银行欺诈软件再进化：自动转账系统

作者：趋势科技资深威胁研究员 Loucif Kharouni

银行和其他金融机构往往会实施更严格的管控，试图将网络钓鱼攻击所造成的损失降到最低。然而网络犯罪分子并没有因此收手，而是开始利用新的工具来实施自动化的网络银行诈骗：自动转账系统。

在这之前，类似 ZeuS 和 SpyEye 这样的恶意软件家族程序会利用 Webinject 文件修改目标公司的网站（例如银行）。Webinject 文件基本上就是一种带有 JavaScript 和 HTML 程序代码的文本文件，其中包含了攻击者想要插入到目标网站的程序代码。

但是有了自动转账系统后，攻击已经提升到了另一个全新的层面。不仅可以被动地窃取信息，自动转账系统还可以让网络犯罪分子在用户不知情的情况下立刻进行金融交易，直接搜刮用户的银行账户。不再需要用户输入账号和密码，自动转账系统就可以让网络犯罪分子从受害者的银行账户不留痕迹地将资金转账到自己的账户中。

这份研究报告包含了趋势科技对自动转账系统的初步研究。在研究过程中，我们发现了自动转账系统的关键部分，确定某些已知的目标，并更加深入研究这个地下世界，找出生产和销售自动转账系统的黑幕。

完整的内容可以参考我们的研究报告 – 「自动化网络银行诈骗」，你可以点击下列图片下载完整报告：

趋势科技「自动化网络银行诈骗」研究报告

以下是对这种攻击进行介绍的数据图表：

自动化网络银行诈骗

狡猾的网络犯罪份子不会停止觊觎你的数据。一种新兴的威胁称为自动转账系统，可以让诈骗份子在你不知情的情况下从你的账号取钱，甚至可以完全不留痕迹。

这是什么？

自动转账系统是网络犯罪份子所使用的新工具，并结合了已知的 SpyEye 和 ZeuS 银行木马软件。

它有多阴险？

攻击者完全不需要现身，而且用户也完全无法察觉。

它如何运作？

受害者的计算机会在后台执行一个脚本，对提款交易进行初始化，并将钱转到中介账户。

银行网站，用户注意到或没注意到的内容

自动转账系统脚本会修改帐户金额，并隐藏非法交易，以对受害者隐藏他们的痕迹。只要系统里还感染着自动转账系统，用户就无法在自己的帐户里看到非法交易。这种感染会将假数据插入到网络银行的连接中，所以用户完全无法察觉问题。

接着中介账号会将钱转给网络犯罪份子

用户无法在他们的网络银行里看到这笔交易。加上之前的网络银行诈骗手法，攻击者会制造假的弹出窗口，借此诱骗用户提供自己的银行账号信息。因为用户会以为这是在可信赖的网站上。

保护自己

要防御自动转账系统，必须先从感染来源进行封锁。感染可能来自网络钓鱼（链接或邮件附件），也可能来自恶意网站，或在已经沦陷的网站上下载过感染的文件。

用户需要确保他们的安全防护包含了针对网页威胁的防护，同时还可以提供高级的浏览器保护。

一旦感染，用户很难确认自己是否中毒。而且自动转账系统会在后台执行恶意交易，所以用户要经常用网络银行之外的其他方式（例如电话、电子邮件，或者邮寄信函）检查自己的账户交易情况。

＠原文出处：Evolved Banking Fraud Malware: Automatic Transfer Systems