黑客如何接管银行的所有在线业务?

本文讲的是黑客如何接管银行的所有在线业务?

入侵银行的传统模式与抢劫银行的老式方法没有太大的区别,其流程无非是——盗贼进来,获取财务,最后溜出去。但是,一个针对巴西银行实施攻击的黑客似乎采取了更为全面和迂回的做法:一个周末的下午,攻击者通过域名劫持的手段,将所有银行在线客户重定向到虚假的银行网站,轻松地获取了他们的帐户信息。

本周二,安全公司卡巴斯基的研究人员介绍称,银行诈骗的行为是前所未见的,攻击者基本上劫持了银行的所有在线业务。研究人员表示,去年10月22日下午1点钟,黑客更改了所有36家银行在线业务的域名系统(DNS)注册,控制了银行的桌面和移动网络域名,并将用户重定位到网络钓鱼网站中。这就意味着,黑客可以获取托管在银行合法网址中的网站的登录凭证。卡巴斯基研究人员认为,黑客甚至可能已经将自动取款机或销售点系统上的所有交易重定向到了自己的服务器中,用来收集周六下午,在自动取款机或销售点系统上使用过银行卡的用户的信用卡详细信息。

卡巴斯基研究人员之一的德米特里·贝鲁佐夫(Dmitry Bestuzhev)在发现恶意软件感染客户后,实时分析了此次攻击表示,

绝对所有银行的在线操作都受到攻击者的控制,并至少持续了五到六个小时。在这5小时的时间里,钓鱼网站会向所有访问者提供恶意软件,可能有数万甚至上百万全球范围内的用户受到了这种攻击。

DNS压力(DNS Stress)

卡巴斯基并未发布DNS重定向攻击中针对的银行名称。但该公司表示,它是巴西一家主流金融公司,拥有数百家分行,并在美国和开曼群岛拥有超过500万名客户,且资产超过270亿美元。尽管卡巴斯基表示尚不清楚此次攻击造成的具体损失,但它至少可以对全球各地的银行发出了警告,来认真思考其DNS的不安全性将对其核心数字资产带来多大的灾难。Bestuzhev说,

这种对互联网的威胁虽是已知的,但是我们从未见过如此大规模的威胁利用和影响。

域名系统,或DNS是互联网使用的命名系统,用来将字母数字字符(例如Google.com)转换为IP地址(例如74.125.236.195)来代表计算机主机网站或这些机器上托管的其他服务的实际位置。攻击这些记录可能会导致网站下线,或者更糟的是,将其重定向到黑客选择的目的地来实施进一步攻击。

例如,在2013年,“叙利亚电子军(Syrian Electronic Army)”黑客组织更改了“纽约时报”的DNS注册,并将访问者重定向到带有他们logo的页面中。就说最近的一个案例,Mirai僵尸网络针对DNS提供商Dyn发起DDoS攻击,最终导致许多主流网站宕机,包括亚马逊、推特以及Reddit等。

但是在针对巴西银行的案件中,攻击者利用受害者的DNS显然更多的是利益驱动的行为。卡巴斯基认为,攻击者入侵了该银行DNS提供商Registro.br的账户。DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞,研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。

研究人员认为,入侵Registro.br账户后,攻击者能够同时更改所有银行域名的注册信息,并将其重定向到攻击者在Google的 Cloud Platform.2上设置的服务器中。

通过域名劫持手段,访问银行网站URL的任何人都会被重定向到伪造的钓鱼网站中。这些网站甚至有以银行名义发布的有效的HTTPS证书,以便访问者会在浏览器中看到绿色锁(green lock,网站安全的标志)和银行名称,就像真实的网站一样。卡巴斯基还发现,该证书是六个月前由非营利证书颁发机构Let’s Encrypt(一个免费、开放、自动化的证书颁发机构,由 互联网安全研究组织ISRG运作)发行的。不久前嘶吼平台的安全快讯也有谈到,在过去几个月内,Let’s Encrypt已经颁发了上千份包含PayPal字符的SSL证书。

Let’s Encrypt创始人Josh Aas说,

如果一个实体获得了对DNS的控制权,进而获得了对域名的控制权,该实体是有可能从我们公司获得有效的HTTPS证书的。我们为其发布证书也不能算是我们的失误,因为接收证书的实体向我们正确地展示了其控制域名的能力。

