IBM旗下安全公司Trusteer的研究人員于去年年末發(fā)現(xiàn)了一款新的軟件工具包,即使是菜鳥網(wǎng)絡(luò)罪犯也可以用它盜取網(wǎng)上銀行憑證并利用憑證進(jìn)行欺詐性交易。
此工具包又名KL-Remote,用于遠(yuǎn)程疊加(overlay)攻擊。遠(yuǎn)程疊加可以使網(wǎng)絡(luò)騙子在不引起懷疑的情況下直接從受害者主機(jī)上登錄其網(wǎng)上銀行賬戶。
這一網(wǎng)銀欺詐威脅在巴西被發(fā)現(xiàn)。有研究稱,在巴西,網(wǎng)上銀行欺詐案件僅2013年就為網(wǎng)絡(luò)犯罪分子帶來2.64億美元入賬。KL-Remote很有趣,它與其他金融惡意軟件不同,要求控制者的手動干預(yù)。
據(jù)研究人員所說,涉及KL-Remote的攻擊通常開始于攻擊者借助其他惡意軟件的輔助,將工具包安裝到目標(biāo)人物的電腦上。一旦安裝成功,便開始監(jiān)視受害者的網(wǎng)上活動,查看他們是否登錄特定金融機(jī)構(gòu)的網(wǎng)站。
攻擊者會在目標(biāo)網(wǎng)站被登錄時收到工具包發(fā)來的提醒,隨之而來的還有受害者的設(shè)備信息,其中包括:IP地址、操作系統(tǒng)類型版本、處理器型號、網(wǎng)絡(luò)連接速度等。
工具包采用簡單易用的圖形界面,可以顯示受害者的實時桌面,在受害者電腦上彈出各種消息以獲取有用信息,還能使攻擊者接管受害者的鼠標(biāo)及鍵盤。
它會抓取正在登陸的網(wǎng)銀頁面屏幕,并將屏幕截圖呈現(xiàn)給用戶。然后網(wǎng)絡(luò)罪犯根據(jù)不同的網(wǎng)銀站點,用工具包推送消息到屏幕截圖上,誘騙受害者錄入網(wǎng)銀賬戶、口令、動態(tài)密碼(由銀行提供給客戶的安全設(shè)備產(chǎn)生)等攻擊者需要的信息。
一旦受害者提交了這些信息,KL-Remote就會彈出新消息指示用戶等待進(jìn)程完成。而在用戶等待時,攻擊者就接手了用戶電腦的控制權(quán),登入用戶的網(wǎng)上銀行賬戶。所有這些欺詐行動受害者都看不到,因為一切都隱藏在呈現(xiàn)給受害者的屏幕截圖背后。
Trusteer研究人員強(qiáng)調(diào):這一工具在繞過傳統(tǒng)反欺詐機(jī)制上可能非常有效。因為攻擊者可從受害者處輕易獲取登入賬戶所需信息,且由于一切操作都是直接在用戶電腦上完成的,傳統(tǒng)反欺詐機(jī)制認(rèn)為是可信設(shè)備而不會報警。
專家介紹:通過在客戶端保證終端電腦不被惡意軟件感染,可初步緩解遠(yuǎn)程疊加攻擊的威脅。而在服務(wù)器端,可通過找尋惡意軟件感染、非正常瀏覽模式、遠(yuǎn)程登錄工具使用和異常交易的證據(jù)來進(jìn)行偵測。
Trusteer高級產(chǎn)品市場營銷經(jīng)理Ori Bach在博文中寫道:“類似KL-Remote一樣的工具包,將預(yù)設(shè)置好的欺詐流程打包進(jìn)用戶友好的圖形用戶界面中,大大擴(kuò)展了可以進(jìn)行銀行欺詐的人群范圍。有了這工具包,罪犯只需具備基礎(chǔ)的技術(shù)就能實施可以規(guī)避強(qiáng)身份驗證的高端欺詐攻擊。甚而,將工具包嵌入到常見惡意軟件中還能大大增加其可用性和傳播范圍。”
KL-Remote的網(wǎng)絡(luò)釣魚信息以葡萄牙文寫就,目前只在巴西可用。但研究人員確認(rèn),此工具包也可被改編為其他國家可用。
原文鏈接:http://www.aqniu.com/tools/6373.html