【51CTO.com 綜合消息】在線犯罪是不斷進化發展的，行騙者不加區別地攻擊任何組織或個人。在線攻擊涉及網絡釣魚（網頁欺詐）、域名劫持和特洛伊木馬，代表著全世界范圍內最有組織化、最高深復雜的技術犯罪潮流之一。網絡罪犯每日每夜的工作竊取個人網絡身份、在線憑證、信用卡信息，或他們能夠有效轉化為金錢的其它任何信息。他們針對所有領域的組織，以及在工作場所或在家使用互聯網的任何個人。

這些網絡罪犯也有供他們使用的新型工具，能夠利用先進的犯罪軟件比以前更加快速的適應新環境；根據偷竊機制進行快速的部署。他們的供應鏈已經進化到能夠與合法的商業世界相匹敵，包括能夠提供RSA首稱的“欺詐服務”。

這份情報月報由來自RSA反欺詐指揮中心的富有經驗的反欺詐分析師組成的團隊所創建。它每月的精彩內容源自對網絡欺詐世界的敏銳洞察，以及來自RSA網絡釣魚知識寶庫的統計數據和相關分析。

一、宙斯(Zeus)特洛伊木馬利用IM即時通訊軟件轉發偷到的在線賬戶數據

在對過去3個月內數個宙斯特洛伊木馬攻擊進行調查的期間，RSA FraudAction研究實驗室發現并跟蹤到一個新型的在線攻擊方式，罪犯能采用這種方法快速的利用被盜用的網絡帳號。

RSA對數個宙斯特洛伊木馬變種的研究發現一些網絡罪犯已經開始利用Jabber即時聊天軟件（IM）的開放協議，當作一種被盜用的網絡身份的快速提交機制。他們利用Jabber軟件，一旦從被宙斯特洛伊木馬感染的機器上收集到信息，被竊取的信息就能立即發送給這些特別的行騙者（注意：這種行騙者利用Jabber軟件所生成的新型行騙手法和合法在線用戶對Jabber軟件的任何使用之間并沒有直接關系。）

Jabber IM模塊已經植入這些特別的特洛伊木馬，并經過配置能從宙斯特洛伊木馬的“卸貨”（drop）服務器數據庫中提取到所竊的用戶網絡帳號 —而無論網絡罪犯身處何方，隨后立即將那些帳號發送給他。

然而，留在斷線服務器中所竊的帳號沒必要實時發送給網絡罪犯。罪犯可能呆在世界的另一個地區，或者可能不與服務器24x7全天候連接在一起。 

因此，罪犯正在將他們所收集到的帳號立即利用Jabber IM自動轉發并接收所竊的帳號。在這種情況下，網絡罪犯利用2個Jabber賬號，一個用以從卸貨服務器數據庫中發送選定的被盜用的用戶網絡帳戶，另一個用來接收那些帳戶信息。

RSA FraudAction研究實驗室發現每一個Jabber IM模塊都經過配置以執行不同系列的活動并按照罪犯的個人喜好進行重大的“定制化”。一個典型的宙斯特洛伊木馬卸貨服務器能保留所竊信息，這些信息都屬于被特洛伊木馬所感染電腦的用戶，而且這些用戶是由許多金融機構以及其它目標組織的客戶組成。

RSA追蹤到的第一個Jabber模塊經過配置能從美國本土的單個金融機構中抽取被盜用的網絡用戶帳號，表示它是一種有針對性的宙斯特洛伊木馬攻擊。在另外一個案例中，一種有著Jabber模塊的宙斯特洛伊木馬被罪犯用于發送來自5個不同金融機構被盜用的網絡用戶帳號(請參加圖1)。RSA也發現這種特殊的特洛伊木馬也經過特別配置，能夠通過電子郵件轉發所竊的用戶帳號。

圖 1 宙斯特洛伊木馬的Jabber發出通知，有一位受害者試圖登錄到特定實體

根據利用Jabber IM提交所竊在線帳號的方式，其事件流程如下所示：

1.宙斯特洛伊木馬一個變種通過一位特洛伊木馬操縱者（他是一種在線行騙者，在網絡欺詐供應鏈中扮演一個關鍵的角色）發動的在線攻擊從而感染了合法用戶的電腦。

2.這些操縱者將竊取的帳號密碼信息發送到宙斯特洛伊木馬操縱者的卸貨服務器中。

3.Jabber IM模塊能在特定組織（通常是金融機構）的卸貨服務器數據庫中搜尋到屬于用戶的賬戶信息。

4.Jabber IM模塊將這種特定賬戶信心通過一個Jabber“發送方”賬戶來進行傳送。

5.罪犯能快速收到通過Jabber“接收方”賬戶獲得的所竊用戶帳號。

6.特洛伊木馬操縱者現在可以占據被盜用的用戶帳號，這可以使得他能夠登錄賬戶并執行欺詐性轉賬。在一些情況下，轉賬需要合法用戶產生的數據，例如一次性密碼，就被網絡罪犯實時利用。

