破解“黑色產(chǎn)業(yè)”謎題

安.約翰遜

如今，數(shù)據(jù)交易的黑色產(chǎn)業(yè)鏈日臻成熟。發(fā)掘漏洞、根據(jù)漏洞開發(fā)針對性的入侵工具、銷售入侵工具、刷庫洗庫、圍繞數(shù)據(jù)庫展開的釣魚詐騙等等環(huán)節(jié)，都在巨大利益的驅(qū)使下，得到了越來越明確和完善的分工。現(xiàn)在的惡意軟件、網(wǎng)絡(luò)欺詐和更多的身份盜竊，比以往任何時(shí)候都多，而且現(xiàn)今的威脅是持久性、動(dòng)態(tài)和智能的，因此從普通消費(fèi)者到企業(yè)的每一個(gè)人都處在更大的風(fēng)險(xiǎn)之中。

整體畫面凄涼

如今的網(wǎng)絡(luò)威脅更加高級(jí)、更具持續(xù)性、更加隱匿，忽視這一問題意味著企業(yè)將面臨著威脅破壞的風(fēng)險(xiǎn)。近一年，“高級(jí)持續(xù)性威脅”就讓很多企業(yè)吃了苦頭，這是指普通的安全措施無法防范的、特意針對企業(yè)的攻擊。與此同時(shí)，全新的渠道給攻擊打開了更多大門，包括移動(dòng)和社交媒體。統(tǒng)計(jì)數(shù)據(jù)描繪出一幅凄涼的畫面：

在2012年的前三個(gè)月，共確定超過600萬個(gè)獨(dú)特的惡意軟件樣本；

全球范圍內(nèi)受感染電腦的平均數(shù)字是35.51％；

2011年，58%的被盜數(shù)據(jù)是被黑客行為主義者竊取的；

截止至2012年6月，Android惡意應(yīng)用程序的數(shù)量躥升到超過25,000。

以網(wǎng)絡(luò)釣魚為例，它通過社交工程體系偽裝成合法的商業(yè)及代理人身份來使用詐騙電子郵件，意圖將消費(fèi)者引導(dǎo)至假冒的網(wǎng)站，以欺騙收件人泄露財(cái)務(wù)數(shù)據(jù)，如用戶名和密碼。

APWG（反釣魚工作小組）在2月份一個(gè)月內(nèi)發(fā)現(xiàn)的獨(dú)一無二的釣魚網(wǎng)站的數(shù)量便達(dá)到56,859個(gè)，這個(gè)數(shù)字達(dá)到了歷史新高；金融服務(wù)業(yè)仍然是2012年第1季度最易受攻擊的行業(yè)部門；全球范圍內(nèi)被感染的個(gè)人電腦的平均數(shù)量達(dá)35.51%；中國繼續(xù)成為最易受到影響的國家（被感染的個(gè)人電腦比率達(dá)54.10%）；在2012年的最初三個(gè)月內(nèi)，有600多萬個(gè)獨(dú)一無二的惡意軟件案例被識(shí)別出來；美國仍然是網(wǎng)絡(luò)釣魚式特洛伊木馬站點(diǎn)占前幾位的國家。

欺詐的創(chuàng)新之作

消費(fèi)者欺詐中的最新創(chuàng)新稱之為FaaS（欺詐即服務(wù)）。欺詐者不再必須成為技術(shù)精湛的黑客，他們只需在黑市上購買自動(dòng)化的工具包、僵尸網(wǎng)絡(luò)和木馬即可。FaaS是一種商業(yè)模式，一種網(wǎng)絡(luò)犯罪分子用以有效、方便、快捷地批量出售現(xiàn)有欺詐商品的方式；或者根據(jù)其客戶要求進(jìn)行定制。如今它獲得了長足的發(fā)展，實(shí)現(xiàn)了自動(dòng)化，并且欺詐商品迅速走向供應(yīng)鏈管理模式的現(xiàn)行趨勢，本身并不是什么新事物。目前來看，這種網(wǎng)絡(luò)欺詐現(xiàn)象的質(zhì)量和數(shù)量將會(huì)持續(xù)增長。

最新的FaaS出現(xiàn)了“雇傭中間人”現(xiàn)象。它是由一名將其基礎(chǔ)設(shè)施用于短暫租用的俄語會(huì)員發(fā)布的，同時(shí)還有自己作為中間人服務(wù)商的服務(wù)。這名僵尸網(wǎng)絡(luò)操控者向那些無需任何設(shè)置就可以進(jìn)行木馬攻擊的客戶收取一定的費(fèi)用。

