你打算在2016年奥运会期间去巴西吗?或者在网上观看比赛?在这篇文章中,我们针对那些前往巴西观看奥运会的游客和计划在线观看比赛的观众,讨论了他们可能面临的信息安全威胁。
显然,奥运会主题对那些网络“坏家伙”来说是非常有吸引力的。网络犯罪分子经常利用大众体育活动作为他们攻击的诱饵,就像在2014巴西世界杯期间曾发生的网络攻击事件,经过我们严密监控发现,当时记录在案的攻击令人印象深刻。
但即将到来的里约奥运会有点不同,与巴西世界杯期间相比,网络攻击事件目前来说相对较少,主要原因在于国际奥委会组建了一个应对处理网络攻击、报告钓鱼网站和恶意软件的安全运营中心(SOC),因此,在这个时候针对用户的“野生”或零碎攻击数量相对较低。
然而,网络犯罪份子一旦开始创建攻击以后是没有限度的。但我们能够跟踪和阻止其中的一些,如恶意域名注册、社交网络假赠品促销、网站销售假票等用一切可能的方法来欺骗用户的事件。
大多数的恶意攻击都是从注册域名开始的。自今年年初以来,我们监测了用举办地城市为名称注册的新域名,实际上,我们发现网络犯罪份子自攻击开始就持续不断地注册新域名。我们的黑名单中包括230多个恶意域名。
这些恶意域名注册者通过使用免费邮箱帐户或其它域名信息以隐藏真实身份。其中一些域名一直处于“冬眠”状态,以等待合适的时机发起攻击(尤其是那些流量攻击)。
其它攻击方式包括使用假冒电子商务网站销售门票,主机托管网络钓鱼、恶意软件,甚至用来传播假赠票。有趣的是,我们掌握的恶意域名中有一些是经过ICANN(互联网名称与数字地址分配机构)认证的顶级域名(gTLD)。
网络钓鱼攻击的目标不仅是最终用户,奥运会员工也有可能是犯罪份子有针对性的攻击目标。在今年二月,我们发现了一个非常有趣的有针对性的攻击活动。
在我们的域名监控系统中,发现了一个使用恶意域名伪装成国际奥委会内网门户的网站,袭击者的目的是窃取在巴西工作的国际奥委会雇员的认证信息。这个假冒网站是我们监测到的其中一个,它在可访问状态下是这样的:
针对国际奥委会雇员进行的钓鱼攻击
最常见而最简单的攻击是为了诱骗最终用户,窃取私人信息的钓鱼攻击。钓鱼欺骗通常在各种颜色和外观掩藏下有着不同的目的,这是一例承诺赠送新车和奥运门票为幌子而达到窃取用户信用卡数据的钓鱼攻击:
以赠票和赠车为诱饵的钓鱼链接
就像在上届世界杯期间,巴西网络犯罪份子以免费门票为诱饵发送恶意电子邮件,这些邮件中的链接直接指向钓鱼网站。以下就是一例很有欺骗性的钓鱼攻击,网站声称不需到官方售票点购票而可直接在线售票出票:
声称可以在线购票的钓鱼网站
其他虚假网站以低价吸引那些想在比赛最后时刻购票的人们,这个网站就是以巴西人为目标但是用蹩脚的葡萄牙语创建的,这个网站的目标是诱骗那些没有信用卡而需要使用本地支付系统boletos的人:
钓鱼攻击一般都是以低价作为诱饵。真正的开幕式门票就需要500美元,而这里的巴西国家足球队的比赛只需50美元。当然,这一切都是假的:
观看巴西国家足球队的比赛只需50美元
社交网络也是网络犯罪分子传播攻击的手段,FACEBOOK是最好的攻击温床,如声称赠票的欺诈网页:
如果你想去看奥运会而又错过官方渠道购票,我们不建议你通过非官方市场购买,因为这可能会让你遭受损失。为确保你不被上当受骗,最好还是在家通过电视或网络观看比赛,但要当心那些恶意的流媒体网站,因为他们也有可能被网络犯罪份子利用而感染你的电脑获取你的信息。
当我们在外旅行时,我们访问互联网络以保持随时在线,发推特,更新状态或分享图片。然而,相对于WIFI热点来说,国际漫游数据传输费用是非常昂贵的,而网络犯罪分子每年都会设立假冒WIFI接入点或入侵合法的WiFi网络拦截或获取用户的上网数据。
他们的攻击重点是用户的密码、信用卡和其他敏感个人信息。开放和配置错误的WiFi网络都是网络犯罪的首选。
为了识别巴西的WIFI安全问题,我们驾车前往奥运会三个主要区域和游客最可能停留的地方,如巴西奥委会大楼、奥林匹克公园和体育场等,以war-driving方式测试当地的WIFI热点网络。
美丽的海滩但并不安全的WIFI网络
通过两天多的快速识别,在上述地图上有星标的地方附近,我们识别到了约4500个独立接入点,其中大多数的网络都是最新的802.11n标准:
这意味着,大多数无线接入点都可能是用来传播多媒体流信号的,这需要达到600Mbps的传输速度,工作频率可能在2.4GHz、2.5GHz 甚至是5GHz。
然而,安全方面,在这些所有可用的WiFi网络中,18%是不安全和开放连接的,这意味着,使用这样的网络其所有数据都不受加密方式保护。
另外,我们可以看到,有7%的网络是WPA加密方式,这种算法实际上是过时的,这也是我们担心的,当用户接入他们所认为的“可信”的网络热点之后,其实,这些网络是可被攻击者轻而易举攻破的。
所以,在奥运会场馆周边的WIFI网络中,约有1/4是不安全或配置弱加密协议的,攻击者可以先攻破网络,然后建立技术环境进一步嗅探或窃取用户敏感信息。
