用社工對抗社工——RSA身份認證總監Uri Rivner談釣魚
原創【51CTO.com獨家報道】2010年10月21日,RSA2010大會在北京召開,下午會議開始前,我們有幸參與了RSA的身份認證總監Uri Rivner先生的演講預演。
RSA的身份認證總監Uri Rivner
釣魚攻擊案例
原來我們聽到在線欺詐行為時,以為是一個人,一個黑客,一個欺詐者在自己的電腦前進行操作就可以了。其實地下網絡的操作行為是系統組成的,他們共同進行網絡欺詐。它不適用盜竊所得的數據。比如你可能接觸到一個公司,突然給你發E-mail邀請你訪問他的網站,其實這個網站只是一個釣魚網站,借此了解你的信息。實施釣魚攻擊的人并不知道如何監測你的帳戶,不知道如何把錢提出來。為了從你的帳戶提現,團伙中需要有一個專家幫助他們進行欺詐。用戶在訪問網站上輸入信息,之后犯罪份子把數據傳輸給取現專家。當這些專家接收到信息后,他會進入到用戶帳戶。這就是實際的欺詐行為所發生的流程。
接下來我給大家舉個例子,看看在線銀行。一旦我進入到受害者的帳戶,我就會把它帳戶中的10萬元轉讓給受我雇傭的人——“騾子”,這些“騾子”,其實是團伙的合作人,但有時候他們自己也不知道自己的行為被牽涉到犯罪。這個過程是當專家接觸到信息后,進入受害者的帳戶進行轉帳這筆錢就進入合作者的帳戶中,之后犯罪團伙又要求合作者把這筆錢匯出到國外。通常他們都是通過國際匯款公司進行匯款。這之后,犯罪人就可以收到錢了。釣魚行為犯罪人可能是美國人,提現專家可能是俄羅斯的,位于中間的受害人和合作者可能都是中國人。之后要求合作匯款人匯款,可能匯給拉脫維亞,之后拉脫維亞人可能把錢再匯給取現專家。
#p#
安全人員社工釣魚者
欺詐者之間如何溝通。他們互不認識,只是通過互聯網上的虛擬地址進行溝通。大家看一下Glock和Golden之間的溝通,他們討論的主題就是分臟,就得50%還是60%進行賑圇。Glock說希望給我60%,Golden說不能給那么多,只給50%,而且要去掉匯款費用。可是Glock擔心,怎么保證你給我付錢呢?其實我可以告訴大家,我扮演了其中一個角色,跟真正的欺詐人進行溝通。Glock就是我,Golden是一個真實的網絡欺詐者。在這里我給大家分享一些信息,包括ICQ和信使項目,大家還可以看到我跟他進行更為私密的對話。Golden是一個欺詐專家,但他手頭沒有受害者信息,而我在其中扮演有受害者信息的欺詐者。類似的論壇很多,我只是給大家舉中其中一個。這個人用木馬、釣魚來收集信息,希望大家相信他信息的可靠性。
我再給大家舉一些例子,在假的銷售點進行欺詐。一般餐廳、加油站有POS機,只要你刷卡,他就有機會進行欺詐。有一個欺詐者想銷售假的POSS機,這個機器價格很貴,高達2000歐元,如果用戶刷卡后,馬上就可以讀出用戶的卡號、密碼。一旦你刷了卡,這些信息馬上就傳到網上,欺詐者就可以實時在網上得到數據。假設我是俄羅斯來的欺詐者,通過中國一個合作者,在中國某些餐廳或者其他地方安置這種裝置,在俄羅斯就可以實時得到數據。我當時要求欺詐者向我進行實際的展示。欺詐者發來了展示短片。
可是他們在獲取信息后,使用信息的時間非常簡短。他們對于所盜竊的信用卡進行復制、克隆,之后又請在莫斯科的Badb進行很大的提現活動。Badb雇傭了50多個人,遍及日本、香港、意大利、美國、歐洲。在大概12個小時內,這50個人到280各城市2100個提現點進行提現,提現達到900萬美元。而且僅僅花了12個小時,非常令人震驚。好消息是Badb之后被FBI逮捕了。因此大家可以看到,這其實是全球執法合作。
