黑客如何接管銀行的所有在線業務？

01-26

入侵銀行的傳統模式與搶劫銀行的老式方法沒有太大的區別，其流程無非是——盜賊進來，獲取財務，最後溜出去。但是，一個針對巴西銀行實施攻擊的黑客似乎採取了更為全面和迂迴的做法：一個周末的下午，攻擊者通過域名劫持的手段，將所有銀行在線客戶重定向到虛假的銀行網站，輕鬆地獲取了他們的帳戶信息。

本周二，安全公司卡巴斯基的研究人員介紹稱，銀行詐騙的行為是前所未見的，攻擊者基本上劫持了銀行的所有在線業務。研究人員表示，去年10月22日下午1點鐘，黑客更改了所有36家銀行在線業務的域名系統（DNS）註冊，控制了銀行的桌面和移動網路域名，並將用戶重定位到網路釣魚網站中。這就意味著，黑客可以獲取託管在銀行合法網址中的網站的登錄憑證。卡巴斯基研究人員認為，黑客甚至可能已經將自動取款機或銷售點系統上的所有交易重定向到了自己的伺服器中，用來收集周六下午，在自動取款機或銷售點系統上使用過銀行卡的用戶的信用卡詳細信息。

卡巴斯基研究人員之一的德米特里·貝魯佐夫（Dmitry Bestuzhev）在發現惡意軟體感染客戶後，實時分析了此次攻擊表示，

絕對所有銀行的在線操作都受到攻擊者的控制，並至少持續了五到六個小時。在這5小時的時間裡，釣魚網站會向所有訪問者提供惡意軟體，可能有數萬甚至上百萬全球範圍內的用戶受到了這種攻擊。

DNS壓力（DNS Stress）

卡巴斯基並未發布DNS重定向攻擊中針對的銀行名稱。但該公司表示，它是巴西一家主流金融公司，擁有數百家分行，並在美國和開曼群島擁有超過500萬名客戶，且資產超過270億美元。儘管卡巴斯基表示尚不清楚此次攻擊造成的具體損失，但它至少可以對全球各地的銀行發出了警告，來認真思考其DNS的不安全性將對其核心數字資產帶來多大的災難。Bestuzhev說，

這種對互聯網的威脅雖是已知的，但是我們從未見過如此大規模的威脅利用和影響。

域名系統，或DNS是互聯網使用的命名系統，用來將字母數字字元（例如http://Google.com）轉換為IP地址（例如74.125.236.195）來代表計算機主機網站或這些機器上託管的其他服務的實際位置。攻擊這些記錄可能會導致網站下線，或者更糟的是，將其重定向到黑客選擇的目的地來實施進一步攻擊。

例如，在2013年，「敘利亞電子軍（Syrian Electronic Army）」黑客組織更改了「紐約時報」的DNS註冊，並將訪問者重定向到帶有他們logo的頁面中。就說最近的一個案例，Mirai殭屍網路針對DNS提供商Dyn發起DDoS攻擊，最終導致許多主流網站宕機，包括亞馬遜、推特以及Reddit等。

但是在針對巴西銀行的案件中，攻擊者利用受害者的DNS顯然更多的是利益驅動的行為。卡巴斯基認為，攻擊者入侵了該銀行DNS提供商Registro.br的賬戶。DNS提供商Registro.br今年1月份的時候曾修復過一個CSRF漏洞，研究人員認為攻擊者可能利用了這一漏洞——但也可能是採用向該提供商發送魚叉式釣魚郵件來滲透。

研究人員認為，入侵Registro.br賬戶後，攻擊者能夠同時更改所有銀行域名的註冊信息，並將其重定向到攻擊者在Google的 Cloud Platform.2上設置的伺服器中。

通過域名劫持手段，訪問銀行網站URL的任何人都會被重定向到偽造的釣魚網站中。這些網站甚至有以銀行名義發布的有效的HTTPS證書，以便訪問者會在瀏覽器中看到綠色鎖（green lock，網站安全的標誌）和銀行名稱，就像真實的網站一樣。卡巴斯基還發現，該證書是六個月前由非營利證書頒發機構Let』s Encrypt（一個免費、開放、自動化的證書頒發機構，由互聯網安全研究組織ISRG運作）發行的。不久前嘶吼平台的安全快訊也有談到，在過去幾個月內，Let』s Encrypt已經頒發了上千份包含PayPal字元的SSL證書。

