“浏览器中间人攻击”劫取、操纵用户和网络应用之间的安全通道上传送的数据。他们在用户的浏览器应用上嵌入一个木马程序，当用户访问特定的网站——如网上银行网站时，该木马程序就会触发。也就是说，浏览器中间人木马等待合法用户发起交易，随后实时操控收款人(有时是金额)信息，将资金转移到骡子帐户中。在受到浏览器中间人攻击时，用户对于自己所发起的交易，甚至不可能注意到有任何不对之处。
该报告还显示，作为一种攻击向量，浏览器攻击在去年已经经历了指数级的增长，木马感染在过去12个月内增加了10倍。在“托管网络钓鱼攻击最多的前十位国家”的趋势分析中，与上月相比，中国比例升到5%，位于第六位。
以下是报告正文：
《RSA在线欺诈报告》
2009年10月
RSA反网络欺诈指挥中心月度情报报告
网络犯罪活动在不断地演变。这些网络罪犯能够更迅速的采用先进的犯罪软件，利用秘密行动机制快速地部署。浏览器中间人木马是网络欺诈自然演变的其中一部分。在引入双因素认证之前，网络犯罪分子可以通过无需干预用户网络活动或交易的网络钓鱼攻击或标准木马收集信息，以实施欺诈活动。由于用户防范意识和网络安全机制的不断强健，欺诈者只能升级他们的工具以克服双因素认证给他们造成的障碍。
这份月度情报报告由RSA反网络欺诈指挥中心中具有丰富经验的欺诈分析师团队创建，利用对网络欺诈领域的敏锐见解，统计数据和来自RSA网络钓鱼知识库统的相关分析，对9月份网络欺诈的最新情况做出的趋势分析。
“浏览器中间人”的最新威胁
RSA在2008年已经注意到了浏览器中间人攻击的数量在不断增长，特别是那些密集部署了双因素认证解决方案的地区，如欧洲消费者银行和美国企业银行市场。
浏览器中间人攻击是为了劫取并操作在用户和网络应用之间的安全通信上传送的数据。在用户的浏览器应用上嵌入了一个木马程序，并且该木马设计成当用户访问特定的网站——如网上银行网站时就会触发。在这种情况下，浏览器中间人木马等待合法用户发起交易，并随后实时操控收款人(有时是金额)信息，以试图将资金转移到骡子帐户中。在受到浏览器中间人攻击时，用户对于自己所发起的交易，甚至不可能注意到有任何不对的地方。
现在大量的木马被欺诈者所使用以实施浏览器中间人攻击，包括Zeus、Adrenaline、Sinowal和Silent Bankers。有些浏览器中间人木马非常的先进，它们简化了实施欺诈的流程，能够完全自动地执行从感染到套现的整个流程。现在，其他浏览器中间人木马所提供的功能还包括：
HTML注入以显示社会工程化网页
实时地将木马与骡子帐户数据库相结合，以帮助转移资金
绕过包括CAP EMV、交易签名、iTAN和一次性密码认证1在内的各种双因素认证系统的能力。对于浏览器中间人攻击，基于时间的一次性密码要比基于事件的一次性密码更为安全些，因为基于时间的解决方案出现窗口的机会通常少于一分钟。
从服务器端难以检测浏览器中间人攻击的原因是由于任何执行的活动看起来都好像源自合法用户的web浏览器。诸如Windows语言、用户代理字符串以及IP地址等特征值与用户的真实数据看起来一模一样。这给区分真实交易和恶意交易带来了巨大的挑战。
全球被检测到的地区
浏览器中间人并不只局限于一个区域或地域;它是一种全球性的威胁，对世界上所有地区都造成了影响。那些密集部署了大量双因素认证解决方案的地区尤为如此，因为浏览器中间人对犯罪分子来说，是其中一种能成功绕过双因素认证的最有效工具。如今，多数浏览器中间人攻击在以下地区被检测到并予以了报告：
英国遭到的由一种称为PSP2-BBB的全新木马和其他木马所发起的浏览器中间人攻击的数量在不断增加，在英国，许多银行都部署了EMV-CAP协议。
一些欧洲国家如荷兰、西班牙、法国、德国和波兰在前几年部署了双因素认证解决方案，因此在最近的12个月中，浏览器中间人攻击的数量得到了增长。
美国的金融机构也遭到了攻击，但威胁主要局限在商业银行或具有高净值的客户。因为在美国，一次性密码认证在消费者银行的用户中并不是很普遍，因此这个地区遭受浏览器中间人攻击的用户数量要远远少于欧洲的消费者银行客户。
澳大利亚、亚洲和拉丁美洲的金融机构在不断为他们网上银行用户推进双因素认证解决方案的部署，因此这个地区的用户遭受到浏览器中间人攻击的数量也在不断增长。
木马感染不断上升

