根據(jù)利用Jabber IM提交所竊在線帳號的方式,其事件流程如下所示:
1.宙斯特洛伊木馬一個變種通過一位特洛伊木馬操縱者(他是一種在線行騙者�����,在網(wǎng)絡(luò)欺詐供應(yīng)鏈中扮演一個關(guān)鍵的角色)發(fā)動的在線攻擊從而感染了合法用戶的電腦�����。
2.這些操縱者將竊取的帳號密碼信息發(fā)送到宙斯特洛伊木馬操縱者的卸貨服務(wù)器中����。
3.Jabber IM模塊能在特定組織(通常是金融機(jī)構(gòu))的卸貨服務(wù)器數(shù)據(jù)庫中搜尋到屬于用戶的賬戶信息。
4.Jabber IM模塊將這種特定賬戶信心通過一個Jabber"發(fā)送方"賬戶來進(jìn)行傳送��。
5.罪犯能快速收到通過Jabber"接收方"賬戶獲得的所竊用戶帳號����。
6.特洛伊木馬操縱者現(xiàn)在可以占據(jù)被盜用的用戶帳號�,這可以使得他能夠登錄賬戶并執(zhí)行欺詐性轉(zhuǎn)賬。在一些情況下���,轉(zhuǎn)賬需要合法用戶產(chǎn)生的數(shù)據(jù)����,例如一次性密碼�,就被網(wǎng)絡(luò)罪犯實時利用。
利用即時聊天應(yīng)用軟件來接收新收集到被盜用賬戶的通知或者客戶登錄嘗試的通知��,這不是一個新型的網(wǎng)絡(luò)犯罪手段�。舉例而言,早就在2008年�����,已經(jīng)知道Sinowal 病毒組織采用了一個Jabber模塊�����。Sinowal木馬病毒背后的罪犯就利用Jabber即時聊天軟件接收新收集到網(wǎng)絡(luò)帳戶的實時通知,以及被感染的用戶嘗試登錄的實時通知(請參加圖2)��。實時通知使得Sinowal的操作員能夠使用網(wǎng)上銀行帳號���,接著就能利用該犯罪組織活動的網(wǎng)絡(luò)會話中完全交易�。
圖2 Jabber通知Sinowal網(wǎng)上欺詐組織�,有關(guān)一個受害者嘗試登錄到被入侵的電腦及其網(wǎng)絡(luò)賬戶的情況
二、7月網(wǎng)絡(luò)釣魚式攻擊趨勢分析
7月份新增的攻擊數(shù)量與6月份相比只增加了1.5%��,但仍然是12個月來的高峰����。在上個月標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚式攻擊下降5%的同時,快速通量(fast-flux)攻擊上升了7%�。快速通量攻擊數(shù)量現(xiàn)在已經(jīng)連續(xù)3個月都超過了標(biāo)準(zhǔn)的網(wǎng)絡(luò)釣魚式攻擊���;這種趨勢也反映在托管方式統(tǒng)計數(shù)據(jù)中�����。
資料來源: RSA反欺詐指揮中心
三����、托管方式的攻擊分布趨勢分析
7月份快速通量攻擊的數(shù)量上升5%,與此有相關(guān)性的是�,托管在快速通量網(wǎng)絡(luò)上的攻擊比例在上個月從56%攀升到61%。托管在被劫持的網(wǎng)站上的網(wǎng)絡(luò)釣魚攻擊從26%下降到25%���,其商業(yè)托管比例不變?yōu)?%。托管在被劫持電腦上的攻擊從7%下降到3%��,而免費網(wǎng)絡(luò)托管保持穩(wěn)定���,為3%�����。
資料來源: RSA反欺詐指揮中心
幾種托管方式:
-快速通量網(wǎng)絡(luò)生成高級的域名解析服務(wù)(DNS)技巧��,能利用一個被入侵電腦組成的網(wǎng)絡(luò)��,即所稱的僵尸網(wǎng)絡(luò)���,來托管并提供網(wǎng)絡(luò)釣魚和惡意軟件網(wǎng)站。被入侵的電腦臨時充當(dāng)受害者和網(wǎng)站之間的代理服務(wù)器或中間人。很難揭露并擊退快速通量網(wǎng)絡(luò)�,因為提供網(wǎng)絡(luò)釣魚和惡意軟件網(wǎng)站的內(nèi)容服務(wù)器隱藏在一群被入侵的電腦背后,其地址極其快速的變更以躲避偵測���。
