【51CTO.com 綜合消息】以RSA為代表的雙因素認證是一種安全性非常高的身份認證手段，網絡犯罪分子可謂無計可施，很難找到突破口。然而，網絡犯罪分子會不斷發明新的攻擊手段。

來自RSA反網絡欺詐指揮中心的《RSA網絡欺詐報告》10月月報顯示，9 月份“瀏覽器中間人(man-in-the-browser, MITB)”攻擊成為全球最新網絡威脅，數量不斷增長，特別突出的是那些密集部署了雙因素認證解決方案的地區，如歐洲消費者銀行和美國企業銀行市場。

“瀏覽器中間人攻擊”劫取、操縱用戶和網絡應用之間的安全通道上傳送的數據。他們在用戶的瀏覽器應用上嵌入一個木馬程序，當用戶訪問特定的網站——如網上銀行網站時，該木馬程序就會觸發。也就是說，瀏覽器中間人木馬等待合法用戶發起交易，隨后實時操控收款人（有時是金額）信息，將資金轉移到騾子帳戶中。在受到瀏覽器中間人攻擊時，用戶對于自己所發起的交易，甚至不可能注意到有任何不對之處。

該報告還顯示，作為一種攻擊向量，瀏覽器攻擊在去年已經經歷了指數級的增長，木馬感染在過去12個月內增加了10倍。在“托管網絡釣魚攻擊最多的前十位國家”的趨勢分析中，與上月相比，中國比例升到5%，位于第六位。

以下是報告正文：

《RSA在線欺詐報告》

2009年10月

RSA反網絡欺詐指揮中心月度情報報告

網絡犯罪活動在不斷地演變。這些網絡罪犯能夠更迅速的采用先進的犯罪軟件，利用秘密行動機制快速地部署。瀏覽器中間人木馬是網絡欺詐自然演變的其中一部分。在引入雙因素認證之前，網絡犯罪分子可以通過無需干預用戶網絡活動或交易的網絡釣魚攻擊或標準木馬收集信息，以實施欺詐活動。由于用戶防范意識和網絡安全機制的不斷強健，欺詐者只能升級他們的工具以克服雙因素認證給他們造成的障礙。

這份月度情報報告由RSA反網絡欺詐指揮中心中具有豐富經驗的欺詐分析師團隊創建，利用對網絡欺詐領域的敏銳見解，統計數據和來自RSA網絡釣魚知識庫統的相關分析，對9月份網絡欺詐的最新情況做出的趨勢分析。

“瀏覽器中間人”的最新威脅

RSA在2008年已經注意到了瀏覽器中間人攻擊的數量在不斷增長，特別是那些密集部署了雙因素認證解決方案的地區，如歐洲消費者銀行和美國企業銀行市場。

瀏覽器中間人攻擊是為了劫取并操作在用戶和網絡應用之間的安全通信上傳送的數據。在用戶的瀏覽器應用上嵌入了一個木馬程序，并且該木馬設計成當用戶訪問特定的網站——如網上銀行網站時就會觸發。在這種情況下，瀏覽器中間人木馬等待合法用戶發起交易，并隨后實時操控收款人（有時是金額）信息，以試圖將資金轉移到騾子帳戶中。在受到瀏覽器中間人攻擊時，用戶對于自己所發起的交易，甚至不可能注意到有任何不對的地方。

現在大量的木馬被欺詐者所使用以實施瀏覽器中間人攻擊，包括Zeus、Adrenaline、Sinowal和Silent Bankers。有些瀏覽器中間人木馬非常的先進，它們簡化了實施欺詐的流程，能夠完全自動地執行從感染到套現的整個流程。現在，其他瀏覽器中間人木馬所提供的功能還包括： 

◆HTML注入以顯示社會工程化網頁 

◆實時地將木馬與騾子帳戶數據庫相結合，以幫助轉移資金 

◆繞過包括CAP EMV、交易簽名、iTAN和一次性密碼認證1在內的各種雙因素認證系統的能力。對于瀏覽器中間人攻擊，基于時間的一次性密碼要比基于事件的一次性密碼更為安全些，因為基于時間的解決方案出現窗口的機會通常少于一分鐘。

從服務器端難以檢測瀏覽器中間人攻擊的原因是由于任何執行的活動看起來都好像源自合法用戶的web瀏覽器。諸如Windows語言、用戶代理字符串以及IP地址等特征值與用戶的真實數據看起來一模一樣。這給區分真實交易和惡意交易帶來了巨大的挑戰。

全球被檢測到的地區

瀏覽器中間人并不只局限于一個區域或地域；它是一種全球性的威脅，對世界上所有地區都造成了影響。那些密集部署了大量雙因素認證解決方案的地區尤為如此，因為瀏覽器中間人對犯罪分子來說，是其中一種能成功繞過雙因素認證的最有效工具。如今，多數瀏覽器中間人攻擊在以下地區被檢測到并予以了報告： 

