2013年常見的金融木馬程式

 

金融木馬名稱 受駭電腦數量
Zbot、Gameover 超過2,000,000臺
Cridex 超過125,000臺
Shylock 超過33,000臺
Spyeye 約26,000臺
Bebloh 約21,000臺
Mebroot 約9,000臺
Tilon (Tiylon) 約2,000臺
資料來源:賽門鐵克,2014年1月

賽門鐵克日前調查全球88個國家、1,486個金融機構、超過2千個網域,發現了在2013年有8個最常見並鎖定金融業的木馬程式,專門竊取使用者網路銀行帳號及密碼,用來偷取用戶帳戶存款。

臺灣賽門鐵克資深技術顧問張士龍表示,這些木馬程式主要竊取對象以美國和英國的銀行為主,推測亞洲、中東國家和非洲的金融業者,是下一波攻擊的對象。臺灣目前主要的威脅來自傀儡網路(Botnet),但他認為,臺灣企業仍應提高警覺,避免成為下一波金融木馬鎖定的對象。

8個常見金融木馬主要來自Spyeye和Zues的變種
賽門鐵克分析1,086個惡意程式檔案時發現,2013年前9個月金融木馬程式的數量和去年同期成長337%,每個月有超過50萬臺電腦被植入這些木馬程式。前15大遭到金融木馬程式鎖定的金融機構中,有71.5%鎖定攻擊美國的銀行,其次為英國和義大利。

張士龍表示,2013年主要發動攻擊的8個常見金融木馬程式,包括:Zbot、Gameover、Cridex、Shylock、Spyeye、Bebloh、Mebroot及Tilon (Tiylon),都來自於Spyeye和Zues的變種惡意程式。其中,造成最多電腦受駭的金融木馬程式就是Zbot和Gameover兩個木馬程式,已經聯手造成超過200萬臺電腦受駭。

上述8種在2013年最常見的金融木馬程式,有95%是鎖定攻擊網路銀行的服務外,其餘5%攻擊則是鎖定社交網路。

張士龍指出,這些金融木馬是透過垃圾郵件和社交工程郵件散布,使用者點選惡意連結後,會被植入金融木馬程式並在背景程式自動執行,駭客就可藉此竊取使用者帳號與密碼。此外,駭客也開始鎖定行動銀行帳戶的帳號與密碼。

即便使用虛擬鍵盤,也躲不過駭客攻擊
這8個金融木馬程式對銀行業者的攻擊手法組共有9種,首先是Man-In-The-Browser(MITB),張士龍表示,駭客將一種網頁的應用程式嵌入在瀏覽器中,默默蒐集使用者在瀏覽器上的各種資訊;第二種手法是透過螢幕截圖的方式,將資訊回傳給駭客,即便網路銀行是使用虛擬鍵盤,還是可以搜集到使用者的相關資訊。

第三種則是竊取與偵測進行網路認證與傳輸時的憑證;第四種方式則是竊取使用者信用卡姓名、卡號、有效截止月年和背面後3碼等資訊;第五種則是當使用者登入網路銀行服務時,該金融木馬程式會向駭客警示該使用者已經在使用網路銀行服務。

第六種是透過轉址方式,將使用者導向另外一個網站;第七種則是在受駭電腦中,設定一個Proxy代理伺服器;第八種是在受駭電腦中,透過RDP和VNC的方式,在不被人發現的情況下,連結到其他的網站。最後一種則是,將使用者使用網路銀行的所有過程,包含使用虛擬鍵盤,以錄影方式錄下來並回傳給駭客。

張士龍則建議,金融業可以使用手機或是實體OTP機制,作為使用者登入帳戶的雙因素認證,藉使提高網路銀行帳戶安全性。但他也提醒,若是使用行動裝置時,要避免手機植入惡意的App,導致手機資訊被竊。文⊙黃彥棻

 


Advertisement

更多 iThome相關內容