Tighter Security Urged for Businesses Banking Online
By Brian Krebs | August 24, 2009; 6:00 PM ET
Bài được đưa lên Internet ngày: 24/08/2009
Lời người dịch: “Theo những đánh giá mới nhất của nhà sản xuất phần mềm chống virus Trend Macro, ít nhất 253 triệu máy tính đã bị lây nhiễm với phần mềm độc hại vào năm ngoái, chủ yếu trong số đó là kết quả của việc phần mềm nằm chờ trên các website độc hại hoặc đã bị tin tặc thâm nhập. Với tỷ lệ mà những mẫu phần mềm độc hại mới đang được tạo ra - hơn 1 triệu [mẫu] trong một tháng - thì Trend ước tính rằng số lượng các máy tính cá nhân có thể mang ra so sánh được sẽ bị lây nhiễm các phần mềm độc hại trong năm 2009 sẽ là gần gấp đôi, tới 491 triệu máy”. Một con số khổng lồ.
Sau hàng loạt các vụ việc các doanh nghiệp bị mất tiền từ 100,000 USD tới 500,000 USD khi thực hiện các dịch vụ ngân hàng trực tuyến, Trung tâm Chia sẻ và Phân tích Thông tin các Dịch vụ Tài chính, một tập hợp của các đại diện cho một số ngân hàng lớn nhất của một số quốc gia, đã cảnh báo cho các khách hàng sử dụng các dịch vụ ngân hàng trực tuyến: “hãy triển khai tất cả hoạt động ngân hàng trực tuyến từ một máy tính đứng riêng rẽ, được tăng cường, và được khóa để từ đó việc duyệt thư điện tử và Web là không thể thực hiện được”. “Còn người thông minh hơn có lẽ sẽ là một máy Mac, hoặc một số thứ ngon lành của Linux, hoặc ngay cả là một đĩa Live CD của Linux (sau khi tắt, tất cả các thay đổi sẽ bị xóa). Vì sao lại thực hiện những sự phòng ngừa cực đoan thế này? Cảnh báo chỉ ra rằng số lượng lớn phức tạp, lén lút tăng vọt của các phần mềm độc hại đang được phân phối những ngày này đang thách thức các giới hạn của sự bảo vệ chống phần mềm độc hại theo lối truyền thống, như là các phần mềm diệt virus”.
Một nhóm các doanh nghiệp đại diện cho một số ngân hàng lớn nhất của các quốc gia đã gửi một cảnh báo riêng tư tới các thành viên của mình vào tuần trước cảnh báo về một cơn sóng cồn được báo cáo về bọn tội phạm không gian mạng hướng vào các doanh nghiệp vừa và nhỏ. Sự tư vấn này, được phát hành bởi Trung tâm Chia sẻ và Phân tích Thông tin các Dịch vụ Tài chính, khuyến cáo rằng các khách hàng của các ngân hàng thương mại hãy thực hiện một số bước khá chính xác để đảm bảo an ninh cho các tài khoản ngân hàng trực tuyến của họ.
Ví dụ, nhóm này khuyến cáo rằng các khách hàng của ngân hàng thương mại “hãy triển khai tất cả hoạt động ngân hàng trực tuyến từ một máy tính đứng riêng rẽ, được tăng cường, và được khóa để từ đó việc duyệt thư điện tử và Web là không thể thực hiện được”. Một hệ thống như vậy có thể là một cài đặt còn trinh nguyên của Windows với tất cả các cập nhật thích hợp, sử dụng thứ gì đó như là trạng thái đã có của Microsoft. Còn người thông minh hơn có lẽ sẽ là một máy Mac, hoặc một số thứ ngon lành của Linux, hoặc ngay cả là một đĩa Live CD của Linux (sau khi tắt, tất cả các thay đổi sẽ bị xóa).
Vì sao lại thực hiện những sự phòng ngừa cực đoan thế này? Cảnh báo chỉ ra rằng số lượng lớn phức tạp, lén lút tăng vọt của các phần mềm độc hại đang được phân phối những ngày này đang thách thức các giới hạn của những sự bảo vệ chống phần mềm độc hại theo lối truyền thống, như là các phần mềm diệt virus.
