An ninh nghiêm ngặt hơn thúc bách cho kinh doanh ngân hàng trực tuyến

TighterSecurity Urged for Businesses Banking Online

By Brian Krebs  | August 24, 2009; 6:00 PM ET

Theo:http://voices.washingtonpost.com/securityfix/2009/08/tighter_security_measures_urge.html?sid=ST2009082500907

Bài được đưa lênInternet ngày: 24/08/2009

Lờingười dịch: “Theo những đánh giá mới nhất của nhàsản xuất phần mềm chống virus Trend Macro, ít nhất 253triệu máy tính đã bị lây nhiễm với phần mềm độchại vào năm ngoái, chủ yếu trong số đó là kết quảcủa việc phần mềm nằm chờ trên các website độc hạihoặc đã bị tin tặc thâm nhập. Với tỷ lệ mà nhữngmẫu phần mềm độc hại mới đang được tạo ra - hơn1 triệu [mẫu] trong một tháng - thì Trend ước tính rằngsố lượng các máy tính cá nhân có thể mang ra so sánhđược sẽ bị lây nhiễm các phần mềm độc hại trongnăm 2009 sẽ là gần gấp đôi, tới 491 triệu máy”. Mộtcon số khổng lồ.

Sauhàng loạt các vụ việc các doanh nghiệp bị mất tiềntừ 100,000 USD tới 500,000 USD khi thực hiện các dịch vụngân hàng trực tuyến, Trung tâm Chia sẻ và Phân tíchThông tin các Dịch vụ Tài chính, một tập hợp của cácđại diện cho một số ngân hàng lớn nhất của một sốquốc gia, đã cảnh báo cho các khách hàng sử dụng cácdịch vụ ngân hàng trực tuyến: “hãy triển khai tất cảhoạt động ngân hàng trực tuyến từ một máy tính đứngriêng rẽ, được tăng cường, và được khóa để từđó việc duyệt thư điện tử và Web là không thể thựchiện được”. “Còn người thông minh hơn có lẽ sẽlà một máy Mac, hoặc một số thứ ngon lành của Linux,hoặc ngay cả là một đĩa Live CD của Linux (sau khi tắt,tất cả các thay đổi sẽ bị xóa). Vì sao lại thựchiện những sự phòng ngừa cực đoan thế này? Cảnh báochỉ ra rằng số lượng lớn phức tạp, lén lút tăng vọtcủa các phần mềm độc hại đang được phân phốinhững ngày này đang thách thức các giới hạn của sựbảo vệ chống phần mềm độc hại theo lối truyềnthống, như là các phần mềm diệt virus”.

Một nhóm các doanhnghiệp đại diện cho một số ngân hàng lớn nhất củacác quốc gia đã gửi một cảnh báo riêng tư tới cácthành viên của mình vào tuần trước cảnh báo về mộtcơn sóng cồn được báo cáo về bọn tội phạm khônggian mạng hướng vào các doanh nghiệp vừa và nhỏ. Sựtư vấn này, được phát hành bởi Trung tâm Chia sẻ vàPhân tích Thông tin các Dịch vụ Tài chính, khuyến cáorằng các khách hàng của các ngân hàng thương mại hãythực hiện một số bước khá chính xác để đảm bảoan ninh cho các tài khoản ngân hàng trực tuyến của họ.

Vídụ, nhóm này khuyến cáo rằng các khách hàng của ngânhàng thương mại “hãy triển khai tất cả hoạt độngngân hàng trực tuyến từ một máy tính đứng riêng rẽ,được tăng cường, và được khóa để từ đó việcduyệt thư điện tử và Web là không thể thực hiệnđược”. Một hệ thống như vậy có thể là một càiđặt còn trinh nguyên của Windows với tất cả các cậpnhật thích hợp, sử dụng thứ gì đó như là trạng tháiđã có của Microsoft. Còn người thông minh hơn có lẽ sẽlà một máy Mac, hoặc một số thứ ngon lành của Linux,hoặc ngay cả là một đĩa Live CD của Linux (sau khi tắt,tất cả các thay đổi sẽ bị xóa).

Vìsao lại thực hiện những sự phòng ngừa cực đoan thếnày? Cảnh báo chỉ ra rằng số lượng lớn phức tạp,lén lút tăng vọt của các phần mềm độc hại đang đượcphân phối những ngày này đang thách thức các giới hạncủa những sự bảo vệ chống phần mềm độc hại theolối truyền thống, như là các phần mềm diệt virus.

