Ngựa Trojan ngân hàng mới có được tiếng Ba Lan

Hình minh họa bởi Andrew BanneckerCriminals hôm nay có thể cướp các phiên ngân hàng trực tuyến đang hoạt động, và những con ngựa Trojan mới có thể giả mạo số dư tài khoản để ngăn chặn nạn nhân nhìn thấy chúng bị lừa gạt.

Theo truyền thống, phần mềm độc hại đã lấy trộm tên người dùng và mật khẩu cho các ngân hàng cụ thể; nhưng tội phạm đã phải truy cập vào tài khoản bị xâm nhập bằng tay để rút tiền. Để ngăn chặn các cuộc tấn công đó, các dịch vụ tài chính đã phát triển các phương pháp xác thực như ID thiết bị, định vị địa lý và các câu hỏi đầy thử thách.

Thật không may, bọn tội phạm đối mặt với những trở ngại đó cũng trở nên thông minh hơn. Một Trojan horse, URLzone, quá tiên tiến đến nỗi nhà cung cấp bảo mật Finjan coi nó như là một chương trình thế hệ tiếp theo.

[Đọc thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn] Các cuộc tấn công ngân hàng lớn hơn

nhiều tàng hình và xảy ra trong thời gian thực. Không giống như keyloggers, mà chỉ đơn thuần là lại dây phím của bạn, URLzone cho phép kẻ lừa đảo đăng nhập, cung cấp xác thực cần thiết, và chiếm quyền điều khiển phiên bằng cách giả mạo các trang ngân hàng. Các cuộc tấn công được gọi là các cuộc tấn công trung gian bởi vì nạn nhân và kẻ tấn công truy cập vào tài khoản cùng một lúc, và một nạn nhân thậm chí có thể không nhận ra bất cứ điều gì ngoài thông thường với tài khoản của họ.

Theo Finjan, một quá trình URLzone quá phức tạp cho phép bọn tội phạm đặt trước tỷ lệ phần trăm lấy từ tài khoản ngân hàng của nạn nhân; theo cách đó, tính linh hoạt sẽ không đi theo các cảnh báo gian lận tích hợp của một tổ chức tài chính. Tháng 8 năm ngoái, Finjan đã ghi nhận hành vi trộm cắp URLzone trị giá 17.500 USD / ngày trong vòng 22 ngày từ một số chủ ngân hàng Đức, nhiều người trong số họ không biết nó đang xảy ra.

Nhưng URLzone đi xa hơn hầu hết các botnet ngân hàng hoặc Ngựa Trojan, nhóm chống lừa đảo RSA cho biết. Tội phạm sử dụng ngựa Trojan ngân hàng thường lấy tiền và chuyển tiền từ tài khoản của nạn nhân sang nhiều "con la" khác nhau - những người tự cắt và chuyển số tiền còn lại ra nước ngoài, thường dưới dạng hàng hóa được chuyển đến địa chỉ nước ngoài.

URLzone cũng dường như phát hiện khi nó đang được theo dõi: Khi các nhà nghiên cứu tại RSA cố gắng ghi lại cách thức hoạt động của URLzone, phần mềm độc hại đã chuyển tiền vào các con lừa giả (thường là các bên hợp pháp), do đó ngăn chặn cuộc điều tra.

Silentbanker and Zeus

Silentbanker, xuất hiện ba năm trước, là một trong những chương trình phần mềm độc hại đầu tiên phát triển trang web lừa đảo. Khi nạn nhân truy cập trang web ngân hàng giả mạo của kẻ lừa đảo, Silentbanker in-stalled phần mềm độc hại trên máy tính của họ mà không kích hoạt bất kỳ báo động nào. Silentbanker cũng chụp ảnh màn hình các tài khoản ngân hàng, chuyển hướng người dùng từ các trang hợp pháp và các trang HTML thay đổi.

Zeus (còn gọi là Prg Banking Trojan và Zbot) là một botnet ngân hàng nhắm vào các tài khoản ngân hàng thương mại. Theo nhà cung cấp bảo mật SecureWorks, Zeus thường tập trung vào một ngân hàng cụ thể. Nó là một trong những con ngựa Trojan ngân hàng đầu tiên đánh bại các quy trình xác thực bằng cách đợi cho đến sau khi nạn nhân đăng nhập thành công một tài khoản. Sau đó nó mạo danh ngân hàng và không phô trương đưa ra yêu cầu về số An sinh Xã hội hoặc thông tin cá nhân khác.

Zeus sử dụng các phương pháp lừa đảo e-mail truyền thống để lây nhiễm cho PC cho dù người đó có nhập thông tin ngân hàng hay không. Một cuộc tấn công liên quan đến Zeus gần đây được đặt ra là e-mail từ IRS.

Không giống như những con ngựa Trojan ngân hàng trước đó, tuy nhiên, sự nhiễm trùng Zeus rất khó phát hiện vì mỗi nạn nhân nhận được một phiên bản hơi khác.

Clampi

Clampi, một botnet ngân hàng tương tự như Zeus, nằm im trong nhiều năm nhưng gần đây đã trở nên khá tích cực. Theo Joe Stewart, giám đốc nghiên cứu phần mềm độc hại cho SecureWorks, Clampi nắm bắt thông tin về tên người dùng và mật khẩu cho khoảng 4500 trang web tài chính. Nó chuyển tiếp thông tin này đến các máy chủ lệnh và kiểm soát của nó; bọn tội phạm có thể sử dụng dữ liệu ngay lập tức để ăn cắp tiền hoặc mua hàng hóa hoặc lưu lại để sử dụng sau này. Washington Post đã thu thập những câu chuyện từ nhiều nạn nhân của botnet Clampi.

Clampi đánh bại xác thực người dùng bằng cách đợi nạn nhân đăng nhập vào tài khoản ngân hàng. Sau đó nó sẽ hiển thị một màn hình nói rằng máy chủ ngân hàng tạm thời ngừng hoạt động để bảo trì. Khi nạn nhân di chuyển, kẻ gian lén lút chiếm đoạt phiên ngân hàng vẫn còn hoạt động và chuyển tiền ra khỏi tài khoản.

Bảo vệ dữ liệu của bạn

Vì hầu hết các nhiễm phần mềm độc hại này xảy ra khi nạn nhân trả lời e-mail lừa đảo hoặc lướt web đến một trang web bị xâm phạm, Stewart đề nghị hạn chế các hoạt động ngân hàng của bạn vào một máy chuyên dụng mà bạn chỉ sử dụng để kiểm tra số dư hoặc thanh toán hóa đơn.

Ngoài ra, bạn có thể sử dụng hệ điều hành miễn phí, như Ubuntu Linux. một đĩa CD hoặc một ngón tay cái. Trước khi thực hiện bất kỳ ngân hàng trực tuyến nào, hãy khởi động Ubuntu và sử dụng trình duyệt Firefox được bao gồm để xác định trang web ngân hàng của bạn. Hầu hết các con ngựa Trojan ngân hàng chạy trên Windows, vì vậy tạm thời sử dụng một hệ điều hành không phải Windows đánh bại chúng, cũng như ngân hàng qua điện thoại di động.

Tuy nhiên, bước quan trọng là giữ cho phần mềm chống vi-rút của bạn hiện hành; hầu hết các chương trình bảo mật sẽ phát hiện những con ngựa Trojan ngân hàng mới. Các tệp chữ ký chống vi-rút cũ hơn có thể chậm để bảo vệ máy tính khỏi các cuộc tấn công mới nhất, nhưng phiên bản 2010 có bảo vệ chữ ký dựa trên đám mây để vô hiệu hóa các mối đe dọa ngay lập tức.