網絡悍匪劫持巴西網銀長(cháng)達5小時，數百萬用戶中招

傳統的網上銀行劫持和現實中的銀行搶劫并沒(méi)有多大的區别。匪徒闖進(jìn)銀行，搶走财物，再離開(kāi)銀行。但是，就是有這(zhè)樣(yàng)一個黑客組織不走尋常路，他們劫持了一家巴西銀行的DNS并將(jiāng)所有的網上銀行業務指向(xiàng)僞造的頁面(miàn)，從中獲取受害者的信用卡信息。

2016年10月22日，這(zhè)夥犯罪分子在3個月的精心準備之下，成(chéng)功控制一家巴西銀行所有業務長(cháng)達5個小時。該銀行的36個域名，企業郵箱和DNS全體淪陷。這(zhè)家建立于20世紀早期的銀行在巴西、美國(guó)、阿根廷和大開(kāi)曼擁有500個分行 ，總計擁有500萬用戶和250億美元資産。

卡巴斯基實驗室的研究人員 Fabio Assolini 和 Dmitry Bestuzhev 發(fā)現，這(zhè)夥網絡犯罪分子已經(jīng)將(jiāng)同樣(yàng)的手段炮制到全球範圍内的另九家銀行，但他們并未透露是哪家銀行遭遇了攻擊。

在研究初期，此次攻擊看上去就是普通的網站劫持，但是兩(liǎng)位研究者發(fā)現事(shì)情并沒(méi)有這(zhè)麼(me)簡單。他們認爲犯罪分子使用的攻擊很複雜，并不隻是單純的釣魚。攻擊者用上了有效的SSL數據證書，并且還(hái)用Google Cloud來提供欺詐銀行服務支持。攻擊的5小時裡(lǐ)發(fā)生了什麼(me)事(shì)情？

10月22日下午1時，巴西的一家銀行網站受到攻擊，持續了5個小時。黑客入侵銀行站點的方式是：控制這(zhè)家銀行的DNS賬戶，這(zhè)樣(yàng)就能(néng)將(jiāng)客戶導向(xiàng)欺詐網站了。研究人員表示，黑客入侵了這(zhè)家銀行的DNS提供商Registro.br。但黑客具體是怎麼(me)做到的，目前還(hái)不清楚。

DNS提供商Registro.br今年1月份的時候曾修複過(guò)一個CSRF漏洞，研究人員認爲攻擊者可能(néng)利用了這(zhè)一漏洞——但也可能(néng)是采用向(xiàng)該提供商發(fā)送魚叉式釣魚郵件來滲透。

Bestuzhev說：

每一個訪問該銀行網站的人都(dōu)會獲得一個内含JAR文件的插件，而犯罪分子早已掌握了網站索引文件的控制權。他們可以利用iframe框架將(jiāng)用戶重定向(xiàng)到一個提前設好(hǎo)惡意軟件的網站。