本周在圣马丁召开的安全分析峰会(Security Analyst Summit)上，卡巴斯基实验室研究人员Fabio Assolini 和 Dmitry Bestuzhev介绍了巴西银行被攻击的案例分析。

从去年10月份开始的三个月里，巴西银行的所有36个银行域名、企业电子邮件和DNS都被黑客控制。攻击者利用伪造的HTTPS页面网络钓鱼获取用户凭证和访问行为，还向访问者分发恶意软件。

研究人员介绍称，这可能是攻击者通过钓鱼攻击银行内部员工，获取DNS的访问权限，从而把银行的流量定向到他们的服务器，并实现网络钓鱼和恶意软件分发。大多数DNS服务商提供双因素身份认证，但该银行没有使用这项功能，增加了DNS账户被盗的风险。

研究人员深入调查发现，引诱受害者输入支付卡信息的钓鱼页面是加载到银行域名上的，并显示一张免费SSL证书机构颁发的有效证书。免费SSL证书仅验证域名所有权，不需要进行其他身份信息验证(如组织验证、银行验证、电话验证等)，攻击者控制银行DNS后，即可轻松地匿名获取银行域名的免费SSL证书。

匿名恶意证书的攻击隐匿性非常强，对于普通用户来说，他们在正确的网站上使用HTTPS连接，一切看起来都很正常，用户很难察觉网站已经被劫持。精通技术的用户可能会通过查看DNS记录或发现网站突然更换了CA而注意到网站出了问题，但在没有任何异常的情况下，用户很难会突然去检查这些细节。

对于网站来说，做好以下几点将有助于降低这类攻击的威胁，保护网站安全：

1、 对DNS更好地控制和监督至关重要，案例中的银行没有使用双因素身份验证，使得DNS账号很容易被盗。

2、 银行网站应使用EV级别的SSL证书。一方面，EV SSL 证书需要严格验证申请单位的身份，攻击者很难申请到这类证书;另一方面，EV SSL证书显示醒目的绿色地址栏和单位名称，一旦页面被劫持，醒目的绿色地址栏突然消失，会引起用户的警觉，从而发现网站出现异常。

3、 银行还应该加强HTTPS的配置，HTTP公钥订(HPKP)是可选择的SSL/TLS安全功能，通过HTTP头部设置实现。它允许网站向客户端提供一组被授权用于HTTPS连接的公钥，如果客户端连接该网站时接收的不是被授权的公钥，它将拒绝创建连接。

4、 证书颁发机构授权是另一项保护网站免受恶意证书攻击的安全措施，它是由设置DNS记录实现，允许网站选择可接受哪些CA颁发的证书。CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为证书颁发标准的基本要求之一，这项措施将在2017年9月正式生效。

互联网逐步迁移到HTTPS加密后，让网站充分展现真实身份信息变得越来越重要，教导用户识别真实网站身份信息，免受匿名恶意证书的攻击，是互联网安全发展的另一重要步伐。

参考来源：Threatpost

厦门聚力诚信科技有限公司（BestCert）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。