RSA警告：駭客準備大規模攻擊30家美國銀行

RSA詐欺行為研究團隊研究員Mor Ahuvia表示，有一個網路犯罪組織近期可能針對美國30家銀行進行攻擊。該組織可能聯合100個控制殭屍網路的罪犯，在秋季對銀行展開攻擊，RSA相信這是近期針對銀行規模最大的木馬攻擊行動。

RSA研究團隊是在監控地下論壇交談內容時發現相關資料，研究該組織的資料後發現，他們準備使用一種罕見的Gozi木馬展開攻擊。Gozi該字來自Gozi Prinimalka，為「接收」一詞的俄文。根據監聽內容顯示，該網路犯罪組織正努力佈署這些木馬，完成之後將可以使用中間人手法攔截匯款交易。

Gozi木馬入侵到受害者的電腦之後，會利用一個虛擬機器同步模組，將受入侵設備的資訊如螢幕解析度、時區、瀏覽器種類等傳回伺服器，並建立一個可以替代受入侵設備的虛擬機器。

由於虛擬機器包含認證軟體、最後使用的合法IP及瀏覽器cookie等，因此駭客可以在虛擬機器中執行轉帳等銀行業務，並利用VoIP網路電話攻擊軟體，避免受害者接到確認電話及網路認證等訊息。

研究團隊認為，駭客鎖定美國地區的銀行攻擊，雖然動機有可能是反美意識等因素，但主要原因可能在美國銀行不像歐洲地區普遍使用雙因素認證（two-factor authentication），在技術上更容易成功。

RSA認為，自2008以來美國地區的銀行已經被使用網路木馬Gozi的犯罪集團取走500萬美元，並發現一組名為HangUp的組織使用Gozi木馬，該組織可能就是想發動大規模攻擊銀行的團隊。

該網路犯罪集團為吸收更多成員，會尋找新人加入，並給予設備及師徒制度的訓練。訓練期間老師會協助徒弟建立殭屍網路，並以一定比例分享殭屍網路的收入。這些後進人員只能取得執行檔進行入侵，原始資料則掌握在核心團體之中。

在RSA發表警訊之前，已經將可能遭受攻擊的銀行名單提供給執法單位，加上消息曝光之後，犯罪組織可能改變型態或者更動時程。不過過去兩週美國銀行已經提高警覺，因為包含摩根大通、美國、花旗、Wells Fargo等諸多銀行，同時遭遇到阻斷式攻擊（DDoS）。

資安專家建議使用者應隨時使用最新版本的瀏覽器，並注意銀行帳戶的不正常狀態。銀行方面則應該考慮更嚴格的認證機制及異常檢測工具，並監控異常的匯款轉帳交易。（編譯/沈經）