تاخت و تاز اسب­های تروا در عرصه بانکداری الکترونیک

امروزه دامنه آثار زیانبار تروجان­های موذی به عرصه بانکداری الکترونیک هم کشیده شده است

امروزه دامنه آثار زیانبار تروجان­های موذی به عرصه بانکداری الکترونیک هم کشیده شده است. از جمله تروجان‌های معروف به بانک­زن، حساب‌های پس‌انداز آنلاین را طوری از کار می‌اندازند که قربانیان از مشاهده کلاهی که در حال رفتن روی سرشان است عاجز می‌مانند. سابقاً این کار به وسیله دزدیده شدن نام کاربری و رمز عبور یک بانک خاص صورت می­گرفت. تبهکاران نیز برای خالی کردن حساب بانکی دیگران به طور دستی باید رمز حساب را کشف می‌کردند. بخش خدمات مالی بانک­ها برای جلوگیری از چنین حملاتی، برخی روش­های قضایی مانند دستگاه ID، ردیاب و طرح برخی سؤال­های تشخیصی را به کار می‌بندند. اما متأسفانه تبهکاران در مواجهه با چنین موانعی، زیرک­تر شده­اند. یکی از این تروجان‌ها با نام URLzone به حدی پیشرفته است که شرکت اینترنتی امنیتی فینجان (Finjan) آن را نسل بعد برنامه‌های ویروسی می‌خواند.

● دسیسه­های بزرگ­تر

دزدهای مجهز به URLzone با رعایت تمام موارد قانونی لازم وارد عمل شده و اوراق آنلاین بانکی را مورد حمله قرار می‌دهد. این یورش­ها در بین کارشناسان «مردی در میانه حمله» نام گرفته است زیرا قربانی و مهاجم هر دو به طور هم­زمان آنلاین هستند و قربانی در همان لحظه ممکن است متوجه برخی موارد غیر عادی در مورد حساب خود شود. بنابر اظهار فینجان، فرآیند پیچیده URLzone به تبهکاران این امکان را می‌دهد که درصدی را که قرار است از حساب بانکی قربانی خارج کنند از قبل تعیین نمایند و به این ترتیب به دام نرم‌افزار هشداردهنده مؤسسه مالی گرفتار نشوند.

فینجان در ماه آگوست گذشته از وقوع یک سرقت صورت گرفته در طول ۲۲ روز توسط URLzone به میزان روزانه ۱۷،۵۰۰ دلار از دارندگان حساب­های بانکی در آلمان خبر داد که اغلب صاحبان آنها متوجه این دزدی نشده بودند. به گفته تیم ضد تبهکاری اینترنتی RSA، برنامه URLzone در کلاهبرداری حتی دست بات­نت‌ها و تروجان­ها را هم از پشت بسته است. تبهکاران با استفاده از تروجان‌ها پول قربانیان را از حساب آنها خارج کرده و تحت عناوینی مانند خرید کالا و انتقال آن به یک نشانی خارجی، این پول را به حساب افراد دیگری با نام «ناقل» یا همان واسطه انتقال می‌دهند.

به نظر می‌رسد که URLzone در همان لحظه فعال شدن و انتقال پول از حساب افراد به طریقی قابل شناسایی و ردیابی باشد. زمانی که محققان RSA در تلاش برای پی بردن به نحوه عملکرد URLzone بودند، یکی از بدافزارهایی را که در همان لحظه در حال انتقال مقداری پول به حساب یکی از ناقلان بود، شناسایی کرده‌ و آن را ناکام گذاشته­اند.

● Silentbanker و Zeus

ویروس Silentbankerکه سه سال قبل ظهور کرد یکی از نخستین برنامه‌های بدافزار است که در قالب یک سایت فیشینگ تحت ادعاهای دروغین شما را به دادن اطلاعات هویتی‌تان مانند شماره‌های اعتباری، کلمات عبور و سایر اطلاعات شخصی متقاعد می‌سازد. زمانی که فرد قربانی در حال بازدید از سایت­های طراحی شده جهت سرقت اطلاعات بانکی است، ویروس Silentbanker کاملاً بی سروصدا و بدون هیچ پیغام هشداری روی کامپیوتر او بارگذاری می‌شود.

Silentbanker با تهیه تصویر از حساب‌های بانکی آنلاین، با ظاهری کاملاً قانونی کاربران را به سوی صفحات HTML دستکاری شده‌ راهنمایی می‌کند. Zeus (که به نام‌های Prg Banking Trojan و Zbot نیز شناخته شده است) یکی از botnetهای سیستم‌های آنلاین مالی و بانکی است که حساب­های بانکی را هدف قرار می‌دهد. بنابر اظهار نظر شرکت اینترنتی امنیتی سکیور وُرکس، زئوس غالباً برخی بانک­های خاص را هدف حملات خود قرار می‌دهد.

Zeus یکی از نخستین تروجان‌هایی است که به وسیله کمین کردن و انتظار کشیدن تا زمان ورود موفقیت‌آمیز یک قربانی به صفحه حساب خود، فرآیندهای پیچیده قانونی را ناکام می‌گذارد. در مرحله بعد، این ویروس با جعل هویت بانک و بدون ایجاد کوچک­ترین شبهه‌ای، کد امنیتی اجتماعی و دیگر اطلاعات شخصی فرد را از او درخواست می‌کند.

در این حالت حتی اگر فرد مورد حمله قرار گرفته اطلاعات اعتباری خود را وارد نکند، Zeus با استفاده از روش فیشینگ در دریافت اطلاعات شخصی، کامیپوتر او را آلوده می‌کند. یکی از جدیدترین حملات این است که زئوس خود را در قالب ارسال یک ایمیل از جانب IRS (اداره مالیات آمریکا) نشان می‌دهد. ویروس Zeus برخلاف دیگر تروجان‌‌های بانک­زن، به سختی قابل شناسایی است؛ زیرا هر یک از قربانیان تقریباً یک نسخه متفاوت و مجزا از این ویروس را دریافت می­کنند.

● Clampi

کلامپی ویروسی تقریباً مشابه Zeus است که پس از یک خواب زمستانی طولانی اخیراً فعالیت خود را از سر گرفته است. بنابر اظهار نظر جو استوارت، مدیر بخش تحقیقات بدافزار شرکت سکیور وُرکس، Clampi با تصاحب اطلاعات کاربری و کلمه عبور افراد، حدود ۴۵۰۰ وب سایت مالی و بانکی را مورد هجوم قرار داده است. Clampi اطلاعات به دست آمده را در محل تعیین شده ذخیره می‌نماید و تبهکاران نیز با استفاده از این اطلاعات سریعاً اقدام به دزدیدن پول یا خریداری کالاها می‌نمایند و یا آنها را برای استفاده در آینده ذخیره می‌نمایند.

این ویروس تا زمان آنلاین شدن و اتصال کاربر به صفحه اطلاعات بانکی خود به انتظار می‌نشیند و به این ترتیب از سد تمام حصارهای قانونی تعریف شده عبور می‌کند. سپس صفحه‌ای با عنوان «وب‌سایت بانک موقتاً در دست بازسازی است» را برای کاربر به نمایش می‌گذارد. در مرحله بعد، زمانی که کاربر حرکت بعدی را انجام می‌دهد، سارقین به زیرکانه­ترین شکل ممکن صفحه اطلاعات بانکی را که هنوز فعال است مورد دستبرد قرار داده و پول­ها را از حساب این فرد خارج می‌نمایند.

● حفاظت از اطلاعات شخصی

از آنجا که اغلب این آلودگی­های ویروسی در زمانی که قربانیان به یک ایمیل فیشینگ پاسخ می‌دهند و یا وارد وب‌سایت­های مشکوک و ناآشنا می‌شوند اتفاق می‌افتد، پیشنهاد استوارت از سکیور وُرکس این است که فعالیت‌های بانکی خود را به یک دستگاه مشخص که شما از آن فقط برای انجام کارهای بانکی استفاده می‌کنید، محدود نمایید. حتی به جای این کار می‌توانید از یک سیستم عامل رایگان مانندUbuntu Linux که از طریق یک سی‌دی نیز قابل راه‌اندازی است استفاده کنید. قبل از انجام هر گونه کار بانکی اینترنتی، ابتدا Ubuntu را راه‌اندازی کرده و سپس از مرورگر Firefox برای دسترسی به وب‌سایت بانک خود استفاده کنید. از آنجا که اغلب تروجان‌ها ویندوز را مورد حمله قرار می‌دهند، استفاده از سیستم عاملی غیر از ویندوز، از حملات آنها جلوگیری مؤثری به عمل خواهد آورد. در هر صورت بهتر است که همواره آنتی­ویروس کامپیوتر خود را به­روزرسانی کنید زیرا اغلب برنامه‌های آنتی ویروس کنونی توانایی شناسایی تروجان‌های جدید بانک­زن را دارند. آنتی‌ویروس‌های قدیمی در محافظت از کامپیوتر شما در برابر حملات جدید به کندی عمل می‌کنند اما نسخه‌های سال ۲۰۱۰ که از تکنولوژی ابری یا سرورهای آنلاین جایگزین استفاده می‌کنند به سرعت قادرند اثر حملات تروجان‌ها را خنثی ‌سازند.

منبع: ماهنامه پی سی ورلد، ژانویه ۲۰۱۰

نویسنده: رابرت واموسی

مترجم: فاطمه اللهیاری