卡巴斯基：企業(yè)在線金融安全不容忽視

2014-04-16 04:49:58王蕊

計算機與網(wǎng)絡(luò) 2014年18期

■王蕊

對于任何企業(yè)而言，在線金融賬戶均是首要的機密信息。這些信息一旦落入網(wǎng)絡(luò)罪犯手中，將會給企業(yè)造成財產(chǎn)損失。

日前，一家俄羅斯的企業(yè)就發(fā)生了這樣一起安全事故。盡管企業(yè)金融賬戶中的1.3 萬美金因銀行的警惕幸免被盜，但是網(wǎng)絡(luò)罪犯仍然成功用該賬戶支付了一筆8,000 美元的賬單。正是由于支付金額較小，無法引起銀行的警惕，而且數(shù)額較小的交易也無需客戶機構(gòu)的會計人員確認(rèn)，從而使網(wǎng)絡(luò)罪犯的陰謀得逞。那么，網(wǎng)絡(luò)罪犯究竟如何輕松盜取企業(yè)金融賬戶中的錢財？

為了了解安全事故背后的真相，全球知名的IT 安全供應(yīng)商卡巴斯基實驗室受邀對此進(jìn)行了調(diào)查。根據(jù)卡巴斯基實驗室全球緊急響應(yīng)團隊安全專家的調(diào)查，網(wǎng)絡(luò)罪犯曾向該公司發(fā)送了一封偽裝成來自稅務(wù)局的電子郵件，其附件看似為普通的Word 文檔，實則已被CVE-2012-0158 漏洞利用程序感染。因此，一旦打開文檔就會激活漏洞利用程序，下載另一種惡意程序至該公司的計算機中。

除了漏洞利用程序外，卡巴斯基實驗室的專家在受感染計算機的硬盤上發(fā)現(xiàn)了一款用于遠(yuǎn)程訪問計算機的修改版合法程序。這款程序通常被會計人員或系統(tǒng)管理員使用。但是，被發(fā)現(xiàn)的程序版本經(jīng)修改后能夠在受感染系統(tǒng)上隱藏自身痕跡?？ò退够鶎嶒炇耶a(chǎn)品已將這一程序攔截，并將其檢測為“Backdoor.Win32.RMS”。

然而，這并非在受感染計算機上發(fā)現(xiàn)的唯一一款惡意程序。通過進(jìn)一步的調(diào)查，另一款惡意程序Backdoor.Win32.Agent 浮出水面。這種惡意程序由Backdoor.Win32.RMS 下載至計算機上。在Backdoor.Win32.Agent 的代碼中，卡巴斯基實驗室安全專家發(fā)現(xiàn)了銀行木馬Carberp 的元素，而Carberp 的源代碼在今年初就已經(jīng)被公開。網(wǎng)絡(luò)罪犯正是利用這款惡意程序獲取遠(yuǎn)程訪問虛擬網(wǎng)絡(luò)計算（VNC）權(quán)限，訪問受感染計算機。如此一來，不法分子就利用遠(yuǎn)程銀行系統(tǒng)策劃了一起非法支付訂單，并使用會計人員的計算機進(jìn)行IP 地址驗證，從而取得銀行的信任。

但是，網(wǎng)絡(luò)罪犯究竟如何獲取會計人員的支付密碼？原來，受害計算機上還存在另一款惡意程序Trojan-Spy.Win32.Delf。這是一種鍵盤記錄程序，能夠攔截通過鍵盤輸入的數(shù)據(jù)。通過這種手段，網(wǎng)絡(luò)罪犯竊取了會計人員的密碼，從而進(jìn)行非法交易。

就在調(diào)查接近尾聲時，卡巴斯基實驗室安全專家發(fā)現(xiàn)，攻擊所用到的全部惡意程序由屬于同一子網(wǎng)IP 地址的命令和控制服務(wù)器進(jìn)行管理。而網(wǎng)絡(luò)罪犯在篩選子網(wǎng)地址時犯了一個錯誤。由此，卡巴斯基實驗室的安全專家發(fā)現(xiàn)了其它受Trojan-Spy.Win32.Delf 感染計算機的IP 地址。大多數(shù)情況下，這些地址均屬于中小型企業(yè)的計算機。

對于此次安全事故，卡巴斯基實驗室全球緊急響應(yīng)團隊惡意軟件分析師Mikhail Prokhorenko 表示：“雖然這起安全事故發(fā)生在俄羅斯，但是從技術(shù)角度來看，這類攻擊是不分國家的。事實上，這類網(wǎng)絡(luò)犯罪行為在不同國家之間區(qū)別很小。全球范圍內(nèi)，大多數(shù)公司都會使用Windows 和Microsoft Office，而這些程序可能會包含未修補的安全漏洞。同樣，不同國家企業(yè)的財務(wù)部門通過網(wǎng)銀與銀行進(jìn)行交易時所采取的手段也大同小異。這讓網(wǎng)絡(luò)罪犯通過遠(yuǎn)程銀行系統(tǒng)竊取錢財變得更為容易?！?/p>

為了減少企業(yè)賬戶資金被盜的風(fēng)險，卡巴斯基實驗室安全專家建議使用遠(yuǎn)程銀行系統(tǒng)的企業(yè)建立一套可靠的多因素認(rèn)證措施（包括支付憑證以及銀行提供的一次性密碼等），確保安裝在企業(yè)計算機上的軟件即時更新（尤其是財務(wù)部門所使用的計算機），為計算機安裝安全解決方案，培訓(xùn)員工如何識別攻擊跡象，在遇到攻擊時能夠做出正確的反應(yīng)。