最近一连串信用卡被窃案的背后，是这月入5000万的黑客组织

话说，

在电子支付技术早已发展成熟的今天，使用银行卡付款早已是公认的安全，高效的支付手段之一，

然而，谁能想到，这几年，因为一个神秘的网络犯罪集团异军突起，让刷卡支付和ATM取款变得令人胆战心惊....

前两天就出事了，著名的美国哈德逊湾公司（Hudson’s Bay Company，HBC）旗下的两家百货公司，奢侈品连锁百货萨克斯第五大道（Saks Fifth Avenue），

以及高档百货店罗德与泰勒百货（Lord & Taylor department stores），

相继爆出惊人消息：

他们的系统遭到黑客袭击，数据发生泄漏，已经超过500万用户的信用卡和借记卡卡号遭到泄漏！

更有甚者，有业内人士爆料，其中12.5万的用户信息，已经在“暗网上”被放出来公开售卖！

如此大规模的用户信用卡被窃取，幕后黑手是谁呢？

在相关调查人员和媒体的披露下，网络安全人员们在蛛丝马迹中逐渐发现了一些熟悉的手法....

恩，看来又是FIN7做的... 

FIN7是一个庞大的网络犯罪集团，从2013年起，他们攻击银行，各大公司的电子支付系统以及那些不幸安装了他们的恶意软件的金融机构…

在2015年后期开始变得活跃，到了2017年初，它的犯罪活动达到顶峰，短短几年间，成功渗透了40个国家和地区的100多家金融机构，他们攻击造成的损失，规模之大，令人触目惊心：

每次发动攻击，犯罪份子都能偷走高达上千万欧元！长期下来，造成的金融业损失竟高达10亿欧元。

除了最近中招的萨克斯第五大道以及罗德与泰勒百货，

前两年，已经有许多知名的企业和集团成为了他们的攻击目标，

2016年7月，美国著名酒店Omni Hotels & Resorts的信用卡支付系统遭到黑客攻击。

2017年5月，墨西哥风味连锁快餐集团Chipotle的信用卡刷卡系统被恶意软件盗走信用卡数据...

2017年6月，现任美国总统川普的家族酒店集团Trump Hotels的信用卡数据被黑客盗走。

2017年9月，美国食品超级连锁店全食超市（Whole Foods）旗下几家分店出现信用卡数据被黑客盗走。

2017年12月， 快餐连锁集团Jason’s Deli的信用卡数据库被黑客攻破...

在调查中，各个公司被攻击的手段都有类似之处... 

研究人员发现很有可能都是同一伙人所为 -- FIN7。 

这个Fin7究竟是什么来路，

为什么频频攻击大企业网络，盗取信用卡数据都能顺利得手？！

众所周知，数据泄漏是在互联网时代避免不了的事情.. 从快餐店订餐，网购，在超市买东西...  你看过什么帖子，给谁点了赞，你的一切事情都会被各种公司记录下来，用来做各种分析。 

你的个人数据很可能被一些软件抓去，这样的一些数据或许不痛不痒...

再严重一些，

我们不少人可能以前都经历过网络游戏被盗号，QQ被盗号，账户被盗号..

但是，如果你突然发现你的银行卡信息都被人盗走，你的银行卡被人各种盗刷时.... 

事情，就不这么简单了... 

在这个世界上，很多网络黑客基本都是小打小闹，有时候只是单纯的盗个号，有的入侵一个网站改个首页，有的操控一系列的僵尸电脑网络发动网络攻击.... 有的只想捞一笔钱就跑.... 

然而，

FIN7却不一样，这是一个高度专业，有严密组织的网络犯罪集团。研究人员发现，他们类似公司化运作，有着严谨的上下班时间 --- 晚上和周末下班了就没有动作了... 

他们背后似乎有着自己独立的研究和开发团队，开发着他们自己使用的各种恶意软件和网络攻击方法... 因为都是自己开发的而已软件自己用，因此杀毒软件公司通常都要等他们的软件传播开后才有所反应，而那时已经晚了... 

他们有不同的部门，有的专门针对各种高级酒店或者高级商场（在这些地方消费的人都比较有钱，信用卡额度比较高，信用卡信息比较有价值）。 有的直接针对各种银行和金融机构... 

2013年，Fin7利用木马软件Carberp和Anunak率先攻击了许多金融机构。 随后有盗取了其他很多机构的信用卡信息.... 

他们利用网络世界的匿名性隐藏了很久。 

在很长一段时间内，因为不清楚这些网络攻击的来源和组织，网络安全专家曾经认为这些都是一起起独立的案件。 给这一起起攻击行为木有的组织起过各种名字... 

直到后面才发现，其实很多案件里，对方留下的恶意软件的蛛丝马迹都有相同的特征.. 后来他们才意识到，原来这很多都是同一伙人做的，最终，给他们起名FIN7 （这原本是指专盗商店和酒店业的信用卡的那伙黑客集团）

Fin7的攻击手法并不高明，纯粹是凭借契而不舍的耐心…

简单来说，分为四个步骤：

1.开发：

制造出恶意软件，然后把包含恶意软件的邮件发给目标银行或者企业的各种员工。

2. 渗透和传播：

通过一些不太小心的员工，让恶意软件感染他的工作电脑（如：员工用办公电脑打开邮件），从而感染内网，控制服务器等。

3. 控制了之后就要开始偷了.. 

