返回新闻列表

Luuuk银行欺诈活动:一周内50万欧元不翼而飞

        卡巴斯基实验室全球研究与分析团队的专家发现了一起定向攻击某大型欧洲银行客户案件的证据。根据已发现的攻击者服务器使用记录,网络罪犯仅在一周时间内,就从该银行的账户中窃取了逾50万欧元。卡巴斯基实验室在今年1月20日在网络中检测到一个C&C服务器,从而发现了该活动的蛛丝马迹。。而服务器的控制面板表明,网络罪犯使用一种木马程序从客户的银行账户中窃取钱财。

        专家们还从服务器上检测出转账记录,包含被盗账户和转账金额的相关信息。总而言之,被认定的受害者已逾190名,而他们中大多数居住在意大利和土耳其。根据这些记录,每笔转账金额从1700至39000欧元不等。

        截止到C&C服务器被发现之时,这一欺诈活动至少持续了一周以上,应该在2014年1月13日以前就已开始。那时,网络犯罪成功窃取了逾50万欧元。在全球研究与分析团队发现C&C服务器的两天之后,犯罪分子清除了所有可能追踪到他们的证据。然而,专家们认为,这或许与恶意活动的技术架构改变有关,并非意味着Luuuk活动的终结。

        “就在我们发现C&C服务器之后不久,我们将全部证据提供给该银行的安全服务与法规机构”,卡巴斯基实验室首席安全研究院Vicente Diaz表示。

使用的恶意工具

        在LUUUK案例中,专家们有理由相信重要金融数据被自动拦截,而受害者一旦登陆其网银账户,转账诈骗就会迅速执行。

        “我们未在C&C服务器中检测出此次活动所使用特定恶意程序的相关信息。然而,很多现存Zeus变体(如Citadel、SpyEye、IceIX等)均拥有这一重要功能。我们相信,此次活动使用的恶意软件可能具备Zeus的性质,运用复杂的网络注入方式攻击受害者”,Vicente Diaz补充。

窃取钱财的阴谋

        被窃取的钱财以一种有趣而非同寻常的方式流入骗子账户。我们的专家注意到所谓“藏匿”组织(或钱骡)的奇怪之处。在藏匿组织中,骗局的参与者会接收一些被骗赃款至单独创建的银行账户中,并通过自动取款机提现。我们已掌握多个不同“藏匿”组织的证据,而每个组织被指派的金额各不相同。其中一个组织负责转移的金额在4至5万欧元之间,而另一组织则在1.5万至2万之间,第三家组织却不超过2000欧元。

        “藏匿组织间的不同委托金额或许说明,每个‘藏匿’类型的受信任程度有所不同。我们知道,这些组织的成员经常欺骗其同伙,携款潜逃。而Luuuk的头目试图通过对不同组织设定不同的信任级别,规避这些损失。而藏匿组织所持有的钱款越多,它就越受信任”,Vicente Diaz补充道。

        在调查开始后不久,与Luuuk有关的C&C服务器就被关闭了。然而,浏览器中间人攻击的复杂度表明,攻击者会继续寻找新的受害者。而卡巴斯基实验室的专家也会继续调查此次Luuuk活动。

卡巴斯基反欺诈平台vs. Luuuk

        卡巴斯基实验室专家披露的证据表明,此次活动的组织者极有可能是专业的犯罪分子。然而,安全技术能够有效抵抗他们所使用的恶意工具。举例而言,卡巴斯基实验室开发了一种多层级的卡巴斯基反欺诈平台,能够帮助金融组织保护其客户免受在线金融欺诈。该平台含有多个组件,可以安全保障客户的设备,远离多种类型的攻击(包括浏览器中间人攻击);并且能够帮助公司检测与拦截转账诈骗。

        有关Luuuk活动的更多信息,敬请阅读Securelist.com上的博文