-被劫持的網(wǎng)站都是那些行騙者將他們的非法內(nèi)容托管在合法網(wǎng)站的網(wǎng)絡(luò)子域中��,避開登記他們自己的域來進(jìn)行網(wǎng)絡(luò)釣魚攻擊����。
-商業(yè)托管涉及到行騙者將他們的惡意網(wǎng)站通過繳費的形式托管給其它行騙者��。
-被劫持的電腦由被入侵的電腦構(gòu)成�����,其IP地址被分配成一個特定的網(wǎng)絡(luò)釣魚域�����。
-免費托管指的是利用免費托管服務(wù)來展開攻擊�。
四、受攻擊品牌的總數(shù)趨勢分析
在整個7月份����,網(wǎng)絡(luò)釣魚攻擊的數(shù)量略微增加,而受攻擊的品牌數(shù)量下降了9%,有10個實體遭受他們首次的網(wǎng)絡(luò)釣魚攻擊�����。整個7月�����,有104個品牌遭到低于5次的攻擊���,其比例相當(dāng)于55%�����,標(biāo)志著從6月份所報告的63%已有大的降低。
這些數(shù)字表示即使在7月份受到攻擊的品牌數(shù)量減少�,但與6月相比,他們遭受更多攻擊數(shù)量的比例增多����。這些數(shù)字也可歸因于"巖石網(wǎng)絡(luò)釣魚組織"(Rock Phish Gang),包含大部分的快速通量攻擊�。巖石網(wǎng)絡(luò)釣魚組織據(jù)稱已經(jīng)發(fā)起了許多有針對性的攻擊少量品牌的行動。
五��、美國境內(nèi)受攻擊的金融機(jī)構(gòu)細(xì)分情況趨勢分析
在7月份,每個美國銀行領(lǐng)域受攻擊的銀行數(shù)量和6月相比保持穩(wěn)定�����。7月份唯一的變化就是美國地區(qū)銀行的比例上升了1個百分點����,而美國聯(lián)邦信貸協(xié)會比例下降1個百分點。與6月相比���,美國全國銀行保持同一個受攻擊比例�����。
六�、托管網(wǎng)絡(luò)釣魚攻擊的前十位國家趨勢分析
在7月份��,在美國被托管的攻擊比例 – 按照美國在前十位國家中的比例 – 幾乎下降了30%到42%��。相反�,意大利的比例卻上升了5%,托管了26%的前十位國家中攻擊量���,英國在2個月缺榜之后重新出現(xiàn)在托管國家榜單中�����,為9%���,德國以8%緊隨其后����。在這些托管比例最高的四個國家中全部都有巖石網(wǎng)絡(luò)釣魚攻擊的登記記錄���。除了英國以外�,墨西哥和中國也是本月的新來者�����,而澳大利亞和比利時完全跌落����。
在去年整年內(nèi)����,總是占據(jù)網(wǎng)絡(luò)釣魚攻擊最多托管的國家為美國、英國�、德國����、法國���、俄羅斯和韓國����。
七�����、攻擊數(shù)量排名前十位的國家趨勢分析
在7月份��,前十個受攻擊最多的國家其遭受攻擊的比例類似于6月的比例�����。美國和英國在過去的8個月一直保持同樣的領(lǐng)先地位���,而意大利取代澳大利亞成為遭受最多攻擊第三位的國家����。7月榜單中唯一的大變化是中國的加入及愛爾蘭跌落出榜單���。
在去年整年內(nèi)�����,總是遭受最大比例攻擊的5個國家在美國�、英國、意大利�����、加拿大和南非�����。
八����、受攻擊品牌前十位國家趨勢分析
7月份關(guān)于成為攻擊目標(biāo)的品牌數(shù)量其數(shù)字與6月數(shù)字保持類似:美國和英國繼續(xù)維持其幾近永久的第一和第二的領(lǐng)導(dǎo)性地位,而加拿大和澳大利亞各自交換著第三和第四位���。從第5位到第10位的國家其比例不超過1個百分點,除了名單上新增的兩個國家愛爾蘭和迪拜����,將巴西和瑞士擠出了前十名榜單����。迪拜在餅圖中的出現(xiàn)�����,標(biāo)志著其首次登上網(wǎng)絡(luò)釣魚統(tǒng)計數(shù)據(jù)前十名榜單�����。
