Báo cáo: 48% trong số 22 triệu máy tính được quét nhiễm phần mềm độc hại

Report:48% of 22 million scanned computers infected with malware

January 27th, 2010

Posted by Dancho Danchev@ 2:42 pm

Theo:http://blogs.zdnet.com/security/?p=5365&tag=nl.e550

Bài được đưa lênInternet ngày: 27/01/2010

Lờingười dịch: Việc thực hiện các giao dịch ngân hàng vàmua sắm trực tuyến hiện nay là rất nguy hiểm và thườngphải được thực hiện bởi một máy mà không bao giờđược sử dụng để đọc thư điện tử hoặc viếngthăm các website trong một mong muốn hạn chế khả nănglây nhiễm phần mềm tội phạm. Hơn nữa một khuyến cáomà nhiều tổ chức đã đưa ra là: “Bất kể tiếp cậnnào được chấp nhận mà bạn muốn xem xét (thì cũng tớilúc phải chôn Windows đối với ngân hàng và mua sắm trựctuyến; LiveCds)”.

Gần đây Báo cáo QuýIII năm 2009 về Hoạt động Phishing APWG đã được tungra, các chi tiết ghi lại được cao độ trong các vậttrung gian đa phising, nhưng cũng đưa ra một quan sát thú vịvề những lây nhiễm phần mềm tội phạm trên các máytính để bàn.

Theo báo cáo này, tổngsố các máy tính bị lây nhiễm (trang 10) được sử dụngtrong ví dụ này đã giảm so với quý trước, tuy nhiên,48,35% trong số 22,754,847 máy tính được quét vẫn bị lâynhiễm với các phần mềm độc hại.

Và dù là những lâynhiễm trojan phần mềm độc hại/ngân hàng đã giảm mộtchút từ Quý II, thì vẫn hơn 1,5 triệu máy tính đã bịlây nhiễm.

Chi tiết hơn:

“Dù hệ thống quétkiểm tra nhiều dạng khác nhau những phần mềm không mongmuốn một cách tiềm năng, thì đối với báo cáo này,Panda Labs đã phân đoạn ra 'Những người tải về' và'Những kẻ ăn cắp mật khẩu/Trojan ngân hàng' khi chúngthường xuyên nhất liên quan tới các tội phạm tài chínhnhư là các hệ thống phishing tự động.

Tỷ lện các máy tínhbị lây nhiễm được dò ra đã giảm lần đầu tiêntrong năm 2009. Cũng theo cách này, tỷ lệ các Trojan ngânhàng đã giảm từ 16,94% vào Quý II xuống 15,89% vào QuýIII. Tỷ lệ những Người tải về đã giảm xuống 8.39%từ 11.44% trong Quý II? nhưng nó vẫn còn cao hơn so vớiQuý I (4.22%)”.

Với bản thân ví dụđược hạn chế đối với một nhà cung cáp đặc biệt,phần còn lại hơn 1,5 triệu máy tính bị lây nhiễm phầnmềm tội phạm thì vẫn còn lý do để lo lắng.

Therecently released APWGPhishing Activity Trends Report for Q3 of 2009, details recordhighs in multiple phishing vectors, but also offers an interestingobservation on desktop crimeware infections.

Accordingto the report, the overall number of infected computers (page 10)used in the sample decreased compared to previous quarters, however,48.35% of the 22,754,847 scanned computers remain infected withmalware.

Anddespite that the crimeware/bankingtrojans infections slightly decreased f-rom Q2, over a million anda half computers were infected.

Moredetails:

“Thoughthe scanning system checks for many different kinds of potentiallyunwanted software, for this report, Panda Labs has segmented out‘Downloaders’ and ‘Banking Trojans/Password Stealers’ as theyare most often associated with financial crimes such as automatedphishing schemes.

Theproportion of infected computers detected has decreased for the firsttime in 2009. In the same way, the proportion of banking Trojans hasdecreased f-rom a 16.94 percent in Q2 to 15.89 percent in Q3. Theproportion of Downloaders has d-ropped to 8.39 percent f-rom 11.44percent in Q2 ? but it is still higher than in Q1 (4.22%).”

Withthe sample itself limited to that of a particular vendor, theremaining over million and a half crimeware infected computers,remain a cause for concern.

• Các bài viết đã đưa lên mạng: Xác thực 2 yếu tố của phần mềm độc hại cho ngân hàng hiện đại; http://blogs.zdnet.com/security/?p=4265; Khối thịnh vượng chung đã phạt 100,000 USD vì không bắt buộc phần mềm chống virus; Chuẩn hóa Quy trình Bổ sung Máy tính tiền giả mạo - học các công việc bổ sung máy tính tiền giả mạo như thế nào để tránh nó.

• Related posts: Modern banker malware undermines two-factor authentication; Citizens Financial sued for insufficient E-Banking security; Commonwealth fined $100k for not mandating antivirus software; Standardizing the Money Mule Recruitment Process - learn how money mule recruitment works in order to avoid it

Nhờ có sự áp dụngđông đảo của nó, và thiếu nhận thức khi xây dựng vềkhả năng ứng dụng thực tế của nó trong việc đấutranh với phần mềm tội phạm ngày nay, việc xác thực 2yếu tố vẫn còn được thừa nhận như là giải phápxác thực có hiệu quả cao. Nếu không, vì sao các cơ sởtài chính lại có thể giữ khăng khăng tính ích lợi củanó cho được? Mọi thứ may thay đang đi theo đúng đườnghướng.

