网络罪犯们

Vitaly Kamluk拥有超过10年的IT安全领域经验，现在他担任卡巴斯基实验室首席安全研究员的职位。他专门从事研究恶意软件逆向工程、计算机取证和网络犯罪调查。目前，Vitaly居住在新加坡。他作为数字取证实验室的成员与国际刑警组织合作，开展恶意软件分析和调查支持方面的工作。

高级持续性威胁（APT）是信息安全专家常常挂在嘴边的话题，这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说，这种威胁似乎与己无关。 对于公众来说，最广为人知的一些攻击类似于间谍小说中的情节。直到最近，APT还不是人们关注的话题，因为绝大多数APT针对的是政府机构，其中所有调查细节高度保密，并且实际造成的经济影响难以估计，原因显而易见。 然而，今时不同往日：APT已将触角伸入商业领域，更准确的说是银行业。结果可想而知：以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网，黑客利用定向钓鱼邮件来诱导用户打开邮件，借机使用恶意软件感染电脑。一旦成功，黑客就会在用户电脑上安装一扇后门，后门基于Carberp银行恶意软件源码，此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后，黑客会以此电脑作为入口点，探测银行内网并感染其他电脑，目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后，黑客将研究银行使用的金融工具，并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后，为了完成行动，黑客会根据具体情况定义最为便利的方法来盗取资金，他们或者使用电汇转帐，或者建立一个假的银行账户，利用钱骡直接取现，或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元，即便分别来看，此金额也相当惊人。假设有数十家，甚至上百家金融机构因APT攻击导致资金被盗，累计总损失很有可能达到10亿美元，令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前，Carbanak蔓延范围不断扩大，目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息，Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间，攻击高峰时间是2014年6月。 很明显，除非被捕，否则黑客绝不会就此罢手。目前，众多国家网络防御中心和多家国际机构，包括欧洲刑警组织（Europol）和国际刑警组织在内（Interpol）都展开了调查行动。卡巴斯基全球研究分析小组（GReAT）也在其中贡献了自己的一份力量。 如何防御这种威胁？ 下面要告诉卡巴斯基用户一些好消息： 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本：Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平，我们建议您启用主动防御模块，卡巴斯基的所有产品版本中都含有此模块。 此外，还有一些小贴士，可保护您不受这种及其他安全威胁： 绝不打开任何可疑电子邮件，尤其是带附件的邮件。 定期更新使用的软件。例如，这次攻击行动利用的并不是零日漏洞，而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测：此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息，请查看Securelist上的相关博文。

在本系列的第一部分，我们探讨了银行卡’盗读者’所使用的犯罪技术。今天，我们将为您讲述此类犯罪案件的另一部分内容，即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言，根本无需掌握太多专业的犯罪技术。然而，有些操作–包括硬件安装过程–危险性极高。有时候，这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外，还需要完成多个步骤的前期准备和情报收集工作，包括：现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下，就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实，尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西，而应直接报警的原因。 除了ATM机以外，”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括：加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言，普通人对于此类机器的戒心较少，且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕，犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡：只要银行发现了这一盗读犯罪活动，”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况，”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动，但最聪明的”盗读者”则会直接将设备遗弃，为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多，这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说，”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”，按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据，但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前，而在上个世纪中叶，专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施，只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术，但却并非是每一张银行卡的标配。 不用说，支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内，欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时，ATM机会要求卡内芯片创建一个独一无二的一次性密钥，虽然也可能会被盗走，但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞，但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动，但依然需要一段过程：全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程，并需要相关各方的参与。 所有相关各方都必须参与其中，共同协作：支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家（包括发达市场）依然使用陈旧的非EMV银行卡的原因。 即便如此，基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力，可能必须是基于磁条数据（而非芯片）才能完成交易。 据欧洲ATM机安全团队报告，尽管EMV程序正在全美范围开发，但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国，欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金，尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下，被盗读卡持有人将不得不自己买单，这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用，但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片，则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全，但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据，则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差，询问银行是否能够限制异地交易（当你需要出国时，可以将交易权限限制在目的地国境内）。这是一种非常有效的方法，在欧洲多国已得到验证。