Theonhững đánh giá mới nhất của nhà sản xuất phần mềmchống virus Trend Macro, ít nhất 253 triệu máy tính đã bịlây nhiễm với phần mềm độc hại vào năm ngoái, chủyếu trong số đó là kết quả của việc phần mềm nằmchờ trên các website độc hại hoặc đã bị tin tặc thâmnhập. Với tỷ lệ mà những mẫu phần mềm độc hạimới đang được tạo ra - hơn 1 triệu [mẫu] trong mộttháng - thì Trend ước tính rằng số lượng các máy tínhcá nhân có thể mang ra so sánh được sẽ bị lây nhiễmcác phần mềm độc hại trong năm 2009 sẽ là gần gấpđôi, tới 491 triệu máy (ảnh bên dưới củaav-test.org).

Anindustry group representing some of nation's largest banks sent aprivate alert to its members last week warning about a surge inreported cybercrimetargeting small to mid-sized business. The advisory, issued bythe FinancialServices Information Sharing and Analysis Center,recommends that commercial banking customers take some fairlyrigorous steps to secure their online banking accounts.

Forexample, the group recommends that commercial banking customers"carry out all online banking activity f-rom a standalone,hardened, and locked-down computer f-rom which e-mail and Web browsingis not possible." Such a system might be a virgin install ofWindows with all the proper up-dates, using something like Microsoftsteadystate. Even smarter would be a Mac,or some flavor of Linux,or even a Live CDdistribution of Linux (after shutdown, all changes are erased).

Whytake such extreme precautions? The alert indicates that thesophistication, stealth, and sheer volume of malicious software beingdistributed these days is testing the limits of traditionalanti-malware protections, such as anti-virus software.

Accordingto the latestestimates by anti-virus maker TrendMicro, at least 253million systems were infected with malware last year, the majority ofwhich were the result of software lying in wait on hacked ormalicious Web sites. At the rate that new malware specimens are beingcre-ated - more than a million per month - Trend estimates that thecomparable number PCs that will be infected with malware in 2009 willnearly double, to 491 million (image below courtesy av-test.org).

Báo động này cảnhbáo rằng những kẻ tấn công trong một số trường hợpđang sử dụng các phần mềm độc hại ăn cắp mật khẩuđược thiết kế để ăn cắp cái gọi là những ủyquyền “xác thực 2 yếu tố” - như các mật khẩu mộtlần từ các công cụ mà nó sinh ra một mật khẩu mớisau khoảng mỗi phút đồng hồ.

“Nếu khách hàng củangân hàng đang sử dụng xác thực 2 yếu tố, thì trìnhghi nhật ký việc gõ bàn phím của Trojan có thể dò rathứ này và ngay lập tức gửi một thông điệp tức thìtới kẻ giả mạo”, cảnh báo này lưu ý.

Đầu tháng 7, tôi đãviết về thành phố Bullitt, Ky., mà nó đã mất 415,000 USDvà một sự lây nhiễm bởi một biến thể Zues mới đượcbiết đối với một số nhà phân tích phần mềm độchại như là “Jabberzeus”. Tên hiệu tới từ một thựctế là nó gửi các ủy quyền ăn cắp được tới nhữngkẻ tấn công theo thời gian thực bằng việc sử dụnggiao thức thông điệp tức thì Jabber, trong một cố gắngđể vồ được các mật khẩu một lần. Các ngân hàngthương mại thường yêu cầu các khách hàng trực tuyếngõ vào các mã này trước khi khởi tạo giao dịch bằngkết nối dây. Để làm được việc này, Zeus có thể dễdàng được thiết lập cấu hình để yêu cầu các mãmột lần này nổi lên: phần mềm độc hại này đơngiản là viết lại trang chủ của ngân hàng như nó đượchiển thị trong trình duyệt web của nạn nhân, sao cho mãđó được yêu cầu khi nạn nhân bắt đầu đăng nhập.

Cuốitháng này, Security Fix đã phỏng vấn hãng Slack Auto Partscó trụ sở ở Gainesville, Ga., mà nó đã bị mất khoảng75,000 USD vì một lây nhiễm từ Ligats (cũng được biếttới như là “Clampi”). Sự lây nhiễm đó đã được ẩndấu bên trong các hệ thống của họ hơn một năm, vàcài đặt triển khai của ông ty đối với phần mềm diệtvirus AVAST! đã thất bại trong việc dò tìm ra nó trongtoàn bộ thời gian đó.

Thealert warns that the attackers in some cases are usingpassword-stealing malware designed to swipe so-called "two-factorauthentication" credentials -- such as one-time passwords f-romscratch-off pads or battery-operated key fobs (which generate a newpassword roughly every minute).

"Ifthe bank customer is using two-factor authentication, the Trojankeystroke logger may detect this and immediately send an instantmessage to the fraudster," the alert notes.

