编译/华佳
原作/ Andy Greenberg
原文/Wired
通常来说,黑掉银行系统和去抢劫是一个道理:破门而入、掠走赃物、快速窜逃。
最近就有一群胆大包天的黑客们盯上了一家巴西银行。不过他们似乎另辟蹊径,找了一个覆盖面更广、更为狡猾的方法:在一个周六的午后,当顾客在线上输入这家银行的网址,他们会进入黑客精心设计的虚假网站,但他们自己却浑然不知,并乖乖地交出了银行账号的信息。
互联网安全公司Kaspersky(卡巴斯基)的研究人士指出,这种劫持银行网站所有记录的大规模欺诈行为前所未有。
2016年10月22日下午1点左右,这群黑客把银行网站上所有36个性能的注册DNS(域名系统)悉数破坏,并占用了电脑和移动端原本的网站域名,从而让用户访问钓鱼网站。也就是说,黑客可以利用银行合法的网址来获取用户的登录信息。研究人士认为,他们甚至可能已经把ATM机或销售网点系统里的所有交易都链接到自己的服务器上,以便获取所有在那个周六下午使用银行卡的用户信息。
卡巴斯基的一名研究人员对这件网站域名攻击的事件进行了分析,他说,“很显然,该银行所有的在线操作系统在那五六个小时里都遭黑客入侵。”而那些黑客则利用DNS“变成了银行官方,并瞬间拥有了一切。”
Kaspersky并没有指出具体哪家银行受到了DNS更改的攻击,只透露说这是巴西一家大型金融公司,在美国和开曼群岛等100多个国家和地区设立了分公司,拥有500万顾客和超过270亿美元的资产。虽然他们表示并不清楚此次非法占用DNS事件带来的破坏有多大,但这件事给所有的银行都敲响了一个警钟:DNS的低安全性能可能造成核心数字资产大量流失。
Bestuzhev 评论道:“互联网很早就开始出现这种威胁,但我们从没想过它会带来如此大的影响。”
对互联网而言,DNS(域名系统)可以说是十分重要的网络协议:它把以字母和数字命名的域名(比如Google.com)转变成IP地址(比如74.125.236.195)。这些IP地址就代表了电脑托管网站或其他服务器的实际位置。黑客通过获取那些记录不仅能使网站崩溃,甚至还能把用户的页面跳转到他们选定的任意位置。
比如,叙利亚电子军(SEA)的黑客们就在2013年更改了纽约时报的DNS注册信息,那些访客打开之后会看到一个带有SEA logo的网页。前不久,Mirai僵尸网络攻击DNS提供商Dyn,导致包括Amazon、Twitter和Reddit在内的无关网站大面积瘫痪。
叙利亚电子军
但攻击那家巴西银行DNS的黑客们则目标更明确:逐利。卡巴斯基认为他们是依靠Registro.br这个网站盗取了银行账号。
Registro.br是由NIC.br(巴西网络信息中心)提供的域名注册服务。NIC.br会登记所有顶级域名以巴西缩写br.为结尾的网站,包括银行的DNS。由此,攻击者就可以同时改变所有银行域名的注册信息,跳转到他们预先在Google Cloud平台上设定好的服务器。有了这个域名劫持功能,任何访问银行网站URL的人都会被跳转到域名相似的网站。这些网站甚至还会有银行自己获取的HTTPS合法证书,所以访问者的浏览器会显示它为绿色网站并附上银行的名字,就和正常的网站一模一样。
Kaspersky还发现,这些证书在6个月之前由Let’s Encrypt(非营利性权威证书机构)发布。他们的宗旨——提高HTTPS使用率,让获取HTTPS证书变得轻而易举。
“如果他们能控制DNS,然后有效的管控一个域名,那就可能从我们这里拿到证书。”Let’s Encrypt的创始人Josh Aas表示。“这种情况下不会出现我们误发的状况,因为拿到证书的人确实有能力对那片域名进行适当的管理。”
然而,黑客的劫持大获成功,银行连一份邮件都发不出去。Bestuzhev 称,“他们甚至无法和顾客进行沟通,让他们多多警惕。如果你的DNS被网络罪犯侵袭,那你基本就动弹不得了。”
除了纯粹的“钓鱼”,这些欺骗网站还在用其他方式骚扰用户:把恶意下载软件伪装成那家巴西银行向用户提供的Trusteer浏览器安全插件的更新程序。根据卡巴斯基人士分析,这种恶意行为不仅限于巴西和其他八家银行的登录信息,还包括邮箱密码、FTP登录凭证,甚至还有Outlook和Exchange的联系人列表。所有这些信息都汇入了一个主机在加拿大的命令和控制服务器。他们的木马能使杀毒软件瘫痪,已经感染的用户中毒时间远不止五个小时。还有,恶意软件中包含了零碎的葡萄牙语,说明黑客可能正是巴西人。
卡巴斯基的研究人士指出,大约五个小时之后,银行重新获得了域名的管理权限,很有可能是联系了NIC.br并说服他们修正DNS注册信息。不过,这家银行几百万顾客中究竟有多少遭到了DNS攻击带来的破坏目前不得而知。卡巴斯基方面则表示银行没有透露相关信息,也没有对外界公布此次劫持事件。但他们认为,靠着那些钓鱼网站、恶意程序以及把ATM和销售网点系统的交易跳转到他们控制的基础设施上,黑客可能成功截获了成千上万甚至是几百万用户的账号信息。Bestuzhev 也很疑惑,“恶意程序、钓鱼、销售网点系统、ATM,究竟哪一个造成的伤害最大,我们确实无法得知。”
那么NIC.br一开始为何会无法控制银行域名,继而造成如此灾难?卡巴斯基翻出了NIC.br今年1月在其blog上的文章:我们的网站确实可能会被攻击,在某些情况下客户的设定会被更改。但NIC.br也提到,目前没有证据能够证明发生过这种情况。此外,这篇文章对“近期由于DNS服务器更改而造成严重后果的事件”描述含糊不清,仅仅把它们归为“社会工程攻击”
在一次通话中,NIC.br的技术总监Frederico Neves反驳了卡巴斯基对于银行所有36个域名都被劫持的说法:“我确信卡巴斯基给出这个数字只是为了炒作”。他否认NIC.br被“黑”了。但同时也承认,从那些钓鱼网站和被攻击的电子邮箱来看,用户的账号信息可能已经被修改。他还不忘补充,“任何像我们一样拥有那么多注册域名的网站都经常发生账号被盗的情况”。
Bestuzhev则认为,对于银行而言,这件事应该成为一个警钟:检查并确保自己DNS服务器的安全,因为他注意到资产最多的20家银行中有一半都对自己的DNS不闻不问,还把它交由随时可能被黑的三方网站管理。不过,无论最终谁来控制银行的DNS,他们都可以采取特殊的预防措施来保证DNS注册信息在没有安全检查的情况下不会被无故更改。比如,一些注册登记网站会提供“注册商锁定”功能,或者是双重认证功能以防黑客攻击。
巴西劫持案已经明确的指出:没有这些简单的预防措施,域名的更改会迅速破坏公司可能采用的几乎所有其他安全措施。当你的用户正在悄然无息地跳转到那些易受攻击的怪异网站时,你的加密网站和锁定网络不会有任何用处。
精选文章推荐:
继续阅读
阅读原文