RSA安全专家:反网络欺诈“业余”难敌“专业”

2009年3月27日,EMC信息安全事业部RSA举行"反网络欺诈在线研讨会",来自国内银行、证券领域的200多名业务和技术干部参加会议。RSA安全专家向与会者介绍介绍了当前流行的犯罪软件和木马软件及其最佳防治实践。专家指出,受巨大的经济利益诱惑驱使,网络犯罪组织的技术日新月异、手段千变万化。防御犯罪软件和木马威胁,反网络欺诈,依靠防火墙、防病毒等传统手段,等于把重任落在消费者身上,和网络犯罪组织相比是业余对专业,实力不在一个重量级。最有效的办法是,通过专业化的全球网络,对犯罪软件和木马进行检测,并在源头阻止它们。

主讲的两名安全专家主讲都在金融安全领域具有丰富的经验。司马丽维女士拥有12年IT领域高级技术及管理经验,曾任加拿大第二、北美第七大银行高级信息安全专家及资深顾问,现任RSA大中华区高级信息安全系统架构师;冯崇彪先生拥有16年金融系统工作经验,曾负责和参与华夏银行、深圳发展银行、招商银行、广东发展银行、中国农业银行等金融机构的应用系统开发和系统集成,现任RSA中国区资深技术顾问。

会上,RSA安全专家详细介绍了RSA针对网络钓鱼、域名欺骗、特洛伊等威胁和侵害的"新武器"–RSA FraudAction,它可以预先检测、追踪、关闭网络钓鱼、域名劫持以及木马攻击,从根源上有效帮助客户防止和解决在线欺诈行为。RSA 反网络欺诈指挥中心(AFCC)的欺诈分析专家以24×7全天候的方式进行欺诈分析,以关闭网络钓鱼站点、部署防范措施,并执行广泛取证工作来捕获欺诈分子,以防患于未然。2009年,RSA计划在中国开展大规模的反网络欺诈普及推广活动,可以免费帮助中国的金融、证券客户关闭网络欺诈站点。
的确,当前反网络欺诈的形势不容乐观。

刚刚过去的"央视315晚会"上曝光了一个网名叫"蚂蚁"的人,他成功地在一万多个网银账号中盗取了近500个。"蚂蚁"掌握的账户信息是从 "顶狐"手里买到的,"顶狐"是病毒制造高手,电脑一旦中了他编写的"密码结巴",用户电脑上所有登录框里填写的信息,包括网上银行、股票、邮箱、游戏等各种账号密码,都会悄悄地自动发送到他指定的电脑上。(参见:http://www.ucatv.com.cn/html/news/2/syw/200903/16-47569.html)

2008年10月,RSA 的反网络欺诈指挥中心(AFCC, Anti-Fraud Command Center)发现,自2006年2月起,一种名为"Sinowal"的木马破坏并窃取了大约27万个网上银行账户和24万个信用卡/借记卡信息,其它如电子邮件和众多网站的FTP账户等信息,也都盗窃或受到损害。全球每月都会发生数千起类似的事件,严重损害金融机构和其它网络交易机构的业务和品牌。除了木马病毒以外,网络钓鱼和域名劫持等窃取手段,同样以"道高一尺 魔高一丈"的态势卷土重来。如今,被服务机构认为安全性很高的网络防护手段,也时常被网络犯罪组织突破。

"网银窃贼"手段翻新

U盾保护沦为马其诺防线

最近,U盾的安全性引起公众的不安。某反病毒中心的报告称,他们刚刚截获一种名为"网银窃贼"病毒的最新变种,不但可以盗窃网上银行用户的账号密码,甚至可以突破银行U盾的防线,进行网上转账,对用户的网上银行形成严重威胁。其在技术上远胜昔日的"网银大盗"。它一旦发现用户正在进行网上支付或转账,它会自动跳出一个高度仿真的转账支付页面,用户一旦点击"同意支付"的按钮,资金就会损失。

