2014年8月6日星期三

流動網上銀行成目標 隱形惡意程式入侵亞洲


愈來愈多客戶使用網上銀行,除省時方便毋須排隊,亦可24小時彈性理財。不過網上理財有一定保安風險,近日便有「Operation Emmental」肆虐。

「Operation Emmental」(埃文達行動)取名自千瘡百孔的瑞士埃文達芝士(Swiss Emmental),暗示銀行帳號防護充滿漏洞。趨勢科技發現,埃文達行動網上犯罪活動,專門攻擊利用手機短訊(SMS),進行雙重認證的網上銀行,竊取銀行客戶的登入帳號密碼,並攔截短訊,繼而完全掌控其銀行帳戶。這項在奧地利、瑞典和瑞士相當流行的犯罪行動,目前已滲入日本,增加亞太地區遭受類似攻擊的風險。

針對性攻擊更趨精密 

據趨勢科技觀察,歹徒會先假冒銀行名義,發放垃圾郵件給用戶,然後引誘缺乏戒心的用戶,點選惡意連結或附件檔案,令用戶電腦感染一個特殊的惡意程式。

有別於一般攻擊網上銀行的惡意程式,此惡意程式會修改受感染電腦的網域名稱系統(DNS)配置設定,將該DNS導向至歹徒所操控的外國伺服器,然後再將自己移除,從而做到不留痕跡,難以偵查。雖然看似僅屬微細的修改,但對受害者卻影響深遠。

趨勢科技技術總監侯振業指出,多年來,銀行一直試圖透過各種安全機制,來防止網絡罪犯入侵客戶的帳戶,包括密碼、PIN、座標卡、交易認證代碼(TANS)、連線階段認證碼等等。另一方面,網絡罪犯的攻擊卻也更趨精密。在Operation Emmantel 行動當中,歹徒結合了多種不同技巧,包括具針對性的垃圾電郵、達成目的後即消失的惡意程式、欺騙性的 DNS 服務、網絡釣魚頁面、Android 惡意程式、幕後操縱伺服器,以及真正的後端伺服器來達成目標。令銀行必須建置更完整,且涵蓋不同層面和登入點的防禦機制,才得以全面保護客戶。

惡意程式暗渡陳倉

惡意程式會在受感染的電腦上,安裝一個假冒的SSL憑證,讓電腦預設為「可信賴的惡意 HTTPS 伺服器」。經過此修改後,當用戶要開啟自己的網上銀行網站時,會被自動轉導向至另一預設的虛假銀行網站,接著要求用戶輸入帳號和密碼。這個網絡釣魚網站接著會指示用戶,在智能手機上安裝一個惡意的Android 應用程式。

這個偽裝成銀行連線階段認證碼產生器的惡意 App 程式,事實上會攔截銀行發送的認證短訊,將之轉傳到歹徒的手機,或指揮與控制(C&C)伺服器。如此一來,歹徒不僅可以透過網絡釣魚網站,取得用戶的帳號密碼,還可取得交易所需的連線階段認證碼,從而完全掌控受害者的銀行帳戶。

針對現時猖獗的流動網絡犯罪,侯振業表示,金錢利益依然是網絡罪犯的最大動機。根據趨勢科技TrendLabs 2014年第一季資訊保安報告指出,網上銀行惡意程式偵測數量,於第一季達116,000宗,較2013年同期穩定增長。更嚴重的是,Android 威脅數量在該季已突破210萬,較一年前增長超過4倍。在此發展進程下,銀行必須加強監控針對不同登入點的潛在攻擊,並妥善加以防範,才能為客戶提供安全的銀行交易環境。



沒有留言:

發佈留言