2006年12月6日,由公安部第一研究所、北京网络行业协会和英国贸易产业部贸易投资局共同主办的2006电子金融网络安全论坛在北京贵宾楼饭店三层王府厅举行。网易科技频道对论坛做现场直播。
以下为Sophos Asia,担任亚太地区的销售工程师David Chow为现场嘉宾演示网络攻击。
主持人:非常抱歉,把您讲话的时间缩短了,因为我们的时间不够了。因为我们知道李晓峰是一位非常有学识、经验非常丰富的人士,所以非常抱歉。
下一位发言人是David Chow,他是来自于Sophos Asia,担任亚太地区的销售工程师,拥有新加坡新跃大学技术类名誉学士学位。
David Chow:谢谢主持人。我是Sophos 亚洲区的总经理,来自新加坡,今天我尝试用国语给大家演讲,讲得不好请大家多多包涵。
今天我就要谈谈网络上的网络钓鱼是怎么一回事,还会有一些示范,因为时间紧凑,可能我会删减一些。
简单介绍一下,Sophos是一个英文词,它的意思是“智慧”。这是我们在英国牛津总公司的大厦,四周还有一个水道,和中国的城堡建设一样,如果有敌人来攻击我们,都会掉进河里。
刚才主持人介绍过,全球目前有3500万用户,成立于1985年,目前是一家民营企业,还没有上市。我们目前在全世界150多个国家设有营业处,当然也包括中国这边。
往日我们看到的,所谓的头条新闻都是病毒爆发,但现在的头条新闻都很少,以网络钓鱼为主。我们可以看到恶意程式和病毒攻击,每月成长大概有3000支,他们都是以木马程序为主,木马程序不能复制,所以爆发力不强。恶意程式和流氓软件结合起来,他们都是向“钱”看,因为偷袭你的帐号密码能使我赚到很多钱。
这些恶意程式都有自我更新的功能,因为道高一尺,魔高一丈,防毒可以更新,恶意程式也可以更新。
我相信各位都收到过垃圾邮件,说有一大笔钱会传给你,方法都很简单,通常会把来历不明的信删除。
第二阶段,有一家澳大利亚的银行,它说你的认证有一些问题,让你去商业网站做认证,这个方法很简单,现在的人已经不再受骗,你可以看到这两个链接是不同的,所以现在的人都不会上这个网站的当。
这是2004年雅典的奥运会,这家银行呼吁人们去捐款,告诉你捐多少款,达到的目标是200万澳币左右,送残疾人去参加奥运会,可能2008年这个网站又会来北京“参加”奥运会吧。这个网站方法有两种,一个让你去用网上银行,把钱输入在墨尔本的一个银行,或者上网支付。
有没有人能告诉我这个网站的问题在哪里?这个链接是真的,有没有人能尝试一下,告诉我这个网站在哪里?
如果我决定捐钱,我决定用刷卡的方式捐,我点一下,这个问题就会出现,有没有人注意到,问题有三点,因为网络的链接在后面,你们看不到,那么我们来尝试一下解码。它有一个很长的地址隐藏在后面,你点击进去之后会进入另外一个网站,这个网站据说在澳大利亚骗了相当一大笔款,具体数字我们不知道。
现在因为盗取不管用了,所以用网页的方式来做,现在你可以看到很多木马在网上流行,可以通过Web的方式或者木马流行的方式,通过你进入他的网站,然后木马会通知他,然后他会下来一封信告诉你,然后你会间接受感染。
因为时间关系我不多讲,待会儿会做示范。这个木马网站在俄罗斯,专门收买一些木马程序,教你怎么写。进一步看这个网站,它还提供技术支援和电话支援,它还告诉你它能够破解哪一家防毒公司的软件,版本更新的方法都告诉你。
这个网站还有一个中央监控,很多软件都没有中央监控,这个网站有中央监控,告诉你它在全世界破解了多少平台,告诉你微软的什么补丁版本它可以破解。你可以看到,目前它都用一些专业的程序手法来写,目的是让你不容易发现,钓鱼网站目前在增加,和我们所看到的一模一样。
这就是我们每天所收到的古灵精怪的网上诈骗程序,当然包括刚才所谓的PKI认证都会告诉你。
比如美国的银行很多,你要成功攻击的可能性不大,这些语言都是用专业的程序手法来写,希望能躲过防毒软件的侦查。
我这里有一个示范让大家看一下。
这是我的电脑,我早上登录它,收到几封邮件,有一封垃圾邮件卖伟哥,我尝试点击进去看它是什么,然后它带我进入一个网页,让我成功交易。这边弹出一个窗口,问我要不要下载这个程序,我怀疑这个程序是一个木马,所以我选择不下载,点击“取消”。在这个阶段,木马其实已经进入了你的电脑,在等待着一个适当的时候爆发。
