RSA警示-网络欺诈正在中国萌芽 (rsas告警条件)

【.com 综合消息】在线犯罪是不断进化发展的，行骗者不加区别地攻击任何组织或个人。在线攻击涉及网络钓鱼（网页欺诈）、域名劫持和特洛伊木马，代表着全世界范围内最有组织化、最高深复杂的技术犯罪潮流之一。网络罪犯每日每夜的工作窃取个人网络身份、在线凭证、信用卡信息，或他们能够有效转化为金钱的其它任何信息。他们针对所有领域的组织，以及在工作场所或在家使用互联网的任何个人。

这些网络罪犯也有供他们使用的新型工具，能够利用先进的犯罪软件比以前更加快速的适应新环境；根据偷窃机制进行快速的部署。他们的供应链已经进化到能够与合法的商业世界相匹敌，包括能够提供RSA首称的“欺诈服务”。

这份情报月报由来自RSA反欺诈指挥中心的富有经验的反欺诈分析师组成的团队所创建。它每月的精彩内容源自对网络欺诈世界的敏锐洞察，以及来自RSA网络钓鱼知识宝库的统计数据和相关分析。

一、宙斯(Zeus)特洛伊木马利用IM即时通讯软件转发偷到的在线账户数据

在对过去3个月内数个宙斯特洛伊木马攻击进行调查的期间，RSA FraudAction研究实验室发现并跟踪到一个新型的在线攻击方式，罪犯能采用这种方法快速的利用被盗用的网络帐号。

RSA对数个宙斯特洛伊木马变种的研究发现一些网络罪犯已经开始利用Jabber即时聊天软件（IM）的开放协议，当作一种被盗用的网络身份的快速提交机制。他们利用Jabber软件，一旦从被宙斯特洛伊木马感染的机器上收集到信息，被窃取的信息就能立即发送给这些特别的行骗者（注意：这种行骗者利用Jabber软件所生成的新型行骗手法和合法在线用户对Jabber软件的任何使用之间并没有直接关系。）

Jabber IM模块已经植入这些特别的特洛伊木马，并经过配置能从宙斯特洛伊木马的“卸货”（DROP） 服务器 数据库中提取到所窃的用户网络帐号 —而无论网络罪犯身处何方，随后立即将那些帐号发送给他。

然而，留在断线服务器中所窃的帐号没必要实时发送给网络罪犯。罪犯可能呆在世界的另一个地区，或者可能不与服务器24×7全天候连接在一起。

因此，罪犯正在将他们所收集到的帐号立即利用Jabber IM自动转发并接收所窃的帐号。在这种情况下，网络罪犯利用2个Jabber账号，一个用以从卸货服务器数据库中发送选定的被盗用的用户网络帐户，另一个用来接收那些帐户信息。

RSA FraudAction研究实验室发现每一个Jabber IM模块都经过配置以执行不同系列的活动并按照罪犯的个人喜好进行重大的“定制化”。一个典型的宙斯特洛伊木马卸货服务器能保留所窃信息，这些信息都属于被特洛伊木马所感染电脑的用户，而且这些用户是由许多金融机构以及其它目标组织的客户组成。

RSA追踪到的第一个Jabber模块经过配置能从美国本土的单个金融机构中抽取被盗用的网络用户帐号，表示它是一种有针对性的宙斯特洛伊木马攻击。在另外一个案例中，一种有着Jabber模块的宙斯特洛伊木马被罪犯用于发送来自5个不同金融机构被盗用的网络用户帐号(请参加图1)。RSA也发现这种特殊的特洛伊木马也经过特别配置，能够通过电子邮件转发所窃的用户帐号。

根据利用Jabber IM提交所窃在线帐号的方式，其事件流程如下所示：

1.宙斯特洛伊木马一个变种通过一位特洛伊木马操纵者（他是一种在线行骗者，在网络欺诈供应链中扮演一个关键的角色）发动的在线攻击从而感染了合法用户的电脑。

2.这些操纵者将窃取的帐号密码信息发送到宙斯特洛伊木马操纵者的卸货服务器中。

3.Jabber IM模块能在特定组织（通常是金融机构）的卸货服务器数据库中搜寻到属于用户的账户信息。

4.Jabber IM模块将这种特定账户信心通过一个Jabber“发送方”账户来进行传送。

5.罪犯能快速收到通过Jabber“接收方”账户获得的所窃用户帐号。

6.特洛伊木马操纵者现在可以占据被盗用的用户帐号，这可以使得他能够登录账户并执行欺诈性转账。在一些情况下，转账需要合法用户产生的数据，例如一次性密码，就被网络罪犯实时利用。

