Thứ Năm, 4 tháng 2, 2010

Báo cáo: 48% trong số 22 triệu máy tính được quét nhiễm phần mềm độc hại

Report: 48% of 22 million scanned computers infected with malware

January 27th, 2010

Posted by Dancho Danchev @ 2:42 pm

Theo: http://blogs.zdnet.com/security/?p=5365&tag=nl.e550

Bài được đưa lên Internet ngày: 27/01/2010

Lời người dịch: Việc thực hiện các giao dịch ngân hàng và mua sắm trực tuyến hiện nay là rất nguy hiểm và thường phải được thực hiện bởi một máy mà không bao giờ được sử dụng để đọc thư điện tử hoặc viếng thăm các website trong một mong muốn hạn chế khả năng lây nhiễm phần mềm tội phạm. Hơn nữa một khuyến cáo mà nhiều tổ chức đã đưa ra là: “Bất kể tiếp cận nào được chấp nhận mà bạn muốn xem xét (thì cũng tới lúc phải chôn Windows đối với ngân hàng và mua sắm trực tuyến; Live Cds)”.

Gần đây Báo cáo Quý III năm 2009 về Hoạt động Phishing APWG đã được tung ra, các chi tiết ghi lại được cao độ trong các vật trung gian đa phising, nhưng cũng đưa ra một quan sát thú vị về những lây nhiễm phần mềm tội phạm trên các máy tính để bàn.

Theo báo cáo này, tổng số các máy tính bị lây nhiễm (trang 10) được sử dụng trong ví dụ này đã giảm so với quý trước, tuy nhiên, 48,35% trong số 22,754,847 máy tính được quét vẫn bị lây nhiễm với các phần mềm độc hại.

Và dù là những lây nhiễm trojan phần mềm độc hại/ngân hàng đã giảm một chút từ Quý II, thì vẫn hơn 1,5 triệu máy tính đã bị lây nhiễm.

Chi tiết hơn:

“Dù hệ thống quét kiểm tra nhiều dạng khác nhau những phần mềm không mong muốn một cách tiềm năng, thì đối với báo cáo này, Panda Labs đã phân đoạn ra 'Những người tải về' và 'Những kẻ ăn cắp mật khẩu/Trojan ngân hàng' khi chúng thường xuyên nhất liên quan tới các tội phạm tài chính như là các hệ thống phishing tự động.

Tỷ lện các máy tính bị lây nhiễm được dò ra đã giảm lần đầu tiên trong năm 2009. Cũng theo cách này, tỷ lệ các Trojan ngân hàng đã giảm từ 16,94% vào Quý II xuống 15,89% vào Quý III. Tỷ lệ những Người tải về đã giảm xuống 8.39% từ 11.44% trong Quý II? nhưng nó vẫn còn cao hơn so với Quý I (4.22%)”.

Với bản thân ví dụ được hạn chế đối với một nhà cung cáp đặc biệt, phần còn lại hơn 1,5 triệu máy tính bị lây nhiễm phần mềm tội phạm thì vẫn còn lý do để lo lắng.

The recently released APWG Phishing Activity Trends Report for Q3 of 2009, details record highs in multiple phishing vectors, but also offers an interesting observation on desktop crimeware infections.

According to the report, the overall number of infected computers (page 10) used in the sample decreased compared to previous quarters, however, 48.35% of the 22,754,847 scanned computers remain infected with malware.

And despite that the crimeware/banking trojans infections slightly decreased from Q2, over a million and a half computers were infected.

More details:

“Though the scanning system checks for many different kinds of potentially unwanted software, for this report, Panda Labs has segmented out ‘Downloaders’ and ‘Banking Trojans/Password Stealers’ as they are most often associated with financial crimes such as automated phishing schemes.

The proportion of infected computers detected has decreased for the first time in 2009. In the same way, the proportion of banking Trojans has decreased from a 16.94 percent in Q2 to 15.89 percent in Q3. The proportion of Downloaders has dropped to 8.39 percent from 11.44 percent in Q2 ? but it is still higher than in Q1 (4.22%).”

With the sample itself limited to that of a particular vendor, the remaining over million and a half crimeware infected computers, remain a cause for concern.


Nhờ có sự áp dụng đông đảo của nó, và thiếu nhận thức khi xây dựng về khả năng ứng dụng thực tế của nó trong việc đấu tranh với phần mềm tội phạm ngày nay, việc xác thực 2 yếu tố vẫn còn được thừa nhận như là giải pháp xác thực có hiệu quả cao. Nếu không, vì sao các cơ sở tài chính lại có thể giữ khăng khăng tính ích lợi của nó cho được? Mọi thứ may thay đang đi theo đúng đường hướng.

Tháng trước, một báo cáo của Gartner (bây giờ sẵn sàng một cách tự do) đã thảo luận vấn đề này, và đã chỉ ra lý do rằng sự xác thực 2 yếu tố cũng như các giao thức giao tiếp ngoài dải băng như là xác thực điện thoại, đã thất bại trong việc bảo vệ khách hàng.

Điều này xảy ra như thế nào, và làm thế nào bọn tội phạm không gian mạng vượt qua được quá trình xác thực điện thoại?

