网络悍匪劫持巴西网银长达5小时，数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行，抢走财物，再离开银行。但是，就是有这样一个黑客组织不走寻常路，他们劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面，从中获取受害者的信用卡信息。

2016年10月22日，这伙犯罪分子在3个月的精心准备之下，成功控制一家巴西银行所有业务长达5个小时。该银行的36个域名，企业邮箱和DNS全体沦陷。这家建立于20世纪早期的银行在巴西、美国、阿根廷和大开曼拥有500个分行 ，总计拥有500万用户和250亿美元资产。

卡巴斯基实验室的研究人员 Fabio Assolini 和 Dmitry Bestuzhev 发现，这伙网络犯罪分子已经将同样的手段炮制到全球范围内的另九家银行，但他们并未透露是哪家银行遭遇了攻击。

在研究初期，此次攻击看上去就是普通的网站劫持，但是两位研究者发现事情并没有这么简单。他们认为犯罪分子使用的攻击很复杂，并不只是单纯的钓鱼。攻击者用上了有效的SSL数据证书，并且还用Google Cloud来提供欺诈银行服务支持。攻击的5小时里发生了什么事情？

10月22日下午1时，巴西的一家银行网站受到攻击，持续了5个小时。黑客入侵银行站点的方式是：控制这家银行的DNS账户，这样就能将客户导向欺诈网站了。研究人员表示，黑客入侵了这家银行的DNS提供商Registro.br。但黑客具体是怎么做到的，目前还不清楚。

DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞，研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。

Bestuzhev说：

每一个访问该银行网站的人都会获得一个内含JAR文件的插件，而犯罪分子早已掌握了网站索引文件的控制权。他们可以利用iframe框架将用户重定向到一个提前设好恶意软件的网站。