"瀏覽器中間人攻擊"劫取、操縱用戶和網(wǎng)絡(luò)應(yīng)用之間的安全通道上傳送的數(shù)據(jù)。他們在用戶的瀏覽器應(yīng)用上嵌入一個木馬程序，當(dāng)用戶訪問特定的網(wǎng)站–如網(wǎng)上銀行網(wǎng)站時，該木馬程序就會觸發(fā)。也就是說，瀏覽器中間人木馬等待合法用戶發(fā)起交易，隨后實時操控收款人（有時是金額）信息，將資金轉(zhuǎn)移到騾子帳戶中。在受到瀏覽器中間人攻擊時，用戶對于自己所發(fā)起的交易，甚至不可能注意到有任何不對之處。

該報告還顯示，作為一種攻擊向量，瀏覽器攻擊在去年已經(jīng)經(jīng)歷了指數(shù)級的增長，木馬感染在過去12個月內(nèi)增加了10倍。在"托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家"的趨勢分析中，與上月相比，中國比例升到5%，位于第六位。

以下是報告正文：

《RSA在線欺詐報告》

2009年10月

RSA反網(wǎng)絡(luò)欺詐指揮中心月度情報報告

網(wǎng)絡(luò)犯罪活動在不斷地演變。這些網(wǎng)絡(luò)罪犯能夠更迅速的采用先進的犯罪軟件，利用秘密行動機制快速地部署。瀏覽器中間人木馬是網(wǎng)絡(luò)欺詐自然演變的其中一部分。在引入雙因素認(rèn)證之前，網(wǎng)絡(luò)犯罪分子可以通過無需干預(yù)用戶網(wǎng)絡(luò)活動或交易的網(wǎng)絡(luò)釣魚攻擊或標(biāo)準(zhǔn)木馬收集信息，以實施欺詐活動。由于用戶防范意識和網(wǎng)絡(luò)安全機制的不斷強健，欺詐者只能升級他們的工具以克服雙因素認(rèn)證給他們造成的障礙。

這份月度情報報告由RSA反網(wǎng)絡(luò)欺詐指揮中心中具有豐富經(jīng)驗的欺詐分析師團隊創(chuàng)建，利用對網(wǎng)絡(luò)欺詐領(lǐng)域的敏銳見解，統(tǒng)計數(shù)據(jù)和來自RSA網(wǎng)絡(luò)釣魚知識庫統(tǒng)的相關(guān)分析，對9月份網(wǎng)絡(luò)欺詐的最新情況做出的趨勢分析。

"瀏覽器中間人"的最新威脅

RSA在2008年已經(jīng)注意到了瀏覽器中間人攻擊的數(shù)量在不斷增長，特別是那些密集部署了雙因素認(rèn)證解決方案的地區(qū)，如歐洲消費者銀行和美國企業(yè)銀行市場。

瀏覽器中間人攻擊是為了劫取并操作在用戶和網(wǎng)絡(luò)應(yīng)用之間的安全通信上傳送的數(shù)據(jù)。在用戶的瀏覽器應(yīng)用上嵌入了一個木馬程序，并且該木馬設(shè)計成當(dāng)用戶訪問特定的網(wǎng)站–如網(wǎng)上銀行網(wǎng)站時就會觸發(fā)。在這種情況下，瀏覽器中間人木馬等待合法用戶發(fā)起交易，并隨后實時操控收款人（有時是金額）信息，以試圖將資金轉(zhuǎn)移到騾子帳戶中。在受到瀏覽器中間人攻擊時，用戶對于自己所發(fā)起的交易，甚至不可能注意到有任何不對的地方。

現(xiàn)在大量的木馬被欺詐者所使用以實施瀏覽器中間人攻擊，包括Zeus、Adrenaline、Sinowal和Silent Bankers。有些瀏覽器中間人木馬非常的先進，它們簡化了實施欺詐的流程，能夠完全自動地執(zhí)行從感染到套現(xiàn)的整個流程?，F(xiàn)在，其他瀏覽器中間人木馬所提供的功能還包括：