◆英國遭到的由一種稱為PSP2-BBB的全新木馬和其他木馬所發起的瀏覽器中間人攻擊的數量在不斷增加，在英國，許多銀行都部署了EMV-CAP協議。 

◆一些歐洲國家如荷蘭、西班牙、法國、德國和波蘭在前幾年部署了雙因素認證解決方案，因此在最近的12個月中，瀏覽器中間人攻擊的數量得到了增長。 

◆美國的金融機構也遭到了攻擊，但威脅主要局限在商業銀行或具有高凈值的客戶。因為在美國，一次性密碼認證在消費者銀行的用戶中并不是很普遍，因此這個地區遭受瀏覽器中間人攻擊的用戶數量要遠遠少于歐洲的消費者銀行客戶。 

◆澳大利亞、亞洲和拉丁美洲的金融機構在不斷為他們網上銀行用戶推進雙因素認證解決方案的部署，因此這個地區的用戶遭受到瀏覽器中間人攻擊的數量也在不斷增長。 #p#

木馬感染不斷上升 

圖1 欺詐者討論繞過雙因素認證的方法

瀏覽器中間人攻擊主要是為繞過雙因素認證而構想的。在一個由RSA發現的帖子中，欺詐者在討論著各種可以繞過一次性密碼認證的可用方法（參見圖1）。欺詐者所使用的術語“自動轉帳”就是指瀏覽器中間人攻擊，是他們所討論的其中一種方法。其中一個欺詐者駁斥了所建議的其他方法，聲稱瀏覽器中間人是對付一次性密碼唯一可行的解決方案。 

圖2 保羅-麥卡特尼的歌迷網頁被欺詐者篡改，以將惡意軟件傳播給訪問者。

作為一種攻擊向量，瀏覽器攻擊在去年已經經歷了指數級的增長。RSA見證了木馬感染在過去的12個月內增加了10倍——這個結果也得到了其他行業觀察和報告的支持，熊貓實驗室報告稱，在2008年上半年和2008年下半年之間，瀏覽器中間人感染率增長了8倍。這種增長部分是由于“下載驅動”（指在未經用戶同意或用戶不知曉的情況下，一個程序就自動下載到了用戶的計算機上。這種程序的下載甚至在只是訪問網站或查看電子郵件的時候就會發生。）感染數量的不斷增長所致，“下載驅動”感染往往是由于合法網站的漏洞被僵尸網絡和感染工具所利用，而在被侵害網站上放置了iFrame。從而將公眾流量傳播到感染點，試圖將木馬下載到每個訪問者的計算機上。其中一個很好的例子就是保羅-麥卡特尼歌迷網站的侵害（參見圖2）。在2009年4月，該網站被黑掉了兩天，所有訪問者都成為一種危險的金融惡意軟件的受害者。

另一種效率極高的感染方法就是利用流行事件或關注話題將流量誘導至被感染網站。RSA發現并關閉了一個此類網站，它通過垃圾電子郵件攻擊誘騙人們訪問一個看起來很像CNN.com的虛假網站。虛假網頁含有一個看起來像合法視頻的鏈接。當訪問者點擊連接查看這個視頻時，他們就會接收到一條錯誤消息，提示他們需要安裝Adobe Flash Player 10，但實際上卻會被一個木馬所感染。

最后，社交網站的極度流行以及參與到社交活動的龐大用戶數量同樣也是木馬攻擊不斷增加的原因之一。極其旺盛的人氣以及這些網站的全球可達性也使它們成為被欺詐者利用的主要目標。今天，接近20%的網絡攻擊都是針社交網站（Breach安全實驗室，“網絡黑客事件數據庫（WHID）2009雙年度報告）。

“瀏覽器中間人”調查結論

根據對木馬威脅，特別是“瀏覽器中間人”廣泛深入的調查，我們可以得出以下幾個結論： 

◆登錄保護不足以阻止瀏覽器中間人攻擊。即使在真正的用戶登錄帳戶后，木馬也可以在用戶登錄后接管web流量。交易保護，或對登錄后的可疑活動進行監控和識別是扭轉瀏覽器中間人攻擊所造成的威脅所必須的。相比于登錄到一個賬戶的動作，交易通常需要更多的詳細審查，同時也具有更多的風險。例如，一個未經授權的用戶可能可以安全地登錄訪問一個賬戶，但一旦試圖執行交易，將會是極其危險的事，如將帳戶內的資金轉出去。交易保護解決方案就能恰當的解決這些活動帶來的問題。 

