【51CTO.com 綜合消息】來自RSA反網絡欺詐指揮中心的《RSA網絡欺詐報告》9月月報顯示，RSA FraudAction研究實驗室最近發現了一種新的、針對網上銀行客戶的獨特網絡釣魚攻擊。這種網絡釣魚攻擊誘騙銀行客戶在普通的網絡釣魚網站中輸入用戶名和密碼，但增加的虛假實時聊天支持窗口可以通過欺詐者發起的實時聊天會話獲取銀行客戶的憑證。這種攻擊第一次通過常規手段執行，但它卻表現出更先進層次的網絡欺詐實施手段。

該報告還顯示，8月份網絡釣魚攻擊的數量超過了2008年4月的15002起攻擊高峰值，達到創紀錄的16164起。在“托管網絡釣魚攻擊最多的前十位國家”中，中國所托管攻擊的比例從7月的2%上升到8月的3%，排名也從第七位上升到第六位。在“攻擊數量排名前十位的國家”中，中國的比例從7月的1%上升到8月的2%。

在線犯罪是不斷進化發展的，行騙者不加區別地攻擊任何組織或個人。在線攻擊涉及網絡釣魚（網頁欺詐）、域欺詐和特洛伊木馬，代表著全世界范圍內最有組織化、最高深復雜的技術犯罪潮流之一。網絡罪犯每日每夜的工作竊取識別信息、在線憑證、信用卡信息，或他們能夠有效轉化為金錢的其它任何信息。他們針對所有領域的組織，以及在工作場所或在家使用互聯網的任何個人。

這些網絡罪犯也有供他們使用的新型工具，能夠利用先進的犯罪軟件比以前更加快速的適應新環境；利用偷竊機制進行快速的配備。他們的供應鏈已經進化到能夠與合法的商業世界相匹敵，包括能夠提供RSA首稱的“欺詐服務”。

“中間聊天”試圖通過虛假實時聊天竊取消費者數據

RSA FraudAction研究實驗室最近發現了一種新的，針對網上銀行客戶的獨特網絡釣魚攻擊。 RSA稱其為“中間聊天”網絡釣魚攻擊，這種攻擊第一次通過常規手段執行，但它卻表現出更先進層次的網絡欺詐實施手段。這種網絡釣魚攻擊可以誘騙銀行客戶在一個普通的網絡釣魚網站中輸入他們的用戶名和密碼，但增加的虛假實時聊天支持窗口可以通過由欺詐者發起的實時聊天會話獲取銀行客戶的憑證。

在實時聊天會話中，隱藏在攻擊背后的欺詐者假裝為銀行欺詐部門的代表，試圖誘騙網上客戶泄露其敏感信息——例如用于網上客戶認證的機密問題的答案。這種襲擊目前只將一家總部設在美國的金融機構作為其攻擊目標。

在檢測到該攻擊之后，RSA立即通知了受影響的金融機構，并通過RSA反欺詐指揮中心和RSA FraudAction服務啟動了標準的網絡釣魚攻擊關閉程序。（RSA為保護其安全和隱私不能指明這家銀行。）攻擊托管在一個眾所周知的、供欺詐者“租用”的快速通量網絡，該網絡托管了大量的惡意網站，如網絡釣魚網站，木馬感染點，洗錢網站等。

攻擊的設計

該網絡釣魚攻擊開始時是一個正常的網絡釣魚網站（見圖1），提示客戶輸入他們的用戶名和密碼。通常在提供訪問憑證后，網絡釣魚受害者就會被重定向到網絡釣魚網站或真正銀行網站的下一個頁面。 

圖1 中間聊天網絡釣魚攻擊的第一階段

然而，這種攻擊卻用一種新的、先進的技術繼續獲取受害人的其他信息——而不是重定向到網絡釣魚工具包或真正網站的下一個頁面，作為攻擊的一部分，由欺詐者啟動出現虛假的實時聊天支持窗口。 

圖2 中間聊天網絡釣魚攻擊的第二階段

通過社會工程，欺詐者試圖在實時聊天平臺上獲取受害者的進一步信息。欺詐者假裝是銀行欺詐部門的代表，聲稱銀行“現在需要每名會員驗證他們的帳戶”。欺詐者隨后就可以收集其他用戶相關的信息——姓名，電話號碼和電子郵件地址。這些詳細信息能使欺詐者方便地對該用戶的賬號實施網絡或電話欺詐，并可能就如在聊天窗口中所說的，在隨后的階段用來聯系客戶。

在這個網絡釣魚攻擊工具包內的實時聊天窗口看起來在不斷的變化。我們所追蹤到的同一工具包的其他版本在聊天窗口以及欺詐者和網絡釣魚受害者之間的交互聊天中顯示了不同的文本信息（見圖3）。  

圖3 相同中間聊天攻擊的另一個版本

（要著重指出的是，實時聊天窗口是由欺詐者啟動的，跟安裝在受害者計算機上的不管何種即時消息（IM）應用程序絕對沒有任何關系。該攻擊不是通過即時消息而是通過正常的網絡釣魚網站發起的，IM應用程序并不是攻擊目標。）

