RSA警示：网络欺诈正在中国萌芽

来自RSA反网络欺诈指挥中心的《RSA网络欺诈报告》8月月报显示，在"托管网络钓鱼攻击的前十位国家"中，中国和墨西哥成为7月的新来者，占到总数的2%。同时，在"遭受网络攻击数量排名前十位的国家"中，中国也是7月榜单中的新来者。

当前，网络欺诈在中国时有发现，主要针对银行、证券等金融机构，网络犯罪分子主要利用假冒网站骗取消费者的银行账户和密码等信息，进而窃取消费者的资金或有价值资产。然而，之前时有发生的状况跟美国、英国等比起来，还是小巫见大巫。但上述两个数据意味着，中国正在成为网络欺诈者的攻击目标和攻击发起地，值得引起重视。

以下是《RSA网络欺诈报告》8月月报的正文。

RSA网络欺诈报告

2009年8月

来自RSA®反欺诈指挥中心的情报月报

在线犯罪是不断进化发展的，行骗者不加区别地攻击任何组织或个人。在线攻击涉及网络钓鱼（网页欺诈）、域名劫持和特洛伊木马，代表着全世界范围内最有组织化、最高深复杂的技术犯罪潮流之一。网络罪犯每日每夜的工作窃取个人网络身份、在线凭证、信用卡信息，或他们能够有效转化为金钱的其它任何信息。他们针对所有领域的组织，以及在工作场所或在家使用互联网的任何个人。

这些网络罪犯也有供他们使用的新型工具，能够利用先进的犯罪软件比以前更加快速的适应新环境；根据偷窃机制进行快速的部署。他们的供应链已经进化到能够与合法的商业世界相匹敌，包括能够提供RSA首称的"欺诈服务"。

这份情报月报由来自RSA反欺诈指挥中心的富有经验的反欺诈分析师组成的团队所创建。它每月的精彩内容源自对网络欺诈世界的敏锐洞察，以及来自RSA网络钓鱼知识宝库的统计数据和相关分析。

一、宙斯(Zeus)特洛伊木马利用IM即时通讯软件转发偷到的在线账户数据

在对过去3个月内数个宙斯特洛伊木马攻击进行调查的期间，RSA FraudAction研究实验室发现并跟踪到一个新型的在线攻击方式，罪犯能采用这种方法快速的利用被盗用的网络帐号。

RSA对数个宙斯特洛伊木马变种的研究发现一些网络罪犯已经开始利用Jabber即时聊天软件（IM）的开放协议，当作一种被盗用的网络身份的快速提交机制。他们利用Jabber软件，一旦从被宙斯特洛伊木马感染的机器上收集到信息，被窃取的信息就能立即发送给这些特别的行骗者（注意：这种行骗者利用Jabber软件所生成的新型行骗手法和合法在线用户对Jabber软件的任何使用之间并没有直接关系。）

Jabber IM模块已经植入这些特别的特洛伊木马，并经过配置能从宙斯特洛伊木马的"卸货"（drop）服务器数据库中提取到所窃的用户网络帐号 -而无论网络罪犯身处何方，随后立即将那些帐号发送给他。

然而，留在断线服务器中所窃的帐号没必要实时发送给网络罪犯。罪犯可能呆在世界的另一个地区，或者可能不与服务器24×7全天候连接在一起。

因此，罪犯正在将他们所收集到的帐号立即利用Jabber IM自动转发并接收所窃的帐号。在这种情况下，网络罪犯利用2个Jabber账号，一个用以从卸货服务器数据库中发送选定的被盗用的用户网络帐户，另一个用来接收那些帐户信息。

RSA FraudAction研究实验室发现每一个Jabber IM模块都经过配置以执行不同系列的活动并按照罪犯的个人喜好进行重大的"定制化"。一个典型的宙斯特洛伊木马卸货服务器能保留所窃信息，这些信息都属于被特洛伊木马所感染电脑的用户，而且这些用户是由许多金融机构以及其它目标组织的客户组成。

RSA追踪到的第一个Jabber模块经过配置能从美国本土的单个金融机构中抽取被盗用的网络用户帐号，表示它是一种有针对性的宙斯特洛伊木马攻击。在另外一个案例中，一种有着Jabber模块的宙斯特洛伊木马被罪犯用于发送来自5个不同金融机构被盗用的网络用户帐号(请参加图1)。RSA也发现这种特殊的特洛伊木马也经过特别配置，能够通过电子邮件转发所窃的用户帐号。

图 1 宙斯特洛伊木马的Jabber发出通知，有一位受害者试图登录到特定实体

根据利用Jabber IM提交所窃在线帐号的方式，其事件流程如下所示：

1.宙斯特洛伊木马一个变种通过一位特洛伊木马操纵者（他是一种在线行骗者，在网络欺诈供应链中扮演一个关键的角色）发动的在线攻击从而感染了合法用户的电脑。

2.这些操纵者将窃取的帐号密码信息发送到宙斯特洛伊木马操纵者的卸货服务器中。

3.Jabber IM模块能在特定组织（通常是金融机构）的卸货服务器数据库中搜寻到属于用户的账户信息。

4.Jabber IM模块将这种特定账户信心通过一个Jabber"发送方"账户来进行传送。

5.罪犯能快速收到通过Jabber"接收方"账户获得的所窃用户帐号。

6.特洛伊木马操纵者现在可以占据被盗用的用户帐号，这可以使得他能够登录账户并执行欺诈性转账。在一些情况下，转账需要合法用户产生的数据，例如一次性密码，就被网络罪犯实时利用。

