RSA警示：网络欺诈正在中国萌芽

　　来自RSA反网络欺诈指挥中心的《RSA网络欺诈报告》8月月报显示，在“托管网络钓鱼攻击的前十位国家”中，中国和墨西哥成为7月的新来者，占到总数的2%。同时，在“遭受网络攻击数量排名前十位的国家”中，中国也是7月榜单中的新来者。

　　当前，网络欺诈在中国时有发现，主要针对银行、证券等金融机构，网络犯罪分子主要利用假冒网站骗取消费者的银行账户和密码等信息，进而窃取消费者的资金或有价值资产。然而，之前时有发生的状况跟美国、英国等比起来，还是小巫见大巫。但上述两个数据意味着，中国正在成为网络欺诈者的攻击目标和攻击发起地，值得引起重视。

　　以下是《RSA网络欺诈报告》8月月报的正文。

　　RSA网络欺诈报告

　　在线犯罪是不断进化发展的，行骗者不加区别地攻击任何组织或个人。在线攻击涉及网络钓鱼(网页欺诈)、域名劫持和特洛伊木马，代表着全世界范围内最有组织化、最高深复杂的技术犯罪潮流之一。网络罪犯每日每夜的工作窃取个人网络身份、在线凭证、信用卡信息，或他们能够有效转化为金钱的其它任何信息。他们针对所有领域的组织，以及在工作场所或在家使用互联网的任何个人。

　　这些网络罪犯也有供他们使用的新型工具，能够利用先进的犯罪软件比以前更加快速的适应新环境;根据偷窃机制进行快速的部署。他们的供应链已经进化到能够与合法的商业世界相匹敌，包括能够提供RSA首称的“欺诈服务”。

　　这份情报月报由来自RSA反欺诈指挥中心的富有经验的反欺诈分析师组成的团队所创建。它每月的精彩内容源自对网络欺诈世界的敏锐洞察，以及来自RSA网络钓鱼知识宝库的统计数据和相关分析。

　　一、 宙斯(Zeus)特洛伊木马利用IM即时通讯软件转发偷到的在线账户数据

　　在对过去3个月内数个宙斯特洛伊木马攻击进行调查的期间，RSA FraudAction研究实验室发现并跟踪到一个新型的在线攻击方式，罪犯能采用这种方法快速的利用被盗用的网络帐号。

　　RSA对数个宙斯特洛伊木马变种的研究发现一些网络罪犯已经开始利用Jabber即时聊天软件(IM)的开放协议，当作一种被盗用的网络身份的快速提交机制。他们利用Jabber软件，一旦从被宙斯特洛伊木马感染的机器上收集到信息，被窃取的信息就能立即发送给这些特别的行骗者(注意：这种行骗者利用Jabber软件所生成的新型行骗手法和合法在线用户对Jabber软件的任何使用之间并没有直接关系。)

　　Jabber IM模块已经植入这些特别的特洛伊木马，并经过配置能从宙斯特洛伊木马的“卸货”(drop)服务器数据库中提取到所窃的用户网络帐号 —而无论网络罪犯身处何方，随后立即将那些帐号发送给他。

　　然而，留在断线服务器中所窃的帐号没必要实时发送给网络罪犯。罪犯可能呆在世界的另一个地区，或者可能不与服务器24x7全天候连接在一起。

　　因此，罪犯正在将他们所收集到的帐号立即利用Jabber IM自动转发并接收所窃的帐号。在这种情况下，网络罪犯利用2个Jabber账号，一个用以从卸货服务器数据库中发送选定的被盗用的用户网络帐户，另一个用来接收那些帐户信息。

　　RSA FraudAction研究实验室发现每一个Jabber IM模块都经过配置以执行不同系列的活动并按照罪犯的个人喜好进行重大的“定制化”。一个典型的宙斯特洛伊木马卸货服务器能保留所窃信息，这些信息都属于被特洛伊木马所感染电脑的用户，而且这些用户是由许多金融机构以及其它目标组织的客户组成。

　　RSA追踪到的第一个Jabber模块经过配置能从美国本土的单个金融机构中抽取被盗用的网络用户帐号，表示它是一种有针对性的宙斯特洛伊木马攻击。在另外一个案例中，一种有着Jabber模块的宙斯特洛伊木马被罪犯用于发送来自5个不同金融机构被盗用的网络用户帐号(请参加图1)。RSA也发现这种特殊的特洛伊木马也经过特别配置，能够通过电子邮件转发所窃的用户帐号。

　　图 1 宙斯特洛伊木马的Jabber发出通知，有一位受害者试图登录到特定实体

　　根据利用Jabber IM提交所窃在线帐号的方式，其事件流程如下所示：

　　1. 宙斯特洛伊木马一个变种通过一位特洛伊木马操纵者(他是一种在线行骗者，在网络欺诈供应链中扮演一个关键的角色)发动的在线攻击从而感染了合法用户的电脑。

　　2. 这些操纵者将窃取的帐号密码信息发送到宙斯特洛伊木马操纵者的卸货服务器中。

　　3. Jabber IM模块能在特定组织(通常是金融机构)的卸货服务器数据库中搜寻到属于用户的账户信息。

　　4. Jabber IM模块将这种特定账户信心通过一个Jabber“发送方”账户来进行传送。

　　5. 罪犯能快速收到通过Jabber“接收方”账户获得的所窃用户帐号。

　　6. 特洛伊木马操纵者现在可以占据被盗用的用户帐号，这可以使得他能够登录账户并执行欺诈性转账。在一些情况下，转账需要合法用户产生的数据，例如一次性密码，就被网络罪犯实时利用。

　　利用即时聊天应用软件来接收新收集到被盗用账户的通知或者客户登录尝试的通知，这不是一个新型的网络犯罪手段。举例而言，早就在2008年，已经知道Sinowal 病毒组织采用了一个Jabber模块。Sinowal木马病毒背后的罪犯就利用Jabber即时聊天软件接收新收集到网络帐户的实时通知，以及被感染的用户尝试登录的实时通知(请参加图2)。实时通知使得Sinowal的操作员能够使用网上银行帐号，接着就能利用该犯罪组织活动的网络会话中完全交易。

　　图2 Jabber通知Sinowal网上欺诈组织，有关一个受害者尝试登录到被入侵的电脑及其网络账户的情况