Trojan Horses Gain Polish Nybanken

Illustrasjon av Andrew BanneckerCriminals i dag kan kapre aktive nettbanker, og nye trojanske hester kan fake kontosaldoen for å hindre at ofre ser at de blir bedraget.

Tradisjonelt stole slike malware brukernavn og passord for bestemte banker; men kriminelle måtte få tilgang til den kompromitterte kontoen manuelt for å ta ut midler. For å stoppe disse angrepene utviklet finansielle tjenester autentiseringsmetoder som enhets-ID, geolokasjon og utfordrende spørsmål.

Dessverre har kriminelle overfor disse hindringene blitt smartere også. En trojansk hest, URL-område, er så avansert at sikkerhetsleverandøren Finjan ser det som et neste generasjons program.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Større Sofistikering

Bankangrep i dag er mye strammere og forekomme i sanntid. I motsetning til keyloggers, som bare re-slår tastetrykkene, lar URL-sonen logge inn, levere den nødvendige godkjenningen og kapre økten ved å forfalske banksidene. Overfallene er kjent som man-i-midten-angrep fordi offeret og angriperen får tilgang til kontoen på samme tid, og et offer kan ikke engang legge merke til noe uvanlig med sin konto.

Ifølge Finjan, en sofistikert URLzone-prosess lar kriminelle forhåndsinnstille prosentandelen som skal tas fra et offers bankkonto; På den måten vil aktiviteten ikke reise en finansinstitusjons innebygde svindelvarsler. I august dokumenterte Finjan et URL-baserte tyveri på $ 17 500 per dag i løpet av 22 dager fra flere tyske bankkontoinnehavere, hvorav mange hadde ingen anelse om at det skjedde.

Men URL-sonen går et skritt videre enn de fleste bank botnets eller Trojanske hester, RSA-antifraudlaget sier. Kriminelle ved hjelp av banken Trojanske hester tar vanligvis penger og overfører det fra et offers konto til ulike "muldyr" - folk som tar et kutt for seg selv og overfører resten av pengene utenlands, ofte i form av varer som sendes til utenlandske adresser.

URL-området synes også å oppdage når det blir sett på: Når forskerne ved RSA forsøkte å dokumentere hvordan URL-sonen fungerer, overførte malware penger til falske muldyr (ofte legitime partier), og dermed forbudt undersøkelsen.

Silentbanker og Zeus

Silentbanker, som dukket opp for tre år siden, var et av de første malware-programmene for å utvikle et phishing-nettsted. Når ofrene besøkte skurkenes falske banksider, satte Silentbanker malware på sine PCer uten å utløse alarm. Silentbanker tok også skjermbilder av bankkontoer, omdirigerte brukere fra legitime nettsteder, og endrede HTML-sider.

Zeus (også kjent som Prg Banking Trojan and Zbot) er et banknettet som retter seg mot kommersielle bankkontoer. Ifølge sikkerhetsleverandøren SecureWorks fokuserer Zeus ofte på en bestemt bank. Det var en av de første bank-trojanske hestene å beseire autentiseringsprosesser ved å vente til etter at et offer hadde logget på en konto med hell. Den etterligner deretter banken og gir diskret innspørsel om et personnummer eller annen personlig informasjon.

Zeus bruker tradisjonelle e-post-phishing-metoder for å infisere PCer, uansett om personen skriver inn e-postadresser eller ikke. Et nylig Zeus-relatert angrep ble utgitt som e-post fra IRS.

I motsetning til tidligere banktrojanske hester, er imidlertid Zeus-infeksjonen svært vanskelig å oppdage fordi hvert offer får en litt annen versjon av det.

Clampi

Clampi, en bank botnet lik Zeus, lå i hvilemodus i mange år, men ble nylig aktiv. Ifølge Joe Stewart, direktør for malwareforskning for SecureWorks, tar Clampi inn brukernavn og passordinformasjon for rundt 4500 finansielle nettsteder. Den relayer denne informasjonen til sine kommando- og kontrollservere; Kriminelle kan bruke dataene umiddelbart til å stjele penger eller kjøpe varer, eller lagre dem for senere bruk. Washington Post har samlet historier fra flere offer for Clampi botnet.

Clampi bekrefter brukerautentisering ved å vente på at offeret skal logge på en bankkonto. Deretter vises en skjerm som angir at bankserveren midlertidig er nede for vedlikehold. Når offeret beveger seg, kaprerer skurkene den fortsatt aktive bankøkten og overfører penger ut av kontoen.

Forsvar av dataene dine

Siden de fleste av disse malwareinfeksjonene oppstår når ofrene svarer på en phishing-e-post eller surfe på et kompromittert nettsted, anbefaler SecureWorks 'Stewart å begrense bankaktiviteten din til en dedikert maskin som du bare bruker til å sjekke saldoen din eller betale regninger.

Alternativt kan du bruke et gratis OS, som Ubuntu Linux, som støtter fra en CD eller en thumbdrive. Før du gjør noen nettbanker, start Ubuntu, og bruk den medfølgende Firefox-nettleseren for å få tilgang til bankstedet ditt. De fleste bank-trojanske hester kjører på Windows, så midlertidig bruk av et ikke-Windows-OS slår dem, og det gjør bank via mobiltelefon.

Nøkkeltrinnet er imidlertid å holde antivirusprogrammet ditt nåværende; De fleste sikkerhetsprogrammer vil oppdage de nye banktrojanske hestene. Eldre antivirus signaturfiler kan være sakte for å forsvare PCer mot de siste angrepene, men 2010-utgavene har skybasert signaturbeskyttelse for å nullstille trusler umiddelbart.