最终,劫持事件就如此顺利地完成了,银行甚至没有机会给用户发送电子邮件进行警告。Bestuzhev说,

银行甚至没有机会与客户沟通,向其发出安全预警,可以说,如果您的DNS已经受到网络犯罪分子的控制,您基本上算是被困住了。

除了网络钓鱼之外,伪造网站还可以通过诱使用户下载恶意软件来感染用户,通常,该恶意软件会伪装成巴西银行提供给客户的Trusteer浏览器安全插件的更新程序。

根据卡巴斯基的分析显示,恶意软件不仅获取了巴西银行以及其他8家银行的登录凭证,还收集了它们的电子邮件和FTP凭证以及Outlook和Exchange联系人列表等信息,所有数据都被传输到一台托管在加拿大的命令和控制(C2)服务器中。该恶意软件还有逃避防病毒软件检测的能力;此外,恶意软件中包含葡萄牙语的因素,暗示攻击者可能是巴西人。

完全接管

卡巴斯基的研究人员认为,大概五个小时之后,该银行可能才通过调用NIC.br来重新获得了对其域名的控制权,并更正了DNS注册信息。但是,数小时内究竟有多少客户沦为DNS攻击的受害者仍然是一个谜。

卡巴斯基表示,该银行并没有将该信息与网络公司分享,也没有公开披露此次攻击事件。但该公司认为,攻击者可能不仅可以通过网络钓鱼计划和恶意软件,还可以将ATM和销售点系统的交易信息重定向到他们控制的基础设施中来获取数十万或数百万客户的帐户信息。Bestuzhev说,

我们目前尚不清楚最大的危害因素是什么:是恶意软件、网络钓鱼还是销售点或ATM。

而NIC.br一开始为什么会失去对银行业务系统的控制呢?卡巴斯基指出,NIC.br的一月份博客文章中承认其网站中存在一个漏洞,在某些情况下可以允许更改客户端的设置。但NIC.br也在其发布的博文中指出,目前并没有证据表明这一漏洞已被用于实施攻击活动。该博文也提及了“最近发生的涉及DNS服务器更改带来的重大影响”,但却将其归咎于“社会工程攻击”。

NIC.br的技术总监Frederico Neves否认NIC.br已被“黑客入侵”,并质疑卡巴斯基提出的有关全部36个银行的域名都被劫持的声明。Neves 表示,

我可以确定卡巴斯基公布的数字都是猜测的,我承认,攻击者可能通过网络钓鱼或入侵用户电子邮箱等手段而最终劫持了DNS,发起了一系列攻击活动。

由于缺乏基本的安全防御措施,针对巴西银行的攻击事件第一次向我们展示了,通过更改域名就可以在数小时的时间内完全接管整个银行的在线业务的威力。

卡巴斯基的研究人员Bestuzhev认为,对于银行来说,这一事件应该是一个明确的警告,敦促银行机构定期检查其DNS的安全性。他指出,资产总额排名前20的银行中,有一半没有管理自己的DNS,而是将其置于潜在的可入侵的第三方手中。无论银行的DNS是控制在自己还是第三方手中,都必须采取特别的预防措施以防止因缺乏安全检测而发生的DNS注册被更改的情况。例如某些注册商提供的“注册表锁”和双因素身份验证,可以加大黑客改变它们的难度,起到一定的防御作用。

原文发布时间为:2017年4月12日

本文作者:小二郎 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2025-01-20 19:51:39

黑客如何接管银行的所有在线业务?的相关文章

机器人防火墙出击 提升在线业务的安全未来

数字经济的崛起让人们看到了在线业务对商业生态系统的重塑之力,也触发了黑色产业对数字经济的吞噬破坏.对于安全大于天的关键性行业,如金融.电信.医疗.支付等领域,在线业务安全与否,直接制约着企业拥抱数字化进程的速度.在已经到来的2017年,面对席卷而来的全球数字化浪潮,已经启动和计划拥抱数字化进程的企业应该如何应对黑色产业的侵蚀?究竟应该采取何种措施才能让风险重重的在线业务真正实现安全腾飞?是继续走安全传统的老路,亡羊补牢,事后补救:还是另辟蹊径,利用机器人防火墙巧设迷局?总之,在给出应对策略之前,

WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户

3月16日讯 Check Point公司的研究人员们日前披露了WhatsApp与Telegram在线平台(即WhatsApp Web与Telegram Web)中存在的一项全新安全漏洞.通过利用这项漏洞,攻击者将可全面接管用户帐户,进而访问受害者的个人与群组对话.照片.视频.其它共享文件以及联系人列表等等. WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户-E安全 安全漏洞影响这项安全漏洞允许攻击者通过看似普通的图像向受害者发送隐藏于其中的恶意代码.一旦用户点击图片,攻击者

