报告总览
来自RSA反网络欺诈指挥中心的《RSA网络欺诈报告》10月月报显示,9 月份“浏览器中间人(man-in-the-browser, MITB)”攻击成为全球最新网络威胁,数量不断增长,特别突出的是那些密集部署了双因素认证解决方案的地区,如欧洲消费者银行和美国企业银行市场。
“浏览器中间人攻击”劫取、操纵用户和网络应用之间的安全通道上传送的数据。他们在用户的浏览器应用上嵌入一个木马程序,当用户访问特定的网站——如网上银行网站时,该木马程序就会触发。也就是说,浏览器中间人木马等待合法用户发起交易,随后实时操控收款人(有时是金额)信息,将资金转移到骡子帐户中。在受到浏览器中间人攻击时,用户对于自己所发起的交易,甚至不可能注意到有任何不对之处。
该报告还显示,作为一种攻击向量,浏览器攻击在去年已经经历了指数级的增长,木马感染在过去12个月内增加了10倍。在“托管网络钓鱼攻击最多的前十位国家”的趋势分析中,与上月相比,中国比例升到5%,位于第六位。
以下是报告正文:
《RSA在线欺诈报告》2009年10月RSA反网络欺诈指挥中心月度情报报告
网络犯罪活动在不断地演变。这些网络罪犯能够更迅速的采用先进的犯罪软件,利用秘密行动机制快速地部署。浏览器中间人木马是网络欺诈自然演变的其中一部分。在引入双因素认证之前,网络犯罪分子可以通过无需干预用户网络活动或交易的网络钓鱼攻击或标准木马收集信息,以实施欺诈活动。由于用户防范意识和网络安全机制的不断强健,欺诈者只能升级他们的工具以克服双因素认证给他们造成的障碍。
这份月度情报报告由RSA反网络欺诈指挥中心中具有丰富经验的欺诈分析师团队创建,利用对网络欺诈领域的敏锐见解,统计数据和来自RSA网络钓鱼知识库统的相关分析,对9月份网络欺诈的最新情况做出的趋势分析。
“浏览器中间人”的最新威胁
RSA在2008年已经注意到了浏览器中间人攻击的数量在不断增长,特别是那些密集部署了双因素认证解决方案的地区,如欧洲消费者银行和美国企业银行市场。
浏览器中间人攻击是为了劫取并操作在用户和网络应用之间的安全通信上传送的数据。在用户的浏览器应用上嵌入了一个木马程序,并且该木马设计成当用户访问特定的网站——如网上银行网站时就会触发。在这种情况下,浏览器中间人木马等待合法用户发起交易,并随后实时操控收款人(有时是金额)信息,以试图将资金转移到骡子帐户中。在受到浏览器中间人攻击时,用户对于自己所发起的交易,甚至不可能注意到有任何不对的地方。
现在大量的木马被欺诈者所使用以实施浏览器中间人攻击,包括Zeus、Adrenaline、Sinowal和Silent Bankers。有些浏览器中间人木马非常的先进,它们简化了实施欺诈的流程,能够完全自动地执行从感染到套现的整个流程。现在,其他浏览器中间人木马所提供的功能还包括:
* HTML注入以显示社会工程化网页
* 实时地将木马与骡子帐户数据库相结合,以帮助转移资金
* 绕过包括CAP EMV、交易签名、iTAN和一次性密码认证1在内的各种双因素认证系统的能力。对于浏览器中间人攻击,基于时间的一次性密码要比基于事件的一次性密码更为安全些,因为基于时间的解决方案出现窗口的机会通常少于一分钟。
从服务器端难以检测浏览器中间人攻击的原因是由于任何执行的活动看起来都好像源自合法用户的web浏览器。诸如Windows语言、用户代理字符串以及IP地址等特征值与用户的真实数据看起来一模一样。这给区分真实交易和恶意交易带来了巨大的挑战。
全球被检测到的地区
浏览器中间人并不只局限于一个区域或地域;它是一种全球性的威胁,对世界上所有地区都造成了影响。那些密集部署了大量双因素认证解决方案的地区尤为如此,因为浏览器中间人对犯罪分子来说,是其中一种能成功绕过双因素认证的最有效工具。如今,多数浏览器中间人攻击在以下地区被检测到并予以了报告:
* 英国遭到的由一种称为PSP2-BBB的全新木马和其他木马所发起的浏览器中间人攻击的数量在不断增加,在英国,许多银行都部署了EMV-CAP协议。
* 一些欧洲国家如荷兰、西班牙、法国、德国和波兰在前几年部署了双因素认证解决方案,因此在最近的12个月中,浏览器中间人攻击的数量得到了增长。
* 美国的金融机构也遭到了攻击,但威胁主要局限在商业银行或具有高净值的客户。因为在美国,一次性密码认证在消费者银行的用户中并不是很普遍,因此这个地区遭受浏览器中间人攻击的用户数量要远远少于欧洲的消费者银行客户。
* 澳大利亚、亚洲和拉丁美洲的金融机构在不断为他们网上银行用户推进双因素认证解决方案的部署,因此这个地区的用户遭受到浏览器中间人攻击的数量也在不断增长。
网友评论