۰
plusresetminus
شنبه ۴ مرداد ۱۳۹۳ ساعت ۱۵:۴۳

OpEmmental، كلاهبرداری از سایت های بانكی و گذشتن از احراز هویت دو عاملی

ایتنا- ملات سایبری "عملیات Emmental" تعداد زیادی حساب كاربری را در اتریش، سوییس، سوئد و ژاپن مورد حمله قرار داده است.
OpEmmental، كلاهبرداری از سایت های بانكی و گذشتن از احراز هویت دو عاملی


تاكنون، حملات سایبری "عملیات Emmental" تعداد زیادی حساب كاربری را در اتریش، سوییس، سوئد و ژاپن مورد حمله قرار داده است. كارشناسان نسبت به متد پیچیده این حمله برای بدست آوردن مشخصات حساب های بانكی كاربران هشدار دادند.


به گزارش ایتنا از مرکز ماهر، روز سه شنبه۲۲ جولای(۳۱ تیر)، شركت امنیتی Trend Micro گزارشی را با نام "عملیاتEmmental" منتشر كرد، كه در آن، بدافزار انرویدی از احراز هویت دو عاملی گذشته و كد مخربی را اجرا می كند كه تنظیمات DNS كامپیوتر آلوده را تغییر می دهد.

سپس، آن نقاط توسط مهاجم اداره خواهد شد. خرابكاران اقدام خود را با ارسال بدافزار از طریق حملات فیشینگ- لینك های آلوده یا فایل های ضمیمه شده از طرف فروشندگان محصولات مختلف- شروع می كنند.

این بدافزار یك بدافزار معمولی بانكی نیست، تنظیمات روی سیستم ها را تغییر داده و سپس خودش را پاك می كند. درست است تغییرات كوچك بوده ولی پیامدهای بزرگی برای كاربران خواهد داشت.

این بدافزار SSL root certificate جعلی را روی سیستم ها نصب می كند كه موجب می شود سرورهای HTTPS آلوده بصورت پیش فرض، قابل اعتماد تشخیص داده شوند و كاربران هیچ گونه هشدار امنیتی را مشاهده نكنند.

این بدافزار، سپس تغییراتی روی DNS سیستم انجام می دهد كه موجب می شود كاربران به سمت وب سایت های جعلی بانكی هدایت گردند كه دقیقاً مشابه سایت های اصلی است. در آن صفحات، كاربران به صفحات دیگری هدایت می شوند كه اطلاعات كاربری را وارد كنند و نرم افزاری را نصب نمایند، كه در حقیقت بدافزار اندرویدی است.

این برنامه كاربردی اندرویدی به عنوان یك تولیدكننده رمز session بانكی نیز عمل می كند. در حقیقت پیامك هایی از بانك را رهگیری كرده و به سمت سرور كنترل و فرمان (C&C) خود یا شماره موبایل دیگری ارسال می كند.

كه به این معنی است كه مجرمان سایبری نه تنها نام كاریری و كلمه عبور بانكی آنلاین قربانی را برمی دارند، بلكه علاوه بر آن رمزهای session های بانكی آنلاین را نیز می دزدند. به این ترتیب كنترل كاملی روی حساب های كاربری قربانی خواهند داشت. آدرس سرورهای DNS جعلی به شرح ذیل می باشند:


• ۵.۳۹.۲۱۹.۲۱۲
• ۱۹۳.۱۶۹.۲۴۴.۷۳
• ۱۹۳.۱۶۹.۲۴۴.۱۹۱
• ۹۳.۱۷۱.۲۰۲.۹۹
• ۳۷.۲۲۱.۱۶۲.۵۶
• ۷۸.۱۰۸.۱۷۹.۸۱
کد مطلب: 31570
نام شما
آدرس ايميل شما

مهمترين اقدام برای پيشگیری از تکرار امثال کوروش کمپانی؟
اصلاح قوانين
برخورد قاطع
اصلاح گمرکات
آزاد کردن بازار
آگاه سازی مردم
هيچکدام