  • Phần mềm độc hại nằm trong một trình duyệt của người sử dụng và chờ cho người sử dụng này đăng nhập vào một ngân hàng. Trong khi đăng nhập, phần mềm độc hại này sao chép ID, mật khẩu và OTP của người sử dụng, gửi chúng tới kẻ tấn công và dừng trình duyệt khỏi việc gửi yêu cầu đăng nhập tới website của ngân hàng, nói cho người sử dụng rằng dịch vụ này là “tạm thời không sẵn sàng”. Kẻ giả mạo ngay lập tức sử dụng ID, mật khẩu và OTP của người sử dụng để đăng nhập và rút các tài khoản của người sử dụng.

  • Phần mềm độc hại khác ghi đè các giao dịch được gửi đi bởi một người sử dụng (URLZone Trojan Network) tới website ngân hàng trực tuyến bằng các giao dịch của riêng bọn tội phạm. Việc ghi đè này xảy ra đằng sau sân khấu sao cho người sử dụng không thấy được các giá trị giao dịch được duyệt. Tương tự, nhiều ngân hàng trực tuyến sau đó sẽ giao tiếp ngược trở lại tới trình duyệt của người sử dụng những chi tiết giao dịch mà cần phải được khẳng định bởi người sử dụng bằng một đầu vào của OTP nhưng phần mềm độc hại sẽ thay đổi các giá trị được thấy bởi người sử dụng ngược trở lại tới những gì mà người sử dụng ban đầu đã gõ vào. Bằng cách này, người sử dụng và ngân hàng đều sẽ không nhận biết được rằng các dữ liệu đã gửi tới ngân hàng là đã bị chỉnh sửa.

  • Xác thực mà phụ thuộc vào xác thực nằm ngoài băng có sử dụng điện thoại tiếng bị làm hỏng bởi một kỹ thuật đơn giản trong khi kẻ giả mạo yêu cầu nhà trung chuyển điện thoại chuyển tiếp cuộc gọi của người sử dụng hợp pháp tới điện thoại của kẻ giả mạo. Kẻ giả mạo đơn giản sẽ nói cho nhà trung chuyển không xác thực đủ tính thống nhất của người yêu cầu trước khi thực hiện yêu cầu của kẻ giả mạo.

  • Tháng trước, Hiệp hội các Ngân hàng Mỹ (ABA) đã đưa ra một cảnh báo tương tự cho các doanh nghiệp nhỏ, khuyến cáo sử dụng một máy tính cá nhân PC chuyên dụng cho các hoạt động ngân hàng trực tuyến, một máy mà không bao giờ được sử dụng để đọc thư điện tử hoặc viếng thăm các website trong một mong muốn hạn chế khả năng lây nhiễm phần mềm tội phạm.

Bất kể tiếp cận nào được chấp nhận mà bạn muốn xem xét (thì cũng tới lúc phải chôn Windows đối với ngân hàng và mua sắm trực tuyến; Live CDs), bọn tội phạm không gian mạng rõ ràng đã thích nghi được với các quá trình xác thực đa yếu tố được triển khai hiện nay ngay lập tức.

Due to its mass adoption, and lack of awareness building on its actual applicability in fighting today’s crimeware, two-factor authentication is still perceived as highly effective authentication solution. Otherwise, why would financial institutions keep insisting on its usefulness? Things are thankfully heading in the right direction.

Last month, a Gartner report (now available for free) discussed the problem, and reasonably stated that two-factor authentication as well as out-of-band communication protocols such as phone verification, fail to protect the customer.

How does this happen, and how are cybercriminals bypassing the phone verification process?

  • Malware sits inside a user’s browser and waits for the user to log into a bank. During login, the malware copies the user’s ID, password and OTP, sends them to the attacker and stops the browser from sending the login request to the bank’s website, telling the user that the service is “temporarily unavailable.” The fraudster immediately uses the user ID, password and OTP to log in and drain the user’s accounts.

  • Other malware overwrites transactions sent by a user (URLZone Trojan Network) to the online banking website with the criminal’s own transactions. This overwrite happens behind the scenes so that the user does not see the revised transaction values. Similarly, many online banks will then communicate back to the user’s browser the transaction details that need to be confirmed by the user with an OTP entry, but the malware will change the values seen by the user back to what the user originally entered. This way, neither the user nor the bank realizes that the data sent to the bank has been altered.

  • Authentication that depends on out-of-band authentication using voice telephony is circumvented by a simple technique whereby the fraudster asks the phone carrier to forward the legitimate user’s phone calls to the fraudster’s phone. The fraudster simply tells the carrier the original phone number is having difficulty and needs the calls forwarded, and the carrier does not sufficiently verify the requestor’s identity before executing the fraudster’s request.

Last month, The American Bankers’ Association (ABA) issued a similar warning to small businesses, recommending the use of dedicated PC for their E-banking activities, one which is never used to read email or visit web sites in an attempt to limit the possibility of crimeware infection.

No matter which adaptive approach you’d consider (Time to ditch Windows for online banking and shopping; Live CDs), cybercriminals have clearly adapted to the currently implemented multi-factor authentication processes in place.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.