以下是復(fù)雜的套現(xiàn)流程的例子，從獲取受侵害網(wǎng)上銀行憑證開始，到真實(shí)世界中的套現(xiàn)結(jié)束：

首先，欺詐者尋找受侵害的網(wǎng)上銀行憑證。較簡單的選擇是：從一家俄羅斯供應(yīng)商那里購買木馬日志；或從一家論壇供應(yīng)商那里購買個(gè)人憑證集；或在一家羅馬尼亞的CC商店上進(jìn)行注冊，并批量購買憑證。而比較高級(jí)的選擇是：從一家烏克蘭基礎(chǔ)設(shè)施供應(yīng)商那里購買現(xiàn)成的僵尸網(wǎng)絡(luò)；從一個(gè)開發(fā)團(tuán)隊(duì)那里購買木馬工具包。

憑證獲取到之后下一步做什么？是時(shí)候進(jìn)行欺詐交易了，但如何套現(xiàn)呢？首先還是更基本的選擇：尋找能夠提供卸放賬戶的人；使用錢騾牧人服務(wù)；使用木馬實(shí)現(xiàn)自動(dòng)化的MITB交易，通過網(wǎng)上錢騾小組完成套現(xiàn)。而更高級(jí)的選擇是：設(shè)立錢騾招聘活動(dòng)；與那些能夠提供實(shí)際套現(xiàn)的欺詐團(tuán)伙（錢騾和“套現(xiàn)人員”）合作。

今天，欺詐產(chǎn)品的商業(yè)化已經(jīng)大大降低了門檻，以空前低廉的成本將欺詐工具帶到了普通欺詐者手中。一個(gè)經(jīng)營更好的網(wǎng)絡(luò)犯罪市場，就像現(xiàn)實(shí)世界中的有組織犯罪一樣，憑借著其每年攫取的巨額利潤日益影響著世界經(jīng)濟(jì)。

轉(zhuǎn)向非金融信息

在電子商務(wù)和移動(dòng)安全領(lǐng)域，最近半年發(fā)生過許多典型數(shù)據(jù)泄漏事件。欺詐者現(xiàn)在正試圖捕獲非金融信息，像政府，企業(yè)競爭對手，其他欺詐者（例如，用于保險(xiǎn)賬單詐騙的醫(yī)療記錄）存在著一個(gè)蓬勃發(fā)展的市場。之前，F(xiàn)acebk和LinkedIn賬戶在黑市上出售，每個(gè)賬戶的售價(jià)取決于受害者的“朋友”或“聯(lián)系人”數(shù)量。整機(jī)來看，黑市在結(jié)構(gòu)和分工方面模仿著開放市場。例如，許多犯罪分子與“業(yè)務(wù)人員”或金融人士互相勾結(jié)，幫助通過錢騾套現(xiàn)。

在這些數(shù)據(jù)泄漏事件中， 欺詐者利用非金融數(shù)據(jù)獲利的例子包括:公用事業(yè)賬單，收集個(gè)人身份信息（PII），用以方便身份盜用來開設(shè)新的銀行賬戶或獲取個(gè)人貸款；醫(yī)療記錄，將病人數(shù)據(jù)庫售賣給律師事務(wù)所或騙取保險(xiǎn)賬單；可用來訪問銀行和其他賬戶的用戶名和密碼；出售給競爭對手的商業(yè)機(jī)密。

因此，消費(fèi)者更多地暴露于威脅之中，因?yàn)樵诰W(wǎng)上和企業(yè)數(shù)據(jù)庫中可以獲取有關(guān)他們的豐富信息。所以消費(fèi)者必須要考慮兩個(gè)方面的信息暴露：個(gè)人（或他們自己的信息安全行為）和組織（或與之共享個(gè)人信息的組織采用的強(qiáng)有力信息安全實(shí)踐到了何種程度）。

如何有效應(yīng)對挑戰(zhàn)