HTML注入以顯示社會工程化網(wǎng)頁

實時地將木馬與騾子帳戶數(shù)據(jù)庫相結(jié)合，以幫助轉(zhuǎn)移資金

繞過包括CAP EMV、交易簽名、iTAN和一次性密碼認(rèn)證1在內(nèi)的各種雙因素認(rèn)證系統(tǒng)的能力。對于瀏覽器中間人攻擊，基于時間的一次性密碼要比基于事件的一次性密碼更為安全些，因為基于時間的解決方案出現(xiàn)窗口的機會通常少于一分鐘。

從服務(wù)器端難以檢測瀏覽器中間人攻擊的原因是由于任何執(zhí)行的活動看起來都好像源自合法用戶的web瀏覽器。諸如Windows語言、用戶代理字符串以及IP地址等特征值與用戶的真實數(shù)據(jù)看起來一模一樣。這給區(qū)分真實交易和惡意交易帶來了巨大的挑戰(zhàn)。

全球被檢測到的地區(qū)

瀏覽器中間人并不只局限于一個區(qū)域或地域；它是一種全球性的威脅，對世界上所有地區(qū)都造成了影響。那些密集部署了大量雙因素認(rèn)證解決方案的地區(qū)尤為如此，因為瀏覽器中間人對犯罪分子來說，是其中一種能成功繞過雙因素認(rèn)證的最有效工具。如今，多數(shù)瀏覽器中間人攻擊在以下地區(qū)被檢測到并予以了報告：

英國遭到的由一種稱為PSP2-BBB的全新木馬和其他木馬所發(fā)起的瀏覽器中間人攻擊的數(shù)量在不斷增加，在英國，許多銀行都部署了EMV-CAP協(xié)議。

一些歐洲國家如荷蘭、西班牙、法國、德國和波蘭在前幾年部署了雙因素認(rèn)證解決方案，因此在最近的12個月中，瀏覽器中間人攻擊的數(shù)量得到了增長。

美國的金融機構(gòu)也遭到了攻擊，但威脅主要局限在商業(yè)銀行或具有高凈值的客戶。因為在美國，一次性密碼認(rèn)證在消費者銀行的用戶中并不是很普遍，因此這個地區(qū)遭受瀏覽器中間人攻擊的用戶數(shù)量要遠(yuǎn)遠(yuǎn)少于歐洲的消費者銀行客戶。

澳大利亞、亞洲和拉丁美洲的金融機構(gòu)在不斷為他們網(wǎng)上銀行用戶推進雙因素認(rèn)證解決方案的部署，因此這個地區(qū)的用戶遭受到瀏覽器中間人攻擊的數(shù)量也在不斷增長。

作為一種攻擊向量，瀏覽器攻擊在去年已經(jīng)經(jīng)歷了指數(shù)級的增長。RSA見證了木馬感染在過去的12個月內(nèi)增加了10倍–這個結(jié)果也得到了其他行業(yè)觀察和報告的支持，熊貓實驗室報告稱，在2008年上半年和2008年下半年之間，瀏覽器中間人感染率增長了8倍。這種增長部分是由于"下載驅(qū)動"（指在未經(jīng)用戶同意或用戶不知曉的情況下，一個程序就自動下載到了用戶的計算機上。這種程序的下載甚至在只是訪問網(wǎng)站或查看電子郵件的時候就會發(fā)生。）感染數(shù)量的不斷增長所致，"下載驅(qū)動"感染往往是由于合法網(wǎng)站的漏洞被僵尸網(wǎng)絡(luò)和感染工具所利用，而在被侵害網(wǎng)站上放置了iFrame。從而將公眾流量傳播到感染點，試圖將木馬下載到每個訪問者的計算機上。其中一個很好的例子就是保羅-麥卡特尼歌迷網(wǎng)站的侵害（參見圖2）。在2009年4月，該網(wǎng)站被黑掉了兩天，所有訪問者都成為一種危險的金融惡意軟件的受害者。

