傳統(tǒng)的網(wǎng)上銀行劫持和現(xiàn)實中的銀行搶劫并沒有多大的區(qū)別。匪徒闖進銀行,搶走財物,再離開銀行。但是,就是有這樣一個黑客組織不走尋常路,他們劫持了一家巴西銀行的DNS并將所有的網(wǎng)上銀行業(yè)務(wù)指向偽造的頁面,從中獲取受害者的信用卡信息。
2016年10月22日,這伙犯罪分子在3個月的精心準(zhǔn)備之下,成功控制一家巴西銀行所有業(yè)務(wù)長達5個小時。該銀行的36個域名,企業(yè)郵箱和DNS全體淪陷。這家建立于20世紀(jì)早期的銀行在巴西、美國、阿根廷和大開曼擁有500個分行 ,總計擁有500萬用戶和250億美元資產(chǎn)。
卡巴斯基實驗室的研究人員 Fabio Assolini 和 Dmitry Bestuzhev 發(fā)現(xiàn),這伙網(wǎng)絡(luò)犯罪分子已經(jīng)將同樣的手段炮制到全球范圍內(nèi)的另九家銀行,但他們并未透露是哪家銀行遭遇了攻擊。
在研究初期,此次攻擊看上去就是普通的網(wǎng)站劫持,但是兩位研究者發(fā)現(xiàn)事情并沒有這么簡單。他們認(rèn)為犯罪分子使用的攻擊很復(fù)雜,并不只是單純的釣魚。攻擊者用上了有效的SSL數(shù)據(jù)證書,并且還用Google Cloud來提供欺詐銀行服務(wù)支持。
攻擊的5小時里發(fā)生了什么事情?
10月22日下午1時,巴西的一家銀行網(wǎng)站受到攻擊,持續(xù)了5個小時。黑客入侵銀行站點的方式是:控制這家銀行的DNS賬戶,這樣就能將客戶導(dǎo)向欺詐網(wǎng)站了。研究人員表示,黑客入侵了這家銀行的DNS提供商Registro.br。但黑客具體是怎么做到的,目前還不清楚。
DNS提供商Registro.br今年1月份的時候曾修復(fù)過一個CSRF漏洞,研究人員認(rèn)為攻擊者可能利用了這一漏洞——但也可能是采用向該提供商發(fā)送魚叉式釣魚郵件來滲透。
Bestuzhev說:
每一個訪問該銀行網(wǎng)站的人都會獲得一個內(nèi)含JAR文件的插件,而犯罪分子早已掌握了網(wǎng)站索引文件的控制權(quán)。他們可以利用iframe框架將用戶重定向到一個提前設(shè)好惡意軟件的網(wǎng)站。
黑客甚至可能將自動柜員機ATM或銷售點系統(tǒng)的所有交易重定向到自己的服務(wù)器,收集那個周六下午受害者們使用信用卡的詳細信息。在這5小時的時間里,仿冒網(wǎng)站會向所有訪問者提供惡意軟件,可能有數(shù)萬甚至上百萬全球范圍內(nèi)的用戶受到了這種攻擊。該惡意軟件是一個隱藏在.zip文件中的JAVA文件,偽裝成了銀行安全插件應(yīng)用Trusteer,加載在索引文件中。這款惡意程序的作用是禁用受害者電腦中的安全產(chǎn)品,而且還能竊取登錄憑證、郵箱聯(lián)系人列表、郵件和FTP身份憑證。
研究員在對惡意軟件的排查中發(fā)現(xiàn)了8個模塊,其中包括銀行URL的配置文件、更新模塊、用于Microsoft Exchange,Thunderbird以及本地通訊錄的憑證竊取模塊、網(wǎng)上銀行控制和解密模塊。據(jù)研究員稱所有的模塊都指向加拿大的一個C&C服務(wù)器。
這些模塊中有一個叫做Avenger(復(fù)仇者)的模塊,通常是用于刪除rootkit的合法滲透測試工具。但在這次攻擊中,它被用于刪除運行在受損計算機上的安全產(chǎn)品,通過Avenger,研究員斷定全球范圍內(nèi)還有9家銀行受到了相同手法的攻擊。這些金融機構(gòu)可能是來自巴西、美國、英國、日本、葡萄牙、意大利、中國、阿根廷與開曼群島等國家地區(qū)。
釣魚成功率極高
此外,在這5個小時的時間內(nèi),據(jù)說還有一些特定的銀行客戶收到了釣魚郵件。隨著研究的深入,研究員發(fā)現(xiàn),當(dāng)時銀行的主頁展示了Let’s Encrypt(一家免費的憑證管理中心)頒發(fā)的有效SSL證書——這其實也是現(xiàn)在很多釣魚網(wǎng)站會用的方案,前一陣FreeBuf安全快訊還談到,過去幾個月內(nèi),Let’s Encrypt就頒發(fā)了上千份包含PayPal字符的SSL證書。
在本次事件中,這家銀行的36個域名全部都被攻擊者控制,包括線上、移動、銷售點、融資和并購等功能的域名。除此之外,攻擊者還控制了企業(yè)郵箱設(shè)施,為了防止銀行方面通知受攻擊用戶、注冊主管和DNS供應(yīng)商,攻擊者關(guān)閉了郵箱服務(wù)。值得一提的是,另外巴西銀行沒有啟用Registro.br的雙重認(rèn)證方案。這五小時內(nèi)的釣魚成功率是可想而知的。
這伙犯罪分子想要利用這次機會劫持原有的銀行業(yè)務(wù),同時可以利用軟件從他國銀行盜取資金。
研究人員在銀行域名中加載了釣魚頁面,這些釣魚網(wǎng)頁會誘導(dǎo)受害者輸入信用卡信息。
其實,針對該巴西銀行的陰謀早在Let’s Encrypt注冊成立的五個月之前就已經(jīng)開始醞釀(所以Let’s Encrypt順理成章成為不錯的選擇)。研究員還發(fā)現(xiàn),攻擊者曾用巴西注冊主管的名義向該銀行傳播釣魚郵件。這很有可能是攻擊者用來運行銀行DNS設(shè)置的渠道; 憑借這一點他們就能將銀行所有的流量全部重定向到他們的服務(wù)器。
研究員稱這是他們第一次觀察到如此大規(guī)模的攻擊。
假想一下,如果一名員工被釣魚成功,攻擊者就可以訪問DNS表,一旦DNS受犯罪分子控制,那么后果不堪設(shè)想。研究人員強調(diào),確保DNS基礎(chǔ)架構(gòu)的重要性,以及應(yīng)當(dāng)采用大多數(shù)注冊商所提供的安全功能(如雙重認(rèn)證)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設(shè)計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風(fēng)險加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險投資超過26億美元
- 調(diào)查報告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。