破解“黑色产业”谜题

安.约翰逊

如今，数据交易的黑色产业链日臻成熟。发掘漏洞、根据漏洞开发针对性的入侵工具、销售入侵工具、刷库洗库、围绕数据库展开的钓鱼诈骗等等环节，都在巨大利益的驱使下，得到了越来越明确和完善的分工。现在的恶意软件、网络欺诈和更多的身份盗窃，比以往任何时候都多，而且现今的威胁是持久性、动态和智能的，因此从普通消费者到企业的每一个人都处在更大的风险之中。

整体画面凄凉

如今的网络威胁更加高级、更具持续性、更加隐匿，忽视这一问题意味着企业将面临着威胁破坏的风险。近一年，“高级持续性威胁”就让很多企业吃了苦头，这是指普通的安全措施无法防范的、特意针对企业的攻击。与此同时，全新的渠道给攻击打开了更多大门，包括移动和社交媒体。统计数据描绘出一幅凄凉的画面：

在2012年的前三个月，共确定超过600万个独特的恶意软件样本；

全球范围内受感染电脑的平均数字是35.51％；

2011年，58%的被盗数据是被黑客行为主义者窃取的；

截止至2012年6月，Android恶意应用程序的数量蹿升到超过25,000。

以网络钓鱼为例，它通过社交工程体系伪装成合法的商业及代理人身份来使用诈骗电子邮件，意图将消费者引导至假冒的网站，以欺骗收件人泄露财务数据，如用户名和密码。

APWG（反钓鱼工作小组）在2月份一个月内发现的独一无二的钓鱼网站的数量便达到56,859个，这个数字达到了历史新高；金融服务业仍然是2012年第1季度最易受攻击的行业部门；全球范围内被感染的个人电脑的平均数量达35.51%；中国继续成为最易受到影响的国家（被感染的个人电脑比率达54.10%）；在2012年的最初三个月内，有600多万个独一无二的恶意软件案例被识别出来；美国仍然是网络钓鱼式特洛伊木马站点占前几位的国家。

欺诈的创新之作

消费者欺诈中的最新创新称之为FaaS（欺诈即服务）。欺诈者不再必须成为技术精湛的黑客，他们只需在黑市上购买自动化的工具包、僵尸网络和木马即可。FaaS是一种商业模式，一种网络犯罪分子用以有效、方便、快捷地批量出售现有欺诈商品的方式；或者根据其客户要求进行定制。如今它获得了长足的发展，实现了自动化，并且欺诈商品迅速走向供应链管理模式的现行趋势，本身并不是什么新事物。目前来看，这种网络欺诈现象的质量和数量将会持续增长。

最新的FaaS出现了“雇佣中间人”现象。它是由一名将其基础设施用于短暂租用的俄语会员发布的，同时还有自己作为中间人服务商的服务。这名僵尸网络操控者向那些无需任何设置就可以进行木马攻击的客户收取一定的费用。

以下是复杂的套现流程的例子，从获取受侵害网上银行凭证开始，到真实世界中的套现结束：

首先，欺诈者寻找受侵害的网上银行凭证。较简单的选择是：从一家俄罗斯供应商那里购买木马日志；或从一家论坛供应商那里购买个人凭证集；或在一家罗马尼亚的CC商店上进行注册，并批量购买凭证。而比较高级的选择是：从一家乌克兰基础设施供应商那里购买现成的僵尸网络；从一个开发团队那里购买木马工具包。

凭证获取到之后下一步做什么？是时候进行欺诈交易了，但如何套现呢？首先还是更基本的选择：寻找能够提供卸放账户的人；使用钱骡牧人服务；使用木马实现自动化的MITB交易，通过网上钱骡小组完成套现。而更高级的选择是：设立钱骡招聘活动；与那些能够提供实际套现的欺诈团伙（钱骡和“套现人员”）合作。

今天，欺诈产品的商业化已经大大降低了门槛，以空前低廉的成本将欺诈工具带到了普通欺诈者手中。一个经营更好的网络犯罪市场，就像现实世界中的有组织犯罪一样，凭借着其每年攫取的巨额利润日益影响着世界经济。

