甲骨文揭露最新BGP攻击 瞄准支付网站窃取用户信息
甲骨文安全专家日前发布报告揭露最新BGP网关协议劫持案例,黑客将目标瞄准美国多家知名的支付运营商。
黑客将用户访问通过BGP劫持引导到恶意的钓鱼网站上,若用户们填写自己的支付信息则会被黑客完全掌握。
目前BGP网关协议的劫持攻击已经越来越多,这也暴露出互联网关键基础设施的运营者在安全方面存在不足。
印尼和马来西亚的ISP遭到攻击:
本次攻击的源头是黑客先入侵位于印度尼西亚和马来西亚的网络运营商,该网络运营商掌控部分BGP的设置。
在成功拿下网络运营商后黑客开始制作虚假的钓鱼网站,钓鱼网站是专门为劫持美国的支付运营商而制作的。
然而在入侵发生很久后上述网络运营商依然没有发现问题,准备完毕后黑客开始劫持BGP网关引导钓鱼网站。
通过BGP散布虚假的DNS回应:
我们知道当我们在访问某个网站时需要先有DNS系统查找网站域名所在IP地址然后再将IP地址返回给浏览器。
黑客劫持BGP网关的目的很简单:篡改DNS服务器将原本网站的服务器地址改为黑客自己控制的钓鱼服务器。
甲骨文还发现黑客伪造的DNS响应采取更长的TTL存活周期,正常TTL约为10分钟而黑客将其修改为5天之久。
这样可以在DNS系统里缓存更长的时间,当部分地区用户试图访问被劫持的网站时会直接跳转到钓鱼网站上。
窃取用户信用卡信息回传到黑客服务器:
这次攻击的目的主要是窃取用户的信用卡信息,用户在尝试支付时会提交信用卡卡号有效期以及安全码等等。
黑客在拿到这些信息后即可直接进行盗刷而不需要用户确认,这也是黑客如此大费周章劫持BGP网关的原因。
不过目前尚不清楚这次攻击到底影响多少用户,只是有很多用户抱怨访问那些支付网站时无法正常连接等等。
BGP网关攻击越来越多:
此前针对BGP网关协议的攻击几乎很少见,而自去年下半年开始这种攻击方法逐渐开始盛行并发生多次攻击。
原本大家认为BGP网关协议想要劫持的话非常难,但是现在看来只需要入侵网络运营商们即可随意进行篡改。
例如早前某个知名的以太坊钱包网站遭到BGP劫持,受害者在钓鱼网站输入密钥后被盗走约17万美元以太坊。
而这种攻击对于用户来说几乎无法防御,同样的这并不是攻击网站服务器因此网站运营者也没有办法去防御。