據(jù)國(guó)外網(wǎng)站Csoonline報(bào)道,俄羅斯網(wǎng)絡(luò)犯罪分子在本土進(jìn)行了銀行攻擊測(cè)試之后,現(xiàn)在已經(jīng)開(kāi)始將攻擊范圍擴(kuò)大到全球。一種新的移動(dòng)木馬正在全球擴(kuò)散。
俄羅斯網(wǎng)絡(luò)安全公司Group-IB的聯(lián)合創(chuàng)始人Dmitiry Volkov稱,2015年下半年和2016年上半年,犯罪分子直接從俄羅斯銀行盜走了近4400萬(wàn)美元,比上年同期增長(zhǎng)292%。在與俄羅斯銀行有關(guān)的網(wǎng)絡(luò)攻擊案件中,針對(duì)銀行的直接攻擊占45%。
與此同時(shí),針對(duì)個(gè)人網(wǎng)上銀行帳戶的盜竊案大幅下降,盜竊金額下降了83%至10萬(wàn)美元,針對(duì)商業(yè)銀行帳戶的盜竊金額下降了50%,至1700萬(wàn)美元。
Dmitiry Volkov稱,網(wǎng)絡(luò)犯罪分子首先開(kāi)發(fā)針對(duì)本土目標(biāo)的惡意軟件,然后在一系列因素的推動(dòng)下向海外擴(kuò)張。
這些因素包括俄羅斯當(dāng)局對(duì)黑客的打擊和俄羅斯銀行安全性的提升。
“而且,自2014年以來(lái),俄羅斯發(fā)生了金融危機(jī),”他補(bǔ)充說(shuō),“盧布的價(jià)值相對(duì)三五年前已經(jīng)貶值,黑客通過(guò)在俄羅斯的活動(dòng)賺到的錢(qián)減少了,他們想要得到美元或歐元,而不是盧布。”
俄羅斯的網(wǎng)絡(luò)犯罪分子開(kāi)始在美國(guó)、加拿大、歐洲和其他地區(qū)尋找攻擊目標(biāo)。
同時(shí),他們?cè)诙砹_斯開(kāi)發(fā)新一代攻擊技術(shù),這些技術(shù)直接針對(duì)銀行內(nèi)部系統(tǒng),如Swift和ATM管理系統(tǒng)。
這些攻擊在2013年開(kāi)始出現(xiàn),今年,它們向全球擴(kuò)散。
據(jù)美國(guó)信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(Information Systems Audit and Control Association)報(bào)告,今年夏天,一家烏克蘭銀行的Swift網(wǎng)絡(luò)被黑客攻擊,被竊走1000萬(wàn)美元。還有一些位于烏克蘭和俄羅斯的幾家銀行受到了類似的攻擊。
白俄羅斯Alfa銀行的ATM系統(tǒng)也受到了黑客攻擊。去年春天,孟加拉國(guó)中央銀行heist被黑客竊走了8100萬(wàn)美元,黑客在攻擊中使用了類似的技術(shù)。
“很難確定這些犯罪分子來(lái)自何處。”Dmitiry Volkov說(shuō)。在孟加拉國(guó)中央銀行受到的那次攻擊中,調(diào)查機(jī)構(gòu)的最初報(bào)告將責(zé)任歸咎于朝鮮黑客,但后來(lái)的報(bào)告認(rèn)為說(shuō)俄語(yǔ)的黑客也參與了攻擊。
他說(shuō),在遭遇攻擊后,銀行不會(huì)分享有關(guān)攻擊如何發(fā)生的詳細(xì)信息,所以很難確定犯罪分子的身份。
“上周,犯罪分子對(duì)國(guó)外銀行發(fā)起新一波的攻擊。”他說(shuō)。他補(bǔ)充說(shuō),他目前不能披露關(guān)于俄羅斯網(wǎng)絡(luò)犯罪分子的更多信息。
“我們正在與歐洲刑警組織進(jìn)行聯(lián)合調(diào)查,我們不能向公眾披露信息。”他說(shuō)。