有没有连接公共WIFI网络的安全方式?答案是除非你使用V**方式连接网络。
我们推荐你在外或旅游时使用V**连接WIFI网络,因为这种方式下你的终端数据是通过加密通道传输的,这样,即使你从一个被攻破的WiFi热点访问网络,攻击者也不可能截获到你的个人信息。
然而并不是所有的V**服务提供商都是安全的,它们中的一些可能存在DNS泄露漏洞。这就意味着即使你通过V**发送即时数据,您从WIFI硬件接入点到DNS服务器之间的查询或请求记录都是纯文本格式。
之后,攻击者至少可以知道你正在浏览什么信息,如果他攻破了WIFI网络之后,通过设置虚假DNS服务器,就可以让你的浏览网站指向恶意网站。在此情景下,即使是一些很谨慎的用户也可能成为受害者,因为当攻击者控制了你的DNS服务器之后其危害程度是不可想象的。
所以,在建立V**连接之前,请确保它不存在DNS泄露问题,如果你的V**提供商不提供DNS服务器,你或许应该考虑更换其它V**提供商或DNSCrypt服务,以保证你的DNS请求是安全加密的。请记住,往往一个小的安全问题可能会引起大的安全隐患。
一个简单的原则是:使用提供DNS服务器的V**连接网络,在不确定你的WiFi接入网络是否安全情况下不要相信和使用任何本地网络。
在外出旅行时需要警惕另一点是物理安全问题。犯罪分子经常使用一些极具技巧性的让你意想不到的恶意攻击。让我们来看看一些常见的攻击场景:
如前所述,旅行时使用手机必备的,为帮助游客保持手机充足的电量,大多数城市都在购物中心、机场和出租车上设置了充电点,这些充电接口提供了大多数手机型号的USB充电连接器。
巴西出租车内提供的充电口
一些商场和机场也提供传统的充电接口。
然而,通过USB连接线,攻击者可以执行命令以获取设备的型号、IMEI信息、电话号码和电池状态等。有了这些信息,就可以发起有针对性的手机攻击,达到感染设备和收集个人信息的目的。
记住以下三点安全规则,出门在外时,我们就可以避免攻击,放心地给手机充电:
(1)使用你自己的充电器,避免使用从未知渠道购买的充电器; (2)尽量使用电源插座充电,不使用未知的USB接口充电; (3)不要使用公共充电点的充电接线。
ATM信息窃取器 (skimmer)攻击,仍然是由巴西犯罪分子经常使用的流行攻击手段,在其它拉丁美洲国家也被称为“Chupa Cabra”攻击,
巴西犯罪团伙主要在游客集中的地方使用这种攻击,如里约国际机场,2014年一个犯罪团伙就曾在那儿的14台ATM机上安装了信息窃取器(skimmer)。在巴西有不同类型的ATM信息窃取器,最常见的一种就是通过信息读取器配合隐形摄像头盗取用户银行卡数据。
安装了隐形摄像头的ATM 信息窃取器
如果是这种类型的ATM信息窃取器,你在输入密码时可以用手遮挡键盘,避免密码被安装的隐藏摄像机记录。
但是,当犯罪分子更换了包括键盘和屏幕在内的整台ATM机之后,这种方法也许就不适用了,此时,键入的密码将被存储在假的ATM机系统上。
替换了整台ATM机器的Skimmer
为了避免这种类型的攻击,重要的是在使用ATM机要注意其可疑行为。
(1)检查插卡口的绿灯是否常亮。通常犯罪分子会用没有光亮的读卡器来取代; (2)在开始交易之前,检查ATM机上是否有丢失或损坏的可疑部件; (3)遮挡键盘键入密码。
巴西的信用卡克隆犯罪活动非常猖獗,在当地旅行时,很容易就可以获取到一些个人信用卡信息进行克隆犯罪,因为信用卡和借记卡在巴西被广泛使用,几乎所有地方都接受信用卡付款方式,包括街头小贩。事实上,为避免找零,他们大多数人更喜欢信用卡付款。
为了打击信用卡克隆,巴西银行采用了先进的芯片技术,使信用卡克隆变得越来越难。然而,对于巴西网络犯罪分子来说,这可能只是时间问题,他们会找到EMV支付标准的交易漏洞来克隆芯片卡。
以下就是巴西网络犯罪分子利用工具对信用卡数据进行提取并写入到另外一张卡的示例:
用来提取和写入信用卡信息的工具
这种类型的攻击很难避免,因为一些销售点的终端交易设备被修改之后就可以收集信用卡信息,有时,停止甚至不需物理接触就可通过蓝牙被提取数据。
银行推荐的解决方法是你的每笔交易最好有短信提醒。即使它不能避免卡被非法克隆,但也能在欺诈交易发生时及时通知,之后与银行联系,阻止进一步的非法交易。
为了减少你的卡被克隆的机会,有一些简单的步骤:
(1) 永远不要把你的卡交给销售人员。如果某些原因,他们不能把付款机给你,你也必须亲自去付款; (2) 如果付款机器看起来可疑,请改变付款方式; (3) 在键入PIN码前请确认你在使用正确的付款屏幕,而且PIN码不会显示在屏幕上。
希望每位去巴西观看奥运会的观众能有一个安全愉快的旅行,看到这篇文章的读者能有一个安全上网的好习惯。
*翻译自 securelist,本文译者:clouds,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)