#p#
在線欺詐中木馬的使用
我的電腦如果感染了木馬病毒,信息就會直接進入中心區域。如何感染木馬病毒的呢?在去年4月份,披頭士的粉絲建立的網站被黑客攻擊了,所有瀏覽過網站的電腦都被感染了木馬病毒,這是一種自動的感染,因為你的電腦有一定的脆弱性所以就被感染了。比如說由你的瀏覽器、JAVA或者FLASH都可能受到感染,如果你的安全程度不高,會被自動感染木馬病毒。
今年下半年,美國財政部下屬一個部門也受到木馬攻擊,大家知道,如果你去瀏覽了一個受感染的網站,你自己的電腦也受感染。而且每個月有成百萬人的電腦都被病毒感染。而這種感染的來源就在于他們推出的DT病毒。比如我收到朋友發來的視頻,為了打開視頻我首先要下載。如果我但擊是,就會馬上被感染了。這并不是朋友寄來的,而是木馬寄過來的。也許我朋友或者我朋友的網站被感染了。
木馬病毒指的是你在屏幕上顯示什么,木馬操縱者都可以看到。比如說這是一個正常的銀行網站,它一般是要求你輸入一些密碼或者正常的信息,但除此之外,如果被木馬病毒感染,木馬就會要求額外的信息,包括信用卡號,ATM取現密碼。這是一個實際存在的網站,你可以看它的網址,確實是存在的。大家可以看到,這是美國一個網銀的網頁,左面是正常的網頁,右面網頁是被感染木馬的頁面,用戶輸入了信用卡卡號以及提現密碼。這并非銀行要求,而是用戶端木馬要求用戶填入的。接下來我想強調一下Zeus,Zeus是木馬病毒,任何人只要登錄到地下欺詐者網站就可以購買。一個人如果使用了Zeus服務器,成千臺電腦就會被感染。Zeus可以幫助欺詐者盜竊什么信息呢?有網銀信息和電子商務網站的信息。我們來看一個實例,這個實例是在線股票交易體系,一方面需要有密碼輸入,另外在這兒要購買某股票,購買價格是50,通過網站內幕做了哪些活動的信息都被盜取了。
還有一個網游的例子,大家知道在全世界范圍內,網游是非常流行的,這個游戲可以建立宇宙飛船,用戶可以進入帳戶并且選擇密碼,這里選擇了一個叫“惡夢”的用戶,他登陸的時候網站提醒你密碼保密程度不夠,之后用戶改為Nightmare8。當然現在保密程度夠了,可是客戶又猶豫,又改成了Nightmare89,你的密碼保護程度夠了,但木馬把所有的過程都盜取了。因為對于用戶來說,他們經常使用同一個密碼進入不同的網站。木馬收集后,會利用不同的組合進入很多的網站中。
我再舉最后一個例子,美國人經常會向議會議員發信件,這里有一個涉及奧巴馬總統的健康帳單。通過Zeus病毒,就可以把里面的信息都竊取出來。并不是議員自己的網站有問題,而是電腦被感染了病毒。我總結一下,現在有很多非常復雜的木馬,蔓延速度非常快。因為它們有非常好的蔓延機制。在中國主要是對零售和電子商務網站,出現了很多釣魚攻擊。還有一些木馬盜竊了用戶所有的東西。可是在中國,公眾對于這些方面的活動,知曉度是非常低的。大家記得我提到過,一方面你竊取了大量的信息,但是必須有專家幫助你進行提現。現在全球的金融危機使得經濟不景氣,而這就幫助了欺詐者。