Theo những đánh giá mới nhất của nhà sản xuất phần mềm chống virus Trend Macro, ít nhất 253 triệu máy tính đã bị lây nhiễm với phần mềm độc hại vào năm ngoái, chủ yếu trong số đó là kết quả của việc phần mềm nằm chờ trên các website độc hại hoặc đã bị tin tặc thâm nhập. Với tỷ lệ mà những mẫu phần mềm độc hại mới đang được tạo ra - hơn 1 triệu [mẫu] trong một tháng - thì Trend ước tính rằng số lượng các máy tính cá nhân có thể mang ra so sánh được sẽ bị lây nhiễm các phần mềm độc hại trong năm 2009 sẽ là gần gấp đôi, tới 491 triệu máy (ảnh bên dưới của av-test.org).
An industry group representing some of nation's largest banks sent a private alert to its members last week warning about a surge in reported cybercrime targeting small to mid-sized business. The advisory, issued by the Financial Services Information Sharing and Analysis Center, recommends that commercial banking customers take some fairly rigorous steps to secure their online banking accounts.
For example, the group recommends that commercial banking customers "carry out all online banking activity from a standalone, hardened, and locked-down computer from which e-mail and Web browsing is not possible." Such a system might be a virgin install of Windows with all the proper updates, using something like Microsoft steady state. Even smarter would be a Mac, or some flavor of Linux, or even a Live CD distribution of Linux (after shutdown, all changes are erased).
Why take such extreme precautions? The alert indicates that the sophistication, stealth, and sheer volume of malicious software being distributed these days is testing the limits of traditional anti-malware protections, such as anti-virus software.
According to the latest estimates by anti-virus maker Trend Micro, at least 253 million systems were infected with malware last year, the majority of which were the result of software lying in wait on hacked or malicious Web sites. At the rate that new malware specimens are being created - more than a million per month - Trend estimates that the comparable number PCs that will be infected with malware in 2009 will nearly double, to 491 million (image below courtesy av-test.org).
Báo động này cảnh báo rằng những kẻ tấn công trong một số trường hợp đang sử dụng các phần mềm độc hại ăn cắp mật khẩu được thiết kế để ăn cắp cái gọi là những ủy quyền “xác thực 2 yếu tố” - như các mật khẩu một lần từ các công cụ mà nó sinh ra một mật khẩu mới sau khoảng mỗi phút đồng hồ.
“Nếu khách hàng của ngân hàng đang sử dụng xác thực 2 yếu tố, thì trình ghi nhật ký việc gõ bàn phím của Trojan có thể dò ra thứ này và ngay lập tức gửi một thông điệp tức thì tới kẻ giả mạo”, cảnh báo này lưu ý.
Đầu tháng 7, tôi đã viết về thành phố Bullitt, Ky., mà nó đã mất 415,000 USD và một sự lây nhiễm bởi một biến thể Zues mới được biết đối với một số nhà phân tích phần mềm độc hại như là “Jabberzeus”. Tên hiệu tới từ một thực tế là nó gửi các ủy quyền ăn cắp được tới những kẻ tấn công theo thời gian thực bằng việc sử dụng giao thức thông điệp tức thì Jabber, trong một cố gắng để vồ được các mật khẩu một lần. Các ngân hàng thương mại thường yêu cầu các khách hàng trực tuyến gõ vào các mã này trước khi khởi tạo giao dịch bằng kết nối dây. Để làm được việc này, Zeus có thể dễ dàng được thiết lập cấu hình để yêu cầu các mã một lần này nổi lên: phần mềm độc hại này đơn giản là viết lại trang chủ của ngân hàng như nó được hiển thị trong trình duyệt web của nạn nhân, sao cho mã đó được yêu cầu khi nạn nhân bắt đầu đăng nhập.
Cuối tháng này, Security Fix đã phỏng vấn hãng Slack Auto Parts có trụ sở ở Gainesville, Ga., mà nó đã bị mất khoảng 75,000 USD vì một lây nhiễm từ Ligats (cũng được biết tới như là “Clampi”). Sự lây nhiễm đó đã được ẩn dấu bên trong các hệ thống của họ hơn một năm, và cài đặt triển khai của ông ty đối với phần mềm diệt virus AVAST! đã thất bại trong việc dò tìm ra nó trong toàn bộ thời gian đó.
The alert warns that the attackers in some cases are using password-stealing malware designed to swipe so-called "two-factor authentication" credentials -- such as one-time passwords from scratch-off pads or battery-operated key fobs (which generate a new password roughly every minute).
"If the bank customer is using two-factor authentication, the Trojan keystroke logger may detect this and immediately send an instant message to the fraudster," the alert notes.
