網路銀行可以幫我們親自到銀行辦理業務,但人們還是會擔心網路銀行是否安全。資料放在手機裡的銀行應用程式安全嗎?常見的網路銀行詐騙如何預防?
網路銀行安全嗎?常見的詐騙手法與防範之道
標籤: 網路銀行詐騙
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動
想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。
第二天,你發現你的手機無法識別你的密碼。你不知道誰變更了它或這如何發生,因為你沒有將手機借給任何人。你嘗試了幾個密碼組合,但你的手機都不認得。只剩下幾次猜測正確密碼的次數就會觸發手機內容清除。當你花上整天試著想要解鎖手機時,有人已經清空了你的銀行帳戶。
Emmental 銀行交易犯罪行動 ,允許遠端攻擊者用簡訊即時發出指令,包括重設手機密碼
在2014年,趨勢科技發現了「Emmental 行動」,這是個利用惡意應用程式攔截簡訊以劫持使用者銀行交易的網路犯罪行動。最近,我們的研究人員發現上述行動所用的惡意應用程式也能夠讓遠端攻擊者用簡訊即時發出指令,包括重設手機密碼。此動作可以將使用者暫時鎖在設備主畫面外,這或許是種緩兵之計,好讓詐騙交易暗地進行。
假 OTP產生程式
跟之前用在Emmental行動的應用程式類似,最新版本偽裝成會生成一次性密碼(OTP)的銀行應用程式。我們所看到的最新樣本偽裝成來自奧地利的地方銀行:
圖1、假OTP產生程式截圖
實際上,「密碼」只是從一靜態列表中隨機選出。
詳解網路銀行木馬DYRE,第一部
假日季節正在接近了,你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動:
- 我們已經看到大量偽造的銀行電子郵件。我們也看到其他類型的垃圾郵件威脅,包括KELIHOS,VAWTRACK,甚至某些形式的419騙局。
- 我們也目睹了銀行惡意軟體的增加。這個惡意軟體家族變種試圖竊取敏感資訊,如銀行認證資訊和電子郵件帳號詳細資料。它們會利用資訊竊取技術,通常會偽造跟銀行網站一模一樣的釣魚網頁,用來擷取使用者的銀行資訊,如使用者名稱、密碼或卡號。再將竊來的資訊發送到一個預先設定的電子郵件地址,代管伺服器的暫存區或透過HTTP post發送到一網址去。
此一系列的文章著重於一特定銀行惡意軟體,被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後,我們會將這惡意軟體威脅放入整個生態系,加上其連結的的垃圾郵件,甚至包裹騾子詐騙(指將包裹寄送到別的地方的人,就跟「驢子」一樣)。這些人很容易落入騙局,因為打著「容易致富」的名號。
關於DYR的一切
這被偵測的惡意軟體跟DYRE(也被稱為DYREZA,DYRANGES或BATTDIL)有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處,可以從其行為看出:
- 可以透過瀏覽器注入來進行中間人攻擊。此外也可以進行瀏覽器截圖,竊取個人認證資訊,並竊取如瀏覽器版本等資訊。
- 它竊取銀行認證資訊和監視對特定銀行進行線上交易時的連線。
- 它會植入一個設定檔(透過C&C更新),裡面包含了目標銀行列表和bot ID(由電腦名稱、作業系統版本和一組32個字元識別碼所組成)。目標銀行包括了國際、美國和歐洲銀行。
- 它利用NAT會話傳輸應用程式(STUN),一種位在NAT網路內之終端主機找出其公開IP地址的方法。它常被即時語音、視訊和其他訊息服務應用程式用來找出公開IP位址或是可被網際網路所見之IP地址。犯罪分子使用這種方法來知道其惡意軟體的確切位置(並可能知道誰試著去加以執行)。
十大駭客最愛網釣誘餌,淘寶、花旗銀行、萬事達卡、Paypal 皆入榜
最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行
簡單方便是使用者喜愛網路購物的主要原因,雖然方便,但網路購物也可能讓使用者的認證資料和個人身份資料(PII)陷入危險,因為網路犯罪分子可以輕易地設計出網路釣魚(Phishing)攻擊來竊取資料。
趨勢科技主動式雲端截毒服務 Smart Protection Network和其他專門技術,我們辨識出二〇一二年十二月的首要網路釣魚(Phishing)網站。下面是針對五十個流行品牌的偽造網站圖表。
最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名
根據我們所收集的資訊,電子商務網站 – PayPal是最被針對的公司,有17,573個偽造網站利用它的名字,緊接在後的是美國富國銀行(Wells Fargo)。使用者如果被誘騙連上偽PayPal網站,就可能讓系統感染TROJ_QHOST.EQ。到目前為止,這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示,排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。
| 公司名稱/網站 | 釣魚網站數量 |
| PayPal | 18947 |
| 富國銀行(Wells Fargo) | 2049 |
| Visa | 1661 |
| 花旗銀行 | 1628 |
| 美國銀行(Bank of America) | 1477 |
| 萬事達卡 | 986 |
| Chase | 656 |
| Bancolombia | 369 |
| Natwest | 324 |
| Cielo | 310 |
花旗銀行也是最常被偽造的公司之一,可能是因為黑洞漏洞攻擊包(BHEK)攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司(如花旗銀行)來引誘使用者打開垃圾郵件,然後點入郵件內夾帶的惡意連結。
某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS,這是一個已知會竊取敏感資料的惡意軟體(如網路銀行憑證)。透過趨勢科技主動式雲端截毒服務 Smart Protection Network,我們確認有277個系統感染這惡意軟體,其中有88%位在美國。
此外,單單在十二月,我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中,我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次,主要受影響使用者位在美國和日本。
| 公司名稱/網站 | 釣魚網站數量 |
| AOL | 1475 |
| Yahoo | 1349 |
| Hotmail | 1205 |
| Gmail | 1200 |
| 其他 | 188 |
網路釣魚(Phishing)網站數量最多的購物/拍賣網站是淘寶網
另一方面,網路釣魚(Phishing)網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。
| 公司名稱/網站 | 釣魚網站數量 |
| 淘寶網 | 1691 |
| eBay | 504 |
| Amazon.com | 251 |
在我們的研究中,我們也發現下列攻擊會影響世界各地的行動用戶。
- 我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件,要求使用者確認更新或啟動帳號。
- 針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中,有717(72%)個是為日本使用者而設計。在十二月,這717個網站吸引了2,029次點擊量,大多來自日本。
- 針對日本用戶的信用卡釣魚網站
- 特定惡意集團偽造出902個REMAX網站(一個跨國房地產公司)。
- 在世界的另一端,巴西仍然充斥著內藏木馬的偽造網站,通常是TROJ_BANLOAD變種,最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址,通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示,並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
- 不幸的,行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址,所以會讓使用者輕易地認為自己瀏覽的是正常網站。
- 我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行,這惡意軟體會下載大量其他惡意軟體,如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。
如果我們可以從這些威脅趨勢中學到什麼,那就是我們必須保持小心謹慎,防範網路釣魚攻擊,特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己,可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗!」還有我們的資料圖表 – 「網路購物小秘訣」。
想知道如何區分偽造的網路釣魚(Phishing)跟正常郵件,就要檢查下列蛛絲馬跡: