趨勢科技警告:「不留痕跡」的惡意程式,已從歐洲蔓延至亞洲 專門鎖定行動網路銀行使用者

【2014 年 7 月31日台北訊】您網路銀行帳號的防護很可能就像以有著大大小小氣洞聞名的瑞士愛曼托乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。全球雲端資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發現了一個名為「Operation Emmental」(愛曼托行動) 的全新網路犯罪行動,專門攻擊利用手機簡訊 (SMS) 進行雙重認證的網路銀行,竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典和瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。

在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,然後引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向一個歹徒所掌控的DNS伺服器,然後再將自己移除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。

趨勢科技資深技術顧問簡勝財指出:「多年來,銀行一直試圖透過各種安全機制來防止網路犯罪者入侵客戶的帳戶,包括:密碼、PIN 碼、座標卡、交易認證代碼 (TANS)、連線階段密碼等等。另一方面,網路犯罪者的攻擊卻也日益精進。在 Operation Emmantel 行動當中,歹徒結合了多種不同技巧,包括:在地化的垃圾郵件、目的完成即消失的惡意程式、不肖的 DNS 服務、網路釣魚頁面、Android 惡意程式、幕後操縱伺服器,以及真正的後端伺服器來達成目標。這使得銀行必須建置更完整且涵蓋不同層面和入侵點的防禦機制來保護客戶免於網路威脅。」

惡意程式會在受感染的電腦上安裝一個不肖的 SSL 憑證,讓電腦預設信賴歹徒的惡意 HTTPS 伺服器。經過這番修改之後,當使用者要開啟自己的網路銀行網站時,就會被自動重導至一個幾可亂真的假銀行網站,接著會要求使用者輸入帳號和密碼。這個網路釣魚網站接著指示使用者在智慧型手機上安裝一個惡意的 Android 應用程式。

這個偽裝成銀行連線階段密碼產生器的惡意 App 程式,事實上會攔截銀行送出的認證簡訊,將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,歹徒不僅透過網路釣魚網站取得了使用者的帳號密碼,還取得了交易所需的連線階段密碼,因此便能完全掌控受害者的銀行帳戶。

針對今日猖獗的行動網路犯罪,簡勝財進一步表示:「金錢依然是網路犯罪者最大的動機。根據趨勢科技 TrendLabs 2014 年第一季資訊安全總評季報指出,網路銀行惡意程式偵測數量在第一季達到 116,000 件左右,較 2013 年同期穩定成長。更嚴重的是,Android 威脅數量在該季已突破 210 萬,較一年前成長了四倍以上。照這樣發展下去,銀行必須監控多重入侵點的潛在攻擊,並妥善加以防範,才能為客戶提供安全的銀行交易環境。」

針對該項攻擊,趨勢科技已發表一份新的白皮書:「Finding Holes: Operation Emmental」(尋找漏洞:Emmental 行動) 來深入討論這項攻擊技巧。 Operation Emmental 白皮書下載,請參閱http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-finding-holes-operation-emmental.pdf