Nieuw bankieren Trojaanse paarden krijgen Pools

Illustratie door Andrew Bannecker Vandaag kunnen criminelen actieve online bankessessies kapen, en nieuwe Trojaanse paarden kunnen het rekeningsaldo vervalsen om te voorkomen dat slachtoffers zien dat ze worden bedrogen.

Traditioneel stal dergelijke malware gebruikersnamen en wachtwoorden voor specifieke banken; maar de crimineel moest handmatig toegang krijgen tot de besmette account om geld op te nemen. Om die aanvallen te stoppen, ontwikkelden financiële diensten authenticatiemethoden, zoals apparaat-ID, geolocatie en uitdagende vragen. Helaas zijn ook criminelen met deze obstakels slimmer geworden. Eén Trojaans paard, URLzone, is zo geavanceerd dat beveiligingsleverancier Finjan het ziet als een programma van de volgende generatie.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Grotere verfijning

Aanvalsaanvallen op het bankwezen zijn tegenwoordig veel heimelijker en komen in real time voor. In tegenstelling tot keyloggers, die uw toetsaanslagen alleen maar opnieuw aankoppelen, kan URLzone boeven inloggen, de vereiste authenticatie verschaffen en de sessie kapen door de bankpagina's te misleiden. De aanvallen worden man-in-the-middle-aanvallen genoemd omdat het slachtoffer en de aanvaller tegelijkertijd toegang hebben tot het account en een slachtoffer misschien niet eens iets bijzonders merkt met zijn account.

Volgens Finjan, een so-phisticated URLzone-proces stelt criminelen in staat het percentage in te stellen van de bankrekening van een slachtoffer; Op die manier zal de ac tiviteit de ingebouwde fraudewaarschuwingen van een financiële instelling niet verstoren. Afgelopen augustus documenteerde Finjan een op URLzone gebaseerde diefstal van $ 17.500 per dag gedurende 22 dagen van verschillende Duitse bank-accounthouders, van wie velen geen idee hadden dat het gebeurde.

Maar URLzone gaat een stap verder dan de meeste bankbotnets of Trojaanse paarden, zegt het RSA-fraude-team. Criminelen die Trojaanse paarden van banken gebruiken, pakken het geld meestal en dragen het over van het slachtofferaccount naar verschillende "muilezels" - mensen die voor zichzelf snijden en de rest van het geld naar het buitenland overmaken, vaak in de vorm van goederen die naar buitenlandse adressen worden verzonden.

URLzone lijkt ook te detecteren wanneer het wordt bekeken: toen de onderzoekers bij RSA probeerden te documenteren hoe URLzone werkt, heeft de malware geld overgedragen aan nepmuilezels (vaak legitieme partijen), waardoor het onderzoek werd gedwarsboomd.

Silentbanker en Zeus

Silentbanker, dat drie jaar geleden verscheen, was een van de eerste malwareprogramma's die een phishing-site implementeerde. Wanneer slachtoffers de nepbankensite van de boeven bezochten, startte Silentbanker malware op hun pc zonder alarm te activeren. Silentbanker nam ook screenshots van bankrekeningen, leidde gebruikers door van legitieme sites en veranderde HTML-pagina's.

Zeus (ook bekend als Prg Banking Trojan en Zbot) is een bancair botnet dat zich richt op commerciële bankrekeningen. Volgens veiligheidsleverancier SecureWorks richt Zeus zich vaak op een specifieke bank. Het was een van de eerste Trojaanse paarden die het bevel voerde om authenticatieprocessen te verslaan door te wachten tot nadat een slachtoffer zich met succes had aangemeld bij een account. Het imiteert de bank en injecteert onopvallend een verzoek om een ​​burgerservicenummer of andere persoonlijke informatie.

Zeus gebruikt traditionele phishingmethoden voor e-mail om pc's te infecteren, ongeacht of de persoon bankreferenties invoert. Een recente Zeus-gerelateerde aanval die werd ingediend als e-mail van de IRS.

In tegenstelling tot eerdere Trojaanse paarden, is de Zeus-infectie echter zeer moeilijk te detecteren omdat elk slachtoffer een iets andere versie ervan ontvangt.

Clampi

Clampi, een bank-botnet vergelijkbaar met Zeus, sliep jarenlang, maar werd recent vrij actief. Volgens Joe Stewart, directeur van malwareonderzoek voor SecureWorks, legt Clampi de gebruikersnaam en wachtwoordgegevens vast voor ongeveer 4500 financiële websites. Het relais deze informatie naar zijn command and control servers; criminelen kunnen de gegevens onmiddellijk gebruiken om geld te stelen of goederen te kopen of te bewaren voor later gebruik. The Washington Post heeft verhalen verzameld van verschillende slachtoffers van het Clampi-botnet.

Clampi verslaat gebruikersverificatie door te wachten tot het slachtoffer zich op een bankrekening heeft aangemeld. Vervolgens wordt een scherm weergegeven met de melding dat de bankserver tijdelijk niet beschikbaar is voor onderhoud. Wanneer het slachtoffer verdergaat, kauwen de oplichters heimelijk de nog actieve banksessie en transfereren ze geld van de rekening.

Je gegevens verdedigen

Omdat de meeste van deze malware-infecties optreden wanneer slachtoffers reageren op een phishing-e-mail of surf naar een besmette site, SecureWorks 'Stewart beveelt aan om uw bankactiviteiten te beperken tot één speciale machine die u alleen gebruikt om uw saldo te controleren of rekeningen te betalen.

U kunt ook een gratis besturingssysteem gebruiken, zoals Ubuntu Linux, dat opstart een CD of een thumbdrive. Voordat u online bankiert, boot u Ubuntu en gebruikt u de meegeleverde Firefox-browser om uw banksite te openen. De meeste Trojaanse paarden met bankrunderen draaien op Windows, dus het gebruik van een niet-Windows OS verslaat ze net als bankieren via de mobiele telefoon.

De belangrijkste stap is echter om je antivirussoftware actueel te houden; de meeste beveiligingsprogramma's zullen de nieuwe bank Trojaanse paarden detecteren. Oudere antivirus-handtekeningbestanden kunnen traag zijn om pc's te beschermen tegen de nieuwste aanvallen, maar de 2010-edities hebben cloudgebaseerde handtekeningbeveiliging om bedreigingen onmiddellijk te neutraliseren.