trojan ngan hang.jpg
Nhiều ngân hàng trực tuyến có nguy cơ bị cướp tiền bởi phương thức tiêm/cấy mã độc trên website từ xa (webinjects). Ảnh minh họa. Nguồn: Internet.

>> Cách “phòng thủ” đối với trojan Zeus / 2.000 máy tính/ngày nhiễm mã độc lấy cắp dữ liệu eBank / Phanh phui cơ chế hoạt động ngầm của Trojan Flashback

Symantec vừa công bố Sách Trắng về Thế giới những loại sâu máy tính (trojan) trong lĩnh vực tài chính (the World of Financial Trojans).

Trong đó, nhấn mạnh hiện trạng trojan ngân hàng thâm nhập vào hệ thống thông qua “cửa hậu”, tấn công với độ chính xác tương đối và phát triển tinh vi tới mức cho phép những kẻ tấn công thực hiện các giao dịch giá trị cao, né tránh được những biện pháp phát hiện lừa đảo truyền thống.

“Công cụ mới” đang hỗ trợ đắc lực cho các Trojan tài chính, ngân hàng “qua mặt” hệ thống phòng vệ, bảo mật chính là dịch vụ webinjects (tiêm/cấy mã độc trên web) từ xa, có thể tùy chỉnh cho phép những kẻ tấn công nhắm tới các tổ chức tài chính một cách thông minh và khả thi hơn trên quy mô lớn.

Symantec mô tả cụ thể một trường hợp tin tặc sử dụng kỹ thuật để vượt qua những biện pháp bảo vệ của một ngân hàng tại Ý: khi một người dùng truy cập vào một trang web ngân hàng, nhiều dữ liệu máy chủ (gồm cả trình duyệt và cài đặt phần cứng) đã được gửi cho kẻ tấn công. Sau đó, những thông tin đăng nhập (tên người dùng, mã PIN và mật mã xác thực một lần OTP - One Time Password) cũng được gửi cho kẻ tấn công, trong khi màn hình đăng nhập hiển thị cho người dùng dòng tin nhắn "Xin vui lòng chờ đợi". Kẻ tấn công sử dụng những chi tiết này để đăng nhập vào trang web ngân hàng. Mỗi khi ngân hàng yêu cầu trả lời câu hỏi bổ sung, kẻ tấn công chuyển tiếp chúng cho nạn nhân. Bước này lặp đi lặp lại cho đến khi kẻ tấn công có đủ thông tin để hoàn tất các giao dịch gian lận. Đến khi những giao dịch gian lận hoàn tất, người sử dụng được hiển thị một lỗi thông báo yêu cầu họ giao dịch lại trong vòng 24 giờ.

Trong cuộc tấn công trên, chi tiết máy chủ được gửi đến những kẻ tấn công để thiết lập một hệ thống giống hệt với máy tính chủ. Sau đó, những kẻ tấn công thực hiện phương thức ủy nhiệm kết nối thông qua máy tính bị nhiễm của người sử dụng trong các giao dịch gian lận. Phương thức này giúp ẩn đi địa chỉ IP của tin tặc và có thể phá vỡ một số biện pháp chống gian lận khi phát hiện cấu hình máy chủ không phù hợp và đáng ngờ.

Đến nay, hơn 600 tổ chức tài chính trên toàn cầu đã bị các trojan tài chính nhắm tới. Những “mảnh đất màu mỡ đầy tiềm năng” là các nước đang phát triển, nơi mà hệ thống bảo mật vẫn còn khá đơn giản, đặc biệt ở Châu Phi, Trung Đông và châu Á. Những địa điểm mà trojan gia tăng cường hoạt động tấn công gần đây có thể kể đến Các tiểu vương quốc Ả Rập thống nhất, Hồng Kông, Nhật Bản,…

Kẻ tấn công đứng đằng sau các loại Trojan này là một số nhóm tội phạm ngầm có tổ chức, không chỉ là những chuyên gia về viết mã nguồn và tự động hóa các cuộc tấn công mà còn hiểu biết rất rõ về lĩnh vực tài chính toàn cầu đầy phức tạp.