利用即時聊天應用軟件來接收新收集到被盜用賬戶的通知或者客戶登錄嘗試的通知，這不是一個新型的網絡犯罪手段。舉例而言，早就在2008年，已經知道Sinowal 病毒組織采用了一個Jabber模塊。Sinowal木馬病毒背后的罪犯就利用Jabber即時聊天軟件接收新收集到網絡帳戶的實時通知，以及被感染的用戶嘗試登錄的實時通知(請參加圖2)。實時通知使得Sinowal的操作員能夠使用網上銀行帳號，接著就能利用該犯罪組織活動的網絡會話中完全交易。

圖2

圖2 Jabber通知Sinowal網上欺詐組織，有關一個受害者嘗試登錄到被入侵的電腦及其網絡賬戶的情況#p#
 
二、7月網絡釣魚式攻擊趨勢分析

7月份新增的攻擊數量與6月份相比只增加了1.5%，但仍然是12個月來的高峰。在上個月標準的網絡釣魚式攻擊下降5%的同時，快速通量（fast-flux）攻擊上升了7%。快速通量攻擊數量現在已經連續3個月都超過了標準的網絡釣魚式攻擊；這種趨勢也反映在托管方式統計數據中。

圖3

#p#

三、托管方式的攻擊分布趨勢分析

7月份快速通量攻擊的數量上升5%，與此有相關性的是，托管在快速通量網絡上的攻擊比例在上個月從56%攀升到61%。托管在被劫持的網站上的網絡釣魚攻擊從26%下降到25%，其商業托管比例不變為8%。托管在被劫持電腦上的攻擊從7%下降到3%，而免費網絡托管保持穩定，為3%。

圖4

幾種托管方式：

◆快速通量網絡生成高級的域名解析服務(DNS)技巧，能利用一個被入侵電腦組成的網絡，即所稱的僵尸網絡，來托管并提供網絡釣魚和惡意軟件網站。被入侵的電腦臨時充當受害者和網站之間的代理服務器或中間人。很難揭露并擊退快速通量網絡，因為提供網絡釣魚和惡意軟件網站的內容服務器隱藏在一群被入侵的電腦背后，其地址極其快速的變更以躲避偵測。

◆被劫持的網站都是那些行騙者將他們的非法內容托管在合法網站的網絡子域中，避開登記他們自己的域來進行網絡釣魚攻擊。

◆商業托管涉及到行騙者將他們的惡意網站通過繳費的形式托管給其它行騙者。

◆被劫持的電腦由被入侵的電腦構成，其IP地址被分配成一個特定的網絡釣魚域。

◆免費托管指的是利用免費托管服務來展開攻擊。#p#

四、受攻擊品牌的總數趨勢分析

在整個7月份，網絡釣魚攻擊的數量略微增加，而受攻擊的品牌數量下降了9%，有10個實體遭受他們首次的網絡釣魚攻擊。整個7月，有104個品牌遭到低于5次的攻擊，其比例相當于55%，標志著從6月份所報告的63%已有大的降低。

這些數字表示即使在7月份受到攻擊的品牌數量減少，但與6月相比，他們遭受更多攻擊數量的比例增多。這些數字也可歸因于“巖石網絡釣魚組織”（Rock Phish Gang），包含大部分的快速通量攻擊。巖石網絡釣魚組織據稱已經發起了許多有針對性的攻擊少量品牌的行動。

圖5

#p#

五、美國境內受攻擊的金融機構細分情況趨勢分析

在7月份，每個美國銀行領域受攻擊的銀行數量和6月相比保持穩定。7月份唯一的變化就是美國地區銀行的比例上升了1個百分點，而美國聯邦信貸協會比例下降1個百分點。與6月相比，美國全國銀行保持同一個受攻擊比例。 

圖6

#p#

六、托管網絡釣魚攻擊的前十位國家趨勢分析

在7月份，在美國被托管的攻擊比例 — 按照美國在前十位國家中的比例 — 幾乎下降了30%到42%。相反，意大利的比例卻上升了5%，托管了26%的前十位國家中攻擊量，英國在2個月缺榜之后重新出現在托管國家榜單中，為9%，德國以8%緊隨其后。在這些托管比例最高的四個國家中全部都有巖石網絡釣魚攻擊的登記記錄。除了英國以外，墨西哥和中國也是本月的新來者，而澳大利亞和比利時完全跌落。

在去年整年內，總是占據網絡釣魚攻擊最多托管的國家為美國、英國、德國、法國、俄羅斯和韓國。

圖7

#p#

七、攻擊數量排名前十位的國家趨勢分析

在7月份，前十個受攻擊最多的國家其遭受攻擊的比例類似于6月的比例。美國和英國在過去的8個月一直保持同樣的領先地位，而意大利取代澳大利亞成為遭受最多攻擊第三位的國家。7月榜單中唯一的大變化是中國的加入及愛爾蘭跌落出榜單。

在去年整年內，總是遭受最大比例攻擊的5個國家在美國、英國、意大利、加拿大和南非。

圖8

#p#

八、受攻擊品牌前十位國家趨勢分析

7月份關于成為攻擊目標的品牌數量其數字與6月數字保持類似：美國和英國繼續維持其幾近永久的第一和第二的領導性地位，而加拿大和澳大利亞各自交換著第三和第四位。從第5位到第10位的國家其比例不超過1個百分點，除了名單上新增的兩個國家愛爾蘭和迪拜，將巴西和瑞士擠出了前十名榜單。迪拜在餅圖中的出現，標志著其首次登上網絡釣魚統計數據前十名榜單。

圖9