你打算在2016年奧運會期間去巴西嗎?或者在網(wǎng)上觀看比賽?在這篇文章中,我們針對那些前往巴西觀看奧運會的游客和計劃在線觀看比賽的觀眾,討論了他們可能面臨的信息安全威脅。
顯然,奧運會主題對那些網(wǎng)絡(luò)“壞家伙”來說是非常有吸引力的。網(wǎng)絡(luò)犯罪分子經(jīng)常利用大眾體育活動作為他們攻擊的誘餌,就像在2014巴西世界杯期間曾發(fā)生的網(wǎng)絡(luò)攻擊事件,經(jīng)過我們嚴密監(jiān)控發(fā)現(xiàn),當(dāng)時記錄在案的攻擊令人印象深刻。
但即將到來的里約奧運會有點不同,與巴西世界杯期間相比,網(wǎng)絡(luò)攻擊事件目前來說相對較少,主要原因在于國際奧委會組建了一個應(yīng)對處理網(wǎng)絡(luò)攻擊、報告釣魚網(wǎng)站和惡意軟件的安全運營中心(SOC),因此,在這個時候針對用戶的“野生”或零碎攻擊數(shù)量相對較低。
然而,網(wǎng)絡(luò)犯罪份子一旦開始創(chuàng)建攻擊以后是沒有限度的。但我們能夠跟蹤和阻止其中的一些,如惡意域名注冊、社交網(wǎng)絡(luò)假贈品促銷、網(wǎng)站銷售假票等用一切可能的方法來欺騙用戶的事件。
惡意域名的增多
大多數(shù)的惡意攻擊都是從注冊域名開始的。自今年年初以來,我們監(jiān)測了用舉辦地城市為名稱注冊的新域名,實際上,我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪份子自攻擊開始就持續(xù)不斷地注冊新域名。我們的黑名單中包括230多個惡意域名。
這些惡意域名注冊者通過使用免費郵箱帳戶或其它域名信息以隱藏真實身份。其中一些域名一直處于“冬眠”狀態(tài),以等待合適的時機發(fā)起攻擊(尤其是那些流量攻擊)。其它攻擊方式包括使用假冒電子商務(wù)網(wǎng)站銷售門票,主機托管網(wǎng)絡(luò)釣魚、惡意軟件,甚至用來傳播假贈票。有趣的是,我們掌握的惡意域名中有一些是經(jīng)過ICANN(互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu))認證的頂級域名(gTLD)。
網(wǎng)絡(luò)釣魚攻擊
網(wǎng)絡(luò)釣魚攻擊的目標不僅是最終用戶,奧運會員工也有可能是犯罪份子有針對性的攻擊目標。在今年二月,我們發(fā)現(xiàn)了一個非常有趣的有針對性的攻擊活動,在我們的域名監(jiān)控系統(tǒng)中,發(fā)現(xiàn)了一個使用惡意域名偽裝成國際奧委會內(nèi)網(wǎng)門戶的網(wǎng)站,襲擊者的目的是竊取在巴西工作的國際奧委會雇員的認證信息。這個假冒網(wǎng)站是我們監(jiān)測到的其中一個,它在可訪問狀態(tài)下是這樣的:
針對國際奧委會雇員進行的釣魚攻擊
最常見而最簡單的攻擊是為了誘騙最終用戶,竊取私人信息的釣魚攻擊。釣魚欺騙通常在各種顏色和外觀掩藏下有著不同的目的,這是一例承諾贈送新車和奧運門票為幌子而達到竊取用戶信用卡數(shù)據(jù)的釣魚攻擊:
以贈票和贈車為誘餌的釣魚鏈接
假票假贈品造成真正的損失
就像在上屆世界杯期間,巴西網(wǎng)絡(luò)犯罪份子以免費門票為誘餌發(fā)送惡意電子郵件,這些郵件中的鏈接直接指向釣魚網(wǎng)站。以下就是一例很有欺騙性的釣魚攻擊,網(wǎng)站聲稱不需到官方售票點購票而可直接在線售票出票:
聲稱可以在線購票的釣魚網(wǎng)站
其他虛假網(wǎng)站以低價吸引那些想在比賽最后時刻購票的人們,這個網(wǎng)站就是以巴西人為目標但是用蹩腳的葡萄牙語創(chuàng)建的,這個網(wǎng)站的目標是誘騙那些沒有信用卡而需要使用本地支付系統(tǒng)boletos的人:
釣魚攻擊一般都是以低價作為誘餌。真正的開幕式門票就需要500美元,而這里的巴西國家足球隊的比賽只需50美元。當(dāng)然,這一切都是假的:
觀看巴西國家足球隊的比賽只需50美元
社交網(wǎng)絡(luò)也是網(wǎng)絡(luò)犯罪分子傳播攻擊的手段,F(xiàn)ACEBOOK是最好的攻擊溫床,如聲稱贈票的欺詐網(wǎng)頁:
