你打算在2016年奧運(yùn)會(huì)期間去巴西嗎？或者在網(wǎng)上觀看比賽？在這篇文章中，我們針對(duì)那些前往巴西觀看奧運(yùn)會(huì)的游客和計(jì)劃在線觀看比賽的觀眾，討論了他們可能面臨的信息安全威脅。

顯然，奧運(yùn)會(huì)主題對(duì)那些網(wǎng)絡(luò)“壞家伙”來說是非常有吸引力的。網(wǎng)絡(luò)犯罪分子經(jīng)常利用大眾體育活動(dòng)作為他們攻擊的誘餌，就像在2014巴西世界杯期間曾發(fā)生的網(wǎng)絡(luò)攻擊事件，經(jīng)過我們嚴(yán)密監(jiān)控發(fā)現(xiàn)，當(dāng)時(shí)記錄在案的攻擊令人印象深刻。

但即將到來的里約奧運(yùn)會(huì)有點(diǎn)不同，與巴西世界杯期間相比，網(wǎng)絡(luò)攻擊事件目前來說相對(duì)較少，主要原因在于國際奧委會(huì)組建了一個(gè)應(yīng)對(duì)處理網(wǎng)絡(luò)攻擊、報(bào)告釣魚網(wǎng)站和惡意軟件的安全運(yùn)營中心（SOC)，因此，在這個(gè)時(shí)候針對(duì)用戶的“野生”或零碎攻擊數(shù)量相對(duì)較低。

然而，網(wǎng)絡(luò)犯罪份子一旦開始創(chuàng)建攻擊以后是沒有限度的。但我們能夠跟蹤和阻止其中的一些，如惡意域名注冊(cè)、社交網(wǎng)絡(luò)假贈(zèng)品促銷、網(wǎng)站銷售假票等用一切可能的方法來欺騙用戶的事件。

惡意域名的增多

大多數(shù)的惡意攻擊都是從注冊(cè)域名開始的。自今年年初以來，我們監(jiān)測(cè)了用舉辦地城市為名稱注冊(cè)的新域名，實(shí)際上，我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪份子自攻擊開始就持續(xù)不斷地注冊(cè)新域名。我們的黑名單中包括230多個(gè)惡意域名。

這些惡意域名注冊(cè)者通過使用免費(fèi)郵箱帳戶或其它域名信息以隱藏真實(shí)身份。其中一些域名一直處于“冬眠”狀態(tài)，以等待合適的時(shí)機(jī)發(fā)起攻擊（尤其是那些流量攻擊）。其它攻擊方式包括使用假冒電子商務(wù)網(wǎng)站銷售門票，主機(jī)托管網(wǎng)絡(luò)釣魚、惡意軟件，甚至用來傳播假贈(zèng)票。有趣的是，我們掌握的惡意域名中有一些是經(jīng)過ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）認(rèn)證的頂級(jí)域名（gTLD）。

網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚攻擊的目標(biāo)不僅是最終用戶，奧運(yùn)會(huì)員工也有可能是犯罪份子有針對(duì)性的攻擊目標(biāo)。在今年二月，我們發(fā)現(xiàn)了一個(gè)非常有趣的有針對(duì)性的攻擊活動(dòng)，在我們的域名監(jiān)控系統(tǒng)中，發(fā)現(xiàn)了一個(gè)使用惡意域名偽裝成國際奧委會(huì)內(nèi)網(wǎng)門戶的網(wǎng)站，襲擊者的目的是竊取在巴西工作的國際奧委會(huì)雇員的認(rèn)證信息。這個(gè)假冒網(wǎng)站是我們監(jiān)測(cè)到的其中一個(gè)，它在可訪問狀態(tài)下是這樣的：

　　針對(duì)國際奧委會(huì)雇員進(jìn)行的釣魚攻擊

最常見而最簡單的攻擊是為了誘騙最終用戶，竊取私人信息的釣魚攻擊。釣魚欺騙通常在各種顏色和外觀掩藏下有著不同的目的，這是一例承諾贈(zèng)送新車和奧運(yùn)門票為幌子而達(dá)到竊取用戶信用卡數(shù)據(jù)的釣魚攻擊:

　　以贈(zèng)票和贈(zèng)車為誘餌的釣魚鏈接

假票假贈(zèng)品造成真正的損失

就像在上屆世界杯期間，巴西網(wǎng)絡(luò)犯罪份子以免費(fèi)門票為誘餌發(fā)送惡意電子郵件，這些郵件中的鏈接直接指向釣魚網(wǎng)站。以下就是一例很有欺騙性的釣魚攻擊，網(wǎng)站聲稱不需到官方售票點(diǎn)購票而可直接在線售票出票：

　　聲稱可以在線購票的釣魚網(wǎng)站

其他虛假網(wǎng)站以低價(jià)吸引那些想在比賽最后時(shí)刻購票的人們，這個(gè)網(wǎng)站就是以巴西人為目標(biāo)但是用蹩腳的葡萄牙語創(chuàng)建的，這個(gè)網(wǎng)站的目標(biāo)是誘騙那些沒有信用卡而需要使用本地支付系統(tǒng)boletos的人：

釣魚攻擊一般都是以低價(jià)作為誘餌。真正的開幕式門票就需要500美元，而這里的巴西國家足球隊(duì)的比賽只需50美元。當(dāng)然，這一切都是假的：

　　觀看巴西國家足球隊(duì)的比賽只需50美元

社交網(wǎng)絡(luò)也是網(wǎng)絡(luò)犯罪分子傳播攻擊的手段，F(xiàn)ACEBOOK是最好的攻擊溫床，如聲稱贈(zèng)票的欺詐網(wǎng)頁：

如果你想去看奧運(yùn)會(huì)而又錯(cuò)過官方渠道購票，我們不建議你通過非官方市場(chǎng)購買，因?yàn)檫@可能會(huì)讓你遭受損失。為確保你不被上當(dāng)受騙，最好還是在家通過電視或網(wǎng)絡(luò)觀看比賽，但要當(dāng)心那些惡意的流媒體網(wǎng)站，因?yàn)樗麄円灿锌赡鼙痪W(wǎng)絡(luò)犯罪份子利用而感染你的電腦獲取你的信息。

WIFI 安全

當(dāng)我們?cè)谕饴眯袝r(shí)，我們?cè)L問互聯(lián)網(wǎng)絡(luò)以保持隨時(shí)在線，發(fā)推特，更新狀態(tài)或分享圖片。然而，相對(duì)于WIFI熱點(diǎn)來說，國際漫游數(shù)據(jù)傳輸費(fèi)用是非常昂貴的，而網(wǎng)絡(luò)犯罪分子每年都會(huì)設(shè)立假冒WIFI接入點(diǎn)或入侵合法的WiFi網(wǎng)絡(luò)攔截或獲取用戶的上網(wǎng)數(shù)據(jù)。他們的攻擊重點(diǎn)是用戶的密碼、信用卡和其他敏感個(gè)人信息。開放和配置錯(cuò)誤的WiFi網(wǎng)絡(luò)都是網(wǎng)絡(luò)犯罪的首選。

為了識(shí)別巴西的WIFI安全問題，我們駕車前往奧運(yùn)會(huì)三個(gè)主要區(qū)域和游客最可能停留的地方，如巴西奧委會(huì)大樓、奧林匹克公園和體育場(chǎng)等，以war-driving方式測(cè)試當(dāng)?shù)氐腤IFI熱點(diǎn)網(wǎng)絡(luò)。

　　美麗的海灘但并不安全的WIFI網(wǎng)絡(luò)

通過兩天多的快速識(shí)別，在上述地圖上有星標(biāo)的地方附近，我們識(shí)別到了約4500個(gè)獨(dú)立接入點(diǎn)，其中大多數(shù)的網(wǎng)絡(luò)都是最新的802.11n標(biāo)準(zhǔn)：

這意味著，大多數(shù)無線接入點(diǎn)都可能是用來傳播多媒體流信號(hào)的，這需要達(dá)到600Mbps的傳輸速度，工作頻率可能在2.4GHz、2.5GHz 甚至是5GHz。

然而，安全方面，在這些所有可用的WiFi網(wǎng)絡(luò)中，18%是不安全和開放連接的，這意味著，使用這樣的網(wǎng)絡(luò)其所有數(shù)據(jù)都不受加密方式保護(hù)。

