網路銀行詐騙 - 資安趨勢部落格

銀行惡意軟體 SpyEye作者被判九年有期徒刑

2016 年 05 月 04 日2016 年 04 月 27 日趨勢科技 TrendMicro

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初，他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊（如網路暱稱及所用帳號）被用來找出惡意作者Panin及其同夥的真實身份。

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣，SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力，讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始，好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者（被稱為「Slavik」或「Monstr」）離開了網路犯罪世界，並將ZeuS原始碼交給了Panin（被稱為「Gribodemon」或「Harderman」）。

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年，我們披露一次調查所得到的發現：一起網路犯罪（稱為「Soldier」）使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者，而某些大型企業和機構（如美國政府和軍方）也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥（Hamza Bendelladj，又被稱為「BX1」）動向調查所產生的結果。比方說，趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。繼續閱讀

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

2016 年 04 月 21 日2016 年 04 月 21 日趨勢科技 TrendMicro

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess 的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月查獲了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在網路犯罪地下市場上兜售，因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。繼續閱讀

孟加拉中央銀行網路洗劫案例給我們什麼啟示

2016 年 04 月 20 日2016 年 04 月 26 日趨勢科技 TrendMicro

孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件，再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談，基本上，此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。

此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤，受害金額很可能高達 10 億美元以上。不過，歹徒還是匯走了 8 千萬美元以上，並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。

編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」（基金會）誤拼成「fandation」，促使通匯銀行德意志銀行（Deutsche Bank）向孟加拉央行要求驗證，進而阻止這筆交易。

如果真有惡意程式涉案，那麼：

駭客是如何取得交易的授權？他們是否掌握了某個擁有這項權限的帳號？如果是的話，他們是如何辦到的 (網路釣魚（Phishing）、鍵盤側錄程式或其他方式)？
是否應該有什麼安全措施或管控機制可以偵測到這筆異常交易 (例如：金額過高、交易量過大等等)？

繼續閱讀

當你試著想要解鎖手機時，有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

2016 年 02 月 04 日2016 年 02 月 04 日趨勢科技 TrendMicro

想像一下，你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後，它要求管理員權限。你所收到的通知內提到確實會出現此要求，所以你按下同意鍵。你試了一下應用程式，它運作正常。你甚至可以順利完成交易。

第二天，你發現你的手機無法識別你的密碼。你不知道誰變更了它或這如何發生，因為你沒有將手機借給任何人。你嘗試了幾個密碼組合，但你的手機都不認得。只剩下幾次猜測正確密碼的次數就會觸發手機內容清除。當你花上整天試著想要解鎖手機時，有人已經清空了你的銀行帳戶。

Emmental 銀行交易犯罪行動 ,允許遠端攻擊者用簡訊即時發出指令，包括重設手機密碼

在2014年，趨勢科技發現了「Emmental 行動」，這是個利用惡意應用程式攔截簡訊以劫持使用者銀行交易的網路犯罪行動。最近，我們的研究人員發現上述行動所用的惡意應用程式也能夠讓遠端攻擊者用簡訊即時發出指令，包括重設手機密碼。此動作可以將使用者暫時鎖在設備主畫面外，這或許是種緩兵之計，好讓詐騙交易暗地進行。

假 OTP產生程式

跟之前用在Emmental行動的應用程式類似，最新版本偽裝成會生成一次性密碼（OTP）的銀行應用程式。我們所看到的最新樣本偽裝成來自奧地利的地方銀行：

圖1、假OTP產生程式截圖

實際上，「密碼」只是從一靜態列表中隨機選出。

繼續閱讀

免費憑證簽發服務遭惡意廣告濫用

2016 年 01 月 14 日2016 年 02 月 26 日趨勢科技 TrendMicro

將所有 HTTP 流量加密，一直是資安界長久以來的努力目標，但這其中必須面臨兩大障礙。首先，憑證不是免費的，而許多網站經營者並不想多花錢；其次，憑證本身並非網站經營者能夠自行產生。

為此，網路上出現了一個叫做「Let’s Encrypt」的計畫，其成立宗旨就是要消除這兩大障礙。該計畫的目標是要免費提供憑證給所有的網站，並且透過一套網站伺服器軟體來盡可能將申請程序自動化。該計畫已獲得許多網路大廠及非營利組織的支持，包括：Akamai、Cisco、Electronic Frontier Foundation (EFF)、Facebook、Mozilla 等等。不過，Let’s Encrypt 僅提供網域認證 (DV) 憑證，而非延伸認證 (EV) 憑證，後者須針對網站經營者做進一步的背景調查才能簽發。

不幸的是，這樣的免費服務也有可能遭人濫用。從去年 12 月 21 日起，我們開始偵測到某惡意廣告伺服器的流量，其受害使用者大多來自日本。這項攻擊行動會讓受害者連上散布 Angler 漏洞攻擊套件的網站，進而下載一個銀行木馬程式 (BKDR_VAWTRAK.AAAFV) 到受害者電腦上。

圖 1：某惡意廣告伺服器的每日流量。

趨勢科技認為這項攻擊行動其實是去年 11月首次出現的一項惡意廣告行動 (同樣針對日本使用者) 的延續。

在這項攻擊當中，歹徒運用了一個稱為「影子網域」(domain shadowing) 的技巧。駭客先想辦法在某個正常的網域底下建立一個子網域，然後將子網域指向駭客所掌控的伺服器。在這次的案例中，駭客在某個正常的網域底下建立了一個子網域：ad.{某正常網域}.com。此處我們刻意不公開其網域名稱，好讓該公司的系統管理員能夠修正此問題。

連上這個子網域的流量就是採用 Let’s Encrypt 簽發的憑證來進行 HTTPS 連線，如下所示：

圖 2：Let’s Encrypt 簽發的 SSL 憑證。 繼續閱讀