Tháng trước, mộtbáo cáo của Gartner (bây giờ sẵn sàng một cách tự do)đã thảo luận vấn đề này, và đã chỉ ra lý do rằngsự xác thực 2 yếu tố cũng như các giao thức giao tiếpngoài dải băng như là xác thực điện thoại, đã thấtbại trong việc bảo vệ khách hàng.

Điều này xảy ra nhưthế nào, và làm thế nào bọn tội phạm không gian mạngvượt qua được quá trình xác thực điện thoại?

• Phần mềm độc hại nằm trong một trình duyệt của người sử dụng và chờ cho người sử dụng này đăng nhập vào một ngân hàng. Trong khi đăng nhập, phần mềm độc hại này sao chép ID, mật khẩu và OTP của người sử dụng, gửi chúng tới kẻ tấn công và dừng trình duyệt khỏi việc gửi yêu cầu đăng nhập tới website của ngân hàng, nói cho người sử dụng rằng dịch vụ này là “tạm thời không sẵn sàng”. Kẻ giả mạo ngay lập tức sử dụng ID, mật khẩu và OTP của người sử dụng để đăng nhập và rút các tài khoản của người sử dụng.

• Phần mềm độc hại khác ghi đè các giao dịch được gửi đi bởi một người sử dụng (URLZone Trojan Network) tới website ngân hàng trực tuyến bằng các giao dịch của riêng bọn tội phạm. Việc ghi đè này xảy ra đằng sau sân khấu sao cho người sử dụng không thấy được các giá trị giao dịch được duyệt. Tương tự, nhiều ngân hàng trực tuyến sau đó sẽ giao tiếp ngược trở lại tới trình duyệt của người sử dụng những chi tiết giao dịch mà cần phải được khẳng định bởi người sử dụng bằng một đầu vào của OTP nhưng phần mềm độc hại sẽ thay đổi các giá trị được thấy bởi người sử dụng ngược trở lại tới những gì mà người sử dụng ban đầu đã gõ vào. Bằng cách này, người sử dụng và ngân hàng đều sẽ không nhận biết được rằng các dữ liệu đã gửi tới ngân hàng là đã bị chỉnh sửa.

• Xác thực mà phụ thuộc vào xác thực nằm ngoài băng có sử dụng điện thoại tiếng bị làm hỏng bởi một kỹ thuật đơn giản trong khi kẻ giả mạo yêu cầu nhà trung chuyển điện thoại chuyển tiếp cuộc gọi của người sử dụng hợp pháp tới điện thoại của kẻ giả mạo. Kẻ giả mạo đơn giản sẽ nói cho nhà trung chuyển không xác thực đủ tính thống nhất của người yêu cầu trước khi thực hiện yêu cầu của kẻ giả mạo.

• Tháng trước, Hiệp hội các Ngân hàng Mỹ (ABA) đã đưa ra một cảnh báo tương tự cho các doanh nghiệp nhỏ, khuyến cáo sử dụng một máy tính cá nhân PC chuyên dụng cho các hoạt động ngân hàng trực tuyến, một máy mà không bao giờ được sử dụng để đọc thư điện tử hoặc viếng thăm các website trong một mong muốn hạn chế khả năng lây nhiễm phần mềm tội phạm.

Bất kể tiếp cậnnào được chấp nhận mà bạn muốn xem xét (thì cũng tớilúc phải chôn Windows đối với ngân hàng và mua sắm trựctuyến; LiveCDs), bọn tội phạm không gian mạng rõ ràng đã thíchnghi được với các quá trình xác thực đa yếu tố đượctriển khai hiện nay ngay lập tức.

Dueto its mass adoption, and lack of awareness building on its actualapplicability in fighting today’s crimeware, two-factorauthentication is still perceived as highly effective authenticationsolution. Otherwise, why would financial institutions keep insistingon its usefulness? Things are thankfully heading in the rightdirection.

Lastmonth, aGartner report (now available for free) discussed the problem,and reasonably stated that two-factor authentication as well asout-of-band communication protocols such as phone verification, failto protect the customer.

Howdoes this happen, and how are cybercriminals bypassing the phoneverification process?

• Malware sits inside a user’s browser and waits for the user to log into a bank. During login, the malware copies the user’s ID, password and OTP, sends them to the attacker and stops the browser f-rom sending the login request to the bank’s website, telling the user that the service is “temporarily unavailable.” The fraudster immediately uses the user ID, password and OTP to log in and drain the user’s accounts.

• Other malware overwrites transactions sent by a user (URLZone Trojan Network) to the online banking website with the criminal’s own transactions. This overwrite happens behind the scenes so that the user does not see the revised transaction values. Similarly, many online banks will then communicate back to the user’s browser the transaction details that need to be confirmed by the user with an OTP entry, but the malware will change the values seen by the user back to what the user originally entered. This way, neither the user nor the bank realizes that the data sent to the bank has been al-tered.

• Authentication that depends on out-of-band authentication using voice telephony is circumvented by a simple technique whe-reby the fraudster asks the phone carrier to forward the legitimate user’s phone calls to the fraudster’s phone. The fraudster simply tells the carrier the original phone number is having difficulty and needs the calls forwarded, and the carrier does not sufficiently verify the requestor’s identity before executing the fraudster’s request.

Lastmonth, TheAmerican Bankers’ Association (ABA) issued a similar warning tosmall businesses, recommending the use of dedicated PC for theirE-banking activities, one which is never used to read email or visitweb sites in an attempt to limit the possibility of crimewareinfection.

Nomatter which adaptive approach you’d consider (Timeto ditch Windows for online banking and shopping; LiveCDs), cybercriminals have clearly adapted to the currentlyimplemented multi-factor authentication processes in place.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com