Pankkitoiminnan haittaohjelmat ovat sneakier, vartiointiliikkeet varoittavat

Rahoitusmarkkinoiden haittaohjelmien tekijät yrittävät välttää uusia verkkopankkiturvajärjestelmiä palatakseen perinteisiin tietojenkalasteluihin liittyviin tunnistetietojen varastamiin tekniikoihin. tietokonerikollisten nykyisin käyttämät ohjelmat pystyvät muuttamaan reaaliaikaisesti verkkopankkitoimintoja, joita uhrit ovat käynnistäneet tietokoneissaan. Tämä sisältää mahdollisuuden toteuttaa petollisia liiketoimia taustalla ja piilottaa ne käyttäjältä muuttamalla tilin saldoa ja tapahtumahistorian näyttöä selaimessa.

Tämän seurauksena pankit ovat alkaneet ottaa käyttöön järjestelmiä, joilla seurataan, miten asiakkaat ovat vuorovaikutuksessa heidän verkkosivustoillaan ja havaita poikkeavuuksia, jotka saattavat merkitä haittaohjelmien toimintaa. Näyttää kuitenkin siltä, ​​että jotkut haittaohjelmien tekijät palaavat perinteisempään tekniikkaan, johon liittyy varmenteiden varastaminen ja niiden käyttäminen toisesta tietokoneesta, jotta vältytään tunnistamiselta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tuttuja troijalaisia, uusi tekniikka

Trusteerin tutkijat ovat hiljattain havainneet muutoksia Tinban ja Tilonin taloudellisissa troijalaisissa ohjelmissa, joiden tarkoituksena on estää uhrien pääsy todellisiin online-pankkisivustoihin ja korvata sisäänkirjautumissivunsa roistovaltiot.

"Kun asiakas pääsee pankin verkkosivustolle, haittaohjelma esittelee täysin väärennetyn verkkosivun, joka näyttää pankkitunnussivulta, "Trusteerin johtava teknologiajohtaja Amit Klein totesi torstaina blogikirjoituksessa. "Kun asiakas syöttää kirjautumistunnuksensa väärennettyyn sivuun, haittaohjelmat sisältävät virheilmoituksen, jossa väitetään, että verkkopankkipalvelu ei ole tällä hetkellä käytettävissä. Sillä välin haittaohjelmat lähettävät varastetut kirjautumistunnukset petostajalle, joka sitten käyttää täysin eri laitetta kirjaudu pankkiin asiakkaana ja suorittaa vilpilliset liiketoimet. "

Jos pankki käyttää kertakerroksen todennusta, joka vaatii kertaluonteisia salasanoja (OTP), haittaohjelma pyytää näitä tietoja myös väärennökseltä.

Tällainen tunnistetietovarkaus on samanlainen kuin perinteiset phishing-hyökkäykset, mutta sitä on vaikeampi havaita siksi, että URL-osoite selaimen osoiterivissä on todellisen verkkosivuston URL-osoite eikä väärennetty.

"Se ei ole niin hienostunut kuin tapahtumien pistäminen verkkopankki-istuntoja reaaliajassa, mutta se saavuttaa tavoitteensa havaitsemisen välttämiseksi ", Klein sanoi.

Tämä" koko sivun korvaaminen "-ominaisuus on läsnä Tinba-versiossa 2, jonka Trusteer-tutkijat ovat viime y havaittu ja analysoitu. Haittaohjelmat sisältävät Google Chrome -yrityksen tukea ja yrittävät rajoittaa verkkoliikennettä tallentamalla väärennettyyn sivulle ladatut kuvat paikallisesti.

Käytössä jo

Trusteerin tutkijoiden mukaan Tinba v2 on jo käytössä iskuissa, instituutiot ja kuluttajien verkkopalvelut.

"Pankit ovat aina kohdistaneet kahta hyökkäysvektoria online-kanavalla", Klein sanoi. "Toinen hyökkäysvektori on istuntojen kaappaus, joka on saavutettu haittaohjelmien avulla." Nämä kaksi vektoria vaativat kahta erilaista ratkaisua. "

Pankit pitäisi varmistaa, että heillä on suojaa molemmilta hyökkäystyypeiltä, ​​muuten tietoverkkorikolliset nopeasti sovittavat tekniikkansa, Klein sanoi. "Et voi asettaa lukkoa oveen ja jättää ikkunan auki."