惡意 Android App 攔截銀行傳送密碼，專門破解連線階段密碼安全機制

趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動，專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時，駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊，進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本，因而使得亞太地區遭受類似攻擊的風險升高。

在這項攻擊行動當中，歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者，引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案，讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式，此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定，將DNS 設定指向歹徒掌控的DNS伺服器，然後再將惡意程式本身刪除，因此便不留痕跡，無法偵查。這雖然只是一個小小的修改，但對受害者的影響卻非常深遠。 

惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上，它卻會攔截銀行所送出的密碼，並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說，網路犯罪者不僅透過網路釣魚（Phishing）網站取得了受害者的銀行登入帳號和密碼，現在更取得了網路交易所需的連線階段密碼。如此，犯罪集團便能完全掌控受害者的銀行帳戶。

您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來，銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等，全都是用來防止銀行詐騙的措施。最近，趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動，以下說明該行動的犯案手法。

該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時，銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字，連同原本的使用者名稱和密碼，一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。

網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案，其電腦就會被惡意程式感染。到這裡，一切都像典型的攻擊，沒什麼特殊之處。

不過，接下來就很有意思。使用者的電腦其實也不算受到感染，總之，不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定，然後就將自己刪除。這招反偵測手法如何？雖然只是小小的改變…. 但影響卻非常深遠。

其運作方式如下：使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證，如此一來，系統就會自動信任歹徒的惡意 HTTPS 伺服器，不讓使用者看到安全警告訊息。

圖 1：電腦感染 Emmental 行動惡意程式之後的雙重認證流程 繼續閱讀