RSA网络欺诈报告显示,一种新的网络钓鱼攻击形式正在流行。
新型网络钓鱼攻击
然而,这种攻击却用一种新的、先进的技术继续获取受害人的其他信息——而不是重定向到网络钓鱼工具包或真正网站的下一个页面,作为攻击的一部分,由欺诈者启动出现虚假的实时聊天支持窗口。
图2 虚假实时聊天窗口:中间聊天网络钓鱼攻击的第二阶段
通过社会工程,欺诈者试图在实时聊天平台上获取受害者的进一步信息。欺诈者假装是银行欺诈部门的代表,声称银行“现在需要每名会员验证他们的帐户”。欺诈者随后就可以收集其他用户相关的信息——姓名,电话号码和电子邮件地址。这些详细信息能使欺诈者方便地对该用户的账号实施网络或电话欺诈,并可能就如在聊天窗口中所说的,在随后的阶段用来联系客户。
在这个网络钓鱼攻击工具包内的实时聊天窗口看起来在不断的变化。我们所追踪到的同一工具包的其他版本在聊天窗口以及欺诈者和网络钓鱼受害者之间的交互聊天中显示了不同的文本信息(见图3)。
图3 虚假实时聊天窗口:相同中间聊天攻击的另一个版本
(要着重指出的是,实时聊天窗口是由欺诈者启动的,跟安装在受害者计算机上的不管何种即时消息(IM)应用程序绝对没有任何关系。该攻击不是通过即时消息而是通过正常的网络钓鱼网站发起的,IM应用程序并不是攻击目标。)
还是Jabber即时消息
在欺诈者通过虚假的实施聊天窗口与受害者聊天时,聊天消息通过一个安装在欺诈者计算机上的Jabber模块在后台进行处理。Jabber是一种开放源码的即时消息(IM)协议,最近被用来实时接收所窃取的凭证而在欺诈之中大行其道。正如RSA以前所报告的,Jabber正被欺诈者用来将被感染计算机上所窃取的凭证实时地从宙斯木马下拉服务器转发给木马操纵者。而基于浏览器的聊天窗口不需要受害者在他们的计算机上安装Jabber或即时消息应用程序,Jabber被欺诈者用来在后端管理一对一的聊天。
实时聊天的策略也确保了被感染信息能实时地交付给欺诈者——这是那些需要实时访问受害者帐户的攻击场景的必要特征。尽管该攻击正在调查之中,但RSA目前还没有信息表明,隐藏在中间聊天攻击背后的欺诈者在使用受害者的被盗凭证登录被感染帐户。
尽管目前为止RSA只发现了一个这种攻击的实例,我们建议用户凭证已经成为攻击目标的所有网上银行网站和其它网站的经营者需要格外的警惕。这包括,但不仅限于,告知顾客要注意不正常的在线聊天活动,并提醒他们,他们的银行和其他大多数网站永远不会要求他们透露其用户名/密码或质询/回答问题的相关信息。
网友评论