巴西竊賊如何盜取數十億-2014-7-15
位於巴西地下非常活耀的犯罪組織,主要將目標鎖定在使用線上銀行的boleto用戶。他們採用典型的手段將惡意軟體植入使用者的電腦,當使用者拜訪銀行網站並填寫boleto交易帳戶等資訊時,使用者將在不知情的狀況下,被隨意更改收款人帳戶。由於這種攻擊是發生在驗證完畢後,因此能夠避開任何two-factor的認證系統,而且不被發現。目前的防範方法是將交易確認訊息傳送至使用者另一設備,以確認交易等細節。巴西付費系統的中間人攻擊詳細全文如下:
目前巴西擁有越來越多種形式的詐騙方式,這次文章主要是著眼於小規模的網路犯罪,這種犯案方法於過去兩年間已替竊賊帶來將近數十億美元的收入。
Boleto是巴西本地最常見的付款方式,使用者可以使用boletos通過他們的銀行網站完成線上採買動作,但與信用卡不同的是boleto不接受退款要求。
犯罪集團將目標設定於使用線上銀行的boleto用戶,他們將惡意軟件植入使用者的電腦。當使用者拜訪銀行網站並填寫交易及收款人等帳戶訊息時,使用者會在不知情的情況下被惡意軟體更改收款人帳戶資訊。
雖然被竄改的boleto交易都是小金額款項,但加總後對於犯罪集團來說將會是一筆非常可觀的收入來源,下圖即為遭受駭入的殭屍網絡,可以看到在2014年2月至6月間,就有383筆boleto 交易遭受竄改,總金額約莫25萬美元。
最近RSA中EMC的資訊安全事業部研究人員發現在這次稱為『Bolware』的行動中有相當多野心蓬勃的竊賊,經由追蹤後發現將近有30個不同銀行受到影響,損失金額高達37.5億美元。
大多數的銀行為了抵擋惡意軟體的攻擊,將要求網路銀行客戶安裝安全套件,但RSA發現該軟體並沒達到有效的阻擋功用,反而讓客戶對網站產生相當安全的錯覺。
此外,該惡意軟體還會收集使用者的帳號及密碼,並經由受害者的信箱以垃圾郵件方式將此軟體散播給更多的使用者。RSA表示,這些詐騙集團似乎已經感染超過192000部電腦,並取得83000組以上的使用者憑證。而且歹徒也已經使用8000多個獨立帳戶以接收盜取的資金。
研究人員認為,boletos應該考慮使用手機裝置來管理交易資訊,因為惡意軟件目前仍無法更改儲存於barcode的資訊,所以目前最安全的方法應該是由手機掃描barcode方式來進行付款動作較為適合。
本文為【網路管理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/07/heres_how_brazi.html
Leave a Reply