Inearly July, I wrote about BullittCounty, Ky., which lost $415,000 at the hands of money mules anda nasty infection by a new Zeus variant known to some malwareanalysts as "Jabberzeus." The nickname comes f-rom the factthat it sends the stolen credentials to the attackers in real timeusing the Jabber instant message protocol, in a bid to snatchone-time passwords. Commercial banks often require online customersto enter these codes before initiating wire transfers. To get aroundthis, Zeus can easily be configured to request those one-time codesup front: The malware simply re-writes the bank's home page as it isdisplayed in the victim's Web browser, so that the code is requestedwhen the victim initially logs in.

Laterin the month, SecurityFix interviewedGainesville, Ga. based Slack Auto Parts, which sufferedabout$75,000 in losses because of an infection f-rom Ligats (also knownas "Clampi").That infection had hidden inside of their systems for more than ayear, and the company's installation of AVAST!anti-virus software failed to detect it the entire time.

Trong một câu chuyệnhôm thứ hai, chúng tôi có được một nạn nhân khác –JM Test Systems, một công ty mẫu chuẩn điện tử tạiBAton Rouge - mà nó đã mất gần 100,000 USD một cách tươngtự, cuộc tấn công giả mạo của phần mềm độc hạicó liên quan tới các mules tiền.

Hãng này vẫn cònkhông có khả năng để phát hiện phần mềm độc hại,nhưng bản sao của phần mềm chống virus của Trend Microđã không bao giờ thấy được nó tới hoặc nằm trongcác máy của họ, theo Happy McKnight, người giám sát JMTest. McKnight đã nói rằng một anh chàng IT nội bộ tạicông ty này đã tìm thấy phần mềm độc hại này chỉsau khi chạy hệ thống bị lây nhiễm trong một môi trườngảo, và ngay cả sau đó phần mềm độc hại này đã tựẩn mình cho tới khi kỹ thuật viện đã mở một trìnhduyệt web.

CliffMorrison, một đồng sở hữu của JM Test, nói không mộtai trong công ty sẽ được phép truy cập tài khoản ngânhàng của họ ngoại trừ từ một máy trạm được khóamột cách nghiêm ngặt.

“Chúng tôi đã thiếtlập các máy tính đầu cuối câm, nó lau sạch bộ nhớ”,Morrison nói.

Sự tư vấn này, côngbằng mà nói, là hữu ích cho các khách hàng mà sử dụngngân hàng trực tuyến, nhưng các khách hàng hưởng sựbảo vệ lớn hơn nhiều từ những điều chỉnh của ngânhàng hơn là tiến hành các việc kinh doanh. Như chúng tôituyên bố trong câu chuyện của chúng tôi về điều nàyhôm nay:

Các doanh nghiệp vàngười tiêu dùng không sướng với những sự bảo vệ vềpháp lý y như nhau khi [sử dụng] ngân hàng trực tuyếnnhư những người tiêu dùng. Những người tiêu dùngthường có tới 60 ngày kể từ khi hóa đơn của mộtcông bố hàng tháng để tranh cãi về bất kỳ số tiềnnào phải trả không xác đáng.

Đối lại, các côngty mà ngân hàng trực tuyến được điều chỉnh theo LuậtThương mại Chung, mà nó bảo lưu rằng những những ngườitiêu dùng của ngân hàng thương mại có khoảng 2 ngày làmviệc để phát hiện và tranh cãi cho các hoạt độngkhông xác thực nếu họ muốn đưa ra bấy kỳ hy vọngnào về bồi hoàn từ các tài khoản của họ.

InMonday's story, we feature another victim - JMTest Systems, anelectronics calibration company in Baton Rouge - that lost almost$100,000 in a similar, malware-related fraud attack involving moneymules. The company still hasn't been able to classify the malicioussoftware, but their copy of TrendMicro anti-virussoftware never saw it coming or residing on their systems, accordingto Happy McKnight, JM Test's controller. McKnight said an internal ITguy at the company found the malware only after running the infectedsystem in a virtual environment, and even then the malware hid itselfuntil the technician opened a Web browser.

CliffMorrison, one of JMTest's co-owners, said no one in the company will be allowed toaccess their bank account except f-rom a severely locked-downworkstation.

"Wehave set up dumb terminals that are these little bitty [computers]the size of a cigar box, whe-re as soon as you shut it down, it wipesthe memory," Morrison said.

Thisadvice is equally useful for consumers who bank online, but consumersenjoy far more protection f-rom banking regulations than dobusinesses. As we state in our story about this today:

Businessesand consumers do not enjoy the same legal protections when bankingonline as consumers. Consumers typically have up to 60 days f-rom thereceipt of a monthly statement to dispute any unauthorized c-harges.

Incontrast, companies that bank online are regulated under theUniversal Commercial Code, which holds that commercial bankingcustomers have roughly two business days to spot and disputeunauthorized activity if they want to hold out any hope of recoveringunauthorized transfers f-rom their accounts.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com