如果你想去看奧運會而又錯過官方渠道購票,我們不建議你通過非官方市場購買,因為這可能會讓你遭受損失。為確保你不被上當(dāng)受騙,最好還是在家通過電視或網(wǎng)絡(luò)觀看比賽,但要當(dāng)心那些惡意的流媒體網(wǎng)站,因為他們也有可能被網(wǎng)絡(luò)犯罪份子利用而感染你的電腦獲取你的信息。
WIFI 安全
當(dāng)我們在外旅行時,我們訪問互聯(lián)網(wǎng)絡(luò)以保持隨時在線,發(fā)推特,更新狀態(tài)或分享圖片。然而,相對于WIFI熱點來說,國際漫游數(shù)據(jù)傳輸費用是非常昂貴的,而網(wǎng)絡(luò)犯罪分子每年都會設(shè)立假冒WIFI接入點或入侵合法的WiFi網(wǎng)絡(luò)攔截或獲取用戶的上網(wǎng)數(shù)據(jù)。他們的攻擊重點是用戶的密碼、信用卡和其他敏感個人信息。開放和配置錯誤的WiFi網(wǎng)絡(luò)都是網(wǎng)絡(luò)犯罪的首選。
為了識別巴西的WIFI安全問題,我們駕車前往奧運會三個主要區(qū)域和游客最可能停留的地方,如巴西奧委會大樓、奧林匹克公園和體育場等,以war-driving方式測試當(dāng)?shù)氐腤IFI熱點網(wǎng)絡(luò)。
美麗的海灘但并不安全的WIFI網(wǎng)絡(luò)
通過兩天多的快速識別,在上述地圖上有星標的地方附近,我們識別到了約4500個獨立接入點,其中大多數(shù)的網(wǎng)絡(luò)都是最新的802.11n標準:
這意味著,大多數(shù)無線接入點都可能是用來傳播多媒體流信號的,這需要達到600Mbps的傳輸速度,工作頻率可能在2.4GHz、2.5GHz 甚至是5GHz。
然而,安全方面,在這些所有可用的WiFi網(wǎng)絡(luò)中,18%是不安全和開放連接的,這意味著,使用這樣的網(wǎng)絡(luò)其所有數(shù)據(jù)都不受加密方式保護。
另外,我們可以看到,有7%的網(wǎng)絡(luò)是WPA加密方式,這種算法實際上是過時的,這也是我們擔(dān)心的,當(dāng)用戶接入他們所認為的“可信”的網(wǎng)絡(luò)熱點之后,其實,這些網(wǎng)絡(luò)是可被攻擊者輕而易舉攻破的。
所以,在奧運會場館周邊的WIFI網(wǎng)絡(luò)中,約有1/4是不安全或配置弱加密協(xié)議的,攻擊者可以先攻破網(wǎng)絡(luò),然后建立技術(shù)環(huán)境進一步嗅探或竊取用戶敏感信息。
有沒有連接公共WIFI網(wǎng)絡(luò)的安全方式?答案是除非你使用VPN方式連接網(wǎng)絡(luò)。
我們推薦你在外或旅游時使用VPN連接WIFI網(wǎng)絡(luò),因為這種方式下你的終端數(shù)據(jù)是通過加密通道傳輸?shù)?,這樣,即使你從一個被攻破的WiFi熱點訪問網(wǎng)絡(luò),攻擊者也不可能截獲到你的個人信息。
然而并不是所有的VPN服務(wù)提供商都是安全的,它們中的一些可能存在DNS泄露漏洞。這就意味著即使你通過VPN發(fā)送即時數(shù)據(jù),您從WIFI硬件接入點到DNS服務(wù)器之間的查詢或請求記錄都是純文本格式,之后,攻擊者至少可以知道你正在瀏覽什么信息,如果他攻破了WIFI網(wǎng)絡(luò)之后,通過設(shè)置虛假DNS服務(wù)器,就可以讓你的瀏覽網(wǎng)站指向惡意網(wǎng)站。在此情景下,即使是一些很謹慎的用戶也可能成為受害者,因為當(dāng)攻擊者控制了你的DNS服務(wù)器之后其危害程度是不可想象的。
所以,在建立VPN連接之前,請確保它不存在DNS泄露問題,如果你的VPN提供商不提供DNS服務(wù)器,你或許應(yīng)該考慮更換其它VPN提供商或DNSCrypt服務(wù),以保證你的DNS請求是安全加密的。請記住,往往一個小的安全問題可能會引起大的安全隱患。
