Nowe bankowskie konie trojańskie zyskują Polskę

Ilustracja autorstwa Andrew BanneckerCriminals może dziś przejąć aktywne sesje bankowości internetowej, a nowe konie trojańskie mogą udawać saldo konta, aby zapobiec ofiarom, że są oszukane.

Tradycyjnie takie złośliwe oprogramowanie kradło nazwy użytkowników i hasła do konkretnych banków; ale przestępca musiał ręcznie uzyskać dostęp do skompromitowanego konta, aby wypłacić środki. Aby powstrzymać te ataki, służby finansowe opracowały metody uwierzytelniania, takie jak identyfikator urządzenia, geolokalizacja i trudne pytania.

Niestety, przestępcy napotykający te przeszkody również stają się mądrzejsi. Jeden koń trojański, URLzone, jest tak zaawansowany, że sprzedawca bezpieczeństwa, Finjan, widzi go jako program nowej generacji.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Większe wyrafinowanie

Ataki bankowe są dziś dużo ukradkiem i występują w czasie rzeczywistym. W przeciwieństwie do keyloggerów, które po prostu przypominają ci sekwencje klawiszy, URLzone pozwala logować się, zapewnia wymagane uwierzytelnienie i przejmuje sesję przez podszywanie się pod strony bankowe. Ataki są znane jako ataki man-in-the-middle, ponieważ ofiara i atakujący mają dostęp do konta w tym samym czasie, a ofiara może nawet nie zauważyć niczego niezwykłego na swoim koncie.

Według Finjana, tak spreparowany proces URLzone pozwala przestępcom ustawić procent, jaki ma pobrać z konta bankowego ofiary; w ten sposób aktywność nie potknie się z wbudowanymi alertami oszustw instytucji finansowej. W sierpniu ubiegłego roku Finjan udokumentował kradzież w oparciu o URL 17 500 USD dziennie w ciągu 22 dni od kilku posiadaczy niemieckich rachunków bankowych, z których wielu nie miało pojęcia, że ​​tak się dzieje.

Ale URLzone idzie o krok dalej niż większość botnetów bankowych lub Konie trojańskie, zespół ds. Zwalczania nadużyć w RSA. Przestępcy używający bankowych koni trojańskich zwykle łapią pieniądze i przenoszą je z konta ofiary do różnych "mułów" - ludzi, którzy robią cięcia dla siebie i przenoszą resztę pieniędzy za granicę, często w formie towarów wysyłanych na zagraniczne adresy.

URLzone wydaje się również wykrywać, kiedy jest obserwowany: Kiedy badacze z RSA próbowali udokumentować działanie URLzone, złośliwe oprogramowanie przekazało pieniądze fałszywym mułom (często legalnym stronom), tym samym utrudniając dochodzenie.

Silentbanker and Zeus

Silentbanker, który pojawił się trzy lata temu, był jednym z pierwszych szkodliwych programów, które wykorzystywały witrynę phishingową. Kiedy ofiary odwiedziły fałszywą stronę bankowości oszustów, Silentbanker zainstalował złośliwe oprogramowanie na swoich komputerach bez wywoływania alarmu. Silentbanker wykonał również zrzuty ekranu z kont bankowych, przekierował użytkowników z legalnych stron i zmodyfikował strony HTML.

Zeus (znany również jako Prg Banking Trojan i Zbot) to botnet bankowy, który jest przeznaczony dla komercyjnych kont bankowych. Według dostawcy bezpieczeństwa SecureWorks, Zeus często koncentruje się na określonym banku. Był to jeden z pierwszych bankowych koni trojańskich, który pokonał procesy uwierzytelniania, czekając, aż po tym, jak ofiara zaloguje się na konto z powodzeniem. Następnie podszywa się pod bank i dyskretnie wstrzykuje wniosek o numer ubezpieczenia społecznego lub inne dane osobowe.

Zeus wykorzystuje tradycyjne metody wyłudzania poczty e-mail w celu infekowania komputerów bez względu na to, czy osoba ta wprowadza dane uwierzytelniające. Jeden z ostatnich ataków związanych ze Zeusem, które zostały wysłane jako e-mail z IRS.

W przeciwieństwie do poprzednich bankowych koni trojańskich infekcja Zeusa jest bardzo trudna do wykrycia, ponieważ każda ofiara otrzymuje nieco inną wersję.

Clampi

Clampi, botnet bankowy podobny do Zeusa, leżał uśpiony przez lata, ale ostatnio stał się dość aktywny. Według Joe Stewarta, dyrektora ds. Badań nad złośliwym oprogramowaniem dla SecureWorks, Clampi przechwytuje nazwę użytkownika i hasło dla około 4500 stron finansowych. Przekazuje te informacje do swoich serwerów sterujących i poleceń; przestępcy mogą natychmiast wykorzystać dane do kradzieży funduszy lub zakupu towarów lub zapisać je do późniejszego wykorzystania. The Washington Post zebrał historie od kilku ofiar botnetu Clampi.

Clampi pokonuje uwierzytelnianie użytkownika, czekając, aż ofiara zaloguje się na konto bankowe. Następnie wyświetla ekran informujący, że serwer bankowy jest tymczasowo wyłączony z powodu konserwacji. Kiedy ofierze się porusza, oszuści potajemnie przejmują wciąż aktywną sesję bankową i przelewają pieniądze z konta.

Obrona danych

Ponieważ większość infekcji złośliwym oprogramowaniem występuje, gdy ofiary odpowiadają na wiadomość e-mail dotyczącą phishingu lub surfuj po zainfekowanej witrynie, Stewart zaleca SecureWorks ograniczenie twojej działalności bankowej do jednej dedykowanej maszyny, której używasz tylko do sprawdzania sald lub płacenia rachunków.

Alternatywnie, możesz użyć darmowego systemu operacyjnego, takiego jak Ubuntu Linux, który uruchamia od płytę CD lub pamięć USB. Przed rozpoczęciem bankowości internetowej uruchom system Ubuntu i skorzystaj z załączonej przeglądarki Firefox, aby uzyskać dostęp do witryny banku. Większość bankowych koni trojańskich działa w systemie Windows, więc tymczasowo używa się systemu operacyjnego innego niż Windows, podobnie jak bankowość przez telefon komórkowy.

Kluczowym krokiem jest jednak utrzymanie aktualności oprogramowania antywirusowego; większość programów zabezpieczających wykryje nowe bankowskie konie trojańskie. Starsze pliki sygnatur programów antywirusowych mogą być powolne, aby chronić komputery przed najnowszymi atakami, ale edycje z 2010 r. Są oparte na chmurze i umożliwiają natychmiastową eliminację zagrożeń.