網(wǎng)絡(luò)悍匪劫持巴西網(wǎng)銀長(zhǎng)達(dá)5小時(shí)，數(shù)百萬(wàn)用戶中招

傳統(tǒng)的網(wǎng)上銀行劫持和現(xiàn)實(shí)中的銀行搶劫并沒(méi)有多大的區(qū)別。匪徒闖進(jìn)銀行，搶走財(cái)物，再離開(kāi)銀行。但是，就是有這樣一個(gè)黑客組織不走尋常路，他們劫持了一家巴西銀行的DNS并將所有的網(wǎng)上銀行業(yè)務(wù)指向偽造的頁(yè)面，從中獲取受害者的信用卡信息。

2016年10月22日，這伙犯罪分子在3個(gè)月的精心準(zhǔn)備之下，成功控制一家巴西銀行所有業(yè)務(wù)長(zhǎng)達(dá)5個(gè)小時(shí)。該銀行的36個(gè)域名，企業(yè)郵箱和DNS全體淪陷。這家建立于20世紀(jì)早期的銀行在巴西、美國(guó)、阿根廷和大開(kāi)曼擁有500個(gè)分行 ，總計(jì)擁有500萬(wàn)用戶和250億美元資產(chǎn)。

卡巴斯基實(shí)驗(yàn)室的研究人員 Fabio Assolini 和 Dmitry Bestuzhev 發(fā)現(xiàn)，這伙網(wǎng)絡(luò)犯罪分子已經(jīng)將同樣的手段炮制到全球范圍內(nèi)的另九家銀行，但他們并未透露是哪家銀行遭遇了攻擊。

在研究初期，此次攻擊看上去就是普通的網(wǎng)站劫持，但是兩位研究者發(fā)現(xiàn)事情并沒(méi)有這么簡(jiǎn)單。他們認(rèn)為犯罪分子使用的攻擊很復(fù)雜，并不只是單純的釣魚(yú)。攻擊者用上了有效的SSL數(shù)據(jù)證書(shū)，并且還用Google Cloud來(lái)提供欺詐銀行服務(wù)支持。

攻擊的5小時(shí)里發(fā)生了什么事情？

10月22日下午1時(shí)，巴西的一家銀行網(wǎng)站受到攻擊，持續(xù)了5個(gè)小時(shí)。黑客入侵銀行站點(diǎn)的方式是：控制這家銀行的DNS賬戶，這樣就能將客戶導(dǎo)向欺詐網(wǎng)站了。研究人員表示，黑客入侵了這家銀行的DNS提供商Registro.br。但黑客具體是怎么做到的，目前還不清楚。

DNS提供商Registro.br今年1月份的時(shí)候曾修復(fù)過(guò)一個(gè)CSRF漏洞，研究人員認(rèn)為攻擊者可能利用了這一漏洞——但也可能是采用向該提供商發(fā)送魚(yú)叉式釣魚(yú)郵件來(lái)滲透。

Bestuzhev說(shuō)：

每一個(gè)訪問(wèn)該銀行網(wǎng)站的人都會(huì)獲得一個(gè)內(nèi)含JAR文件的插件，而犯罪分子早已掌握了網(wǎng)站索引文件的控制權(quán)。他們可以利用iframe框架將用戶重定向到一個(gè)提前設(shè)好惡意軟件的網(wǎng)站。

黑客甚至可能將自動(dòng)柜員機(jī)ATM或銷售點(diǎn)系統(tǒng)的所有交易重定向到自己的服務(wù)器，收集那個(gè)周六下午受害者們使用信用卡的詳細(xì)信息。在這5小時(shí)的時(shí)間里，仿冒網(wǎng)站會(huì)向所有訪問(wèn)者提供惡意軟件，可能有數(shù)萬(wàn)甚至上百萬(wàn)全球范圍內(nèi)的用戶受到了這種攻擊。該惡意軟件是一個(gè)隱藏在.zip文件中的JAVA文件，偽裝成了銀行安全插件應(yīng)用Trusteer，加載在索引文件中。這款惡意程序的作用是禁用受害者電腦中的安全產(chǎn)品，而且還能竊取登錄憑證、郵箱聯(lián)系人列表、郵件和FTP身份憑證。

