RSA报告全新网络钓鱼攻击 中国比例上升

　　“中间聊天”试图通过虚假实时聊天窃取消费者数据

　　RSA FraudAction研究实验室最近发现了一种新的，针对网上银行客户的独特网络钓鱼攻击。 RSA称其为“中间聊天”网络钓鱼攻击，这种攻击第一次通过常规手段执行，但它却表现出更先进层次的网络欺诈实施手段。这种网络钓鱼攻击可以诱骗银行客户在一个普通的网络钓鱼网站中输入他们的用户名和密码，但增加的虚假实时聊天支持窗口可以通过由欺诈者发起的实时聊天会话获取银行客户的凭证。

　　在实时聊天会话中，隐藏在攻击背后的欺诈者假装为银行欺诈部门的代表，试图诱骗网上客户泄露其敏感信息——例如用于网上客户认证的机密问题的答案。这种袭击目前只将一家总部设在美国的金融机构作为其攻击目标。

　　在检测到该攻击之后，RSA立即通知了受影响的金融机构，并通过RSA反欺诈指挥中心和RSA FraudAction服务启动了标准的网络钓鱼攻击关闭程序。(RSA为保护其安全和隐私不能指明这家银行。)攻击托管在一个众所周知的、供欺诈者“租用”的快速通量网络，该网络托管了大量的恶意网站，如网络钓鱼网站，木马感染点，洗钱网站等。

　　攻击的设计

　　该网络钓鱼攻击开始时是一个正常的网络钓鱼网站(见图1)，提示客户输入他们的用户名和密码。通常在提供访问凭证后，网络钓鱼受害者就会被重定向到网络钓鱼网站或真正银行网站的下一个页面。

　　图1 客户登陆页面：中间聊天网络钓鱼攻击的第一阶段

　　然而，这种攻击却用一种新的、先进的技术继续获取受害人的其他信息——而不是重定向到网络钓鱼工具包或真正网站的下一个页面，作为攻击的一部分，由欺诈者启动出现虚假的实时聊天支持窗口。

　　图2 虚假实时聊天窗口：中间聊天网络钓鱼攻击的第二阶段

　　通过社会工程，欺诈者试图在实时聊天平台上获取受害者的进一步信息。欺诈者假装是银行欺诈部门的代表，声称银行“现在需要每名会员验证他们的帐户”。欺诈者随后就可以收集其他用户相关的信息——姓名，电话号码和电子邮件地址。这些详细信息能使欺诈者方便地对该用户的账号实施网络或电话欺诈，并可能就如在聊天窗口中所说的，在随后的阶段用来联系客户。

　　在这个网络钓鱼攻击工具包内的实时聊天窗口看起来在不断的变化。我们所追踪到的同一工具包的其他版本在聊天窗口以及欺诈者和网络钓鱼受害者之间的交互聊天中显示了不同的文本信息(见图3)。

　　图3 虚假实时聊天窗口：相同中间聊天攻击的另一个版本

　　(要着重指出的是，实时聊天窗口是由欺诈者启动的，跟安装在受害者计算机上的不管何种即时消息(IM)应用程序绝对没有任何关系。该攻击不是通过即时消息而是通过正常的网络钓鱼网站发起的，IM应用程序并不是攻击目标。)