IBM旗下安全公司Trusteer的研究人員于去年年末發(fā)現(xiàn)了一款新的軟件工具包，即使是菜鳥(niǎo)網(wǎng)絡(luò)罪犯也可以用它盜取網(wǎng)上銀行憑證并利用憑證進(jìn)行欺詐性交易。

此工具包又名KL-Remote，用于遠(yuǎn)程疊加(overlay)攻擊。遠(yuǎn)程疊加可以使網(wǎng)絡(luò)騙子在不引起懷疑的情況下直接從受害者主機(jī)上登錄其網(wǎng)上銀行賬戶。

這一網(wǎng)銀欺詐威脅在巴西被發(fā)現(xiàn)。有研究稱，在巴西，網(wǎng)上銀行欺詐案件僅2013年就為網(wǎng)絡(luò)犯罪分子帶來(lái)2.64億美元入賬。KL-Remote很有趣，它與其他金融惡意軟件不同，要求控制者的手動(dòng)干預(yù)。

據(jù)研究人員所說(shuō)，涉及KL-Remote的攻擊通常開(kāi)始于攻擊者借助其他惡意軟件的輔助，將工具包安裝到目標(biāo)人物的電腦上。一旦安裝成功，便開(kāi)始監(jiān)視受害者的網(wǎng)上活動(dòng)，查看他們是否登錄特定金融機(jī)構(gòu)的網(wǎng)站。

攻擊者會(huì)在目標(biāo)網(wǎng)站被登錄時(shí)收到工具包發(fā)來(lái)的提醒，隨之而來(lái)的還有受害者的設(shè)備信息，其中包括：IP地址、操作系統(tǒng)類型版本、處理器型號(hào)、網(wǎng)絡(luò)連接速度等。

工具包采用簡(jiǎn)單易用的圖形界面，可以顯示受害者的實(shí)時(shí)桌面，在受害者電腦上彈出各種消息以獲取有用信息，還能使攻擊者接管受害者的鼠標(biāo)及鍵盤(pán)。

它會(huì)抓取正在登陸的網(wǎng)銀頁(yè)面屏幕，并將屏幕截圖呈現(xiàn)給用戶。然后網(wǎng)絡(luò)罪犯根據(jù)不同的網(wǎng)銀站點(diǎn)，用工具包推送消息到屏幕截圖上，誘騙受害者錄入網(wǎng)銀賬戶、口令、動(dòng)態(tài)密碼(由銀行提供給客戶的安全設(shè)備產(chǎn)生)等攻擊者需要的信息。

一旦受害者提交了這些信息，KL-Remote就會(huì)彈出新消息指示用戶等待進(jìn)程完成。而在用戶等待時(shí)，攻擊者就接手了用戶電腦的控制權(quán)，登入用戶的網(wǎng)上銀行賬戶。所有這些欺詐行動(dòng)受害者都看不到，因?yàn)橐磺卸茧[藏在呈現(xiàn)給受害者的屏幕截圖背后。

Trusteer研究人員強(qiáng)調(diào)：這一工具在繞過(guò)傳統(tǒng)反欺詐機(jī)制上可能非常有效。因?yàn)楣粽呖蓮氖芎φ咛庉p易獲取登入賬戶所需信息，且由于一切操作都是直接在用戶電腦上完成的，傳統(tǒng)反欺詐機(jī)制認(rèn)為是可信設(shè)備而不會(huì)報(bào)警。

專家介紹：通過(guò)在客戶端保證終端電腦不被惡意軟件感染，可初步緩解遠(yuǎn)程疊加攻擊的威脅。而在服務(wù)器端，可通過(guò)找尋惡意軟件感染、非正常瀏覽模式、遠(yuǎn)程登錄工具使用和異常交易的證據(jù)來(lái)進(jìn)行偵測(cè)。

Trusteer高級(jí)產(chǎn)品市場(chǎng)營(yíng)銷(xiāo)經(jīng)理Ori Bach在博文中寫(xiě)道：“類似KL-Remote一樣的工具包，將預(yù)設(shè)置好的欺詐流程打包進(jìn)用戶友好的圖形用戶界面中，大大擴(kuò)展了可以進(jìn)行銀行欺詐的人群范圍。有了這工具包，罪犯只需具備基礎(chǔ)的技術(shù)就能實(shí)施可以規(guī)避強(qiáng)身份驗(yàn)證的高端欺詐攻擊。甚而，將工具包嵌入到常見(jiàn)惡意軟件中還能大大增加其可用性和傳播范圍。”

KL-Remote的網(wǎng)絡(luò)釣魚(yú)信息以葡萄牙文寫(xiě)就，目前只在巴西可用。但研究人員確認(rèn)，此工具包也可被改編為其他國(guó)家可用。

原文鏈接：http://www.aqniu.com/tools/6373.html