Let』s Encrypt創始人Josh Aas說，

如果一個實體獲得了對DNS的控制權，進而獲得了對域名的控制權，該實體是有可能從我們公司獲得有效的HTTPS證書的。我們為其發布證書也不能算是我們的失誤，因為接收證書的實體向我們正確地展示了其控制域名的能力。

最終，劫持事件就如此順利地完成了，銀行甚至沒有機會給用戶發送電子郵件進行警告。Bestuzhev說，

銀行甚至沒有機會與客戶溝通，向其發出安全預警，可以說，如果您的DNS已經受到網路犯罪分子的控制，您基本上算是被困住了。

除了網路釣魚之外，偽造網站還可以通過誘使用戶下載惡意軟體來感染用戶，通常，該惡意軟體會偽裝成巴西銀行提供給客戶的Trusteer瀏覽器安全插件的更新程序。

根據卡巴斯基的分析顯示，惡意軟體不僅獲取了巴西銀行以及其他8家銀行的登錄憑證，還收集了它們的電子郵件和FTP憑證以及Outlook和Exchange聯繫人列表等信息，所有數據都被傳輸到一台託管在加拿大的命令和控制（C2）伺服器中。該惡意軟體還有逃避防病毒軟體檢測的能力；此外，惡意軟體中包含葡萄牙語的因素，暗示攻擊者可能是巴西人。

完全接管

卡巴斯基的研究人員認為，大概五個小時之後，該銀行可能才通過調用NIC.br來重新獲得了對其域名的控制權，並更正了DNS註冊信息。但是，數小時內究竟有多少客戶淪為DNS攻擊的受害者仍然是一個謎。

卡巴斯基表示，該銀行並沒有將該信息與網路公司分享，也沒有公開披露此次攻擊事件。但該公司認為，攻擊者可能不僅可以通過網路釣魚計劃和惡意軟體，還可以將ATM和銷售點系統的交易信息重定向到他們控制的基礎設施中來獲取數十萬或數百萬客戶的帳戶信息。Bestuzhev說，

我們目前尚不清楚最大的危害因素是什麼：是惡意軟體、網路釣魚還是銷售點或ATM。

而NIC.br一開始為什麼會失去對銀行業務系統的控制呢？卡巴斯基指出，NIC.br的一月份博客文章中承認其網站中存在一個漏洞，在某些情況下可以允許更改客戶端的設置。但NIC.br也在其發布的博文中指出，目前並沒有證據表明這一漏洞已被用於實施攻擊活動。該博文也提及了「最近發生的涉及DNS伺服器更改帶來的重大影響」，但卻將其歸咎於「社會工程攻擊」。

NIC.br的技術總監Frederico Neves否認NIC.br已被「黑客入侵」，並質疑卡巴斯基提出的有關全部36個銀行的域名都被劫持的聲明。Neves 表示，

我可以確定卡巴斯基公布的數字都是猜測的，我承認，攻擊者可能通過網路釣魚或入侵用戶電子郵箱等手段而最終劫持了DNS，發起了一系列攻擊活動。

由於缺乏基本的安全防禦措施，針對巴西銀行的攻擊事件第一次向我們展示了，通過更改域名就可以在數小時的時間內完全接管整個銀行的在線業務的威力。

卡巴斯基的研究人員Bestuzhev認為，對於銀行來說，這一事件應該是一個明確的警告，敦促銀行機構定期檢查其DNS的安全性。他指出，資產總額排名前20的銀行中，有一半沒有管理自己的DNS，而是將其置於潛在的可入侵的第三方手中。無論銀行的DNS是控制在自己還是第三方手中，都必須採取特別的預防措施以防止因缺乏安全檢測而發生的DNS註冊被更改的情況。例如某些註冊商提供的「註冊表鎖」和雙因素身份驗證，可以加大黑客改變它們的難度，起到一定的防禦作用。

本文參考來源於wired，如若轉載，請註明來源於嘶吼：黑客如何接管銀行的所有在線業務？更多內容請關注「嘶吼專業版」——Pro4hou