另一種效率極高的感染方法就是利用流行事件或關(guān)注話題將流量誘導(dǎo)至被感染網(wǎng)站。RSA發(fā)現(xiàn)并關(guān)閉了一個此類網(wǎng)站，它通過垃圾電子郵件攻擊誘騙人們訪問一個看起來很像CNN.com的虛假網(wǎng)站。虛假網(wǎng)頁含有一個看起來像合法視頻的鏈接。當(dāng)訪問者點擊連接查看這個視頻時，他們就會接收到一條錯誤消息，提示他們需要安裝Adobe Flash Player 10，但實際上卻會被一個木馬所感染。

最后，社交網(wǎng)站的極度流行以及參與到社交活動的龐大用戶數(shù)量同樣也是木馬攻擊不斷增加的原因之一。極其旺盛的人氣以及這些網(wǎng)站的全球可達(dá)性也使它們成為被欺詐者利用的主要目標(biāo)。今天，接近20%的網(wǎng)絡(luò)攻擊都是針社交網(wǎng)站（Breach安全實驗室，"網(wǎng)絡(luò)黑客事件數(shù)據(jù)庫（WHID）2009雙年度報告）。

"瀏覽器中間人"調(diào)查結(jié)論

根據(jù)對木馬威脅，特別是"瀏覽器中間人"廣泛深入的調(diào)查，我們可以得出以下幾個結(jié)論：

登錄保護不足以阻止瀏覽器中間人攻擊。即使在真正的用戶登錄帳戶后，木馬也可以在用戶登錄后接管web流量。交易保護，或?qū)Φ卿浐蟮目梢苫顒舆M行監(jiān)控和識別是扭轉(zhuǎn)瀏覽器中間人攻擊所造成的威脅所必須的。相比于登錄到一個賬戶的動作，交易通常需要更多的詳細(xì)審查，同時也具有更多的風(fēng)險。例如，一個未經(jīng)授權(quán)的用戶可能可以安全地登錄訪問一個賬戶，但一旦試圖執(zhí)行交易，將會是極其危險的事，如將帳戶內(nèi)的資金轉(zhuǎn)出去。交易保護解決方案就能恰當(dāng)?shù)慕鉀Q這些活動帶來的問題。

由于一些木馬使用HTML注入來請求憑證以通過進一步的

認(rèn)證，帶外認(rèn)證對瀏覽器中間人來說更具彈性，因為它繞開了在線認(rèn)證渠道。

情報信息是消除戰(zhàn)略中的一個主要部分。欺詐者使用復(fù)雜的更新和感染點，以及下拉區(qū)的通信系統(tǒng)，以傳播他們的木馬并收集被侵害的憑證。自2009年1月以來，RSA已經(jīng)處理的木馬通信資源增長了3倍多。同樣，騾子帳戶在套現(xiàn)過程中發(fā)揮著日益重要的作用。能夠充分利用這些信息，特別是曝光木馬的通信渠道和他們所使用的騾子帳戶，對于開發(fā)一個完整的解決方案來說至關(guān)重要。

每月網(wǎng)絡(luò)釣魚攻擊趨勢分析

9月份的統(tǒng)計數(shù)據(jù)又一次打破了紀(jì)錄，網(wǎng)絡(luò)釣魚攻擊增加了7%，達(dá)到創(chuàng)紀(jì)錄的17365起。與8月相比，網(wǎng)絡(luò)釣魚攻擊數(shù)量的飆升歸因于標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊44%的大幅增長。同時，主要由Rock網(wǎng)絡(luò)釣魚團伙發(fā)起的快速通量攻擊則減少了13%。

盡管標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚攻擊在數(shù)量上有了增長，但9月份仍然延續(xù)了快速通量攻擊在數(shù)量上連續(xù)5個月超過通過其他諸如被劫持網(wǎng)站，被劫持個人電腦，免費或商業(yè)托管服務(wù)等方法托管的攻擊的趨勢。

