銀行和其他的金融機構提出更嚴格的管控,企圖將網路釣魚(Phishing)攻擊所造成的損失降到最低。網路犯罪分子並沒有因此而收手,而是開始利用新的工具來自動化網路銀行詐騙 – 自動轉帳系統(Automatic Transfer Systen,ATS)。
在之前,像ZeuS和SpyEye這些惡意軟體家族會利用Webinject檔案來修改目標公司的網站(像是銀行)。Webinject文件基本上是帶有JavaScript和HTML程式碼的文字檔,裡面包含了攻擊者想要插入到目標網站的程式碼。
但是有了自動轉帳系統,攻擊已經提升到了另一層次。不僅僅是被動地竊取資訊,自動轉帳系統讓網路犯罪分子可以在使用者不知情下立刻進行金融交易,直接搜刮使用者的銀行帳戶。不再需要使用者去輸入帳號和密碼,自動轉帳系統可以讓網路犯罪分子從受害者的銀行帳戶不留痕跡的自動將錢轉到自己的帳戶底下。
這份研究報告包含了趨勢科技對自動轉帳系統的初步研究。在研究的過程中,我們找到自動轉帳系統的關鍵部分,確定某些已知的目標,並且更加深入地下世界去找出生產和銷售自動轉帳系統的黑幕。
完整的內容可以參考我們的研究報告 – 「自動化網路銀行詐騙」,你可以點選下列圖檔來下載:
- 趨勢科技「自動化網路銀行詐騙」研究報告
以下是說明這種攻擊的資料圖表:
- 自動化網路銀行詐騙
自動化網路銀行詐騙
狡猾的網路犯罪份子不會停止去覬覦你的資料。一種新興的威脅稱為自動轉帳系統,可以讓詐騙份子在你不知情下從你的帳號提錢,甚至可以不留痕跡。
它是什麼?
自動轉帳系統是網路犯罪份子所使用的新工具,結合已知的SpyEye和ZeuS銀行木馬軟體。
它有多陰險?攻擊者完全不需要現身,而且使用者也完全毫無察覺。
- 它如何運作?
它如何運作?
受害者電腦會在背景執行一個腳本,它會初始化提款交易,並將錢轉到錢騾帳戶。
- 銀行網站 使用者看到或沒看到什麼?
