根據美國特勤局 (U.S. Secret Service) 的資料與 Brian Krebs 的文章指出,有歹徒將偷來的信用卡資料暗藏在偽造的 Sam’s Club 和 WalMart 知名零售連鎖商店會員卡上,卡片正面印有一個內含信用卡資訊的條碼以及信用卡使用期限與 CVV 認證碼。
假的會員卡片上提供了結帳指示,告訴店員該怎麼操作銷售櫃台系統 (PoS),如何掃描條碼然後再輸入使用期限和 CVV 認證碼。而且這筆交易會被當成無卡交易來處理。
前述報導更指出,這類條碼除了印在卡片上外,還可能印在貼紙上,或是儲存在手機記憶體內。這類作法有別於過去重新編碼的偽造信用卡,歹徒反而更容易隱藏偷來的信用卡資料。
尼泊爾的NIC亞洲銀行是變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)最新的受害者,出現了透過SWIFT系統的詐騙性金融轉帳。這場網路劫案的幕後駭客試圖將竊來的錢轉到多個國外帳號,如日本、英國和新加坡以及紐約渣打銀行和Mashreq銀行等外幣帳戶。
NIC亞洲銀行向中央銀行(尼泊爾國家銀行)回報了此一事件。截至2017年11月6日,NIC亞洲銀行與其他金融機構(如KPMG India和印度中央調查局)合作阻止非法交易,取回了4.6億尼泊爾盧比(約合445.1萬美元)。
[相關資訊:Security 101:商業流程入侵(Business Process Compromise)]
NIC亞洲銀行是近來SWIFT相關劫案的最新受害者,去年孟加拉中央銀行發生的相關事件損失了至少8,100萬美元。網路犯罪分子將SWIFT相關基礎設施作為目標,讓厄瓜多和越南的金融機構也都上了頭條新聞。
[相關資訊:你企業內的大型主機是否暴露在危險中?你的商業流程可能會受到威脅。]
商業流程入侵破壞了管理公司運作的基礎架構完整性,像是利用其漏洞或使用資料竊取或變更惡意軟體來加以感染。在亞洲銀行的案例中,據報專門用於處理SWIFT交易的系統也被用在其他用途(如電子郵件)。這次的劫案是在排燈節時進行,這在尼泊爾是五天的國定假日,該國的銀行和金融機構在這期間也都關閉。
[相關資訊:網路犯罪分子如何利用你的資料來對付你]
商業流程入侵不僅被用來打擊金融機構。從物流和航運、教育和資料/商業服務到零售業,不管組織是大是小都很可能遭受攻擊。 繼續閱讀
Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。
Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈
在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月和 7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。
最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。
這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。
最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:
將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼
當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 繼續閱讀
銀行木馬 EMOTET和Trickbot 在沉寂一段時間後再度死灰復燃,(趨勢科技將它們分別偵測為TSPY_EMOTET和TSPY_TRICKLOAD)。這些銀行病毒都是經由社交工程(social engineering )惡意垃圾郵件或網路釣魚(Phishing)郵件散播。安全研究人員指出它們還會利用蠕蟲、下載其它惡意軟體以及模仿銀行網域等方式散播。
EMOTET能夠“竊聽”經由網路連線傳輸的資料,以繞過HTTPS安全連線,並躲避傳統的偵測技術
EMOTET首次現身於 2014年: 假冒銀行轉帳通知!!利用網路監聽竊取資料 跟其他利用惡意網頁來竊取銀行資料的銀行惡意軟體不同,EMOTET能夠“竊聽”經由網路連線傳輸的資料。這讓攻擊者可以繞過像HTTPS這樣的安全連線,並且躲避傳統的偵測技術。在2016年12月,趨勢科技發現它再度出現在相同地區,還包括了熟悉的舊資料竊取軟體DRIDEX和ZeuS/ZBOT。
最近再度出現的EMOTET還會植入DRIDEX病毒。垃圾郵件內的惡意連結會將受害者導向下載一個Word文件,內嵌會觸發PowerShell腳本的Visual Basic程式碼。這腳本會下載並執行EMOTET及其他惡意軟體,其中最常見的是DRIDEX,放在各攻擊者所擁有的網域。
Trickbot銀行木馬偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集
Trickbot銀行木馬是前輩DYRE/Dyreza惡意軟體的接班人,它會利用以假亂真的銀行網頁。也透過夾帶HTML檔案的惡意垃圾郵件散播。這些HTML檔案會下載偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集。 繼續閱讀
趨勢科技2016 年發現的行動裝置銀行木馬程式絕大多數都出現在俄羅斯,事實上,這占了我們全球偵測數量的 74%。其他受害較嚴重的國家還有:中國、澳洲、日本、羅馬尼亞、德國、烏克蘭及台灣。根據我們所發現及分析的樣本數據,它們最活躍的期間是第四季。
2016 年偵測到的行動銀行木馬程式新樣本數量。
目前我們發現的銀行木馬程式家族有 15 個以上,其中:FakeToken (ANDROIDOS_FAKETOKEN)、Agent (ANDROIDOS_AGENT)、Asacub (ANDROIDOS_ASACUB) 和 HQWar (ANDROIDOS_HQWAR) 就囊括了絕大部分的版本及樣本。不過,2016 年最受矚目的卻是 Svpeng (銀行木馬程式與勒索病毒 Ransomware的合體),在我們所發現的感染與攻擊案例當中,約有 67% 都是 Svpeng。
繼續閱讀