—文汇报,2009年3月18日

网银软证书有安全风险

针对不法分子窃取网上银行资金的行为,中国金融认证中心副总经理曹小青指出,网银"软证书"存在安全风险。它不强制用户设置证书使用口令,其他人登录同一台电脑就能直接使用。"软证书"的私钥可以导出,从而给木马程序以可乘之机,将证书复制到其他电脑上使用。目前,网银用户如果对外转账,必须使用数字证书或动态密码,其中数字证书运用范围最广。数字证书分为两类,一类存放在电脑里,称为"软证书";另一类存放在类似U盘的USBkey里,称为"硬证书"。出于方便和成本的考虑,普通个人用户偏爱使用"软证书"。

—北京晚报,2009年3月20日

网络钓鱼可能就在身边

目前,全球钓鱼网站频繁出现,严重影响在线金融服务的发展。并且钓鱼网站的来源分布和危害跨越国界,已成为一个令全球关注并感到棘手的问题。网络钓鱼通常是引诱用户到伪装的网站,骗取用户的个人信息资料或者银行卡上的金额。2008年2月26日,模仿万维卡盟(http://www.wanweika.com/)的钓鱼网站http://www.wanweika.cn/book/js.asp被发现,这个钓鱼网站页上面显示了出售电话卡的信息,以及中国几个主要银行的网银支付方式。RSA的AFCC在早上收到警告,然后从三个不同的方向采取行动,包括联系ISP,联系网站代理主机 (Web Hosting) 、联系被劫持 (hijacked)网站属主。每个机构收到一个通用的C&D 信,同时通过电话联系。在两个小时内,AFCC关闭攻击网站并收到确认邮件,证实这个攻击网站由于AFCC的措施确实被关闭。

模仿万维卡的钓鱼网站

页面显示特价促销卡信息及网银支付方式:

AFCC处理万维卡盟钓鱼网站的事件报告(2/26/2008):

收到告警: 8:30 AM

发出通知: 8:45 AM

首次发出C&D信: 9:20 AM

攻击被关闭: 10:31 AM

发出关闭通知: 10:54 AM

总共时间: 02:01 小时

RSA新武器–让网络钓鱼攻击的平均寿命从平均115小时减少为5小时。

作为信息安全解决方案的主要提供商,RSA总在观察网络犯罪组织攻击的方式发生什么样的变化,然后快速适当地调整RSA的技术手段。RSA最近发现了新的网络钓鱼攻击方式–Rock Phish。据估计,全球50%的网络钓鱼来自Rock Phish,对上千万美元账户被盗负有责任。Rock Phish包含了钓鱼技术和恶意软件,被攻击者不仅数据信息被盗,还将同时感染网络病毒,以此盗取更多信息。

针对上述网银及其它业务类型的客户,受到诸如网络钓鱼、域名欺骗、特洛伊等手段的威胁和侵害,RSA特别推出了"新武器"–RSA FraudAction,它可以预先检测、追踪、关闭网络钓鱼、域名劫持以及木马攻击,从根源上有效帮助客户防止和解决在线欺诈行为。RSA 反网络欺诈指挥中心(AFCC)的欺诈分析专家以24×7全天候的方式进行欺诈分析,以关闭网络钓鱼站点、部署防范措施,并执行广泛取证工作来捕获欺诈分子,以防患于未然。

RSA FraudAction的关键好处迅速见效,从而使欺诈造成的损失最小化,并且采用的是外包式防钓鱼网站服务。RSA 反网络欺诈指挥中心(AFCC)在处理各种攻击的过程中,能成功分析取证出关于网络钓鱼和恶意软件或特洛伊木马站点的有价值信息。到目前为止,AFCC已提取出大量的受攻击信息、IP地址列表、账户甚至于钓鱼网站源代码。处理网络钓鱼的攻击是一个既耗费时间又耗费大量资源的过程,RSA 反网络欺诈指挥中心(AFCC)有能力为各种规模的企业提供服务,它可以代替客户处理令人头疼的防网络钓鱼相关事务。