接下来如果我进入我的银行查看我的帐号还有多少钱,我进入IE,用书签的方法上去,你们认为用书签的方法安全吗?还是直接打网站安全?我告诉你,书签的方法是最不安全的,因为很多木马可以修改书签,网上银行千万不要用书签的方式登录,最好是勤快一点,用键盘去敲打网址。
我登录上了网上银行,这是第一层登录,巴氏银行。这家银行有双层认证,第一阶段,用虚拟键盘(软键盘)。登录进去,看我的银行有多少钱。认证结束,OK。忽然间,这个时候我的IE出现了问题,挂掉。这个很普通,微软经常会有这个问题,怎么办呢?重新登录嘛。但我告诉你,这个时候你的帐号密码已经去了骇客那边。
现在我尝试收发邮件,但是大家可以看到,我的帐号密码已经出去了,进入了骇客那边,他就可以把你的钱转入他的帐户。
我们回去看一下到底是怎么回事。
我们用微软的程序去看,有没有发现这个东西有一点不对?多了一个“L”在这边。所以,这其实是木马程序在背后运行,刚才你们所看到的那个框都是假的。我再点击它一下,运行一下这个木马。
你们刚才所看到的框都是假的,如果你想知道这是不是木马我教你一个简单的方法,你尝试点击一下,这些都不能启动,因为它只是一个图画,微软有这些功能,但是你点这些它现在不能显示,所以它是已经悄悄开始启动了。
你要怎么移除这些程序呢?你点杀毒就可以移除,但你的银行密码已经落入骇客的手里。
另外还有一个例子,我得来了一个木马,专门对付银行,所以我要来尝试一下看看它有什么功能。你们知道银行不是有一个网页嘛,这个木马实际上是把网页贴在上面,把你的身份资料贴在上面然后窃取你的木马。
我尝试来骗它,写一个简单的程序,我再运行这个程序。我用一个KO EPI的程序来看,看看它到底在KO什么程序,你可以看到它在“搜索Windows”,其实这是一个假的网站。你去一家银行浏览的时候它会覆盖原有的网站,当你把你的资料输入到那家网站时,这个覆盖的网站就会偷取你输入进去的资料。
现在显示的就是它正在偷取你的数据,可能比较技术一点。IE出现问题,也有虚拟键盘。
OK,IE出现问题,在这个阶段,你的帐号密码已经给人家偷去了。回到程序那边看一下。搜索一下信箱,帐号密码已经寄出去了,落入了骇客的手中。现在你个人的帐号密码全部落入骇客手中。
我们来看一下这个程序,看看它到底隐藏了什么东西。这是我们内部自行开发的一套软件,它这边启动了好几个程序,都是隐藏起来的,我可以一个个打开。现在我把它打开,看看它是什么东东。
每个程序对应不同的画面,我将隐藏的程序一个个打开。你可以看到,这个程序把各家银行的登录方式都记录在内。因为巴氏银行的不多,所以它的目标只瞄准几家就够,不像美国,美国几百家银行,它很难瞄准。
因为它隐藏了,所以现在我让它“现身”,它像鬼一样隐藏了,但我们是捉鬼高手,现在要逼它现身,看看它到底在玩什么花样。
(演示过程)好,就到这里。这是我们过去看到的对网络银行的攻击。
当然这只是两个例子,在我们的实验室里还有很多案例。这些网上攻击不只是针对银行的,还有股票,你们在华尔街炒股票,它发垃圾邮件好象复印一张纸,每一次转五度。有一些防垃圾邮件每五分钟就转一次,但这些很厉害,它没有链接也没有图样,就发一个邮件告诉你,“我得到某某公司的交易过程,他们的股票会涨”。而且他们都在周末时发放垃圾邮件,因为在周末时,很多公司都没有工作,所以他们选这个时候发送。他们发送了以后,星期一就真的有人去买股票,这样骇客投资的股票就能赚70%左右。
刚才我们看到了,银行、股市,这些都有人攻击。网上游戏有人攻击吗?(有),是有吧,相当出名的游戏网站确实有人攻击,比如被你的竞争对手攻击。
我不再示范他怎么攻击你的网站网页了,但它拿到你的帐号密码时下一站它会在eBay拍卖,还有31个人对你的帐号密码投标。
所以我们的公司目前在全球11个地区都有实验室,还有巴西,虽然我们在巴西没有实验室,但我们知道在巴西的网络攻击模式是怎样的。我们每天都在处理垃圾邮件和网络攻击,看看这些攻击到底是什么样的。我们是一家资讯安全公司,每天都在分析这些古灵精怪的东西。
因为时间的关系现在不能回答问题了,如果大家有问题可以在下午向我发文。
谢谢。
