هشدار در مورد کلاهبرداری از سایتهای بانکی

تاکنون حملات سایبری “عملیات Emmental” تعداد زیادی حساب کاربری را در اتریش، سوئیس، سوئد و ژاپن مورد حمله قرار داده است.
به گزارش پول پرس، براین اساس مرکز امدادرسانی و هماهنگی عملیات رخدادهای رایانه ای نسبت به متد پیچیده این حمله برای بدست آوردن مشخصات حساب های بانکی کاربران هشدار داد.
مرکز ماهر اعلام کرد: شرکت امنیتی Trend Micro گزارشی را با نام عملیاتEmmental منتشر کرد که در آن بدافزار اندرویدی از احراز هویت دو عاملی گذشته و کد مخربی را اجرا می کند که تنظیمات DNS کامپیوتر آلوده را تغییر می دهد. سپس، آن نقاط توسط مهاجم اداره خواهد شد.
خرابکاران اقدام خود را با ارسال بدافزار از طریق حملات فیشینگ- لینک های آلوده یا فایل های ضمیمه شده از طرف فروشندگان محصولات مختلف- شروع می کنند.
برپایه گزارش مهر، این بدافزار یک بدافزار معمولی بانکی نیست، تنظیمات روی سیستم ها را تغییر داده و سپس خودش را پاک می کند. درست است تغییرات کوچک بوده ولی پیامدهای بزرگی برای کاربران خواهد داشت.
این بدافزار SSL root certificate جعلی را روی سیستم ها نصب می کند که موجب می شود سرورهای HTTPS آلوده بصورت پیش فرض، قابل اعتماد تشخیص داده شوند و کاربران هیچ گونه هشدار امنیتی را مشاهده نکنند.
این بدافزار، سپس تغییراتی روی DNS سیستم انجام می دهد که موجب می شود کاربران به سمت وبسایت های جعلی بانکی هدایت شوند که دقیقاً مشابه سایت های اصلی است. در آن صفحات، کاربران به صفحات دیگری هدایت می شوند که اطلاعات کاربری را وارد کنند و نرم افزاری را نصب کنند که در حقیقت بدافزار اندرویدی است.
این برنامه کاربردی اندرویدی به عنوان یک تولیدکننده رمز session بانکی نیز عمل می کند. در حقیقت پیامک هایی از بانک را رهگیری کرده و به سمت سرور کنترل و فرمان (C&C) خود یا شماره موبایل دیگری ارسال می کند. این به این معنی است که مجرمان سایبری نه تنها نام کاریری و کلمه عبور بانکی آنلاین قربانی را برمی دارند، بلکه علاوه بر آن رمزهای session های بانکی آنلاین را نیز می دزدند. به این ترتیب کنترل کاملی روی حساب های کاربری قربانی خواهند داشت. آدرس سرورهای DNS جعلی به شرح زیر است:
• ۵.۳۹.۲۱۹.۲۱۲
• ۱۹۳.۱۶۹.۲۴۴.۷۳
• ۱۹۳.۱۶۹.۲۴۴.۱۹۱
• ۹۳.۱۷۱.۲۰۲.۹۹
• ۳۷.۲۲۱.۱۶۲.۵۶
• ۷۸.۱۰۸.۱۷۹.۸۱

انتهای پیام