转向非金融信息

在电子商务和移动安全领域，最近半年发生过许多典型数据泄漏事件。欺诈者现在正试图捕获非金融信息，像政府，企业竞争对手，其他欺诈者（例如，用于保险账单诈骗的医疗记录）存在着一个蓬勃发展的市场。之前，Facebk和LinkedIn账户在黑市上出售，每个账户的售价取决于受害者的“朋友”或“联系人”数量。整机来看，黑市在结构和分工方面模仿着开放市场。例如，许多犯罪分子与“业务人员”或金融人士互相勾结，帮助通过钱骡套现。

在这些数据泄漏事件中， 欺诈者利用非金融数据获利的例子包括:公用事业账单，收集个人身份信息（PII），用以方便身份盗用来开设新的银行账户或获取个人贷款；医疗记录，将病人数据库售卖给律师事务所或骗取保险账单；可用来访问银行和其他账户的用户名和密码；出售给竞争对手的商业机密。

因此，消费者更多地暴露于威胁之中，因为在网上和企业数据库中可以获取有关他们的丰富信息。所以消费者必须要考虑两个方面的信息暴露：个人（或他们自己的信息安全行为）和组织（或与之共享个人信息的组织采用的强有力信息安全实践到了何种程度）。

如何有效应对挑战

针对当前的安全形势，消费者、信息所有者、企业机构等该如何应对？

从消费者来看，首先需要有良好的密码实践（例如，多个账户不使用相同的密码，经常重置密码）。其次，确保您与之交换个人信息的组织采取了良好的信息安全实践（例如，使用强身份验证方法，进行积极主动的欺诈检测，设有交易监控解决方案）。

对于信息所有者，企业及组织来讲：首先，需要设立层次化的防御措施。单一的身份认证方法不再足够，多种身份认证方法和交易监测是必不可少的。其次，使用基于风险的监测和认证标准，客户向已有的收款人转账100美元，和试图向一分钟前添加的收款人转账1000美元是两种不同的情形。还有，保护多种渠道（网络，移动电话）。实施能够在安全性与良好用户体验之间取得平衡的技术和政策。以及了解数据的价值，这样就可以实施适合于这个价值的安全措施。最后，在每1.2秒就会产生一个新兴威胁的情形下，我们几乎不可能密切关注所有的威胁。“假设您已经被破坏”，现在怎么办？欺诈者绝不会罢手，并且会继续肆虐。应该将重点专注于风险缓解，并设立政策和程序，以消解成功攻击的影响。

六大举措来破解

有哪些相对理想的解决方案，可以用来破解电子商务和移动领域日益猖獗的安全问题呢。目前来看，可以重点关注和实施以下六方面举措：

自适应身份认证方法：“一刀切”的身份认证太容易被规避。基于风险水平（不是所有的交易都是一样的！）、体制政策和客户细分对用户活动进行监控和认证已经越发的普遍，并将很快成为身份认证事实上的标准

主动安全：而不是简单地应对攻击，通过积极监控新的网络钓鱼和木马攻击的威胁态势，组织将在最大限度上降低他们成为受害者的机会

保护所有数据：组织将被迫采取解决方案以保护所有的公司数据资产，而不仅仅是金融信息。这将涉及增强的访问管理，以及包括“带外”认证在内的身份认证技术（例如，通过短信接收动态密码，以在电脑上对交易进行认证）

替代渠道：智能手机和平板电脑使用的巨幅增长，将需要专门为这些渠道设计的安全解决方案。出现了大量的希望解决这一细分市场的创业公司。但是那些知名的安全组织更有可能在这一领域取得成功，因为他们了解欺诈生态系统，并有拥有开发有效解决方案的必要资源

“群体贡献”的安全情报：越来越复杂的威胁将会持续实时地出现，而个体的组织将仍无法跟上其步伐。组织之间的信息共享将是遏止这些欺诈者至关重要的手段

消费者/员工教育：最终用户也许是数据安全最持久的威胁之一。即使是最先进的安全设备，都无法保护自愿放弃密码的最终用户。教育工作需要进一步发展，就像他们要缓解的网络威胁一样。

（作者是RSA, EMC信息安全事业部全球副总裁）