今年年初, 東歐的許多銀行都被捲入了一系列借記卡詐騙和盜刷中, 涉及金額高達上億美元。 犯罪團夥利用虛假的銀行帳戶和駭客手段, 將餘額不多的銀行帳號變成了造錢機器。
SpiderLabs 於 10 月 10 日披露的一份研究報告詳細展示了這種犯罪手段:駭客們首先獲取了銀行系統許可權, 然後修改了用假身份開的帳戶的透支保護額度, 最後在其它國家的ATM機上插卡登錄這些帳戶, 每次可以取走上萬美金。
SpiderLab 的調查發現了約有 4000 萬美金被此方法盜走, 同時調查人員還表示, “如果考慮到尚未被發現的帳戶或被調查到的攻擊, 以及一些銀行內部和協力廠商機構的調查資料, 那麼預計被盜金額可能高達上億美元。 ”
這種犯罪手段結合了傳統信用卡盜刷和駭客技術。 犯罪團夥想要實現這種犯罪, 首先需要收買很多人, 通知其前往目標銀行, 使用犯罪團夥提供的虛假身份開設帳戶,
另一方面, 駭客們還通過簡單的網路釣魚手段, 在銀行雇員的電腦裡植入了遠端存取惡意軟體。 這些後門程式説明駭客獲得了更多的銀行內網許可權, 並且攻破了銀行裡的多個不同系統。 駭客們繼而向協力廠商支付處理提供商下手, 利用銀行儲存的VPN憑據獲取協力廠商公司的內網許可權。 這樣一來, 駭客們就能夠在協力廠商公司的網路裡同樣部署一些惡意軟體資料包。
調查人員表示, “最重要的一環, 就是取得協力廠商公司終端伺服器上的合法監控工具的存取權限, 這個工具允許用戶通過流覽器訪問和管理銀行卡。
協力廠商處理商使用的 Mipko 監控軟體又被稱為“員工監控軟體”, 駭客從中獲取了約 4 GB的監控資料, 包括所有訪問過銀行卡管理系統的使用者的截圖, 鍵盤記錄和登錄憑據等等。
憑藉這些資訊, 駭客能夠分辨出目標銀行所使用的銀行卡管理軟體, 然後通過竊取的憑據登錄虛假身份開設的銀行帳號, 並且修改透支保護金額。 在修改金額之後, 駭客會通知其他同夥, 從國外連接該協力廠商支付處理商網路的 ATM 機上取走現金。
圖 | Mipko監控軟體官網
在犯罪過程中, 惡意軟體的使用頻率很低, 同時銀行卡管理系統的訪問又是源自銀行內網, 因此這種犯罪手段很難被檢測到。 他們利用了一種新的入侵方式:“就食於敵國”, 在盜取極少數據的情況下長期潛伏在目標網路中, 獲得大量的密碼和機密資訊。
駭客植入的惡意軟體中包括一個名為 plink.exe(PuTTY)的程式, 這是一個 Windows SSH 用戶端, 可以通過 SSH 通道實現對 Windows 終端伺服器的遠端桌面控制。 除了 Mipko 員工監控軟體以外,
儘管目前發現的所有盜刷案例僅限於東歐銀行(包括俄羅斯), 網路專家警告, 這種手段很有可能擴散至全球,“在網路犯罪團夥瞄準整個世界之前, 東歐這片土地常常是他們的試驗田。 ”