试想象有一款几乎无法检测出来的恶意软件,能把受害者银行账户里的钱吸得一干二净,这是怎么做到的?原因就在于该恶意软件是用户自己安装的,运行起来也和其他所有合法软件并无二异。这正是社交工程远程访问工具(RAT)攻击的新变种,而以色列金融安全科技企业BioCatch表示其解决方案是唯一能检测并阻止上述攻击的技术。

BioCatch表示,所谓浏览器远程访问(RitB)攻击是相对较新的攻击类型,依靠社交工程陷阱安装的恶意软件如Dyre和Dridex进行。普通脚本能够监测用户活动,把密码及其他敏感信息上传至服务器,而好的网络防护系统能够检测到这些活动。但该恶意软件比普通脚本更加复杂,通常包含人为因素,引导受害者拨打电话或安装远程支持工具,诈骗分子可由此查到用户银行账号中的具体数额,并监测银行服务器通信活动,以获取用户登录信息,榨干他们的银行账号。

RATs攻击原理

例如,发生Dyre攻击时,用户会收到鱼叉式网络钓鱼攻击信息,提示他们点击链接,点击后将会安装Upatre特洛伊木马病毒。仅凭一己之力,Upatre什么也做不了,但能在安装后联系黑客服务器安装Dyre恶意软件(一步删除安装过程确保了网络安全系统无法检测到Dyre的安装,因为用户没有进行任何直接安装该软件的操作)。

当用户试图再次登入他们的网银账号时,Dyre修改了服务器的反应,显示出一个让受害者拨打的电话号码。不用说大家也知道,接听电话的不是银行而是黑客,他们会利用先进的社交工程技术,从受害者处提取出相关信息,或者引导他们安装远程访问工具(Teamviewer、LogMeIn等),实时查看用户电脑的使用状态。随后黑客会让受害者登录账号,而他们就会借此机会小心翼翼窃取用户名和密码,在同一时间或在不久后登录账号。不管黑客在什么时候登录,受害者的账户都会被洗劫一空。

此类袭击是非常复杂的社交工程,几乎不可能阻止,因为受害者是与诈骗直接相关的一方。但BioCatch表示,前一句的关键词是“几乎”——因为BioCatch系统能够检测到遭遇黑客欺诈的用户并进行干预,阻止诈骗发生。

反击

自Dyre、Dridex以及众多其他变种恶意软件出现一年多以来,黑客不断利用这些恶意软件从个人和企业账号中窃取了数亿美元,多家大企业也沦为受害者。此类攻击泛滥成灾,美国司法部甚至还开展了特殊调查。就在这周,该部门宣布控告30岁的摩尔多瓦籍男子安德烈•基恩库尔利用恶意软件实施诈骗。该男子目前拘于塞浦路斯,美国正在极力寻求引渡。

但有了BioCatch后,银行将不必等着美国司法部来保护自己。BioCatch总裁罗恩•莫里茨(Ron Moritz)对《以色列时报》表示,BioCatch在安全领域的专长为主动出击创造了有利条件,可在网络犯罪分子还未有任何动作前就将其擒获。“虽然需要输入用户名和密码才能登录金融机构和银行网站,但这仍然不能保障交易安全。我们的系统为用户提供了更加牢靠的保护。通过检测400多种生物行为、认知及物理参数,该系统将为银行和电子商务网站用户创建特有的用户配置文件。”

莫里茨表示,正如每个人有不同的笔迹,每个用户都有一个独特的“网络存在”,记录着他们鼠标移动的特定方式,包括鼠标在网页上移动的快慢、用户点击了哪个链接、点击的顺序如何等等。BioCatch称其为“认知标志”,是影响用户使用网站所有因素的总和。BioCatch的技术能够利用高科技记录全部信息并将这些信息和登录使用网站的用户一一对应。

当用户首次使用安装了BioCatch系统的网站时,该系统会记录他们的行为,并把记录的信息和用户名以及密码一起增添至用户配置文件。当用户再次使用该网站时,其认证系统会检索用户的登录信息,同时,BioCatch将会检查用户的认知标志是否与用户配置文件一致。如果匹配结果不一致,即使用户输入正确的密码,也无法登录网上账户以及接触账户信息。

BioCatch产品部副总裁奥伦•克德姆(Oren Kedem)表示,其中将包括与银行网站通信时的特殊和反常行为。BioCatch可通过其系统判断访问银行账号的用户是否按照往常的方式移动鼠标,或者他们是否按照往常的顺序点击链接。如果出现偏差,银行会马上收到警报,把这项交易扼杀于襁褓之中。因此,无论受害者被骗得多惨,该系统都能防止他们被宰。

“BioCatch始终努力走在打击诈骗的前面。”克德姆说,“我们能从BioCatch拦截的所有恶意软件袭击中获取有价值的信息,帮助我们识别和抵御新的威胁,为我们的客户提供最新以及最高级的保护。”

为了让公众认识上述袭击和普及相关防范措施,BioCatch正在邀请用户免费注册远程访问工具拦截工具包,会员可“访问专属数据、活动等”。不管是否属于“RAT攻击俱乐部”,BioCatch希望银行都能响应号召,采用其解决方案。“市场理应为我们的客户提供更加先进的技术,抵抗日益复杂的恶意网络袭击。” BioCatch首席技术官艾维•图尔格曼(Avi Turgeman)说,“这也是我们创新和坚持比网络犯罪分子快一步的动力所在。”