還是Jabber即時消息

在欺詐者通過虛假的實施聊天窗口與受害者聊天時，聊天消息通過一個安裝在欺詐者計算機上的Jabber模塊在后臺進行處理。Jabber是一種開放源碼的即時消息（IM）協議，最近被用來實時接收所竊取的憑證而在欺詐之中大行其道。正如RSA以前所報告的，Jabber正被欺詐者用來將被感染計算機上所竊取的憑證實時地從宙斯木馬下拉服務器轉發給木馬操縱者。而基于瀏覽器的聊天窗口不需要受害者在他們的計算機上安裝Jabber或即時消息應用程序，Jabber被欺詐者用來在后端管理一對一的聊天。

實時聊天的策略也確保了被感染信息能實時地交付給欺詐者——這是那些需要實時訪問受害者帳戶的攻擊場景的必要特征。盡管該攻擊正在調查之中，但RSA目前還沒有信息表明，隱藏在中間聊天攻擊背后的欺詐者在使用受害者的被盜憑證登錄被感染帳戶。

盡管目前為止RSA只發現了一個這種攻擊的實例，我們建議用戶憑證已經成為攻擊目標的所有網上銀行網站和其它網站的經營者需要格外的警惕。這包括，但不僅限于，告知顧客要注意不正常的在線聊天活動，并提醒他們，他們的銀行和其他大多數網站永遠不會要求他們透露其用戶名/密碼或質詢/回答問題的相關信息。#p#

8月份網絡釣魚攻擊的形勢變化

8月份網絡釣魚攻擊的數量超過了2008年4月的15002起攻擊高峰值，達到創紀錄的16164起。在上個月發起的快速通量攻擊數量的急劇飆升直接導致攻擊總數增加了20%。盡管8月份的標準網絡釣魚攻擊僅僅增加了2%，但快速通量攻擊卻急劇上升了38%。眾所周知，絕大多數快速通量攻擊都是由臭名昭著的Rock網絡釣魚團伙發起的。 

圖4

按托管方法劃分的攻擊分布

由于上月發起的快速通量攻擊數量增加了38%，托管在快速通量網絡上的攻擊比例也從上月的61%增長至73%。托管在劫持網站上的網絡釣魚攻擊則從25%下降到了18%。托管在商業網絡托管服務上的攻擊從8%降至4%，而托管在免費網絡托管服務上的攻擊也從3%降至2%。托管在劫持計算機上的攻擊則與上月持平，仍為3%。 

圖5

遭受攻擊的品牌總數

盡管在8月份發起的網絡釣魚攻擊數量增加了22%，但遭受攻擊的品牌數量卻只增長了4%。8個實體在上個月第一次遭受到了網絡釣魚攻擊，整月中遭受攻擊次數小于5次的共有117個實體，相當于總數的60%。這標志著由于8月份攻擊數量的急劇攀升，這個數字比7月份所紀錄的55%有了一定的增加，這些數字表明了網絡犯罪分子反復攻擊同一品牌，而不是試圖攻擊新品牌的趨勢。這些數字也可以歸因于包括絕大多數快速通量攻擊在內的Rock網絡釣魚攻擊，以及那些針對少數品牌發起反復攻擊的攻擊者。 

圖6

美國境內遭受攻擊的金融機構細分

在八月份遭受攻擊的地區性美國銀行比例下降了13%，而針對全國性銀行和信用合作社的攻擊比例卻有了增加。全國性銀行增加了6%，而信用合作社則增加了7%。這兩個數字是美國信用合作社6個月以來的最高位，同時也是全國性銀行3個月以來的最高位。 

圖7

托管網絡釣魚攻擊最多的前十位國家

在8月份發起的大部分網絡釣魚攻擊都托管在7月份記錄的同一批國家之中。美國和加拿大注冊者所注冊的大量Rock網絡釣魚域，使得它們所托管的攻擊數分別比上月增加了16%和13%。美國仍然是托管攻擊數最多的國家，加拿大在8月份托管的攻擊數從第八攀升至第二。英國和德國仍然排在第三和第四位，而意大利則從第二降至第五位。

中國和韓國所托管攻擊的比例分別排在第六位和第七位，與7月份相比僅變化了1個百分點。這個月新出現的丹麥，盧森堡和羅馬尼亞分別位列第八、第九和第十，將墨西哥，法國和俄羅斯擠出了托管網絡釣魚國家的名單。

上個月，大多數被Rock網絡釣魚團伙所使用的域都托管在美國，加拿大和英國。 

圖8

攻擊數量最多的前十位國家

美國，英國，意大利和加拿大全都保持著與7月份相同的位置，這幾個國家遭受了最大比例的網絡釣魚式攻擊。許多美國注冊者所注冊的Rock網絡釣魚域是導致上個月美國大部分網絡釣魚攻擊的原因，與7月份相比，剩余國家所遭受的攻擊比例變化了不超過2個百分點，其中羅馬尼亞完全從名單中消失，而愛爾蘭則進入了名單之中。

在過去的一年中，一直遭受最多攻擊的前五個國家分別是美國，英國，意大利，加拿大和南非。 

圖9

按遭受攻擊品牌劃分的前十位國家

就如其他品牌相關的統計數據一樣，8月份遭受攻擊品牌數最多的國家與7月份相類似。遭受攻擊品牌數比例最高的前六個國家，其數據變化的幅度不超過3個百分點，美國，英國仍然保持領先的位置。澳大利亞從第四升至第三，意大利從第五降到第四，而加拿大則從第三下降到第五，南非從第七降至第八。西班牙，哥倫比亞和法國是新進入名單中的國家。

在過去一年中遭受攻擊品牌數最多的國家分別是美國，英國，加拿大，意大利，西班牙，南非和澳大利亞。 

圖10