◆由于一些木馬使用HTML注入來請求憑證以通過進一步的認證，帶外認證對瀏覽器中間人來說更具彈性，因為它繞開了在線認證渠道。 

◆情報信息是消除戰略中的一個主要部分。欺詐者使用復雜的更新和感染點，以及下拉區的通信系統，以傳播他們的木馬并收集被侵害的憑證。自2009年1月以來，RSA已經處理的木馬通信資源增長了3倍多。同樣，騾子帳戶在套現過程中發揮著日益重要的作用。能夠充分利用這些信息，特別是曝光木馬的通信渠道和他們所使用的騾子帳戶，對于開發一個完整的解決方案來說至關重要。#p#

每月網絡釣魚攻擊趨勢分析

9月份的統計數據又一次打破了紀錄，網絡釣魚攻擊增加了7%，達到創紀錄的17365起。與8月相比，網絡釣魚攻擊數量的飆升歸因于標準網絡釣魚攻擊44%的大幅增長。同時，主要由Rock網絡釣魚團伙發起的快速通量攻擊則減少了13%。

盡管標準網絡釣魚攻擊在數量上有了增長，但9月份仍然延續了快速通量攻擊在數量上連續5個月超過通過其他諸如被劫持網站，被劫持個人電腦，免費或商業托管服務等方法托管的攻擊的趨勢。 

圖3

按托管方法劃分的攻擊分布

與上月發起的快速通量攻擊下降13%的事實相應證（主要由Rock網絡釣魚團伙發起），將快速通量網絡作為托管方法的攻擊從上個月的73%減少到了62%，也下降了13%。托管在劫持網站上的網絡釣魚攻擊從18%增加到了22%，而托管在商業網站托管服務的攻擊同樣從4%上升到10%。被劫持計算機占據了網絡釣魚攻擊總數的3%，這一數據與上月相同，而托管在免費網站托管服務上的攻擊卻從2%增加到了3%。 

圖4

遭受攻擊的品牌總數分析

9月份作為攻擊目標的品牌數量也攀升了11%。就如在8月份，7個實體在上個月第一次遭受到了網絡釣魚攻擊，整月中遭受攻擊次數小于5次的共有119個實體，相當于總數的55%。這一比例要低于8月份報告的60%。

這些數字表明，盡管大多數品牌遭受的攻擊次數在5次以下，但與8月份相比，上月遭受攻擊次數多于5次的品牌卻有了增加。由于Rock網絡釣魚團伙總是反復攻擊相同的幾個品牌，因此遭受攻擊品牌數量的上升，有可能是其他網絡犯罪分子或網絡釣魚團伙活動的結果。 

圖5

美國境內遭受攻擊的金融機構細分

在9月份每個美國銀行部門中遭受攻擊的銀行中，地區性銀行仍然是做為攻擊目標最多的部門，比上月上升了7%。針對全國性銀行的攻擊比例增加了4個百分點，創造了四個月來的新高，而針對美國信用合作社的攻擊卻下降了11%。 

圖6

托管網絡釣魚攻擊最多的前十位國家

由于Rock網絡釣魚域名在諸如意大利、丹麥等國家的注冊，托管網絡釣魚攻擊數量最多國家的動態發生了變化。盡管美國仍然托管了大部分網絡釣魚攻擊，但意大利卻從第五位攀升至第二位，它托管了9月份23%的網絡釣魚攻擊。英國仍然維持在名單中的第三位，而丹麥則從第八位上升至第四位。以色列繼在5月份的短暫亮相后，重新出現在了名單的第五位。在圖表的后五名中，中國和韓國分別位于第六和第七，他們比例的變化不超過2%。加拿大則從上月的第二位下降至第八位，而俄羅斯和法國則進入了9月份的名單中。

上個月，Rock網絡釣魚團伙的大部分域托管在意大利，丹麥，美國，英國和以色列。 

圖7

攻擊數量最多的前十位國家

這是自2008年11月以來，英國首次在9月份遭受到了數量最多的網絡釣魚攻擊。在英國的攻擊比例上升27%的同時，美國的攻擊數量下降了26%。除了完全從圖表中消失的西班牙和澳大利亞以外，前十名單中其余國家所遭受攻擊比例的變化都不超過1個百分點。 

圖8

按遭受攻擊品牌劃分的前十位國家分析

盡管在9月份發動的攻擊總數有了增加，同時作為攻擊目標的品牌數量也在增加，但網絡釣魚攻擊者普遍都在繼續攻擊同一批國家的品牌，即美國，英國，加拿大，意大利，西班牙，韓國，南非和澳大利亞。因此，與8月份報告的情況相比鮮有變化。除了完全從圖表中消失的哥倫比亞和法國，以及9月份進入名單的巴西和新西蘭，名單中其他國家遭受攻擊的品牌比例的變化都不超過2%。 

圖9