利用即时聊天应用软件来接收新收集到被盗用账户的通知或者客户登录尝试的通知，这不是一个新型的网络犯罪手段。举例而言，早就在2008年，已经知道Sinowal 病毒组织采用了一个Jabber模块。Sinowal木马病毒背后的罪犯就利用Jabber即时聊天软件接收新收集到网络帐户的实时通知，以及被感染的用户尝试登录的实时通知(请参加图2)。实时通知使得Sinowal的操作员能够使用网上银行帐号，接着就能利用该犯罪组织活动的网络会话中完全交易。

图2 Jabber通知Sinowal网上欺诈组织，有关一个受害者尝试登录到被入侵的电脑及其网络账户的情况

二、7月网络钓鱼式攻击趋势分析

7月份新增的攻击数量与6月份相比只增加了1.5%，但仍然是12个月来的高峰。在上个月标准的网络钓鱼式攻击下降5%的同时，快速通量（fast-flux）攻击上升了7%。快速通量攻击数量现在已经连续3个月都超过了标准的网络钓鱼式攻击；这种趋势也反映在托管方式统计数据中。

资料来源： RSA反欺诈指挥中心

三、托管方式的攻击分布趋势分析

7月份快速通量攻击的数量上升5%，与此有相关性的是，托管在快速通量网络上的攻击比例在上个月从56%攀升到61%。托管在被劫持的网站上的网络钓鱼攻击从26%下降到25%，其商业托管比例不变为8%。托管在被劫持电脑上的攻击从7%下降到3%，而免费网络托管保持稳定，为3%。
资料来源： RSA反欺诈指挥中心

几种托管方式：

-快速通量网络生成高级的域名解析服务(DNS)技巧，能利用一个被入侵电脑组成的网络，即所称的僵尸网络，来托管并提供网络钓鱼和恶意软件网站。被入侵的电脑临时充当受害者和网站之间的代理服务器或中间人。很难揭露并击退快速通量网络，因为提供网络钓鱼和恶意软件网站的内容服务器隐藏在一群被入侵的电脑背后，其地址极其快速的变更以躲避侦测。

-被劫持的网站都是那些行骗者将他们的非法内容托管在合法网站的网络子域中，避开登记他们自己的域来进行网络钓鱼攻击。

-商业托管涉及到行骗者将他们的恶意网站通过缴费的形式托管给其它行骗者。

-被劫持的电脑由被入侵的电脑构成，其IP地址被分配成一个特定的网络钓鱼域。

-免费托管指的是利用免费托管服务来展开攻击。

四、受攻击品牌的总数趋势分析

在整个7月份，网络钓鱼攻击的数量略微增加，而受攻击的品牌数量下降了9%，有10个实体遭受他们首次的网络钓鱼攻击。整个7月，有104个品牌遭到低于5次的攻击，其比例相当于55%，标志着从6月份所报告的63%已有大的降低。

这些数字表示即使在7月份受到攻击的品牌数量减少，但与6月相比，他们遭受更多攻击数量的比例增多。这些数字也可归因于"岩石网络钓鱼组织"（Rock Phish Gang），包含大部分的快速通量攻击。岩石网络钓鱼组织据称已经发起了许多有针对性的攻击少量品牌的行动。

五、美国境内受攻击的金融机构细分情况趋势分析

在7月份，每个美国银行领域受攻击的银行数量和6月相比保持稳定。7月份唯一的变化就是美国地区银行的比例上升了1个百分点，而美国联邦信贷协会比例下降1个百分点。与6月相比，美国全国银行保持同一个受攻击比例。

六、托管网络钓鱼攻击的前十位国家趋势分析

在7月份，在美国被托管的攻击比例 – 按照美国在前十位国家中的比例 – 几乎下降了30%到42%。相反，意大利的比例却上升了5%，托管了26%的前十位国家中攻击量，英国在2个月缺榜之后重新出现在托管国家榜单中，为9%，德国以8%紧随其后。在这些托管比例最高的四个国家中全部都有岩石网络钓鱼攻击的登记记录。除了英国以外，墨西哥和中国也是本月的新来者，而澳大利亚和比利时完全跌落。

在去年整年内，总是占据网络钓鱼攻击最多托管的国家为美国、英国、德国、法国、俄罗斯和韩国。

七、攻击数量排名前十位的国家趋势分析

在7月份，前十个受攻击最多的国家其遭受攻击的比例类似于6月的比例。美国和英国在过去的8个月一直保持同样的领先地位，而意大利取代澳大利亚成为遭受最多攻击第三位的国家。7月榜单中唯一的大变化是中国的加入及爱尔兰跌落出榜单。

在去年整年内，总是遭受最大比例攻击的5个国家在美国、英国、意大利、加拿大和南非。

八、受攻击品牌前十位国家趋势分析

7月份关于成为攻击目标的品牌数量其数字与6月数字保持类似：美国和英国继续维持其几近永久的第一和第二的领导性地位，而加拿大和澳大利亚各自交换着第三和第四位。从第5位到第10位的国家其比例不超过1个百分点，除了名单上新增的两个国家爱尔兰和迪拜，将巴西和瑞士挤出了前十名榜单。迪拜在饼图中的出现，标志着其首次登上网络钓鱼统计数据前十名榜单。

未经允许不得转载：DOIT » RSA警示：网络欺诈正在中国萌芽