In early July, I wrote about Bullitt County, Ky., which lost $415,000 at the hands of money mules and a nasty infection by a new Zeus variant known to some malware analysts as "Jabberzeus." The nickname comes from the fact that it sends the stolen credentials to the attackers in real time using the Jabber instant message protocol, in a bid to snatch one-time passwords. Commercial banks often require online customers to enter these codes before initiating wire transfers. To get around this, Zeus can easily be configured to request those one-time codes up front: The malware simply re-writes the bank's home page as it is displayed in the victim's Web browser, so that the code is requested when the victim initially logs in.
Later in the month, Security Fix interviewed Gainesville, Ga. based Slack Auto Parts, which suffered about $75,000 in losses because of an infection from Ligats (also known as "Clampi"). That infection had hidden inside of their systems for more than a year, and the company's installation of AVAST! anti-virus software failed to detect it the entire time.
Trong một câu chuyện hôm thứ hai, chúng tôi có được một nạn nhân khác – JM Test Systems, một công ty mẫu chuẩn điện tử tại BAton Rouge - mà nó đã mất gần 100,000 USD một cách tương tự, cuộc tấn công giả mạo của phần mềm độc hại có liên quan tới các mules tiền.
Hãng này vẫn còn không có khả năng để phát hiện phần mềm độc hại, nhưng bản sao của phần mềm chống virus của Trend Micro đã không bao giờ thấy được nó tới hoặc nằm trong các máy của họ, theo Happy McKnight, người giám sát JM Test. McKnight đã nói rằng một anh chàng IT nội bộ tại công ty này đã tìm thấy phần mềm độc hại này chỉ sau khi chạy hệ thống bị lây nhiễm trong một môi trường ảo, và ngay cả sau đó phần mềm độc hại này đã tự ẩn mình cho tới khi kỹ thuật viện đã mở một trình duyệt web.
Cliff Morrison, một đồng sở hữu của JM Test, nói không một ai trong công ty sẽ được phép truy cập tài khoản ngân hàng của họ ngoại trừ từ một máy trạm được khóa một cách nghiêm ngặt.
“Chúng tôi đã thiết lập các máy tính đầu cuối câm, nó lau sạch bộ nhớ”, Morrison nói.
Sự tư vấn này, công bằng mà nói, là hữu ích cho các khách hàng mà sử dụng ngân hàng trực tuyến, nhưng các khách hàng hưởng sự bảo vệ lớn hơn nhiều từ những điều chỉnh của ngân hàng hơn là tiến hành các việc kinh doanh. Như chúng tôi tuyên bố trong câu chuyện của chúng tôi về điều này hôm nay:
Các doanh nghiệp và người tiêu dùng không sướng với những sự bảo vệ về pháp lý y như nhau khi [sử dụng] ngân hàng trực tuyến như những người tiêu dùng. Những người tiêu dùng thường có tới 60 ngày kể từ khi hóa đơn của một công bố hàng tháng để tranh cãi về bất kỳ số tiền nào phải trả không xác đáng.
Đối lại, các công ty mà ngân hàng trực tuyến được điều chỉnh theo Luật Thương mại Chung, mà nó bảo lưu rằng những những người tiêu dùng của ngân hàng thương mại có khoảng 2 ngày làm việc để phát hiện và tranh cãi cho các hoạt động không xác thực nếu họ muốn đưa ra bấy kỳ hy vọng nào về bồi hoàn từ các tài khoản của họ.
In Monday's story, we feature another victim - JM Test Systems, an electronics calibration company in Baton Rouge - that lost almost $100,000 in a similar, malware-related fraud attack involving money mules. The company still hasn't been able to classify the malicious software, but their copy of Trend Micro anti-virus software never saw it coming or residing on their systems, according to Happy McKnight, JM Test's controller. McKnight said an internal IT guy at the company found the malware only after running the infected system in a virtual environment, and even then the malware hid itself until the technician opened a Web browser.
Cliff Morrison, one of JM Test's co-owners, said no one in the company will be allowed to access their bank account except from a severely locked-down workstation.
"We have set up dumb terminals that are these little bitty [computers] the size of a cigar box, where as soon as you shut it down, it wipes the memory," Morrison said.
This advice is equally useful for consumers who bank online, but consumers enjoy far more protection from banking regulations than do businesses. As we state in our story about this today:
Businesses and consumers do not enjoy the same legal protections when banking online as consumers. Consumers typically have up to 60 days from the receipt of a monthly statement to dispute any unauthorized charges.
In contrast, companies that bank online are regulated under the Universal Commercial Code, which holds that commercial banking customers have roughly two business days to spot and dispute unauthorized activity if they want to hold out any hope of recovering unauthorized transfers from their accounts.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.