■王蕊

對于任何企業(yè)而言，在線金融賬戶均是首要的機密信息。這些信息一旦落入網絡罪犯手中，將會給企業(yè)造成財產損失。

日前，一家俄羅斯的企業(yè)就發(fā)生了這樣一起安全事故。盡管企業(yè)金融賬戶中的1.3 萬美金因銀行的警惕幸免被盜，但是網絡罪犯仍然成功用該賬戶支付了一筆8,000 美元的賬單。正是由于支付金額較小，無法引起銀行的警惕，而且數(shù)額較小的交易也無需客戶機構的會計人員確認，從而使網絡罪犯的陰謀得逞。那么，網絡罪犯究竟如何輕松盜取企業(yè)金融賬戶中的錢財？

為了了解安全事故背后的真相，全球知名的IT 安全供應商卡巴斯基實驗室受邀對此進行了調查。根據(jù)卡巴斯基實驗室全球緊急響應團隊安全專家的調查，網絡罪犯曾向該公司發(fā)送了一封偽裝成來自稅務局的電子郵件，其附件看似為普通的Word 文檔，實則已被CVE-2012-0158 漏洞利用程序感染。因此，一旦打開文檔就會激活漏洞利用程序，下載另一種惡意程序至該公司的計算機中。

除了漏洞利用程序外，卡巴斯基實驗室的專家在受感染計算機的硬盤上發(fā)現(xiàn)了一款用于遠程訪問計算機的修改版合法程序。這款程序通常被會計人員或系統(tǒng)管理員使用。但是，被發(fā)現(xiàn)的程序版本經修改后能夠在受感染系統(tǒng)上隱藏自身痕跡?？ò退够鶎嶒炇耶a品已將這一程序攔截，并將其檢測為“Backdoor.Win32.RMS”。

然而，這并非在受感染計算機上發(fā)現(xiàn)的唯一一款惡意程序。通過進一步的調查，另一款惡意程序Backdoor.Win32.Agent 浮出水面。這種惡意程序由Backdoor.Win32.RMS 下載至計算機上。在Backdoor.Win32.Agent 的代碼中，卡巴斯基實驗室安全專家發(fā)現(xiàn)了銀行木馬Carberp 的元素，而Carberp 的源代碼在今年初就已經被公開。網絡罪犯正是利用這款惡意程序獲取遠程訪問虛擬網絡計算（VNC）權限，訪問受感染計算機。如此一來，不法分子就利用遠程銀行系統(tǒng)策劃了一起非法支付訂單，并使用會計人員的計算機進行IP 地址驗證，從而取得銀行的信任。

但是，網絡罪犯究竟如何獲取會計人員的支付密碼？原來，受害計算機上還存在另一款惡意程序Trojan-Spy.Win32.Delf。這是一種鍵盤記錄程序，能夠攔截通過鍵盤輸入的數(shù)據(jù)。通過這種手段，網絡罪犯竊取了會計人員的密碼，從而進行非法交易。

就在調查接近尾聲時，卡巴斯基實驗室安全專家發(fā)現(xiàn)，攻擊所用到的全部惡意程序由屬于同一子網IP 地址的命令和控制服務器進行管理。而網絡罪犯在篩選子網地址時犯了一個錯誤。由此，卡巴斯基實驗室的安全專家發(fā)現(xiàn)了其它受Trojan-Spy.Win32.Delf 感染計算機的IP 地址。大多數(shù)情況下，這些地址均屬于中小型企業(yè)的計算機。

對于此次安全事故，卡巴斯基實驗室全球緊急響應團隊惡意軟件分析師Mikhail Prokhorenko 表示：“雖然這起安全事故發(fā)生在俄羅斯，但是從技術角度來看，這類攻擊是不分國家的。事實上，這類網絡犯罪行為在不同國家之間區(qū)別很小。全球范圍內，大多數(shù)公司都會使用Windows 和Microsoft Office，而這些程序可能會包含未修補的安全漏洞。同樣，不同國家企業(yè)的財務部門通過網銀與銀行進行交易時所采取的手段也大同小異。這讓網絡罪犯通過遠程銀行系統(tǒng)竊取錢財變得更為容易?！?/p>

為了減少企業(yè)賬戶資金被盜的風險，卡巴斯基實驗室安全專家建議使用遠程銀行系統(tǒng)的企業(yè)建立一套可靠的多因素認證措施（包括支付憑證以及銀行提供的一次性密碼等），確保安裝在企業(yè)計算機上的軟件即時更新（尤其是財務部門所使用的計算機），為計算機安裝安全解決方案，培訓員工如何識別攻擊跡象，在遇到攻擊時能夠做出正確的反應。