黑客如何劫持银行的整个在线操作

传统的黑客银行模式与老式的偷窃方法没有什么不同。盗贼进来，得到货物，出去。有一个进取的黑客针对巴西银行似乎已经采取了更为全面和迂回的做法：一个周末的下午，他们改动所有银行的网上银行客户完全重建银行财产的属性，标志着乖乖地交出了他们的帐户信息。

周二安全公司卡巴斯基的研究人员介绍说，银行诈骗行为是空前的，一个基本上劫持了银行整个互联网的行为。卡巴斯基研究人员之一的德米特里·贝鲁佐夫（Dmitry Bestuzhev）说，“绝对所有的银行的在线操作都受到攻击者的控制，持续了五到六个小时。”他们在看到恶意软件感染客户之后，实时分析了这次攻击事件，从黑客的角度来看，正如Bestuzhev所说，DNS攻击意味着“你成为银行”。一切都属于你的了。“

DNS压力

卡巴斯基并未发布针对DNS重定向攻击的银行名称。但该公司表示，它是一家巴西主要金融公司，拥有数百家分行，在美国和开曼群岛拥有500万名客户，资产超过270亿美元。尽管卡巴斯基表示不了解这次攻击造成损失的全部程度，但它应该作为对各地银行的警告，以考虑其DNS的不安全如何使其核心数字资产的噩梦失去控制权。“这是对互联网的已知威胁，”Bestuzhev说。“但是我们从未见过这么大规模的被利用。”

域名系统DNS，或者，作为一个重要的协议的网络引擎下运行：它把域名中的字母数字字符（如谷歌.com）的IP地址（如74.125.236.195）表示计算机主机的网站或其他服务，代表实际位置在这些机器上托管网站或其他服务的电脑。但攻击这些记录可能会占用网站，或者更糟的是将其重定向到黑客选择的目的地。

例如，2013年，叙利亚电子军黑客组织改变了“纽约时报”的DNS注册，将访问者重定向到带有标志的页面。最近，在DNS提供商Dyn的未来僵尸网络攻击了主要网络，主要部分包括亚马逊，推特。

但巴西的银行攻击者则以更为关注和利润驱动的方式利用了受害者的DNS。卡巴斯基认为，攻击者破坏了该银行在Registro.br的账户。这是NIC.br的域名注册服务，网址为巴西.br顶级域名的网站注册商，他们也管理了该银行的DNS。

研究人员认为，随着访问，攻击者可以同时更改所有银行域名的注册，将其重定向到攻击者在谷歌云平台上建立的服务器。通过该域名劫持，访问银行网站网址的任何人都被重定向到相似的网站。这些网站甚至以银行名义发布了有效的HTTPS证书，以便访问者的浏览器会显示一个绿色锁定和银行名称，就像它们与真实网站一样。卡巴斯基发现，证书已在六个月前由非营利证书颁发机构发行，这使得获得HTTPS证书更容易。

“如果一个实体获得了对DNS的控制，从而获得对域的有效控制，那么该实体可能获得我们的证书，”我们加密创始人Josh Aas说。“这种发行不会构成我们的错误发行，因为接收证书的实体将能够正确地证明对域的控制。”

最终，劫持事件是如此完整，银行甚至不能发送电子邮件。“他们甚至不能与客户沟通，向他们发出警报，”Bestuzhev说。“如果您的DNS受到网络犯罪分子的控制，您基本上是被困了。

除了网络钓鱼之外，欺骗性网站还将恶意软件下载感染到受害者，该恶意软件下载伪装成对巴西银行为客户提供的Trusteer浏览器安全插件的更新。根据卡巴斯基的分析，恶意软件不仅仅登录巴西银行另外还有其他八家银行，还收集了电子邮件和FTP凭据以及Outlook和Exchange的联系人列表，所有这些都是命令和控制服务器托管来自加拿大。该木马还包含一个功能，用于禁用杀毒软件; 对于受感染的受害者，发生攻击时可能会持续超过五小时。恶意软件包括葡萄牙语，暗示攻击者本身可能是巴西人。

全面接管

大概五个小时之后，卡巴斯基的研究人员认为，该银行可以通过调用NIC.br来重新获得对其域名的控制，并说服其更正DNS注册。但是，数百万客户中有多少人陷入DNS攻击仍然是一个谜。卡巴斯基说，该银行并没有将该信息与保安公司分享，也没有公开披露这一攻击。但该公司表示，攻击者可能不仅可以从其网络钓鱼计划和恶意软件中获取数十万或数百万客户的帐户信息，还可以将ATM和销售点交易重定向到他们控制的基础设施。“我们真的不知道最大的危害是什么：恶意软件，网络钓鱼，销售点或ATM，”Bestuzhev说。

而NIC.br如何首先失去对银行业务领域的控制呢？卡巴斯基指出，NIC.br的一月份博客文章承认其网站中的一个漏洞，在某些情况下允许更改客户端的设置。但NIC.br在其发布中指出，它没有证据表明这次攻击已被使用。该帖子也是指“最近发生的涉及DNS服务器更改的重大影响”，但将其归咎于“社会工程攻击”。NIC.br的技术总监Frederico Neves在电话中质疑卡巴斯基的声称，全部36个银行的域名都被劫持。“我可以确保卡巴斯基公布的数字都是猜测，”内夫说。他否认NIC.br已被“黑客入侵”，但他承认，由于网络钓鱼或客户泄密的电子邮件，帐户可能已被更改，并补充说：“我们的任何注册表的大小都会定期损害用户帐户。”

卡巴斯基的Bestuzhev认为，对于银行来说，这一事件应该是一个明确的警告，以检查其DNS的安全性。他指出，按资产总额排名的前20家银行中，有一半没有管理自己的DNS，而是将其置于潜在的可破解的第三方手中。无论谁控制银行的DNS，他们都可以采取特别的预防措施，防止其DNS注册被更改而没有安全检查，例如某些注册商提供的“注册表锁”和双因素身份验证，使得黑客更难改变他们。