本月初,賽門(mén)鐵克發(fā)布了一份報(bào)告。報(bào)告中稱,不久前發(fā)生的針對(duì)美國(guó)、香港、澳大利亞、英國(guó)和其他地區(qū)的一些銀行的高級(jí)攻擊,實(shí)施者是一個(gè)叫Carbanac的集團(tuán),并懷疑該集團(tuán)位于俄羅斯。這些攻擊導(dǎo)致銀行總共損失的資金在數(shù)千萬(wàn)美元到數(shù)億美元之間。
“這種攻擊真的正在全球化。”Dmitiry Volkov說(shuō)。
俄羅斯當(dāng)局正在與國(guó)際調(diào)查人員合作,以打擊這些犯罪團(tuán)體,但是調(diào)查進(jìn)程很緩慢。
“很難調(diào)查這些案件,”他說(shuō)。此外,任何特定群體的成員都可能位于不同的幾個(gè)國(guó)家,不同國(guó)家的執(zhí)法機(jī)構(gòu)必須協(xié)同工作,以便同時(shí)抓獲所有犯罪份子。
“否則,其他家伙將刪除所有的證據(jù),并轉(zhuǎn)移到其他地方,或采取其他措施避免被逮捕。”他說(shuō)。
同時(shí),即使調(diào)查機(jī)構(gòu)的執(zhí)法水平正在提高,信息共享仍然是一個(gè)問(wèn)題,他說(shuō)。
“缺乏有效的交流渠道,”他說(shuō),“有交換數(shù)據(jù)的官方流程,但這個(gè)過(guò)程很慢。”
下一波移動(dòng)攻擊
俄羅斯網(wǎng)絡(luò)犯罪團(tuán)體正在準(zhǔn)備發(fā)起另一波攻擊。
根據(jù)Group-IB的數(shù)據(jù),在俄羅斯,使用移動(dòng)木馬程序攻擊個(gè)人銀行帳戶的盜竊案涉案金額上升了471%,達(dá)到600萬(wàn)美元。
移動(dòng)木馬首次出現(xiàn)在2013年,黑客利用短信銀行系統(tǒng)和移動(dòng)銀行系統(tǒng)實(shí)施攻擊。之后,銀行快速響應(yīng),對(duì)移動(dòng)設(shè)備上的交易設(shè)置了限制。
“所以,在2014年和2015年,黑客的盜竊金額下降了。”Dmitiry Volkov說(shuō)。
犯罪分子也在創(chuàng)新,發(fā)展出了新的攻擊類型和新的惡意軟件擴(kuò)散機(jī)制。
“俄羅斯成為移動(dòng)銀行木馬的測(cè)試地。”他說(shuō)。“明年,或在未來(lái)幾年里,俄羅斯將成為網(wǎng)絡(luò)攻擊軟件的輸出地。
例如,有的惡意軟件使用偽對(duì)話框請(qǐng)求用戶輸入銀行卡詳細(xì)信息,并要求用戶進(jìn)行交易確認(rèn)和輸入一次性密碼,之后就會(huì)立即竊走用戶的銀行卡資金。
此外,用戶用于網(wǎng)上銀行的登錄憑證(交易限制高于移動(dòng)銀行)也被黑客收集和重新使用。
犯罪分子甚至開(kāi)始開(kāi)發(fā)完整的、模仿性的銀行應(yīng)用。
“犯罪分子可以通過(guò)幾個(gè)程序在幾分鐘內(nèi)生成新的偽手機(jī)銀行應(yīng)用,”他說(shuō),“罪犯只需指定顏色、圖標(biāo)和字段。”
谷歌、雅虎和俄羅斯的搜索引擎Yandex中的廣告會(huì)植入下載偽銀行應(yīng)用的網(wǎng)頁(yè)鏈接。
還有通過(guò)短信或電子郵件發(fā)送的網(wǎng)絡(luò)釣魚(yú)郵件,它們要求用戶為關(guān)鍵的應(yīng)用程序或操作系統(tǒng)安裝所需的更新。
“他們點(diǎn)擊一個(gè)鏈接,點(diǎn)擊安裝按鈕,然后就會(huì)安裝惡意軟件。”他說(shuō)。
這些偽銀行應(yīng)用還通過(guò)非官方應(yīng)用商店擴(kuò)散,它們通常隱藏在另一個(gè)應(yīng)用程序中。
“非官方商店上的應(yīng)用具有巨大的能力,它們能夠root你的設(shè)備,升級(jí)權(quán)限。”他說(shuō)。 “你試圖root你的設(shè)備,但同時(shí)你正在安裝一個(gè)惡意程序,之后它會(huì)下載銀行木馬。”