本月初在圣马丁召开的安全分析峰会(Security Analyst Summit)上,针对巴西银行被攻击的案例巴斯基实验室研究人员Fabio Assolini 和 Dmitry Bestuzhev进行了分析。
据了解,从去年10月份开始,三个月里巴西银行的所有36个银行域名、企业电子邮件和DNS都被黑客控制。攻击者利用伪造的HTTPS页面网络钓鱼获取用户凭证和访问行为,还向访问者分发恶意软件。
研究人员介绍称,这可能是攻击者通过钓鱼攻击银行内部员工,获取DNS的访问权限,从而把银行的流量定向到他们的服务器,并实现网络钓鱼和恶意软件分发。大多数DNS服务商提供双因素身份认证,但该银行没有使用这项功能,增加了DNS账户被盗的风险。
研究人员深入调查发现,引诱受害者输入支付卡信息的钓鱼页面是加载到银行域名上的,并显示一张免费SSL证书机构颁发的有效证书。免费SSL证书仅验证域名所有权,不需要进行其他身份信息验证(如组织验证、银行验证、电话验证等),攻击者控制银行DNS后,即可轻松地匿名获取银行域名的免费SSL证书。
匿名恶意证书的攻击隐匿性非常强,对于普通用户来说,他们在正确的网站上使用HTTPS连接,一切看起来都很正常,用户很难察觉网站已经被劫持。精通技术的用户可能会通过查看DNS记录或发现网站突然更换了CA而注意到网站出了问题,但在没有任何异常的情况下,用户很难会突然去检查这些细节,而这些细节内容往往是最容易被忽视的。
对于网站来说,做好以下几点将有助于降低这类攻击的威胁,保护网站安全:
1、对DNS更好地控制和监督至关重要,案例中的银行没有使用双因素身份验证,使得DNS账号很容易被盗。
2、银行网站应使用EV级别的SSL证书。一方面,EV SSL证书需要严格验证申请单位的身份,攻击者很难申请到这类证书;另一方面,EV SSL证书显示醒目的绿色地址栏和单位名称,一旦页面被劫持,醒目的绿色地址栏突然消失,会引起用户的警觉,从而发现网站出现异常。
3、银行还应该加强HTTPS的配置,HTTP公钥订(HPKP)是可选择的SSL/TLS安全功能,通过HTTP头部设置实现。它允许网站向客户端提供一组被授权用于HTTPS连接的公钥,如果客户端连接该网站时接收的不是被授权的公钥,它将拒绝创建连接。
4、证书颁发机构授权(CAA)是另一项保护网站免受恶意证书攻击的安全措施,它是由设置DNS记录实现,允许网站选择可接受哪些CA颁发的证书。CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为证书颁发标准的基本要求之一,这项措施将在2017年9月正式生效。
互联网逐步迁移到HTTPS加密后,让网站充分展现真实身份信息变得越来越重要,教会用户识别真实网站身份信息,免受匿名恶意证书的攻击,是互联网安全发展的另一重要步伐。