保護線上交易安全,防範中間人攻擊的憑證防護

信用卡 網路銀行 ecommerce-target

為了保障網路銀行和其他網路金融交易的安全,負責的金融網站會透過加密連線來保障使用者的線上安全,並且使用知名憑證機構 (如 VeriSign 或 GeoTrust) 簽發的數位憑證。

數位憑證不僅用來將你的交易連線加密,同時也確保你連上的是正牌的網站,因為簽發機構已經幫你驗證了憑證持有人的身分,並且在憑證上「蓋章」表示負責,而且時效通常只有二年。

當你看到瀏覽器網址列顯示的網址是以 https 為開頭,旁邊還有一個鎖頭符號,而且網址列經常用綠色顯示,就表示你連上的網站提供了憑證所指定的安全性和加密連線。

當一些值得信賴的瀏覽器,如 Internet Explorer、Firefox、Chrome或Safari在開啟這類連線階段時,它們會先和網站交換一些資料,並根據瀏覽器內的有效憑證清單來檢查網站的憑證是否有效。

若憑證有效就建立加密連線,讓你安全地瀏覽。若憑證無效,瀏覽器就會顯示警告訊息,告訴你這個網站可能有危險,然後讓你決定是否繼續。

不過,萬一駭客從中攔截了連線,例如經由未加密的 Wi-Fi 熱點,趁機將某個偽造的憑證加入你的瀏覽器憑證清單。此時你的瀏覽器和你都將受騙以為你連上了一個加密的連線,但其實不然。 繼續閱讀

詳解網路銀行木馬DYRE,第二部

在本系列文章的第一部中,我們討論了銀行惡意軟體DYRE的行為和進入點。然而,資料竊取並非此惡意軟體的最後一步。這惡意軟體還參與了另一項計畫 – 包裹騾子騙局

包裹和騾子

在我們分析DYR惡意軟體時,也發現了一個網頁控制台 – Global BlackPoint

圖1、Global BlackPoint網站

快速地進行線上搜尋,此網域已經出租一年多了。網站使用者可以購賣其所想要的東西。

圖2、待售物品

然而,研究和有關此網頁控制台內容的情報都指出一個事實,它被用作購買美國商品,再將其重新寄送到不同的地方。該網站在其使用條款內指明了這一點。  繼續閱讀

詳解網路銀行木馬DYRE,第一部

假日季節正在接近了,你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動:

Troj1

  • 我們已經看到大量偽造的銀行電子郵件。我們也看到其他類型的垃圾郵件威脅,包括KELIHOSVAWTRACK,甚至某些形式的419騙局
  • 我們也目睹了銀行惡意軟體的增加。這個惡意軟體家族變種試圖竊取敏感資訊,如銀行認證資訊和電子郵件帳號詳細資料。它們會利用資訊竊取技術,通常會偽造跟銀行網站一模一樣的釣魚網頁,用來擷取使用者的銀行資訊,如使用者名稱、密碼或卡號。再將竊來的資訊發送到一個預先設定的電子郵件地址,代管伺服器的暫存區或透過HTTP post發送到一網址去。
    網路購物 線上購物  buy

此一系列的文章著重於一特定銀行惡意軟體,被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後,我們會將這惡意軟體威脅放入整個生態系,加上其連結的的垃圾郵件,甚至包裹騾子詐騙(指將包裹寄送到別的地方的人,就跟「驢子」一樣)。這些人很容易落入騙局,因為打著「容易致富」的名號。

關於DYR的一切

這被偵測的惡意軟體跟DYRE(也被稱為DYREZA,DYRANGES或BATTDIL)有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處,可以從其行為看出:

  • 可以透過瀏覽器注入來進行中間人攻擊。此外也可以進行瀏覽器截圖,竊取個人認證資訊,並竊取如瀏覽器版本等資訊。
  • 它竊取銀行認證資訊和監視對特定銀行進行線上交易時的連線。
  • 它會植入一個設定檔(透過C&C更新),裡面包含了目標銀行列表和bot ID(由電腦名稱、作業系統版本和一組32個字元識別碼所組成)。目標銀行包括了國際、美國和歐洲銀行。
  • 它利用NAT會話傳輸應用程式(STUN),一種位在NAT網路內之終端主機找出其公開IP地址的方法。它常被即時語音、視訊和其他訊息服務應用程式用來找出公開IP位址或是可被網際網路所見之IP地址。犯罪分子使用這種方法來知道其惡意軟體的確切位置(並可能知道誰試著去加以執行)。

繼續閱讀

POODLE漏洞讓網路交易陷入危險

Google的研究人員 – Bodo Möller、Thai Duong和Krzysztof Kotowicz發表了SSL 3.0一篇報告討論的一個嚴重漏洞,讓攻擊者能夠進行中間人攻擊和解密網站伺服器和使用者間的通訊。

資料外洩 信用卡 信上購物 網路銀行Info Snippet

比方說,如果你在網路上使用信用卡購物,你可能會認為你的資料是安全的,但因為這個漏洞(被稱為POODLE),它實際上可能是危險的。攻擊者可以劫持你的交易,取得你的信用卡資料,甚至變更你的訂單。

下面總結了此漏洞的一些關鍵要點:

  • CVE編號:CVE-2014-3566
  • 一般稱為:POODLE(Padding Oracle On Downgraded Legacy Encryption的縮寫)
  • 漏洞:SSL 3.0降級漏洞
  • 攻擊方式:中間人攻擊

POODLE攻擊如何運作?

根據該報告,關鍵問題是填充SSL 3.0區塊密文的完整性問題。協定並沒有驗證該填充。這會讓能夠成功劫持使用者和網站伺服器連線的攻擊者有辦法去修改SSL密文的最後一個區塊。導致攻擊者能夠成功地解密任何他們所能截取的加密流量。

SSL 3.0是一種舊的加密協定,已經有15年了。它已經由TLS(現在是1.2版)所取代。然而,如果連線有任一方不支援最新版本的話,TLS用戶端和伺服器將降級到較早版本的協定。

想想下面的可能狀況。瀏覽器支援到TLS 1.2版。在進行第一次握手(handshake)時,瀏覽器使用它所支援的最高版本(TLS 1.2)。如果這次握手失敗,瀏覽器會用較早的版本(TLS 1.1,然後TLS 1.0)繼續嘗試。攻擊者就可以讓瀏覽器降級到使用SSL 3.0,此時POODLE漏洞就可以被利用來解密雙方之間的任何通訊。

圖1:攻擊者可能會迫使用戶端和伺服器間的通訊從TLS降級到SSL 3.0,好能夠解密網路通訊

對策

禁用SSL 3.0協定就可以避免此漏洞。網站管理員可以從他們這邊禁用支援。例如這裡有說明介紹如何在Apache進行。  繼續閱讀