　　

　　图1 欺诈者讨论绕过双因素认证的方法

浏览器中间人攻击主要是为绕过双因素认证而构想的。在一个由RSA发现的帖子中，欺诈者在讨论着各种可以绕过一次性密码认证的可用方法(参见图1)。欺诈者所使用的术语“自动转帐”就是指浏览器中间人攻击，是他们所讨论的其中一种方法。其中一个欺诈者驳斥了所建议的其他方法，声称浏览器中间人是对付一次性密码唯一可行的解决方案。

　　

　　图2 保罗-麦卡特尼的歌迷网页被欺诈者篡改，以将恶意软件传播给访问者。

作为一种攻击向量，浏览器攻击在去年已经经历了指数级的增长。RSA见证了木马感染在过去的12个月内增加了10倍——这个结果也得到了其他行业观察和报告的支持，熊猫实验室报告称，在2008年上半年和2008年下半年之间，浏览器中间人感染率增长了8倍。这种增长部分是由于“下载驱动”(指在未经用户同意或用户不知晓的情况下，一个程序就自动下载到了用户的计算机上。这种程序的下载甚至在只是访问网站或查看电子邮件的时候就会发生。)感染数量的不断增长所致，“下载驱动”感染往往是由于合法网站的漏洞被僵尸网络和感染工具所利用，而在被侵害网站上放置了iFrame。从而将公众流量传播到感染点，试图将木马下载到每个访问者的计算机上。其中一个很好的例子就是保罗-麦卡特尼歌迷网站的侵害(参见图2)。在2009年4月，该网站被黑掉了两天，所有访问者都成为一种危险的金融恶意软件的受害者。
另一种效率极高的感染方法就是利用流行事件或关注话题将流量诱导至被感染网站。RSA发现并关闭了一个此类网站，它通过垃圾电子邮件攻击诱骗人们访问一个看起来很像CNN.com的虚假网站。虚假网页含有一个看起来像合法视频的链接。当访问者点击连接查看这个视频时，他们就会接收到一条错误消息，提示他们需要安装Adobe Flash Player 10，但实际上却会被一个木马所感染。
最后，社交网站的极度流行以及参与到社交活动的庞大用户数量同样也是木马攻击不断增加的原因之一。极其旺盛的人气以及这些网站的全球可达性也使它们成为被欺诈者利用的主要目标。今天，接近20%的网络攻击都是针社交网站(Breach安全实验室，“网络黑客事件数据库(WHID)2009双年度报告)。
“浏览器中间人”调查结论
根据对木马威胁，特别是“浏览器中间人”广泛深入的调查，我们可以得出以下几个结论：
登录保护不足以阻止浏览器中间人攻击。即使在真正的用户登录帐户后，木马也可以在用户登录后接管web流量。交易保护，或对登录后的可疑活动进行监控和识别是扭转浏览器中间人攻击所造成的威胁所必须的。相比于登录到一个账户的动作，交易通常需要更多的详细审查，同时也具有更多的风险。例如，一个未经授权的用户可能可以安全地登录访问一个账户，但一旦试图执行交易，将会是极其危险的事，如将帐户内的资金转出去。交易保护解决方案就能恰当的解决这些活动带来的问题。
由于一些木马使用HTML注入来请求凭证以通过进一步的认证，带外认证对浏览器中间人来说更具弹性，因为它绕开了在线认证渠道。
情报信息是消除战略中的一个主要部分。欺诈者使用复杂的更新和感染点，以及下拉区的通信系统，以传播他们的木马并收集被侵害的凭证。自2009年1月以来，RSA已经处理的木马通信资源增长了3倍多。同样，骡子帐户在套现过程中发挥着日益重要的作用。能够充分利用这些信息，特别是曝光木马的通信渠道和他们所使用的骡子帐户，对于开发一个完整的解决方案来说至关重要。
每月网络钓鱼攻击趋势分析
9月份的统计数据又一次打破了纪录，网络钓鱼攻击增加了7%，达到创纪录的17365起。与8月相比，网络钓鱼攻击数量的飙升归因于标准网络钓鱼攻击44%的大幅增长。同时，主要由Rock网络钓鱼团伙发起的快速通量攻击则减少了13%。
尽管标准网络钓鱼攻击在数量上有了增长，但9月份仍然延续了快速通量攻击在数量上连续5个月超过通过其他诸如被劫持网站，被劫持个人电脑，免费或商业托管服务等方法托管的攻击的趋势。

