網路銀行詐騙 - 資安趨勢部落格

如何確定你連上的是官方網路銀行應用程式?

2015 年 12 月 01 日2015 年 12 月 01 日趨勢科技 TrendMicro

每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」的假銀行應用程式

當你在Android手機上使用網路銀行時，你認為銀行自己的應用程式是安全連接你帳戶的最佳方法。這的確是 – 如果它真是銀行自己的應用程式。

但如果它不是呢？萬一它是假的？而且你要怎麼知道？

在2013和2014年，有超過4000名韓國行動銀行的使用者被誘騙觀賞電影「名嘴出任務（The Interview）」，不知不覺下載了假應用程式，從他們的帳戶中吸走了數百萬 – 這可以從趨勢科技行動威脅團隊的Simon Huang發表於2015年的白皮書「韓國假銀行應用程式騙局」中看到。

這些應用程式由來自中國吉林省延邊的惡意集團所製造。它們看起來和運作起來就跟真的一樣，但卻會偷走使用者資料，包括手機號碼、帳戶名稱和號碼以及登錄憑證，這些只是從使用者帳戶中竊取金錢的前奏。
【延伸閱讀】中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元

這問題在發展中國家很嚴重，特別是無法訪問Google Play的地方，那裡的使用者必須從無法確保自己網站沒有假銀行應用程式的第三方商店來安裝應用程式。結果呢？根據趨勢科技的行動應用程式信譽評比服務（MARS）所收集的資料，每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」過的假銀行應用程式。繼續閱讀

銀行惡意程式持續肆虐,PC-cillin 2016新增網路交易憑證偵測功能,線上轉帳、購物更放心

2015 年 11 月 24 日2016 年 01 月 11 日趨勢科技 TrendMicro

銀行惡意程式持續肆虐 台北資訊月超值回饋現場加贈多重好禮獨家優惠錯過可惜

【2015年11月23日台北訊】每年年底最重要的資訊消費展「台北資訊月」，即將在十一月二十八日至十二月六日於台北世貿展覽館盛大展出。全球網路安全領導品牌趨勢科技年度產品「PC-cillin 10 – 2016雲端版」，獨家雲端截毒技術提供領先業界平均50倍的防禦速度並擁有全球最高病毒攔截率99.8%，更率先支援微軟最新窗戶Windows 10作業系統，傲視全球。在資訊月期間為回饋消費者，趨勢科技團隊祭出誘人現購優惠，眾多超值獨家贈品只在台北資訊月攤位(攤位號碼：世貿一館D814、B826)，千萬別錯過！

趨勢科技產品行銷經理朱芳薇表示：「線上金融交易、網路銀行服務早已是行動社會中不可避免的經濟活動，在消費者習慣於跨平台及跨裝置的上網使用習慣之下，惡意程式威脅，也不斷衍伸變種以增加資安攻擊的成功率。從趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示，自2014年十月起DRIDEX此銀行惡意程式即透過惡意電子郵件開始危害網路銀行的使用者，在過去三個月內於美國、英國及日本受感染的使用者占全部感染數45%以上，台灣也列入受害國家之中。面對不斷進化的資安威脅，『PC-cillin 10 – 2016雲端版』不僅提供跨平台防護及保護社群隱私，針對民眾重視的網路金融安全，更新增網路交易憑證偵測功能，幫助用戶辨識假冒的SSL網站安全憑證，提升網路交易安全性有效保護重要個資與財產，讓資安防護再上一層樓，民眾得以安心享受數位生活。」

繼續閱讀

惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局

2015 年 11 月 04 日2015 年 11 月 26 日趨勢科技 TrendMicro

今年 10 月 13 日，美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動，希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
【延伸閱讀】FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

英國國家打擊犯罪局 (National Crime Agency，簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動，這些集團都躲藏在世界上難以發現的角落。」

雖然這項行動已經將 DRIDEX 擊倒，這離消滅它還很遠。在 DRIDEX 遭到破獲之後，趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。

在深入觀察這項數據之後，我們發現受害者的分布情況也出現些許變化。尤其，美國的受害者數量大幅下降，從原本的將近 30% 降至不到 14%。

圖 1：受害者分布 (破獲前)台灣也列入其中 繼續閱讀

FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

2015 年 10 月 27 日2015 年 10 月 15 日趨勢科技 TrendMicro

跟著英國國家打擊犯罪調查局（NCA）的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制（C&C）伺服器已經被美國聯邦調查局（FBI）關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路，其被惡意軟體用來將竊得的資料發送給網路犯罪分子，並且下載包含目標銀行清單的設定檔案。此外，也已經起訴了Andrey Ghinkul（別名Andrey Ghincul和Smilex），「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作，各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制（C&C）網路是這團隊合作成功的最新例證。

什麼讓 DRIDEX與眾不同？

DRIDEX在這過去一年漸漸打響名號，一直被視為是 Gameover ZeuS（GoZ）惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P（點對點網路）架構及獨特的行為。

不同於其他惡意軟體，DRIDEX運用BaaS（殭屍網路即服務）商業模式。它運行數個「Botnet傀儡殭屍網路」，每個都以編號標識，並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲（特別是羅馬尼亞、法國和英國）。從過去三個月內趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的反饋資料顯示，美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習，DRIDEX開發者在其架構中在命令與控制（C&C）伺服器前多加了一層。

除此之外，DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似，它使用一種隱形持久性技術，會在系統關閉前寫入自動啟動註冊碼，並在系統啟動後刪除自動啟動註冊碼。然而，只有DRIDEX會清理儲存在註冊表中的設定，並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播，通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉，但如果它在攻擊前就已經啟用，就可以直接進行攻擊。否則，攻擊者必須利用強大的社交工程（social engineering ）來說服使用者啟用該功能。此外，我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

繼續閱讀