與上月發(fā)起的快速通量攻擊下降13%的事實相應(yīng)證（主要由Rock網(wǎng)絡(luò)釣魚團伙發(fā)起），將快速通量網(wǎng)絡(luò)作為托管方法的攻擊從上個月的73%減少到了62%，也下降了13%。托管在劫持網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊從18%增加到了22%，而托管在商業(yè)網(wǎng)站托管服務(wù)的攻擊同樣從4%上升到10%。被劫持計算機占據(jù)了網(wǎng)絡(luò)釣魚攻擊總數(shù)的3%，這一數(shù)據(jù)與上月相同，而托管在免費網(wǎng)站托管服務(wù)上的攻擊卻從2%增加到了3%。

9月份作為攻擊目標(biāo)的品牌數(shù)量也攀升了11%。就如在8月份，7個實體在上個月第一次遭受到了網(wǎng)絡(luò)釣魚攻擊，整月中遭受攻擊次數(shù)小于5次的共有119個實體，相當(dāng)于總數(shù)的55%。這一比例要低于8月份報告的60%。

這些數(shù)字表明，盡管大多數(shù)品牌遭受的攻擊次數(shù)在5次以下，但與8月份相比，上月遭受攻擊次數(shù)多于5次的品牌卻有了增加。由于Rock網(wǎng)絡(luò)釣魚團伙總是反復(fù)攻擊相同的幾個品牌，因此遭受攻擊品牌數(shù)量的上升，有可能是其他網(wǎng)絡(luò)犯罪分子或網(wǎng)絡(luò)釣魚團伙活的結(jié)果。

美國境內(nèi)遭受攻擊的金融機構(gòu)細(xì)分

在9月份每個美國銀行部門中遭受攻擊的銀行中，地區(qū)性銀行仍然是做為攻擊目標(biāo)最多的部門，比上月上升了7%。針對全國性銀行的攻擊比例增加了4個百分點，創(chuàng)造了四個月來的新高，而針對美國信用合作社的攻擊卻下降了11%。

由于Rock網(wǎng)絡(luò)釣魚域名在諸如意大利、丹麥等國家的注冊，托管網(wǎng)絡(luò)釣魚攻擊數(shù)量最多國家的動態(tài)發(fā)生了變化。盡管美國仍然托管了大部分網(wǎng)絡(luò)釣魚攻擊，但意大利卻從第五位攀升至第二位，它托管了9月份23%的網(wǎng)絡(luò)釣魚攻擊。英國仍然維持在名單中的第三位，而丹麥則從第八位上升至第四位。以色列繼在5月份的短暫亮相后，重新出現(xiàn)在了名單的第五位。在圖表的后五名中，中國和韓國分別位于第六和第七，他們比例的變化不超過2%。加拿大則從上月的第二位下降至第八位，而俄羅斯和法國則進入了9月份的名單中。

上個月，Rock網(wǎng)絡(luò)釣魚團伙的大部分域托管在意大利，丹麥，美國，英國和以色列。

這是自2008年11月以來，英國首次在9月份遭受到了數(shù)量最多的網(wǎng)絡(luò)釣魚攻擊。在英國的攻擊比例上升27%的同時，美國的攻擊數(shù)量下降了26%。除了完全從圖表中消失的西班牙和澳大利亞以外，前十名單中其余國家所遭受攻擊比例的變化都不超過1個百分點。

盡管在9月份發(fā)動的攻擊總數(shù)有了增加，同時作為攻擊目標(biāo)的品牌數(shù)量也在增加，但網(wǎng)絡(luò)釣魚攻擊者普遍都在繼續(xù)攻擊同一批國家的品牌，即美國，英國，加拿大，意大利，西班牙，韓國，南非和澳大利亞。因此，與8月份報告的情況相比鮮有變化。除了完全從圖表中消失的哥倫比亞和法國，以及9月份進入名單的巴西和新西蘭，名單中其他國家遭受攻擊的品牌比例的變化都不超過2%。

yajing