黑客利用犯罪软件感染50万网络银行用户

　　Finjan发布了一份报告详述了黑客如何利用新的犯罪软件，从被感染的计算机那里窃取银行客户数据。2007年7月份里，Finjan发现了58名使用MPack工具的罪犯，他们成功地感染了50万名用户。在3100万次的尝试中，他们的成功感染率是16%——这是根据被感染站点的网络传输量来计算的。Finjan的分析报告显示，MPack中使用的犯罪软件能够以一种全新的方式窃取银行账户信息，比如用户名，密码，信用卡账号，身份安全码等等。这些软件可以不留痕迹地窃取世界上很多银行的账户信息。为了不被发现，它把窃得的信息通过安全通信通道（SSL）发送给犯罪分子。被感染的用户根本不会察觉他们的系统或者上网活动有任何问题。犯罪软件的rootkit性能使它能够不留任何痕迹并且不会影响终端用户的用户体验。现在大多数安全产品仍然无法检测到MPack工具下载的犯罪工具软件，这使得问题更加复杂，因此它在感染计算机方面非常有效。报告中列举了被感染的很多其他银行的用户。

　　“此类攻击比之前的钓鱼攻击危险多了，钓鱼攻击只是依靠虚假的站点来欺骗用户。而此类攻击是发生在用户自己的计算机上的，并且还是加密的，非常不容易被察觉。”Finjan的CTO Yuval Ben-Itzhak说，“用户在站点上填写登陆信息后，点击‘登陆’按钮，那么被感染的用户机器上的犯罪软件就会拦截该通信传输。该犯罪工具将它拦截的用户ID以及密码发给犯罪分子的服务器，而不是发给银行服务器。用户以为他们还在银行网站上，但其实他们是通过加密连接，在向犯罪分子的服务器发送数据。即使那网页看起来很像真正的银行网页，但其实该网页是被访罪分子实时修改了的，它是通过预先设好的SSL连接来展示的。当用户们访问其他在线金融服务的时候，黑客们也会是用同样的技术。因此，针对每个金融机构，该犯罪软件会发送定制的一系列伪造的表格和页面，以便收集需要登陆一些服务的特定信息（比如‘最喜欢的……是……’，纪念日，最喜欢的词语，等等）。通常它们跟它们所伪装的金融机构看起来非常一致。”

　　用户的浏览器不会显示任何标志提醒用户那个被修改的页面很可疑，而且他的一切上网活动也很正常。如果打开网络浏览器的“安全”图标来验证SSL连接，那么它就会显示真正的银行的证书。一旦受害者点击了登陆按钮，数据就通过一个安全对话连接连到犯罪者的计算机。数据成功传送到犯罪者的站点后，真正的银行的回应就会显示出来。这里需要提的是，发送数据给攻击者站点这个动作是在后台平行进行的，因此用户不会有任何延迟的感觉。

　　令人担心的是，这些犯罪软件正在通过合法站点传播。这些站点被攻击者们用工具感染后，主页上就被嵌入了指向恶意代码的iframe。一旦用户访问了主页，那么用户也就同时加载了嵌入其中的恶意代码。这就意味着那些对合法站点毫不怀疑的用户们无意中被暴露给了恶意代码。从此，攻击者就获得了进行犯罪活动所需的所有信息——甚至可以直接从ATM机取款，他只需将所需信息编码到银行卡的磁条上，然后提款时输入ATM密码就行了。很多在线银行的用户都存在这样的危险。

　　除了窃取个人和财务数据以外，该犯罪工具还是个按键记录器，使用加密文件把含有计算机正在进行活动的信息发送回攻击者的主机。