有一個公司叫做Air Parcel Express,這家公司聲稱自己是瑞典的大型物流公司,他們剛剛在歐洲塞拉維亞建立了物流中心,其實這是一個根本不存在的公司。他們只是利用虛假故事招聘單位合作人。比如招聘物流中心的經理,并把盜竊到的物品銷售到國外去。他們會到網站上發布招聘廣告,登陸招聘網的人會直接轉到這個網站。設置這個網站,在家里即可操作,不用去辦公室。我們了解到兩天的時間里有2000人來應聘。2007年12月份-2009年12月份之中,合伙人招聘的數字不斷增加。一方面我們有很多木馬、很多釣魚,另外一方面又有很多合作人,能夠把盜竊到的物品和金錢輸送到國外。我們面臨的威脅實在越來越大,但我們這個行業可以用很好的應對方式加以解決。
#p#
更嚴格的審核機制在對抗欺詐者
我們有一些服務可以幫助大家察覺到木馬和釣魚的存在,之后把這些有問題的網站關閉。我們對于智能進行很多的投入,以便于幫助我們了解木馬是如何運行的。而這項工作是有一些執法部門、金融機構、RSA這樣的公司來進行的。我們有團隊對大家就技術、運營架構、基礎設施進行模擬。我們進行的審核是幕后,欺詐人都不知道,我們的審核越來越嚴格。網銀活動也可以通過電話進行識別。通過我們提供的整合技術方案,可以使金融機構、電子商務網站應對出現的欺詐行為。
就交易的審核,我在這兒給大家舉個例子有的交易看起來是在國外發生的,拿英國為例,危險最高的國家是尼日利亞。如果大家發現有些錢涉及到英國,通常都是因為交易行為。比較美國和俄羅斯,美國的風險更高一些。我們必須提到美國的銀行,這個問題比較奇怪。俄羅斯欺詐者要隱藏自己的身份,使用代理主機、代理服務器。比如在這張表中,出現了GBR和CHN交易,是否有欺詐?如果你問英國人,英國人說肯定是欺詐,很多英國人電腦上不會出現中國的字母。可這是一個真實的案例,并沒有出現欺詐。所以對于欺詐,要進行細致的分析。
在這個案例中,胡森(音)把1000元轉給另一個人,我們認為欺詐系數是0-1000,我們對這筆交易的屏級是993。由于各種因素,反欺詐部門認為這筆交易危險性太高,跟胡森核實,他說沒有轉過這筆錢,這說明這筆交易是欺詐行為。
最后我想提下信息分享,現在全球很多機構在分享信息。我們看一下這家美國在線銀行,有很多交易是在佛羅里達州進行。可是我們分析了一下數據,表明這個人在佛羅里達,而20分鐘之后這個人在德克薩斯州,他通過了一個新PC進行聯機。交易監測體系覺得這個交易很有風險,因為20分鐘之內你不可能從佛羅里達州到達德克薩斯州。之后我們跟用戶進行了溝通,經核實這是一筆欺詐交易。我們總是可以從電子欺詐網絡中找到欺詐資源。比如這筆有問題的交易被是被偵查到了IP,但是幾周之后這個IP又被用在別的交易,從戴爾網站購買了一臺2000元的電腦,是通過不同的銀行進行的。同樣的IP地址還是在德克薩斯州,我們對這個交易比較懷疑,進行了停止。這是由于跟銀行互享信息,得以及時發現問題。
我對預防措施進行一下總結。我們要進行多層面的懷疑,我了解到這樣的網絡危險演變得非常快。昨天用得好的的技術,也許明天就沒有效率了。我們有必要建立起一個非常復雜的戰略。為了看清危險,必須開發出多層面的防御工具。
51CTO編者按:Uri Rivner在講解過程中還給我們演示了一段POS刷卡機的釣魚視頻,這是他們在暗訪時拍攝到的,結果令人驚訝。刷過卡之后,卡的所有信息都被抓走,不但可以用來網上購物,還可以克隆一張同樣的卡。在線欺詐已經不再僅僅出現在PC上,從目前的趨勢看來,手機、ATM機、POS機。任何與支付相關的設備都在面臨釣魚攻擊的威脅。釣魚者不但擁有高超的技術,更有讓人生畏的社會工程學伎倆……
