"Chat-in-the-Middle"肆虐网络 钓鱼手法又现创新

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　网络钓鱼者们所做的绝不仅仅是冒充你的网络银行这么简单的事情。他们还希望通过各种手段挖掘更多你的隐私，因为这些更隐私的问题将会帮助他们更好的获得你的网络银行账户。

　　近日RSA FraudAction Research Lab 发现了一种新的欺诈手法，他们将其称为‘Chat-in-the-Middle’。

　　接下来我们会详细介绍这种网络钓鱼的新方法，以及为什么从网络钓鱼者的角度来说，如果采用了这种方法，会令他们效率下降，或者说更费时间：

　　简单来讲，一个准受害者收到网络钓鱼邮件，不论是冒充某一家金融机构，还是直接要求用户提供个人信息的，都会要求用户最终在网络钓鱼网站上进行进一步的身份验证。一旦受害人进入了网络钓鱼网站，系统会立刻弹出一个对话窗口，也就是所谓的“网络钓鱼助手”，帮助用户逐步输入帐户验证信息，让用户一步一步透露出自己的隐私信息：

　　犯罪分子所做的，就是通过实时聊天窗口，利用社会工程学原理，套取受害人更多的个人信息。犯罪分子会声称自己是银行的反诈骗部门，要求“每个用户都需要进行账户验证”。接下来犯罪分子会收集用户名，电话，电子邮件地址等一系列个人信息。这些信息可以帮助犯罪分子更顺利的实时网络或电话欺诈，还可以将客户资料保存以便日后做进一步跟踪。

　　在过去，一些网络钓鱼团伙已经知道了基本的质量保证方式，他们有自己的DIY网络钓鱼网页，上面甚至还有信用卡号码真伪的鉴别方法，从而确保那些受害人没有提交虚假的财务信息，节省了他们后期整理信用卡信息的时间和资源。而本次新出现的 ‘Chat-in-the-Middle’诈骗伎俩，看似是这种质量保证方法的另一种版本，又或者是某些缺乏效率的诈骗分子想出来的土办法。

　　说到质量保证，这种“直播式的钓鱼方法”需要大量资源和资金的维持，有时候甚至得不偿失，另外这种方式只能欺骗说同种语言的本地用户，因此还属于一种欠开发的网络钓鱼伎俩。

　　点播式的地下社交服务已经出现多年了。去年，这类服务出现了新的品种“通过电话提供社交服务”，他们的所作所为和‘Chat-in-the-Middle’网络钓鱼方式的所作所为如出一辙。该服务以五种语言提供男声或女声服务，每次收费9美元。看起来，这种服务已经打破了‘Chat-in-the-Middle’网络钓鱼方式只有一种语言的局限。

　　不过，如果一个主流的网络钓鱼团伙开始使用大众营销方案，通过电话方式而不是依赖于攻击，那么可以说就背离了网络钓鱼成功的关键因素之一，上百万封邮件发送出去，就算有很小数量的受害者，那也意味着相当大的收获了。