A bankok rosszindulatú programok egyre szeszélyesebbek, a biztonsági cégek figyelmeztetnek

A pénzügyi kártevők szerzői megpróbálják elkerülni az új online banki biztonsági rendszereket azzal, hogy visszatérnek a hagyományos, adathalászat-szerű titkosítási lopás technikáihoz, a Trusteer biztonsági cég kutatói szerint. a számítógépes bűnözők által ma használt programok képesek valós időben manipulálni az áldozatok által kezdeményezett online banki munkamenetekkel. Ez magában foglalja a csalárd tranzakciók végrehajtását a háttérben, és elrejtheti őket a felhasználótól a számlaegyenleg és a tranzakció előzményeinek megjelenítésében a böngészőben.

Ennek eredményeként a bankok elkezdték telepíteni a rendszereket annak figyelemmel kísérésére, hogy az ügyfelek hogyan lépnek kapcsolatba a webhelyeikkel és észlelheti azokat az anomáliákat, amelyek rosszindulatú tevékenységet jelezhetnek. Úgy tűnik azonban, hogy egyes rosszindulatú programok készítői visszatérnek a hagyományosabb technikákhoz, amelyek magukban foglalják a hitelesítő adatokat és felhasználják őket egy másik számítógépről annak elkerülése érdekében, hogy észleljék.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

Ismert trójaiak, új technika

Trusteer kutatók a közelmúltban észleltek változásokat a Tinba és Tilon pénzügyi trójai programokban, amelyek célja, hogy megakadályozzák az áldozatokat abban, hogy hozzáférjenek a valódi online banki weboldalakhoz, és lecseréljék be a bejelentkezési oldalukat a hamis változatokkal.

" az ügyfél hozzáfér a bank honlapjához, a rosszindulatú programok egy teljesen hamis weboldalt mutatnak be, amely úgy néz ki, mint a bank bejelentkezési oldala "- mondta Trusteer vezető technológiai tisztviselője, Amit Klein egy blogbejegyzésben csütörtökön. "Ha az ügyfél belépési igazolványait a hamis oldalra helyezi, a rosszindulatú szoftver hibaüzenetet mutat be, amelyben azt állítja, hogy az online banki szolgáltatás jelenleg nem érhető el, míg a rosszindulatú szoftverek az ellopott bejelentkezési adatokat továbbítják a csalónak, aki egy teljesen más gépet használ jelentkezzen be a bankba ügyfélként és csalárd tranzakciókat hajtson végre. "

Ha a bank többszörös faktoros azonosítást igényel, amely egyszeri jelszavakat igényel (OTP-k), a rosszindulatú szoftver a hamis oldalon is kéri ezeket az információkat.

Ez a típusú hitelesítési lopás hasonlít a hagyományos adathalász támadásokhoz, de nehezebb észlelni, mert a böngésző címsávjában lévő URL a valós weboldalon található, és nem hamis.

"Nem olyan kifinomult, mint a tranzakciók befecskendezése a webes banki munkameneteket valós időben valósítja meg, de a cél elérését célozza az észlelés megkerülésével "- mondta Klein.

Ez a" teljes oldalcsere "funkció jelen van a Tinba 2. verziójában, amely a Trusteer kutatói felfedezték és elemezték. A rosszindulatú szoftverek támogatják a Google Chrome-ot, és megpróbálják korlátozni hálózati forgalmát a hamis oldalra betöltött képek helyben történő tárolásával.

Már használatban

A Trusteer kutatói szerint a Tinba v2 már a nagyobb pénzügyi intézmények és fogyasztói webszolgáltatások.

"A bankok mindig két támadási vektorral szembesültek az online csatornán" - mondta Klein. "Az első a hitelesítő adatok ellopása Különféle módokon lehet végrehajtani az ilyen típusú támadást, beleértve a kártékony programokat, a pharming-ot és az adathalászatot, a második támadási vektor pedig a rosszindulatú programok által végrehajtott munkamegosztás, amely két különböző megoldást igényel."

Banks meg kell győződnie arról, hogy védelmet nyújtanak mindkét támadási típus ellen, ellenkező esetben a számítógépes bűnözők gyorsan alkalmazkodnak a technikáikhoz, mondta Klein. "Nem zárhatsz ajtót, és hagyod nyitva az ablakot."