鎖定網上銀行：惡意程式大舉入侵亞洲用戶！

互聯網世界危機處處，一個不小心真可令你輕易成為受害者；例如在歐美常見的偷竊用戶網上銀行帳戶，並於極短時間內將户口資金轉移到第三方户口，這是其中一個例子；相比起歐美，香港較常聽說，同時又針對網上銀行的惡意行為，此前較常聽到只有虛假釣魚網站一招。

不過近期大家要多加小心了，事關安全廠商趨勢科技近日收到消息，指一個名為「Operation Emmental」(埃文達行動) 的全新網上犯罪活動，專門攻擊利用手機短訊 (SMS) 進行雙重認證的網上銀行，竊取銀行客戶的登入帳號密碼並攔截短訊，繼而完全掌控帳戶。這項在奧地利、瑞典和瑞士相當流行的犯罪行動目前已現身日本，增加亞太地區遭受類似攻擊的風險。

在這項攻擊中，歹徒會先假冒知名銀行的名義發放垃圾郵件給用戶，然後引誘缺乏戒心的用戶點選惡意連結或附件檔案，令用戶電腦感染一個特殊的惡意程式。有別於一般攻擊網上銀行的惡意程式，此惡意程式會修改受感染電腦的網域名稱系統 (DNS) 配置設定，並將該 DNS 轉向至歹徒所操控的外國伺服器，然後再將自己移除，從而做到不留痕跡，無法偵查。雖然看似是一個小小的修改，但對受害者的影響卻非常深遠。

多年來，銀行一直試圖透過各種安全機制來防止網絡罪犯入侵客戶的帳戶，包括密碼、PIN 碼、座標卡、交易認證代碼 (TANS)、連線階段認證碼等等。另一方面，網絡罪犯的攻擊卻也更加精進。在 Operation Emmantel 行動當中，歹徒結合了多種不同技巧，包括具針對性的垃圾電郵、達成目的後即消失的惡意程式、欺騙性的 DNS 服務、網絡釣魚頁面、Android 惡意程式、幕後操縱伺服器，以及真正的後端伺服器來達成目標。令銀行必須建置更完整且涵蓋不同層面和登入點的防禦機制來保護客戶。

圖一：雙重認證流程 ─ 未受感染與已感染 Operation Emmental 的電腦比較

惡意程式會在受感染的電腦上安裝一個欺騙性的 SSL 憑證，讓電腦預設為「可信賴的惡意 HTTPS 伺服器」。經過此修改後，當用戶要開啟自己的網上銀行網站時，會被自動轉導至一個虛假的銀行網站，接著要求用戶輸入帳號和密碼。這個網絡釣魚網站接著指示用戶在智慧型手機上安裝一個惡意的 Android 應用程式。

這個偽裝成銀行連線階段認證碼產生器的惡意 App 程式，事實上會攔截銀行發送的認證短訊，將它轉傳到歹徒的手機或指揮與控制 (C&C) 伺服器。這讓歹徒不僅可以透過網絡釣魚網站取得用戶的帳號密碼，還可取得交易所需的連線階段認證碼，從而完全掌控受害者的銀行帳戶。

針對時下猖獗的行動網絡犯罪，金錢依然是網絡歹徒的最大動機。根據趨勢科技 TrendLabs 2014 年第一季資訊保安報告指出，網上銀行惡意程式偵測數量在第一季達到 116,000 宗，較 2013 年同期穩定增長。更嚴重的是，Android 威脅數量在該季已突破 210 萬，較一年前增長超過四倍。在這發展進程下，銀行必須加強監控針對不同登入點的潛在攻擊，並妥善加以防範，才能為客戶提供安全的銀行交易環境。