　　

按托管方法划分的攻击分布
与上月发起的快速通量攻击下降13%的事实相应证(主要由Rock网络钓鱼团伙发起)，将快速通量网络作为托管方法的攻击从上个月的73%减少到了62%，也下降了13%。托管在劫持网站上的网络钓鱼攻击从18%增加到了22%，而托管在商业网站托管服务的攻击同样从4%上升到10%。被劫持计算机占据了网络钓鱼攻击总数的3%，这一数据与上月相同，而托管在免费网站托管服务上的攻击却从2%增加到了3%。

　　

遭受攻击的品牌总数分析
9月份作为攻击目标的品牌数量也攀升了11%。就如在8月份，7个实体在上个月第一次遭受到了网络钓鱼攻击，整月中遭受攻击次数小于5次的共有119个实体，相当于总数的55%。这一比例要低于8月份报告的60%。
这些数字表明，尽管大多数品牌遭受的攻击次数在5次以下，但与8月份相比，上月遭受攻击次数多于5次的品牌却有了增加。由于Rock网络钓鱼团伙总是反复攻击相同的几个品牌，因此遭受攻击品牌数量的上升，有可能是其他网络犯罪分子或网络钓鱼团伙活动的结果。

　　

美国境内遭受攻击的金融机构细分
在9月份每个美国银行部门中遭受攻击的银行中，地区性银行仍然是做为攻击目标最多的部门，比上月上升了7%。针对全国性银行的攻击比例增加了4个百分点，创造了四个月来的新高，而针对美国信用合作社的攻击却下降了11%。

　　

托管网络钓鱼攻击最多的前十位国家

由于Rock网络钓鱼域名在诸如意大利、丹麦等国家的注册，托管网络钓鱼攻击数量最多国家的动态发生了变化。尽管美国仍然托管了大部分网络钓鱼攻击，但意大利却从第五位攀升至第二位，它托管了9月份23%的网络钓鱼攻击。英国仍然维持在名单中的第三位，而丹麦则从第八位上升至第四位。以色列继在5月份的短暂亮相后，重新出现在了名单的第五位。在图表的后五名中，中国和韩国分别位于第六和第七，他们比例的变化不超过2%。加拿大则从上月的第二位下降至第八位，而俄罗斯和法国则进入了9月份的名单中。
上个月，Rock网络钓鱼团伙的大部分域托管在意大利，丹麦，美国，英国和以色列。

　　

攻击数量最多的前十位国家
这是自2008年11月以来，英国首次在9月份遭受到了数量最多的网络钓鱼攻击。在英国的攻击比例上升27%的同时，美国的攻击数量下降了26%。除了完全从图表中消失的西班牙和澳大利亚以外，前十名单中其余国家所遭受攻击比例的变化都不超过1个百分点。

　　

按遭受攻击品牌划分的前十位国家分析
尽管在9月份发动的攻击总数有了增加，同时作为攻击目标的品牌数量也在增加，但网络钓鱼攻击者普遍都在继续攻击同一批国家的品牌，即美国，英国，加拿大，意大利，西班牙，韩国，南非和澳大利亚。因此，与8月份报告的情况相比鲜有变化。除了完全从图表中消失的哥伦比亚和法国，以及9月份进入名单的巴西和新西兰，名单中其他国家遭受攻击的品牌比例的变化都不超过2%。