引子:钓鱼攻击者通过网络聊天互相交流、买卖受害者的金融信息。
上周五,一位研究人员在讲述他最近发表的关于Internet欺骗内部运作机制的文章时说,网络钓鱼经济是自由市场理论的实际运作,意即单纯的供求。
Cloudmark的一位研究科学家Christopher Abad说:“钓鱼经济的商家和消费者都是自发组织起来的,他们只受供求关系的约束。”Cloudmark是落杉矶的一家垃圾邮件过滤服务供应商。
通过分析从13个钓鱼攻击相关的主要网络聊天室搜集到的成千上百条消息,以及数以千计不安全的计算机,Abad深入研究了网络钓鱼的内部运作机制。这些不安全的计算机原本运行的是钓鱼程序,或者装有钓鱼攻击者用来引诱用户泄露机密数据(比如,银行账号、信用卡信息等)的虚假网站。
Abad说,钓鱼攻击者全都依靠在几年前就散布了大量拒绝服务攻击的一个聊天框架,因为有意通过钓鱼谋取利益的人对这个框架非常熟悉,并且他们知道用自动的钓鱼程序,可以利用这个框架来处理日常工作。
Abad接着说,聊天是钓鱼攻击者交流和合作的方式,他们也是通过聊天来引入新手以及销售他们获得的信息的,所以要想防止这种信息窃取是不可能的事。
他的原话是这样讲的:“这个任务不会得到圆满执行,因为攻击者可以转移的阵地实在是太多了。这里存在的问题和杀计算机病毒一样,除非彻底把它剿灭,同时毁掉它赖以生存的温床并能防止温床重建,否则你就绝不会把它赶尽杀绝。”
Abad对钓鱼攻击“聊天”侧面的分析也证实了一些分析师所持的意见,他们认为,存在着有组织的集团,他们也许是由有组织的犯罪团伙组成的,这个组织从上到下,把钓鱼运动控制了个严严实实,任何一个方面都没有漏洞。
Abad说,“钓鱼攻击者之间的联系都不太紧密,这正是钓鱼系统的本质属性。我努力想要验证对于钓鱼的那些举报的真实性,这些举报通常都是二手的,或者甚至三手的账目。举个例子,Shadowcrew并不是像一些人认为的那样是一个有中心的有组织的圆环,它只是一个bbs系统,许多钓鱼参与者用这个bbs沟通交流。”
另外,搜集信息的人也不是用这些窃得的数据最终取钱的人。Abad说:“这两种人属于两个完全独立的集团,一个是另一个的顾客。”
可以这么说,那些通过网络钓鱼和其它身份窃取方式最终收获的人以不同价钱大量买进信息,有时一条信息仅付50美分,有时会高达100美元,买进之后他们用这些信息把磁卡加密,然后用磁卡到银行或在ATM上用信用卡把钱取出来。
Abad说:“这是一种非常直接的拿钱方式,并且,比攻击PayPal或eBay省时多了。”
Abad说,出纳会拿走他们取出的钱的一部分——多的时候可能会拿走70%——然后把剩下的发给可靠的供应方,也就是拥有账号信息的钓鱼攻击者。通常是通过西部联盟(Western Union)把钱发给钓鱼攻击者的,因为世界范围内都可以访问到这个联盟,并且它对于警方有相对的隐蔽力。
出纳只在几个固定的银行工作,甚至是只处理某银行几个确定的账户。具体哪个银行,取决于他们选中哪个银行破获ATM密码。
Abad继续说,在他对钓鱼攻击分析的这段时间里,他注意到一些银行受到的攻击比其它银行要严重。“Washington Mutual、Key Bank和其它一些机构最易收到钓鱼攻击,这没什么可惊奇的。”他说,“在钓鱼经济圈内,很容易获得对这些机构的跟踪算法。但美国银行(Bank of America),这个大型财经机构却能够躲得比较远,不容易上钩,这是因为很难获得或破解它的加密算法。”
从他开始研究一直到现在,像Washington Mutual这样的银行就一直在加强它们的加密算法,并且也确实看到了钓鱼得逞的减少。
事实上,钓鱼攻击者的目标越来越少了,因为目标银行都在努力加强安全,使提款变得不太容易。他们甚至回到了像eBay和PayPal这样的“软金融(soft financial)”状态,“软金融”机构在一年前可是最易收到攻击的。
Abad补充说:“银行有能力改善他们可以被钓鱼攻击利用的问题,但目前来看,非常清楚,钓鱼攻击者正在关注其它的领域和目标。对于钓鱼攻击者来说,转帐服务也是一个可以发展的攻击目标。”
Abad说:“钓鱼攻击所需要的技术太普遍了、无处不在--从聊天室和群发电子邮件到攻击主机——这意味着不可能把钓鱼赶尽杀绝。”
他认为,惟一的解决办法就是每个人都有一个布置妥当的固定的反垃圾邮件防御设施。
Abad说:“实际上我们在叫停一切(垃圾邮件),我们在尽我们所能。我不觉得反垃圾邮件方面有大的进展,问题在于部署,大多数人都需要使用反垃圾邮件技术。试想如果只有2%的人采用了反垃圾邮件方案,这就表示98%的人都可能成为受害者。”
最后,他总结了一句:“钓鱼攻击者在欺负平民。”
当平民知晓的时候,“渔夫”已经面带着灿烂的笑容大步流星地走在去银行的路上了。
(T111)
