一位銀行內部人員考察了個性化釣魚攻擊與隨后很快發生的CardSystems公司被黑事件之間的聯系。不要錯過他揭示的兩者之間的聯系以及釣魚者真正需要的是什么。

　　也許你在今年5月份開始流行個性化釣魚攻擊的時候就聽說了這種攻擊。在個性化釣魚攻擊中，真正的信用卡數據被用來引誘消費者提供更多的秘密。但是，在這個消息在6月份公開之前，你知道這些詐騙活動很可能是CardSystems公司的安全突破事件在外部可以看到的第一個結果嗎?

　　作為銀行業的IT編輯，這就是我認真跟蹤一系列事件并且對兩個表面上毫不相關的事件進行推理之后得出的結論。

　　讓我們從今年春季說起。當時，Cyota公司在其客戶報告受到了個性化的釣魚攻擊之后發布了如下消息:

　　2005年5月16日紐約消息，金融行業反詐騙和在線安全解決方案提供商Cyota發現一種危險的新的釣魚攻擊。Cyota把這種攻擊稱作是“個性化釣魚攻擊”。在這種攻擊中，有組織的犯罪團伙使用盜竊來的真正的信息針對賬戶持有者名字實施攻擊，引誘用戶泄漏額外的敏感信息。

　　Cyota解釋說，這個攻擊的來源很難確定，因為這種“個性化釣魚攻擊”非常廣泛，影響到該公司管理的許多機構，并不僅僅是一家被黑客攻破的機構。你也許會問自己，“個性化釣魚攻擊有什么不同?”。我可以肯定地推測，你看到的大部分內容與傳統的釣魚攻擊都很相似，那一直是最基礎的東西。選擇一個目標(eBay, PayPal, 花旗銀行)，發送500萬封電子郵件，郵件說，“親愛的PayPal用戶，你的賬號需要中心啟動...”，然后等待容易上當的用戶點擊你的電子郵件上的鏈接，這樣，你就可以竊取他們的信息了。

　　新的釣魚攻擊欺騙性更強。這種電子郵件是這樣寫的:“親愛的Donald，你的銀行賬號1234-5678-9012-3456在5月5日過期，由于安全的原因，你的賬號已經被停用了。我們希望你用一些時間訪問我們的網站以便啟動你的賬號。為了你的方便，特提供一個鏈接。這個銀行信息完全是正確和準確的，可能會導致讀到這個信息的人相信這封電子郵件是他們的金融機構發來的。

　　在SearchSecurity網站發表有關這個話題的文章的同一天，新的釣魚攻擊變得個性化了。在寫這篇文章之前，這篇文章的作者給我打來電話，深入討論了釣魚攻擊的問題。我們不能理解釣魚詐騙的原因。Cyota公司表示，黑客正在設法增加現有的偷竊的憑證的列表。使我們感到困惑的是什么信息缺失了。換句話說，為什么要進行釣魚攻擊?我想我知道那個答案:黑客需要社會保險號碼。

　　接下來，在6月17日，爆發了一個重要新聞，CardSystems網絡被突破造成4000多萬信用卡號碼被竊。我的第一個反應很簡單，“哇，丟失的信用卡號太多了。” 作為一個銀行家，我非常好奇并且繼續關注這個事情的發展。正如事情后來發展的那樣，有關方面對于誰發現了CardSystems公司的網絡被突破存在不同意見。我們引用一下如下的新聞報道:

　　CardSystems解決方案公司發布新聞稱，CardSystems在5月22日星期日發現了一起潛在的安全事件。5月23日星期一，CardSystems與美國聯邦調查局進行了聯系。萬事達公司發布的新聞稱，萬事達信用卡國際公司的一組安全專家發現了CardSystems公司的安全突破事件。萬事達的安全專家使用萬事達反詐騙工具事先監視詐騙活動，發現了這個安全突破事件。調查發現了一個旨在獲取CardSystems網絡數據的腳本，很可能是由病毒放在那里的。

　　當我發現CardSystems公司已經在5月23日通知FBI這個安全突破事件的時候，我很激動。我想起了幾個星期前的一次關于信用卡釣魚詐騙活動的談話。從那以后，我做出結論稱，這兩個事件是相關的。在我的記憶中，Cyota是這個故事中的英雄。作為一個勤奮的監視機構，Cyota觀察和匯總不同來源和機構的釣魚攻擊。當Cyota意識到新的大規模攻擊就要開始的時候，它用電子郵件把這個威脅通知了各個地方的用戶。Cyota在電子郵件中稱，“要格外小心，因為攻擊者擁有了更具體的信息。” 這個新聞向大眾披露，釣魚攻擊將使用私人信息。

　　所以，我知道，Cyota首先報告了這個問題。不是萬事達公司，也不是CardSystems公司。人們不知道安全突破發生的具體位置，因為這是有權限的信息。但是，Cyota公司在新聞發布中說，詐騙分子使用偷竊來的真正的有關賬號持有人的信息，如人名、電子郵件地址、正確完整的賬戶號碼以及其它銀行信息。因此，Cyota一定知道有人被黑了。

　　我要了解這些犯罪分子為什么還需要進行釣魚攻擊。但是，有一個事實是顯而易見的。為了平息大眾的憂慮，新聞報道一再強調說，對于身份證失竊不要太擔心，因為數據庫中沒有用戶的社會保險號碼。現在，我知道了這個等式中缺少的一部分內容了。

　　對于出售信息的黑客來說，從CardSystems公司那里偷來的信息幾乎就是黃金。CardSystems處理各種各樣的信用卡交易，但是，我特別感興趣的是該公司的互聯網交易。想一下:你最后一次在任何地方的在線購物，也許是在Barnes & Noble或者是Joe's Coffee Shack和Recycled Paper Goods等商店，哪些信息是必要的?

　　·信用卡號碼

　　·CVV(信用卡上的三個數碼)

　　·過期時間

　　·電子郵件地址(供你收郵件的)

　　·發貨地址

　　·持卡者姓名

　　·住址(如果與發貨地址不同的話)

　　這個信息提供了Cyota公司解釋的創建釣魚攻擊的電子郵件所需要的一切東西，不過只有一個例外。你的金融機構。然而，該公司被黑客攻破的是一個支付處理器。他們匯集了交割信息，并且把這些信息發送到你的金融機構。因此，他們的信息包含你的金融機構。狡詐的黑客利用已有的信息設計一個針對你個人的釣魚攻擊的電子郵件，然后發給你。雖然這個系統比傳統的釣魚攻擊要慢一些，但是，結果卻是非常值得的。

　　偷竊的信用卡號碼在黑市上每個可以銷售數百美元，根據卡的期限不同價格也有所不同。然而，在這個信息中增加一個社會保險號碼，你就可以把這個信用卡交換的小生意變成一個個性化的身份證盜竊的大生意。有了社會保險號碼，這些賬號就成了以你的名義申請信用卡的那些人的假身份證。進入到釣魚攻擊的陰謀中，我原來的問題是“他們缺少什么信息?”或者“他們為什么需要實施釣魚攻擊?”。這個答案就是9位數的社會保險號碼。