RSA有着丰富的、在全球范围内关闭恶意攻击的经验,能帮助客户缩短钓鱼攻击的持续时间、减少攻击的密度以及减轻整体损失。RSA 反网络欺诈指挥中心(AFCC)已将网络钓鱼攻击的平均寿命从115小时减少为5小时。依据攻击的复杂程度而定,在许多案例中,在被AFCC关闭之前,钓鱼攻击只活跃了几分钟。之所以有这么快速的反映,是因为RSA 反网络欺诈指挥中心(AFCC)与全球9000多家互联网服务供应商、多家计算机紧急响应组(CERT)和执法机构建立了直接与开放的沟通渠道。该中心的多语言翻译支持功能还能以近200种语言提供服务,强化了其在全球范围内打击网络犯罪的能力。

"专业部队"战绩斐然

创新与不妥协,RSA致力于使用户永远保持一步领先于那些新的破坏性攻击。到目前为止,通过与全球超过4,500家网站合作,RSA 反网络欺诈指挥中心(AFCC)已在全球超过135个国家关闭了50,000多个Phishing(网络钓鱼)攻击。

不论公司的类型和规模,每个月都会有公司成为新的网络钓鱼(Phishing)攻击受害者,2008年遭受到网络钓鱼(Phishing)攻击的厂商数量增加了70%。金融机构和其它网络交易机构开始面临新一轮的,更为复杂的网络破坏性攻击和欺诈,特别是在线攻击类型不断出现,例如恶意软件/特洛伊木马、中间人攻击,以及域名劫持等。

RSA FraudAction将使金融及其它网络服务机构消除恐慌。2009年3月16日,RSA宣布日本最大的银行之一日本邮政银行 (Japan Post Bank) 通过实施 RSA FraudAction 服务,为其客户和资产提供高效保护,使之免遭来自网络犯罪和钓鱼的攻击。日本邮政银行的邮储直连(Yuucho Direct)网上银行服务能够让客户便捷地进入账户进行余额查询、资金转账和账单支付,而无需前往日本邮政银行分行或邮局。由于RSA FraudAction能以创新的方式来防止网络攻击,因此获得了日本邮政银行的青睐。该服务在2008年6月份被迅速部署,且无需对该行现有系统进行任何修改。自实施RSA FraudAction以来,日本邮政银行已经能够成功地检测和迅速阻挡网络钓鱼攻击,保护客户的个人信息和金融资产。

通过使用RSA FraudAction解决方案,很多客户所受到的网络钓鱼攻击的数目急剧减少。相比竞争对手的解决方案,FraudAction在跨地域监测与警报、关闭时间、总体欺诈和网络钓鱼防护能力方面都处于领先地位。由于在反击网络钓鱼、域名欺骗、特洛伊方面有着突出的优势,RSA FraudAction解决方案已被世界范围内320多家领先企业采用,包括渣打银行、英国巴克莱银行、华盛顿互惠银行、ING Direct、E*Trade、RBC和 Zions Bank,以及许多区域性银行和信用组织,包括Navy Federal、PESCU、CFEFCU等等。迄今为止,它已帮助客户关闭了140个国家逾13万个非法网站。

渣打银行就此表示,"Google可搜索到80亿个网络站点,但是在互联网上有大约120亿个站点。对我们来说搜索全部站点是不可能的。但是,RSA与网络运营商以及国际法律机构都有合作协议,它已经帮助我们找到并关闭了8个恶意站点。"美国田纳西流域联邦信贷联盟IT部门经理Steve Ramey也曾赞许FraudAction说:"在与RSA签约后不久,我们的网络就遭受了一次网络钓鱼攻击。RSA在不到一个小时的时间里就成功关闭了这个网络攻击。这样快速的事件响应速度,正是我们在为我们的客户提供值得信赖的、安全的在线服务时所需要的。"