利用即时聊天应用软件来接收新收集到被盗用账户的通知或者客户登录尝试的通知，这不是一个新型的网络犯罪手段。举例而言，早就在2008年，已经知道Sinowal 病毒组织采用了一个Jabber模块。Sinowal木马病毒背后的罪犯就利用Jabber即时聊天软件接收新收集到网络帐户的实时通知，以及被感染的用户尝试登录的实时通知(请参加图2)。实时通知使得Sinowal的操作员能够使用网上银行帐号，接着就能利用该犯罪组织活动的网络会话中完全交易。

图2 Jabber通知Sinowal网上欺诈组织，有关一个受害者尝试登录到被入侵的电脑及其网络账户的情况#p# 二、7月网络钓鱼式攻击趋势分析

7月份新增的攻击数量与6月份相比只增加了1.5%，但仍然是12个月来的高峰。在上个月标准的网络钓鱼式攻击下降5%的同时，快速通量（fast-flux）攻击上升了7%。快速通量攻击数量现在已经连续3个月都超过了标准的网络钓鱼式攻击；这种趋势也反映在托管方式统计数据中。

三、托管方式的攻击分布趋势分析

7月份快速通量攻击的数量上升5%，与此有相关性的是，托管在快速通量网络上的攻击比例在上个月从56%攀升到61%。托管在被劫持的网站上的网络钓鱼攻击从26%下降到25%，其商业托管比例不变为8%。托管在被劫持电脑上的攻击从7%下降到3%，而免费网络托管保持稳定，为3%。

几种托管方式：

◆快速通量网络生成高级的域名解析服务(DNS)技巧，能利用一个被入侵电脑组成的网络，即所称的僵尸网络，来托管并提供网络钓鱼和恶意软件网站。被入侵的电脑临时充当受害者和网站之间的代理服务器或中间人。很难揭露并击退快速通量网络，因为提供网络钓鱼和恶意软件网站的内容服务器隐藏在一群被入侵的电脑背后，其地址极其快速的变更以躲避侦测。

◆被劫持的网站都是那些行骗者将他们的非法内容托管在合法网站的网络子域中，避开登记他们自己的域来进行网络钓鱼攻击。

◆商业托管涉及到行骗者将他们的恶意网站通过缴费的形式托管给其它行骗者。

◆被劫持的电脑由被入侵的电脑构成，其IP地址被分配成一个特定的网络钓鱼域。

◆免费托管指的是利用免费托管服务来展开攻击。#p#

四、受攻击品牌的总数趋势分析

在整个7月份，网络钓鱼攻击的数量略微增加，而受攻击的品牌数量下降了9%，有10个实体遭受他们首次的网络钓鱼攻击。整个7月，有104个品牌遭到低于5次的攻击，其比例相当于55%，标志着从6月份所报告的63%已有大的降低。

这些数字表示即使在7月份受到攻击的品牌数量减少，但与6月相比，他们遭受更多攻击数量的比例增多。这些数字也可归因于“岩石网络钓鱼组织”（Rock Phish Gang），包含大部分的快速通量攻击。岩石网络钓鱼组织据称已经发起了许多有针对性的攻击少量品牌的行动。

五、美国境内受攻击的金融机构细分情况趋势分析

在7月份，每个美国银行领域受攻击的银行数量和6月相比保持稳定。7月份唯一的变化就是美国地区银行的比例上升了1个百分点，而美国联邦信贷协会比例下降1个百分点。与6月相比，美国全国银行保持同一个受攻击比例。

六、托管网络钓鱼攻击的前十位国家趋势分析

在7月份，在美国被托管的攻击比例 — 按照美国在前十位国家中的比例 — 几乎下降了30%到42%。相反，意大利的比例却上升了5%，托管了26%的前十位国家中攻击量，英国在2个月缺榜之后重新出现在托管国家榜单中，为9%，德国以8%紧随其后。在这些托管比例最高的四个国家中全部都有岩石网络钓鱼攻击的登记记录。除了英国以外，墨西哥和中国也是本月的新来者，而澳大利亚和比利时完全跌落。

在去年整年内，总是占据网络钓鱼攻击最多托管的国家为美国、英国、德国、法国、俄罗斯和韩国。

七、攻击数量排名前十位的国家趋势分析

在7月份，前十个受攻击最多的国家其遭受攻击的比例类似于6月的比例。美国和英国在过去的8个月一直保持同样的领先地位，而意大利取代澳大利亚成为遭受最多攻击第三位的国家。7月榜单中唯一的大变化是中国的加入及爱尔兰跌落出榜单。

在去年整年内，总是遭受最大比例攻击的5个国家在美国、英国、意大利、加拿大和南非。

八、受攻击品牌前十位国家趋势分析

7月份关于成为攻击目标的品牌数量其数字与6月数字保持类似：美国和英国继续维持其几近永久的第一和第二的领导性地位，而加拿大和澳大利亚各自交换着第三和第四位。从第5位到第10位的国家其比例不超过1个百分点，除了名单上新增的两个国家爱尔兰和迪拜，将巴西和瑞士挤出了前十名榜单。迪拜在饼图中的出现，标志着其首次登上网络钓鱼统计数据前十名榜单。