研究員在對(duì)惡意軟件的排查中發(fā)現(xiàn)了8個(gè)模塊，其中包括銀行URL的配置文件、更新模塊、用于Microsoft Exchange，Thunderbird以及本地通訊錄的憑證竊取模塊、網(wǎng)上銀行控制和解密模塊。據(jù)研究員稱所有的模塊都指向加拿大的一個(gè)C&C服務(wù)器。

這些模塊中有一個(gè)叫做Avenger（復(fù)仇者）的模塊，通常是用于刪除rootkit的合法滲透測(cè)試工具。但在這次攻擊中，它被用于刪除運(yùn)行在受損計(jì)算機(jī)上的安全產(chǎn)品，通過(guò)Avenger，研究員斷定全球范圍內(nèi)還有9家銀行受到了相同手法的攻擊。這些金融機(jī)構(gòu)可能是來(lái)自巴西、美國(guó)、英國(guó)、日本、葡萄牙、意大利、中國(guó)、阿根廷與開(kāi)曼群島等國(guó)家地區(qū)。

釣魚(yú)成功率極高

此外，在這5個(gè)小時(shí)的時(shí)間內(nèi)，據(jù)說(shuō)還有一些特定的銀行客戶收到了釣魚(yú)郵件。隨著研究的深入，研究員發(fā)現(xiàn)，當(dāng)時(shí)銀行的主頁(yè)展示了Let’s Encrypt（一家免費(fèi)的憑證管理中心）頒發(fā)的有效SSL證書(shū)——這其實(shí)也是現(xiàn)在很多釣魚(yú)網(wǎng)站會(huì)用的方案，前一陣FreeBuf安全快訊還談到，過(guò)去幾個(gè)月內(nèi)，Let’s Encrypt就頒發(fā)了上千份包含PayPal字符的SSL證書(shū)。

在本次事件中，這家銀行的36個(gè)域名全部都被攻擊者控制，包括線上、移動(dòng)、銷售點(diǎn)、融資和并購(gòu)等功能的域名。除此之外，攻擊者還控制了企業(yè)郵箱設(shè)施，為了防止銀行方面通知受攻擊用戶、注冊(cè)主管和DNS供應(yīng)商，攻擊者關(guān)閉了郵箱服務(wù)。值得一提的是，另外巴西銀行沒(méi)有啟用Registro.br的雙重認(rèn)證方案。這五小時(shí)內(nèi)的釣魚(yú)成功率是可想而知的。

這伙犯罪分子想要利用這次機(jī)會(huì)劫持原有的銀行業(yè)務(wù)，同時(shí)可以利用軟件從他國(guó)銀行盜取資金。

研究人員在銀行域名中加載了釣魚(yú)頁(yè)面，這些釣魚(yú)網(wǎng)頁(yè)會(huì)誘導(dǎo)受害者輸入信用卡信息。

其實(shí)，針對(duì)該巴西銀行的陰謀早在Let’s Encrypt注冊(cè)成立的五個(gè)月之前就已經(jīng)開(kāi)始醞釀（所以Let’s Encrypt順理成章成為不錯(cuò)的選擇）。研究員還發(fā)現(xiàn)，攻擊者曾用巴西注冊(cè)主管的名義向該銀行傳播釣魚(yú)郵件。這很有可能是攻擊者用來(lái)運(yùn)行銀行DNS設(shè)置的渠道; 憑借這一點(diǎn)他們就能將銀行所有的流量全部重定向到他們的服務(wù)器。

研究員稱這是他們第一次觀察到如此大規(guī)模的攻擊。

假想一下，如果一名員工被釣魚(yú)成功，攻擊者就可以訪問(wèn)DNS表，一旦DNS受犯罪分子控制，那么后果不堪設(shè)想。研究人員強(qiáng)調(diào)，確保DNS基礎(chǔ)架構(gòu)的重要性，以及應(yīng)當(dāng)采用大多數(shù)注冊(cè)商所提供的安全功能（如雙重認(rèn)證）。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。