在线窃贼继续完善他们的社交工程技术,以增加潜在受害者成为其欺诈方案的牺牲品的机会。据安全公司Trusteer的研究人员称,现在,攻击者正在使用他们对受害者浏览器的访问来修改银行的客户支持文档,并提高其攻击技术的合法性。
由于在线银行越来越多地使用交易代码来验证用户的转账意图,因此银行木马现在经常试图欺骗用户,使他们认为需要发送到手机的代码来继续他们的银行业务。实际上,发送的代码(一次性密码(OTP))用于确认攻击者的恶意软件正在幕后进行的交易。
此类活动可能会引起怀疑。因此,为了缓解这些疑虑,最新版本的Ramnit Trojan实际上是对受害者浏览器中显示的客户支持文档进行了调整,以使该行为看起来合法。反托拉斯提供商Trusteer的防欺诈解决方案经理Etay Maor网络软件告诉eWEEK。
“如果用户怀疑自己可能成为欺诈的受害者,并转至FAQ或网站上的其他两个部分,并试图进一步了解这一点,则攻击者已修改了这些部分以支持此类操作, “ 他说。
为了消除怀疑可能已进行交易的可能性,该木马在显示的任何页面上都删除了短语“ OTP交易”并将其更改为“ OTP操作”。
Maor说,该技术只是Ramnit和其他最近的网络软件在社会工程学上改进的方法之一。一旦Ramnit感染了受害者的系统,该程序将保持休眠状态,以免遭防病毒和其他安全软件的检测。据Maor称,只有当受害者进入目标银行站点时,银行木马才会开始运作。
用户登录银行网络后,木马程序会显示与站点布局完全匹配的警报。该警报告诉用户银行已更改其电子银行交易过程,并且用户需要设置OTP服务电话号码。当受害者阅读公告时,该软件会查找可用的m子帐户,以将被盗的资金发送至该帐户,然后输入一笔交易以进行汇款。mu子是低级的罪犯或欺诈的受害者,他们会接收非法资金并将其转移到在线盗贼拥有的其他帐户中,从而使钱迹更难追踪。
银行向用户发送一次性密码以确认交易。如果用户在警报框中输入该号码,Ramnit将使用该信息来确认交易。
“在进入OTP时,用户在不知情的情况下使恶意软件能够完成欺诈性交易并最终完成对m子帐户的付款,” Maor在博客文章中写道。“这是设计良好的社会工程技术如何帮助简化欺诈过程的又一个例子。”