（1）他们要么直接在系统里把钱转到海外账户

（2）要么派专人（Fin7找来的人）在ATM机取钱时，直接控制ATM提升这个人的账户余额。

（3）或者干脆控制ATM后，发出指令，让指定的ATM机吐钱，然后派专人去取走

4.洗钱

将偷来的钱兑换成加密货币（如比特币之类）。从而让执法机构无法追查..... 

也就是说，只要员工一个不小心，在办公电脑上打开了黑客发来的带木马的邮件，很有可能，就成了他们最初的渗透点...

Fin7的作案效率让人瞠目结舌，他们主要运用诱骗的手法渗透进受害人的网络，

更令人称奇的是，他们还表现出了自己强大的升级进化能力，

所谓道高一尺，魔高一丈，只要网络安全公司有了相应的对策，他们很快就能调整策略，开发出新的工具和策略。

很多专家认为，这显然不是普通的个人和组织能够办到的，Fin7简直像在企业化运作一样.....

长期追踪Fin7，并率先爆出两大公司数据被盗的Gemini Advisory公司的首席技术官也表示：

“从我们研究的这些年来看，FIN7就像一个商业实体一样运作，他们有幕后策划人，有经理，有筹款部门，软件研发部，还有软件测试部门。并且，他们还有金融手段可以让自己藏起来，他们每个月至少挣5千万美金。他们行动了很多年，手头上估计至少有10亿美金！”

Gemini Advisory的人小心翼翼追踪了Fin7很多年，鉴别出了他们使用的工具，也看着他们的技术手段一步步进化和提升。甚至，很多时候，在Fin7发动网络攻击时，技术人员在和他们短兵相接，肉搏交手的过程中，了解到了许多Fin7的手法和策略。

去年秋天，Morphisec网络安全公司也在和Fin7交锋后发现。 在操作系统的某个关键性漏洞曝出后，Fin7公司仅仅用了不到一天时间，就做出了针对性的利用软件，开展了攻击...  而在那个时候，很多安全响应公司都还只在研究这个漏洞，更别说响应了... 

曾经帮助很多客服成功击退Fin7网络攻击的，Icebrg网络安全公司的CEO William Peteroy对此深有感触：

“对抗他们的感觉就像参加快速反应小组，不经过一场恶战是不能打到他们的….”

“他们愿意耗费大把时间来攻击某些目标，不厌其烦地持续攻破那些目标，他们的整体目标就是尽可能多地拿到信用卡的数据。 

他们不是最好的黑客，他们的技术也不是最好的技术，

但他们是最专业的，他们一大早就起来工作，啥也不干，就是偷信用卡卡号。”

Peteroy还表示，Fin7最厉害的地方，是他们逃脱杀毒软件扫描和追踪的能力，这显然是因为Fin7自己的测试系统，他们不厌其烦地反复测试研发的恶意软件躲避扫描的能力，直到成功为止…

就这样，从2013年至今，Fin7凭借他们的Carbanak和Cobalt，成功黑进了40国的金融机构，盗走了10亿多美元资金…

Carbanak和Cobalt威胁到的国家和地区

除开资金充足的金融机构，

凡是能用到信用卡和储蓄卡刷卡支付的大企业和机构，也成了他们下手的对象，

远的有Omni和川普酒店集团客户，近的有萨克斯第五大道和罗德与泰勒百货，刷卡消费的普通客户，都难逃被盗取用户信息的命运。

从几年前发动攻击开始，时至今日，Fin7的大部分行动都成功逃脱了追捕，至今仍然逍遥法外...

然而，

他们盗窃的规模如此之大，波及范围如此之广，总会有马失前蹄的时候…

几年来，这些被攻击的国家和地区一直在想办法揪出Fin7，联手抗击这只神秘而庞大的“黑客部队”，欧洲刑警组织和网络犯罪联合行动组共同牵头，会和了众多智囊，密码专家，洗钱专家，以及全世界不同地方的受害人，大家一起合作破案，直到前不久，这个追踪多年的案子总算有了突破。

上周，西班牙警方联同欧洲刑警组织，发动突袭，一举逮捕了他们攻击ATM机的分支集团的关键人物，取得了追踪多年的关键性胜利...

尽管Fin7露出了冰山一角，但不少业内技术人员依旧不乐观，很多人认为，逮捕一个人根本不足以撼动这个庞大而神秘的组织。

Gemini Advisory的技术人员就表示：

“有人在西班牙被抓了，他或许是食物链稍高一层的人，但并不意味着整个集团会就此瓦解....”

作为一个持续多年的犯罪组织，Fin7依然有可能继续作案，

它很可能再次攻击某个使用信用卡支付的大企业，继续盗取数以百万计的银行卡卡号和数据....

这场道与魔的战争，天天都在继续....

Ref：

https://www.wired.com/story/fin7-carbanak-hacking-group-behind-a-string-of-big-breaches/?mbid=synd_digg

http://www.dailymail.co.uk/news/article-5567677/Hackers-selling-stolen-data-five-million-credit-debit-cards-used-Saks-Fifth-Avenue-Lord-Taylor.html

-------------------