|
週一, 13 十月 2008 13:17 |
Finjan發佈了一份報告詳述了駭客如何利用新的犯罪軟體,從被感染的電腦那裡竊取銀行客戶資料。2007年7月份裏。Finjan發現了58名使用MPack工具的罪犯,他們成功地感染了50萬名用戶。在3100萬次的嘗試中,他們的成功感染率是16%——這是根據被感染網站的網路傳輸量來計算的。Finjan的分析報告顯示,MPack中使用的犯罪軟體能夠以一種全新的方式竊取銀行帳戶資訊,比如帳號,密碼,信用卡帳號,身份安全碼等等。這些軟體可以不留痕跡地竊取世界上很多銀行的帳戶資訊。為了不被發現,它把竊得的資訊透過安全通信通道(SSL)發送給犯罪分子。被感染的用戶根本不會察覺他們的系統或者上網活動有任何問題。犯罪軟體的rootkit性能使它能夠不留任何痕跡並且不會影響終端用戶的用戶體驗。現在大多數安全產品仍然無法檢測到MPack工具下載的犯罪工具軟體,這使得問題更加複雜,因此它在感染電腦方面非常有效。報告中列舉了被感染的很多其他銀行的用戶。
“此類攻擊比之前的釣魚攻擊危險多了,釣魚攻擊只是依靠虛假的網站來欺騙用戶。而此類攻擊是發生在用戶自己的電腦上的,並且還是加密的,非常不容易被察覺。”Finjan的CTO Yuval Ben-Itzhak說,“用戶在網站上填寫登錄資訊後,點選‘登陸’按鈕,那麼被感染的用戶機器上的犯罪軟體就會攔截該通信傳輸。該犯罪工具將它攔截的用戶ID以及密碼發給犯罪分子的伺服器,而不是發給銀行伺服器。用戶以為他們還在銀行網站上,但其實他們是透過加密連接,在向犯罪分子的伺服器發送資料。即使那網頁看起來很像真正的銀行網頁,但其實該網頁是被罪犯即時修改了的,它是透過預先設好的SSL連接來展示的。當用戶們存取其他線上金融服務的時候,駭客們也會是用同樣的技術。因此,針對每個金融機構,該犯罪軟體會發送定制的一系列偽造的表格和頁面,以便收集需要登錄一些服務的特定資訊(比如‘最喜歡的……是……’,紀念日,最喜歡的詞語,等等)。通常它們跟它們所偽裝的金融機構看起來非常一致。”
用戶的瀏覽器不會顯示任何標誌提醒用戶那個被修改的頁面很可疑,而且他的一切上網活動也很正常。如果打開網路瀏覽器的“安全”圖示來驗證SSL連接,那麼它就會顯示真正銀行的證書。一旦受害者點選了登陸按鈕,資料就透過一個安全對話連接連到犯罪者的電腦。資料成功傳送到犯罪者的網站後,真正銀行的回應就會顯示出來。這裡需要提的是,發送資料給攻擊者網站這個動作是在後端同步進行的,因此用戶不會有任何延遲的感覺。
令人擔心的是,這些犯罪軟體正在透過合法網站傳播。這些網站被攻擊者們用工具感染後,首頁上就被嵌入了指向惡意程式碼的iframe。一旦用戶存取了首頁,那麼用戶也就同時載入了嵌入其中的惡意程式碼。這就意味著那些對合法網站毫不懷疑的用戶行為無意中暴露給了惡意程式碼。從此,攻擊者就獲得了進行犯罪活動所需的所有資訊——甚至可以直接從ATM機取款,他只需將所需資訊編碼到銀行卡的磁條上,然後提款時輸入ATM密碼就行了。很多網路銀行的用戶都存在這樣的危險。
除了竊取個人和財務資料以外,該犯罪工具還是個按鍵紀錄器,使用加密檔把含有電腦正在進行活動的資訊發送回攻擊者的主機。(責任編輯:李磊)
新聞來源: 賽迪網
|