什么是WEPQQ？

WEP--Wired Equivalent Privacy加密技术，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。 WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。 802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。 WEP被用来提供和有线lan同级的安全性。 LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。 经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。 WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端-端发送一样。 WEP特性里使用了rsa数据安全性公司开发的rc4 ping算法。 如果你的无线基站支持Mac过滤，推荐你连同WEP一起使用这个特性(MAC过滤比加密安全得多)。

对称加密和非对称加密的区别是什么?

l 对称加密算法对称加密算法是应用较早的加密算法，技术成熟。 在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。 收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。 在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。 不足之处是，交易双方都使用同样钥匙，安全性得不到保证。 此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。 对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。 在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。 传统的DES由于只有56位的密钥，因此已经不适应当今分布式开放网络对数据加密安全性的要求。 1997年RSA数据安全公司发起了一项“DES挑战赛”的活动，志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。 即DES加密算法在计算机速度提升后的今天被认为是不安全的。 AES是美国联邦政府采用的商业及政府数据加密标准，预计将在未来几十年里代替DES在各个领域中得到广泛应用。 AES提供128位密钥，因此，128位AES的加密强度是56位DES加密强度的1021倍还多。 假设可以制造一部可以在1秒内破解DES密码的机器，那么使用这台机器破解一个128位AES密码需要大约149亿万年的时间。 （更深一步比较而言，宇宙一般被认为存在了还不到200亿年）因此可以预计，美国国家标准局倡导的AES即将作为新标准取代DES。 l 不对称加密算法不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。 在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。 加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。 不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。 显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。 由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。 广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。 以不对称加密算法为基础的加密技术应用非常广泛。

跑跑114错误怎么回事？

error (100)错误代码100-游戏没有起动有跳出 错误代码100如果出现这个问题，表示你的电脑已经中毒。 请升级你的防毒系统并且进行扫毒，如果还是同样的问题出现，可能是你的防毒系统没有能力察觉到病毒的所在。 请选择另外一种防毒系统error (110)错误代码110 GameMon已经在运行中。 请关闭运行的GameMon或者重新启动电脑再次运行error (114)错误代码114-花了很长时间来读取游戏，最后出现错误代码114而且关闭了游戏1.在你电脑中的一个正在运行程序消耗了大量的CPU资源。 或者，你的影响驱动程序或者声音驱动程序已经过期。 请对你的电脑进行扫毒或者扫木马，而且将你的电脑内的全部驱动程序更新到最近的版本2.玩家的电脑中运行的防毒系统的监控过渡（常见于Norton 2005, McAfee, VirusBuster, etc.) 。 请关闭一些不必要的监控error(112) 错误代码112 无法读取检查病毒或者外挂的板块。 可能导致于内存却少或者病毒error (114)错误代码114 无法初始化GameMon。 请重新开机或者关闭造成冲撞的程序error (115)错误代码115 游戏在同一台电脑上重复或者运行二个同版本的游戏，或者GameGuard已经在运行中。 请彻底关闭你目前的游戏然后重新起动error (124)错误代码124 “” 文档不存在或者被改造。 重新安装GameGuard可以解决这个问题error(150) 错误代码150 GameGuard的启动文档不存在或者被破坏。 请重新下载并且安装GameGuarderror (153)错误代码153 “”不存在或者被破坏。 重新安装GameGuard可以解决这个问题error (155) 错误代码155 视窗系统文件被破坏。 建议你对你的电脑进行少读，和重新安装你的Internet Explorer 或者系统中的 (170) 错误代码170 无法运行GameGuard。 重新安装GameGuard然后重新起动游戏error (200) 错误代码200 一个非法程序被发现。 请关闭在你电脑中运行的不重要程序然后再试error (340)错误代码340 无法下载。 可能目前你的网络处于不稳定状态，互联网或者防火墙的设置可能有问题error (350) 错误代码350 在升级中被Cancel(Abort关闭)。 如果是因为网络连接的问题，请检查你的网络状况error (360) 错误代码360因为我的电脑不是韩文电脑，重新按装GameGuard。 （删除GameGuard文件夹，再进入，他会自动下）error(361)错误代码361GameGuard无法初始化，而且跳出错误代码361TGameGuard的升级无法正常运行。 请检查你的互联网设置，你的网络，还有你的安全程序是否对其禁止。 而且检查你是否可以上网。 （包括防火墙、路由设置哦！）error (380)错误代码380 无法连接GameGuard的升级程序。 请检查你的网络错误代码380GameGuard无法升级请下载GameGuard，并且安装。 如果你是视窗XP服务包2的用户，请检查你的防火墙有没有对GameGuard进行封锁。 有得时候这个问题会自动消失，如果你重新开机。 有可能是因为你的防火墙程序，如Sygate Firewall 对GameGuard的运行进行封锁，请检查你的防火墙是否对进行封锁