趨勢科技警告:"不留痕跡"的惡意程序已從歐洲蔓延至亞洲
責編:admin |2014-08-25 13:11:29網絡銀行帳號的防護很可能就像瑞士埃曼塔奶酪一樣千瘡百孔、充滿漏洞。近日,全球服務器安全、虛擬化安全及云安全領導廠商趨勢科技發現了一個名為"Operation Emmental"(埃曼塔行動) 的全新網絡犯罪行動,專門攻擊利用手機短信(SMS) 進行雙重認證的網絡銀行,攔截短信竊取銀行客戶的登錄賬號和密碼,進而對賬戶實現完全掌控。這項在奧地利、瑞典和瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。
在這項攻擊行動當中,不法分子會先以知名銀行的名義散發假冒垃圾郵件給用戶,然后引誘缺乏戒心的用戶點擊一個惡意的鏈接或附件,讓用戶的電腦感染一個特殊的惡意程序。該惡意程序有別于一般的網絡銀行惡意程序,此惡意程序會修改受感染電腦的域名系統(DNS) 設置,讓DNS指向一個不法分子所掌控的國外服務器,然后再將自己移除,因此很難被偵查到。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。
趨勢科技(中國區)業務發展總監童寧指出:"多年來,銀行一直試圖通過各種安全機制來防止網絡犯罪者入侵客戶的賬戶,包括:密碼、PIN碼、座標卡、交易認證代碼 (TANS)、會話令牌等等。另一方面,網絡犯罪者的攻擊卻也日益精進。在Operation Emmantel行動當中,不法分子結合了多種不同技巧,包括:本地化的垃圾郵件、目的完成即消失的惡意程序、修改DNS設置、網絡釣魚頁面、Android 惡意程序、幕后操作服務器,以及真正的后臺服務器來達成目標。這使得銀行必須建立更完整且涵蓋不同層面和入侵點的防御機制,來保護客戶免于網絡威脅。"
惡意程序會在受感染的電腦上安裝一個流氓 SSL 證書,讓電腦在默認情況下信任惡意 HTTPS 服務器。經過這番修改之后,當用戶要開啟自己的網絡銀行網站時,就會被自動引導至一個幾可亂真的假銀行網站,接著會要求用戶輸入賬號和密碼。最后,這個網絡釣魚網站指示用戶在智能手機上安裝一個惡意的 Android 應用程序。
這個偽裝成銀行會話令牌產生器的惡意 App 程序,事實上會攔截銀行送出的認證短信,將它轉發到不法分子的存儲(C&C) 服務器或不法分子的手機號。也就是說,不法分子不僅通過網絡釣魚網站取得了用戶的帳號密碼,還取得了交易所需的會話令牌,因此便能完全掌控受害者的銀行賬戶。
針對今日猖獗的移動網絡犯罪,童寧進一步表示:"金錢依然是網絡犯罪者最大的動機。根據《趨勢科技2014年第一季信息安全總評季報》顯示,網絡銀行惡意程序偵測數量在第一季度達到116,000個左右,較2013年同期穩定成長。更嚴重的是,Android惡意程序數量在該季度已突破210萬,較一年前成長了四倍以上。因此,銀行必須監控多重入侵點的潛在攻擊,并妥善加以防范,才能為客戶提供安全的銀行交易環境。"
針對該項攻擊,趨勢科技已發表一份新的白皮書:"Finding Holes: Operation Emmental"(尋找漏洞:Emmental 行動) 來深入討論攻擊細節。
尋找漏洞:Emmental 行動白皮書下載地址,請點擊:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-finding-holes-operation-emmental.pdf
如需有關 Operation Emmental 的最新信息,請點擊:
http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental