今年年初,東歐的許多銀行都被捲入了一系列借記卡詐騙和盜刷中,涉及金額高達上億美元。犯罪團夥利用虛假的銀行帳戶和黑客手段,將餘額不多的銀行帳號變成了造錢機器。
SpiderLabs 於 10 月 10 日披露的一份研究報告詳細展示了這種犯罪手段:黑客們首先獲取了銀行系統權限,然後修改了用假身份開的帳戶的透支保護額度,最後在其它國家的ATM機上插卡登錄這些帳戶,每次可以取走上萬美金。
SpiderLab 的調查發現了約有 4000 萬美金被此方法盜走,同時調查人員還表示,「如果考慮到尚未被發現的帳戶或被調查到的攻擊,以及一些銀行內部和第三方機構的調查數據,那麼預計被盜金額可能高達上億美元。」
這種犯罪手段結合了傳統信用卡盜刷和黑客技術。犯罪團夥想要實現這種犯罪,首先需要收買很多人,通知其前往目標銀行,使用犯罪團夥提供的虛假身份開設帳戶,並存入最低存款額。開設帳號之後獲得的借記卡則會被郵寄給遍布在歐洲和俄羅斯的團夥其他成員。
另一方面,黑客們還通過簡單的網絡釣魚手段,在銀行僱員的電腦裡植入了遠程訪問惡意軟體。這些後門程序幫助黑客獲得了更多的銀行內網權限,並且攻破了銀行裡的多個不同系統。黑客們繼而向第三方支付處理提供商下手,利用銀行儲存的VPN憑據獲取第三方公司的內網權限。這樣一來,黑客們就能夠在第三方公司的網絡裡同樣部署一些惡意軟體數據包。
調查人員表示,「最重要的一環,就是取得第三方公司終端伺服器上的合法監控工具的訪問權限,這個工具允許用戶通過瀏覽器訪問和管理銀行卡。」
第三方處理商使用的 Mipko 監控軟體又被稱為「員工監控軟體」,黑客從中獲取了約 4 GB的監控數據,包括所有訪問過銀行卡管理系統的用戶的截圖,鍵盤記錄和登錄憑據等等。
憑藉這些信息,黑客能夠分辨出目標銀行所使用的銀行卡管理軟體,然後通過竊取的憑據登錄虛假身份開設的銀行帳號,並且修改透支保護金額。在修改金額之後,黑客會通知其他同夥,從國外連接該第三方支付處理商網絡的 ATM 機上取走現金。
圖 | Mipko監控軟體官網
在犯罪過程中,惡意軟體的使用頻率很低,同時銀行卡管理系統的訪問又是源自銀行內網,因此這種犯罪手段很難被檢測到。他們利用了一種新的入侵方式:「就食於敵國」,在盜取極少數據的情況下長期潛伏在目標網絡中,獲得大量的密碼和機密信息。
黑客植入的惡意軟體中包括一個名為 plink.exe(PuTTY)的程序,這是一個 Windows SSH 客戶端,可以通過 SSH 通道實現對 Windows 終端伺服器的遠程桌面控制。 除了 Mipko 員工監控軟體以外,黑客還利用了滲透測試軟體 Cobalt Strike Beacon,調查人員表示,「後者主要用來維繫後門連接,連接的另一端則位於美國境內。」
儘管目前發現的所有盜刷案例僅限於東歐銀行(包括俄羅斯),網絡專家警告,這種手段很有可能擴散至全球,「在網絡犯罪團夥瞄準整個世界之前,東歐這片土地常常是他們的試驗田。」