黑客攻破一家银行网站的传统方式与盗窃区别不大。小偷破门而入,盗得赃物,然后逃走。但一个企业化运作的黑客团队在攻击巴西的一家银行网站时采取的方法看起来更加狡猾:一个周末下午,他们将所有访问这家银行网站的线上客户诱骗到一个精心伪装的假冒网站,客户在那里忠实地输入了他们的真实账户信息。
上周二,安全公司Kaspersky的研究人员描述了一个前所未有的大规模伪装银行网站的案例,黑客彻底截获了银行在互联网上的全部信息。去年10月22日下午1点,研究人员说,黑客修改了这家银行的全部36个域在域名解析系统中的注册信息,霸占了银行的桌面和移动平台网站的域,以诱使用户访问钓鱼网站。实际上,这意味着黑客可以盗取银行合法网站上的登录信息。Kaspersky研究人员相信,黑客们可能已经同时将ATM机和销售终端机系统中的全部交易重定向到他们自己的服务器上,收集了当天下午任何使用信用卡的客户的卡片信息。
“这家银行的全部在线业务在五到六个小时之内被黑客完全控制了,”Kaspersky的研究人员Dmitry Bestuzhev说,他看到恶意软件通过该银行的一个看起来完全合法的域感染客户的计算机,实时分析了这次攻击。从黑客的观点来看,正像Bestuzhev所看到的,这次DNS攻击意味着“你变成了银行。现在一切都属于你了。”
Kaspersky没有公布这家遭到DNS重定向攻击的银行的名字。但该公司说,这是巴西一家主要金融机构,在美国和开曼群岛有数百个分支机构、业务网点,有500万客户和超过270亿美元资产。尽管Kaspersky还不知道这次攻击造成的全部损失到底有多大,但这应该是对世界各地的银行的一次警告,它们需要考虑自己的DNS到底有多么不安全,可能会对它们的核心数据资产造成噩梦般的损失。“对于互联网来说,这是一个已知的威胁,”Bestuzhev说。“但我们还没有看到过有人这么大规模地利用它。”
域名解析系统,或DNS,是互联网底层的一个关键性协议:它将包含数字和字母的域名(如Google.com)翻译为代表网站或服务所在主机的实际位置的IP地址(如74.125.236.195)。而攻击这些记录可能会使网站瘫痪,或者更糟,将目的地重定向至黑客的网站。
例如,2013年,叙利亚电子部队的黑客团队修改了纽约时报的DNS注册信息,将访问该网站的用户重定向到一个带有他们logo的页面。更近一些的例子有,Mirai僵尸网络对DNS服务提供商Dyn的攻击,造成包括Amazon、Twitter和Reddit等在内的大量网站掉线。
但这家巴西银行的攻击者们通过一种更集中、更具有利益导向的方式攻击了DNS。Kaspersky相信攻击者攻击了该银行在Registro.br的账户。这是NIC.br的域注册服务网站。NIC.br是所有以巴西的.br结尾的顶级域的网站注册服务商。它也管理着这家银行的DNS。研究人员相信,攻击者可以同时更改该银行的所有域注册信息,并重定向至黑客们在谷歌的云平台建立的服务器。
在域被劫持的情况下,任何访问该银行网站URL的人都会被重定向到一些看起来很相似的网站。而那些网站甚至还有以该银行名义颁发的有效HTTPS证书,以致于访问者的浏览器会显示绿锁标志和该银行的名称,就好像这些网站是真的一样。比如在这起攻击事件中,黑客使用的SSL证书由Let’s encrypt签发。
“如果一家机构控制了DNS,那么也就有效控制了一个域,它就可能从我们这里获得证书,”Let’s Encrypt创始人Josh Aas说。“对我们来说,这种证书的颁发不能算是错误颁发,因为这样获得证书的机构可以证明对域的控制是正当的。”
这次攻击非常彻底,以致于这家银行连邮件都无法发送。“他们甚至无法给客户发送一个警告,”Bestuzhev说。“如果你的DNS被网络犯罪分子控制,你基本上就完蛋了。”
除此之外,客户还受到一个伪装成该银行提供的Trusteer浏览器安全更新的恶意软件的感染。根据Kaspersky的分析,该恶意软件不仅收集银行登录信息——从这家巴西银行以及其他8家银行——还收集电子邮件和FTP凭证,还从Outlook和Exchange收集联系人名单,所有这些信息都会传到一个位于加拿大的命令与控制服务器。这个木马还有一个使反病毒软件失效的功能;对被感染者来说,这可能会比攻击发生的五小时窗口期要持久得多。这个恶意软件包含一些葡萄牙语信息,说明攻击者可能来自巴西国内。
在被黑客控制长达5个小时后,该银行重新取得了域的控制权,他们很可能是通过给NIC.br打电话来说服它更正DNS注册信息的。但该银行的数百万客户中到底有多少人受到影响还是一个谜。Kaspersky说,该银行并未与其共享着方面的信息,也未公开披露这次攻击的情况。该公司说,攻击者可能已经收集了数十万或数百万客户的账户信息,他们不仅依靠钓鱼网站,还通过将ATM机和销售终端机交易重定向到其所控制的设施。“至于到底是恶意软件、钓鱼网站、销售终端机还是ATM机危害最大,我们还真说不准”,Bestuzhev说道。
NIC.br到底是怎样灾难性地失去对该银行域的控制的呢?Kaspersky指出,NIC.br曾在一月份的一篇博客中承认,其网站存在一个漏洞,可能在某些情况下使得客户设置被更改。但NIC.br当时指出,没有证据证明发生了这种攻击。这篇博客还含糊其辞地提到“最近发生的有关DNS服务器变更事件的影响,”但将其归为“社会工程学攻击。”
在电话中,NIC.br技术总监Frederico Neves针对Kaspersky关于该银行全部36个域都被劫持的说法争辩道:“我敢保证,Kaspersky给出的数字只是一种猜测。”他否认NIC.br被“攻破”了。但他也承认,客户的账户可能通过钓鱼网站或邮件被更改,他还说“任何像我们这样大型的注册机构通常都会有账户被攻击。”
Kaspersky的Bestuzhev认为,对银行来说,这次事件警告它们要检查DNS的安全性。他指出,总资产排名前20的银行中有一半并不自己管理DNS,而是交给第三方来管理可能受到的黑客攻击。不管谁控制银行的DNS,他们都可以采取特别的防范措施来避免DNS注册信息在无安全检查的情况下被更改,就像一些注册服务商提供的“注册锁定”和双因素身份验证一样,使黑客难以对其进行更改。
这起发生在巴西的黑客入侵事件显示出,由于没有采取这些简单的预防措施,域的转变对一个公司可能采取的其他安全措施的破坏有多快。当你的客户被悄悄地引诱到一个奇怪的网站时,你的加密网站和已锁定的网络统统帮不了你。
稿源:wired