新锐欲做领先在线业务解决方案提供商

本文讲的是新锐欲做领先在线业务解决方案提供商,近日,新锐国际(GEONG)在成立十周年发布会上宣布,再次成功融资500万英镑,将作为企业战略并购的首批专项资金.与此同时,随着新锐国际(GEONG)PortalAge 智慧在线银行解决方案成功进入东南亚市场,新锐国际的在线业务解决方案战略也全面正式浮出水面.新锐国际(GEONG)表示,未来五年,将基于其理念2.0和云计算的智慧化行业解决方案,开发更多自主研发的行业组件,以及全力推进创新的SaaS 2.0模式,在2015年成为亚太区领先在线业务解决方

动视称在线业务是重点《使命召唤》或网游化

多玩网讯(编译/Wendy)动视暴雪CEO Bobby Kotick表示在今后5-10年中公司收入增长不会那么显著,所以目前的主要焦点在由更多在线业务驱动的利润率增长. 美国银行美林(Bank of America-Merrill Lynch)在加州纽波特比奇举行了2010年媒体.通信和娱乐会议,会议上Kotick发言:"我们正处在一个和5-10年前不同的业务领域,作为全球最大的在线娱乐公司,公司的重点一直都是资本回报率和提高利润,收入增长并不那么显著." 尽管公司的重点转向在线业务和

云端流计算、在线业务、实时分析 闭环设计 - 阿里云RDS、HybridDB for PostgreSQL最佳实践

背景 水的流动汇成江河大海,孕育生命,形成大自然生态.数据流动,推进社会进步,拓展业务边界. <从人类河流文明 洞察 数据流动的重要性> 以某淘系业务案例展开,看看用户如何利用阿里云RDS PostgreSQL,HybridDB for PostgreSQL,海量对象存储OSS,打造一个从流计算到在线业务,再到数据分析和挖掘的业务,发挥数据的价值,拓展业务的边界. 业务简介 一个电商业务通常会涉及 商家.门店.物流.用户.支付渠道.贷款渠道.商品.平台.小二.广告商.厂家.分销商.店主.店员.

新东方已经将在线业务分拆成一家独立的公司

摘要: 查看最新行情 导语:业内资深人士阳歌(Doug Young)今日在美国投资资讯网站SeekingAlpha发表文章称, 新东方 已经将在线业务分拆成一家独立的公司,尽管当前这部分业务占新东方总营收的 查看最新行情 导语:业内资深人士阳歌(Doug Young)今日在美国投资资讯网站SeekingAlpha发表文章称, 新东方 已经将在线业务分拆成一家独立的公司,尽管当前这部分业务占新东方总营收的比例还不大,但新东方将对该业务进行大力投资.而且,新公司很可能在未来2年至3年内上市.与此同时

用友软件高层大规模调整在线业务被整合

伴随用友软件用友软件股份有限公司(简称"用友软件")新三年战略规划的出炉,公司的业务布局与高管结构也进行了一次大的调整,多名高管升迁.此外,用友软件还新成立了小型管理软件公司,亏损的在线业务则被整合进了关联公司. 投资将成重要利润来源 根据用友软件发布的最新公告,用友董事会确定了新的三年战略,用友将把企业和政府的管理软件与服务.产业基地.投资三大业务板块作为重点. 用友称,在继续加大对管理软件与服务主业投入的同时,公司将做好产业基地的建设与经营,增加资产收益,降低主业运营成本:公司将加

eBay:将Hadoop架构延伸到在线业务系统

文章讲的是eBay:将Hadoop架构延伸到在线业务系统,Hadoop in China社区一年一次的技术年度盛会Hadoop中国云计算大会(Hadoop in China 2011,HiC2011)12.2-12.3日在北京召开,Hadoop in China已经成功举办四届,今年大会的主题是"海量数据掘宝",HiC2011由中国科学院计算技术研究所主办,通过技术应用和科学研究双重视角审视云计算以及Hadoop开源生态系统的现状和发展趋势,发扬开源精神,促进Hadoop以及云计算开源

解构银行系P2P:业务差异化初现 组织形式优劣之争

在P2P领域,因越来越多的银行加入而推波助澜,银行系P2P平台已成为最为显眼的一个群体. 截至目前,由银行发起或有银行背景的P2P平台,全国已经达到7家.由于各家发起银行业务.定位不尽相同,银行系P2P平台之间差异已然出现. 除了业务方面的差别,各家银行对所发起的P2P平台的定位,也出现明显差异.相较于大中型银行,城商行对其发起的P2P平台定位和发展方向相对清晰.在平台运营形式上,也出现了独立运营和以发起银行单独业务门类存在两种形式. "目前,银行P2P平台的业务还没有本质区别,需要一段时间发展