針對當(dāng)前的安全形勢，消費(fèi)者、信息所有者、企業(yè)機(jī)構(gòu)等該如何應(yīng)對？

從消費(fèi)者來看，首先需要有良好的密碼實(shí)踐（例如，多個(gè)賬戶不使用相同的密碼，經(jīng)常重置密碼）。其次，確保您與之交換個(gè)人信息的組織采取了良好的信息安全實(shí)踐（例如，使用強(qiáng)身份驗(yàn)證方法，進(jìn)行積極主動(dòng)的欺詐檢測，設(shè)有交易監(jiān)控解決方案）。

對于信息所有者，企業(yè)及組織來講：首先，需要設(shè)立層次化的防御措施。單一的身份認(rèn)證方法不再足夠，多種身份認(rèn)證方法和交易監(jiān)測是必不可少的。其次，使用基于風(fēng)險(xiǎn)的監(jiān)測和認(rèn)證標(biāo)準(zhǔn)，客戶向已有的收款人轉(zhuǎn)賬100美元，和試圖向一分鐘前添加的收款人轉(zhuǎn)賬1000美元是兩種不同的情形。還有，保護(hù)多種渠道（網(wǎng)絡(luò)，移動(dòng)電話）。實(shí)施能夠在安全性與良好用戶體驗(yàn)之間取得平衡的技術(shù)和政策。以及了解數(shù)據(jù)的價(jià)值，這樣就可以實(shí)施適合于這個(gè)價(jià)值的安全措施。最后，在每1.2秒就會(huì)產(chǎn)生一個(gè)新興威脅的情形下，我們幾乎不可能密切關(guān)注所有的威脅。“假設(shè)您已經(jīng)被破壞”，現(xiàn)在怎么辦？欺詐者絕不會(huì)罷手，并且會(huì)繼續(xù)肆虐。應(yīng)該將重點(diǎn)專注于風(fēng)險(xiǎn)緩解，并設(shè)立政策和程序，以消解成功攻擊的影響。

六大舉措來破解

有哪些相對理想的解決方案，可以用來破解電子商務(wù)和移動(dòng)領(lǐng)域日益猖獗的安全問題呢。目前來看，可以重點(diǎn)關(guān)注和實(shí)施以下六方面舉措：

自適應(yīng)身份認(rèn)證方法：“一刀切”的身份認(rèn)證太容易被規(guī)避。基于風(fēng)險(xiǎn)水平（不是所有的交易都是一樣的！）、體制政策和客戶細(xì)分對用戶活動(dòng)進(jìn)行監(jiān)控和認(rèn)證已經(jīng)越發(fā)的普遍，并將很快成為身份認(rèn)證事實(shí)上的標(biāo)準(zhǔn)

主動(dòng)安全：而不是簡單地應(yīng)對攻擊，通過積極監(jiān)控新的網(wǎng)絡(luò)釣魚和木馬攻擊的威脅態(tài)勢，組織將在最大限度上降低他們成為受害者的機(jī)會(huì)

保護(hù)所有數(shù)據(jù)：組織將被迫采取解決方案以保護(hù)所有的公司數(shù)據(jù)資產(chǎn)，而不僅僅是金融信息。這將涉及增強(qiáng)的訪問管理，以及包括“帶外”認(rèn)證在內(nèi)的身份認(rèn)證技術(shù)（例如，通過短信接收動(dòng)態(tài)密碼，以在電腦上對交易進(jìn)行認(rèn)證）

替代渠道：智能手機(jī)和平板電腦使用的巨幅增長，將需要專門為這些渠道設(shè)計(jì)的安全解決方案。出現(xiàn)了大量的希望解決這一細(xì)分市場的創(chuàng)業(yè)公司。但是那些知名的安全組織更有可能在這一領(lǐng)域取得成功，因?yàn)樗麄兞私馄墼p生態(tài)系統(tǒng)，并有擁有開發(fā)有效解決方案的必要資源

“群體貢獻(xiàn)”的安全情報(bào)：越來越復(fù)雜的威脅將會(huì)持續(xù)實(shí)時(shí)地出現(xiàn)，而個(gè)體的組織將仍無法跟上其步伐。組織之間的信息共享將是遏止這些欺詐者至關(guān)重要的手段

消費(fèi)者/員工教育：最終用戶也許是數(shù)據(jù)安全最持久的威脅之一。即使是最先進(jìn)的安全設(shè)備，都無法保護(hù)自愿放棄密碼的最終用戶。教育工作需要進(jìn)一步發(fā)展，就像他們要緩解的網(wǎng)絡(luò)威脅一樣。

（作者是RSA, EMC信息安全事業(yè)部全球副總裁）