一個簡單的原則是:使用提供DNS服務(wù)器的VPN連接網(wǎng)絡(luò),在不確定你的WiFi接入網(wǎng)絡(luò)是否安全情況下不要相信和使用任何本地網(wǎng)絡(luò)。
物理安全
在外出旅行時需要警惕另一點是物理安全問題。犯罪分子經(jīng)常使用一些極具技巧性的讓你意想不到的惡意攻擊。讓我們來看看一些常見的攻擊場景:
USB充電口
如前所述,旅行時使用手機必備的,為幫助游客保持手機充足的電量,大多數(shù)城市都在購物中心、機場和出租車上設(shè)置了充電點,這些充電接口提供了大多數(shù)手機型號的USB充電連接器。
巴西出租車內(nèi)提供的充電口
一些商場和機場也提供傳統(tǒng)的充電接口。
然而,通過USB連接線,攻擊者可以執(zhí)行命令以獲取設(shè)備的型號、IMEI信息、電話號碼和電池狀態(tài)等。有了這些信息,就可以發(fā)起有針對性的手機攻擊,達到感染設(shè)備和收集個人信息的目的。
記住以下三點安全規(guī)則,出門在外時,我們就可以避免攻擊,放心地給手機充電:
(1)使用你自己的充電器,避免使用從未知渠道購買的充電器;
(2)盡量使用電源插座充電,不使用未知的USB接口充電;
(3)不要使用公共充電點的充電接線。
ATM skimmer (ATM信息竊取器)
ATM信息竊取器 (skimmer)攻擊,仍然是由巴西犯罪分子經(jīng)常使用的流行攻擊手段,在其它拉丁美洲國家也被稱為“Chupa Cabra”攻擊,
巴西犯罪團伙主要在游客集中的地方使用這種攻擊,如里約國際機場,2014年一個犯罪團伙就曾在那兒的14臺ATM機上安裝了信息竊取器(skimmer)。在巴西有不同類型的ATM信息竊取器,最常見的一種就是通過信息讀取器配合隱形攝像頭盜取用戶銀行卡數(shù)據(jù)。
安裝了隱形攝像頭的ATM 信息竊取器
如果是這種類型的ATM信息竊取器,你在輸入密碼時可以用手遮擋鍵盤,避免密碼被安裝的隱藏攝像機記錄。
但是,當(dāng)犯罪分子更換了包括鍵盤和屏幕在內(nèi)的整臺ATM機之后,這種方法也許就不適用了,此時,鍵入的密碼將被存儲在假的ATM機系統(tǒng)上。
替換了整臺ATM機器的Skimmer
為了避免這種類型的攻擊,重要的是在使用ATM機要注意其可疑行為。
(1) 檢查插卡口的綠燈是否常亮。通常犯罪分子會用沒有光亮的讀卡器來取代;
(2)在開始交易之前,檢查ATM機上是否有丟失或損壞的可疑部件;
(3)遮擋鍵盤鍵入密碼。
信用卡克隆
巴西的信用卡克隆犯罪活動非常猖獗,在當(dāng)?shù)芈眯袝r,很容易就可以獲取到一些個人信用卡信息進行克隆犯罪,因為信用卡和借記卡在巴西被廣泛使用,幾乎所有地方都接受信用卡付款方式,包括街頭小販。事實上,為避免找零,他們大多數(shù)人更喜歡信用卡付款。
為了打擊信用卡克隆,巴西銀行采用了先進的芯片技術(shù),使信用卡克隆變得越來越難。然而,對于巴西網(wǎng)絡(luò)犯罪分子來說,這可能只是時間問題,他們會找到EMV支付標準的交易漏洞來克隆芯片卡。
以下就是巴西網(wǎng)絡(luò)犯罪分子利用工具對信用卡數(shù)據(jù)進行提取并寫入到另外一張卡的示例:
用來提取和寫入信用卡信息的工具
這種類型的攻擊很難避免,因為一些銷售點的終端交易設(shè)備被修改之后就可以收集信用卡信息,有時,停止甚至不需物理接觸就可通過藍牙被提取數(shù)據(jù)。
銀行推薦的解決方法是你的每筆交易最好有短信提醒。即使它不能避免卡被非法克隆,但也能在欺詐交易發(fā)生時及時通知,之后與銀行聯(lián)系,阻止進一步的非法交易。
為了減少你的卡被克隆的機會,有一些簡單的步驟:
(1) 永遠不要把你的卡交給銷售人員。如果某些原因,他們不能把付款機給你,你也必須親自去付款;
(2) 如果付款機器看起來可疑,請改變付款方式;
(3) 在鍵入PIN碼前請確認你在使用正確的付款屏幕,而且PIN碼不會顯示在屏幕上。
希望每位去巴西觀看奧運會的觀眾能有一個安全愉快的旅行,看到這篇文章的讀者能有一個安全上網(wǎng)的好習(xí)慣。
*翻譯自 securelist,本文譯者:clouds,轉(zhuǎn)載須注明來自FreeBuf黑客與極客(FreeBuf.COM)