2012年10月9日 星期二

RSA警告:駭客準備大規模攻擊30家美國銀行


RSA警告:駭客準備大規模攻擊30家美國銀行

RSA認為,自2008以來美國地區的銀行已經被使用網路木馬Gozi的犯罪集團取走500萬美元,並發現一組名為HangUp的組織使用Gozi木馬,該組織可能就是想發動大規模攻擊銀行的團隊。

RSA詐欺行為研究團隊研究員Mor Ahuvia表示,有一個網路犯罪組織近期可能針對美國30家銀行進行攻擊。該組織可能聯合100個控制殭屍網路的罪犯,在秋季對銀行展開攻擊,RSA相信這是近期針對銀行規模最大的木馬攻擊行動。

RSA研究團隊是在監控地下論壇交談內容時發現相關資料,研究該組織的資料後發現,他們準備使用一種罕見的Gozi木馬展開攻擊。Gozi該字來自Gozi Prinimalka,為「接收」一詞的俄文。根據監聽內容顯示,該網路犯罪組織正努力佈署這些木馬,完成之後將可以使用中間人手法攔截匯款交易。

Gozi木馬入侵到受害者的電腦之後,會利用一個虛擬機器同步模組,將受入侵設備的資訊如螢幕解析度、時區、瀏覽器種類等傳回伺服器,並建立一個可以替代受入侵設備的虛擬機器。

由於虛擬機器包含認證軟體、最後使用的合法IP及瀏覽器cookie等,因此駭客可以在虛擬機器中執行轉帳等銀行業務,並利用VoIP網路電話攻擊軟體,避免受害者接到確認電話及網路認證等訊息。

研究團隊認為,駭客鎖定美國地區的銀行攻擊,雖然動機有可能是反美意識等因素,但主要原因可能在美國銀行不像歐洲地區普遍使用雙因素認證(two-factor authentication),在技術上更容易成功。

RSA認為,自2008以來美國地區的銀行已經被使用網路木馬Gozi的犯罪集團取走500萬美元,並發現一組名為HangUp的組織使用Gozi木馬,該組織可能就是想發動大規模攻擊銀行的團隊。

該網路犯罪集團為吸收更多成員,會尋找新人加入,並給予設備及師徒制度的訓練。訓練期間老師會協助徒弟建立殭屍網路,並以一定比例分享殭屍網路的收入。這些後進人員只能取得執行檔進行入侵,原始資料則掌握在核心團體之中。

在RSA發表警訊之前,已經將可能遭受攻擊的銀行名單提供給執法單位,加上消息曝光之後,犯罪組織可能改變型態或者更動時程。不過過去兩週美國銀行已經提高警覺,因為包含摩根大通、美國、花旗、Wells Fargo等諸多銀行,同時遭遇到阻斷式攻擊(DDoS)。

資安專家建議使用者應隨時使用最新版本的瀏覽器,並注意銀行帳戶的不正常狀態。銀行方面則應該考慮更嚴格的認證機制及異常檢測工具,並監控異常的匯款轉帳交易。(編譯/沈經)

轉載自《iThome》