另外，我們可以看到，有7%的網(wǎng)絡(luò)是WPA加密方式，這種算法實(shí)際上是過時(shí)的，這也是我們擔(dān)心的，當(dāng)用戶接入他們所認(rèn)為的“可信”的網(wǎng)絡(luò)熱點(diǎn)之后，其實(shí)，這些網(wǎng)絡(luò)是可被攻擊者輕而易舉攻破的。

所以，在奧運(yùn)會(huì)場(chǎng)館周邊的WIFI網(wǎng)絡(luò)中，約有1/4是不安全或配置弱加密協(xié)議的，攻擊者可以先攻破網(wǎng)絡(luò)，然后建立技術(shù)環(huán)境進(jìn)一步嗅探或竊取用戶敏感信息。

有沒有連接公共WIFI網(wǎng)絡(luò)的安全方式？答案是除非你使用VPN方式連接網(wǎng)絡(luò)。

我們推薦你在外或旅游時(shí)使用VPN連接WIFI網(wǎng)絡(luò)，因?yàn)檫@種方式下你的終端數(shù)據(jù)是通過加密通道傳輸?shù)模@樣，即使你從一個(gè)被攻破的WiFi熱點(diǎn)訪問網(wǎng)絡(luò)，攻擊者也不可能截獲到你的個(gè)人信息。

然而并不是所有的VPN服務(wù)提供商都是安全的，它們中的一些可能存在DNS泄露漏洞。這就意味著即使你通過VPN發(fā)送即時(shí)數(shù)據(jù)，您從WIFI硬件接入點(diǎn)到DNS服務(wù)器之間的查詢或請(qǐng)求記錄都是純文本格式，之后，攻擊者至少可以知道你正在瀏覽什么信息，如果他攻破了WIFI網(wǎng)絡(luò)之后，通過設(shè)置虛假DNS服務(wù)器，就可以讓你的瀏覽網(wǎng)站指向惡意網(wǎng)站。在此情景下，即使是一些很謹(jǐn)慎的用戶也可能成為受害者，因?yàn)楫?dāng)攻擊者控制了你的DNS服務(wù)器之后其危害程度是不可想象的。

所以，在建立VPN連接之前，請(qǐng)確保它不存在DNS泄露問題，如果你的VPN提供商不提供DNS服務(wù)器，你或許應(yīng)該考慮更換其它VPN提供商或DNSCrypt服務(wù)，以保證你的DNS請(qǐng)求是安全加密的。請(qǐng)記住，往往一個(gè)小的安全問題可能會(huì)引起大的安全隱患。

一個(gè)簡單的原則是：使用提供DNS服務(wù)器的VPN連接網(wǎng)絡(luò)，在不確定你的WiFi接入網(wǎng)絡(luò)是否安全情況下不要相信和使用任何本地網(wǎng)絡(luò)。

物理安全

在外出旅行時(shí)需要警惕另一點(diǎn)是物理安全問題。犯罪分子經(jīng)常使用一些極具技巧性的讓你意想不到的惡意攻擊。讓我們來看看一些常見的攻擊場(chǎng)景：

USB充電口

如前所述，旅行時(shí)使用手機(jī)必備的，為幫助游客保持手機(jī)充足的電量，大多數(shù)城市都在購物中心、機(jī)場(chǎng)和出租車上設(shè)置了充電點(diǎn)，這些充電接口提供了大多數(shù)手機(jī)型號(hào)的USB充電連接器。

　　巴西出租車內(nèi)提供的充電口

一些商場(chǎng)和機(jī)場(chǎng)也提供傳統(tǒng)的充電接口。

然而，通過USB連接線，攻擊者可以執(zhí)行命令以獲取設(shè)備的型號(hào)、IMEI信息、電話號(hào)碼和電池狀態(tài)等。有了這些信息，就可以發(fā)起有針對(duì)性的手機(jī)攻擊，達(dá)到感染設(shè)備和收集個(gè)人信息的目的。

記住以下三點(diǎn)安全規(guī)則，出門在外時(shí)，我們就可以避免攻擊，放心地給手機(jī)充電:

（1）使用你自己的充電器，避免使用從未知渠道購買的充電器；

（2）盡量使用電源插座充電，不使用未知的USB接口充電；

（3）不要使用公共充電點(diǎn)的充電接線。

ATM skimmer (ATM信息竊取器）

ATM信息竊取器 (skimmer)攻擊，仍然是由巴西犯罪分子經(jīng)常使用的流行攻擊手段，在其它拉丁美洲國家也被稱為“Chupa Cabra”攻擊，

巴西犯罪團(tuán)伙主要在游客集中的地方使用這種攻擊，如里約國際機(jī)場(chǎng)，2014年一個(gè)犯罪團(tuán)伙就曾在那兒的14臺(tái)ATM機(jī)上安裝了信息竊取器(skimmer)。在巴西有不同類型的ATM信息竊取器，最常見的一種就是通過信息讀取器配合隱形攝像頭盜取用戶銀行卡數(shù)據(jù)。

　　安裝了隱形攝像頭的ATM 信息竊取器

如果是這種類型的ATM信息竊取器，你在輸入密碼時(shí)可以用手遮擋鍵盤，避免密碼被安裝的隱藏?cái)z像機(jī)記錄。

但是，當(dāng)犯罪分子更換了包括鍵盤和屏幕在內(nèi)的整臺(tái)ATM機(jī)之后，這種方法也許就不適用了，此時(shí)，鍵入的密碼將被存儲(chǔ)在假的ATM機(jī)系統(tǒng)上。

　　替換了整臺(tái)ATM機(jī)器的Skimmer

為了避免這種類型的攻擊，重要的是在使用ATM機(jī)要注意其可疑行為。

（1） 檢查插卡口的綠燈是否常亮。通常犯罪分子會(huì)用沒有光亮的讀卡器來取代；

（2）在開始交易之前，檢查ATM機(jī)上是否有丟失或損壞的可疑部件；

（3）遮擋鍵盤鍵入密碼。

信用卡克隆

巴西的信用卡克隆犯罪活動(dòng)非常猖獗，在當(dāng)?shù)芈眯袝r(shí)，很容易就可以獲取到一些個(gè)人信用卡信息進(jìn)行克隆犯罪，因?yàn)樾庞每ê徒栌浛ㄔ诎臀鞅粡V泛使用，幾乎所有地方都接受信用卡付款方式，包括街頭小販。事實(shí)上，為避免找零，他們大多數(shù)人更喜歡信用卡付款。

為了打擊信用卡克隆，巴西銀行采用了先進(jìn)的芯片技術(shù)，使信用卡克隆變得越來越難。然而，對(duì)于巴西網(wǎng)絡(luò)犯罪分子來說，這可能只是時(shí)間問題，他們會(huì)找到EMV支付標(biāo)準(zhǔn)的交易漏洞來克隆芯片卡。

以下就是巴西網(wǎng)絡(luò)犯罪分子利用工具對(duì)信用卡數(shù)據(jù)進(jìn)行提取并寫入到另外一張卡的示例：

　　用來提取和寫入信用卡信息的工具

這種類型的攻擊很難避免，因?yàn)橐恍╀N售點(diǎn)的終端交易設(shè)備被修改之后就可以收集信用卡信息，有時(shí)，停止甚至不需物理接觸就可通過藍(lán)牙被提取數(shù)據(jù)。

銀行推薦的解決方法是你的每筆交易最好有短信提醒。即使它不能避免卡被非法克隆，但也能在欺詐交易發(fā)生時(shí)及時(shí)通知，之后與銀行聯(lián)系，阻止進(jìn)一步的非法交易。

為了減少你的卡被克隆的機(jī)會(huì)，有一些簡單的步驟：

（1） 永遠(yuǎn)不要把你的卡交給銷售人員。如果某些原因，他們不能把付款機(jī)給你，你也必須親自去付款；

（2） 如果付款機(jī)器看起來可疑，請(qǐng)改變付款方式；

（3） 在鍵入PIN碼前請(qǐng)確認(rèn)你在使用正確的付款屏幕，而且PIN碼不會(huì)顯示在屏幕上。

希望每位去巴西觀看奧運(yùn)會(huì)的觀眾能有一個(gè)安全愉快的旅行，看到這篇文章的讀者能有一個(gè)安全上網(wǎng)的好習(xí)慣。

*翻譯自 securelist，本文譯者：clouds，轉(zhuǎn)載須注明來自FreeBuf黑客與極客（FreeBuf.COM）