一位银行内部人员考察了个性化钓鱼攻击与随后很快发生的CardSystems公司被黑事件之间的联系。不要错过他揭示的两者之间的联系以及钓鱼者真正需要的是什么。
也许你在今年5月份开始流行个性化钓鱼攻击的时候就听说了这种攻击。在个性化钓鱼攻击中,真正的信用卡数据被用来引诱消费者提供更多的秘密。但是,在这个消息在6月份公开之前,你知道这些诈骗活动很可能是CardSystems公司的安全突破事件在外部可以看到的第一个结果吗?
作为银行业的IT编辑,这就是我认真跟踪一系列事件并且对两个表面上毫不相关的事件进行推理之后得出的结论。
让我们从今年春季说起。当时,Cyota公司在其客户报告受到了个性化的钓鱼攻击之后发布了如下消息:
2005年5月16日纽约消息,金融行业反诈骗和在线安全解决方案提供商Cyota发现一种危险的新的钓鱼攻击。Cyota把这种攻击称作是“个性化钓鱼攻击”。在这种攻击中,有组织的犯罪团伙使用盗窃来的真正的信息针对账户持有者名字实施攻击,引诱用户泄漏额外的敏感信息。
Cyota解释说,这个攻击的来源很难确定,因为这种“个性化钓鱼攻击”非常广泛,影响到该公司管理的许多机构,并不仅仅是一家被黑客攻破的机构。你也许会问自己,“个性化钓鱼攻击有什么不同?”。我可以肯定地推测,你看到的大部分内容与传统的钓鱼攻击都很相似,那一直是最基础的东西。选择一个目标(eBay, PayPal, 花旗银行),发送500万封电子邮件,邮件说,“亲爱的PayPal用户,你的账号需要中心启动...”,然后等待容易上当的用户点击你的电子邮件上的链接,这样,你就可以窃取他们的信息了。
新的钓鱼攻击欺骗性更强。这种电子邮件是这样写的:“亲爱的Donald,你的银行账号1234-5678-9012-3456在5月5日过期,由于安全的原因,你的账号已经被停用了。我们希望你用一些时间访问我们的网站以便启动你的账号。为了你的方便,特提供一个链接。这个银行信息完全是正确和准确的,可能会导致读到这个信息的人相信这封电子邮件是他们的金融机构发来的。
在SearchSecurity网站发表有关这个话题的文章的同一天,新的钓鱼攻击变得个性化了。在写这篇文章之前,这篇文章的作者给我打来电话,深入讨论了钓鱼攻击的问题。我们不能理解钓鱼诈骗的原因。Cyota公司表示,黑客正在设法增加现有的偷窃的凭证的列表。使我们感到困惑的是什么信息缺失了。换句话说,为什么要进行钓鱼攻击?我想我知道那个答案:黑客需要社会保险号码。
接下来,在6月17日,爆发了一个重要新闻,CardSystems网络被突破造成4000多万信用卡号码被窃。我的第一个反应很简单,“哇,丢失的信用卡号太多了。” 作为一个银行家,我非常好奇并且继续关注这个事情的发展。正如事情后来发展的那样,有关方面对于谁发现了CardSystems公司的网络被突破存在不同意见。我们引用一下如下的新闻报道:
CardSystems解决方案公司发布新闻称,CardSystems在5月22日星期日发现了一起潜在的安全事件。5月23日星期一,CardSystems与美国联邦调查局进行了联系。万事达公司发布的新闻称,万事达信用卡国际公司的一组安全专家发现了CardSystems公司的安全突破事件。万事达的安全专家使用万事达反诈骗工具事先监视诈骗活动,发现了这个安全突破事件。调查发现了一个旨在获取CardSystems网络数据的脚本,很可能是由病毒放在那里的。
当我发现CardSystems公司已经在5月23日通知FBI这个安全突破事件的时候,我很激动。我想起了几个星期前的一次关于信用卡钓鱼诈骗活动的谈话。从那以后,我做出结论称,这两个事件是相关的。在我的记忆中,Cyota是这个故事中的英雄。作为一个勤奋的监视机构,Cyota观察和汇总不同来源和机构的钓鱼攻击。当Cyota意识到新的大规模攻击就要开始的时候,它用电子邮件把这个威胁通知了各个地方的用户。Cyota在电子邮件中称,“要格外小心,因为攻击者拥有了更具体的信息。” 这个新闻向大众披露,钓鱼攻击将使用私人信息。
所以,我知道,Cyota首先报告了这个问题。不是万事达公司,也不是CardSystems公司。人们不知道安全突破发生的具体位置,因为这是有权限的信息。但是,Cyota公司在新闻发布中说,诈骗分子使用偷窃来的真正的有关账号持有人的信息,如人名、电子邮件地址、正确完整的账户号码以及其它银行信息。因此,Cyota一定知道有人被黑了。
我要了解这些犯罪分子为什么还需要进行钓鱼攻击。但是,有一个事实是显而易见的。为了平息大众的忧虑,新闻报道一再强调说,对于身份证失窃不要太担心,因为数据库中没有用户的社会保险号码。现在,我知道了这个等式中缺少的一部分内容了。
对于出售信息的黑客来说,从CardSystems公司那里偷来的信息几乎就是黄金。CardSystems处理各种各样的信用卡交易,但是,我特别感兴趣的是该公司的互联网交易。想一下:你最后一次在任何地方的在线购物,也许是在Barnes & Noble或者是Joe's Coffee Shack和Recycled Paper Goods等商店,哪些信息是必要的?
·信用卡号码
·CVV(信用卡上的三个数码)
·过期时间
·电子邮件地址(供你收邮件的)
·发货地址
·持卡者姓名
·住址(如果与发货地址不同的话)
这个信息提供了Cyota公司解释的创建钓鱼攻击的电子邮件所需要的一切东西,不过只有一个例外。你的金融机构。然而,该公司被黑客攻破的是一个支付处理器。他们汇集了交割信息,并且把这些信息发送到你的金融机构。因此,他们的信息包含你的金融机构。狡诈的黑客利用已有的信息设计一个针对你个人的钓鱼攻击的电子邮件,然后发给你。虽然这个系统比传统的钓鱼攻击要慢一些,但是,结果却是非常值得的。
偷窃的信用卡号码在黑市上每个可以销售数百美元,根据卡的期限不同价格也有所不同。然而,在这个信息中增加一个社会保险号码,你就可以把这个信用卡交换的小生意变成一个个性化的身份证盗窃的大生意。有了社会保险号码,这些账号就成了以你的名义申请信用卡的那些人的假身份证。进入到钓鱼攻击的阴谋中,我原来的问题是“他们缺少什么信息?”或者“他们为什么需要实施钓鱼攻击?”。这个答案就是9位数的社会保险号码。
