返回新闻列表

Boletos欺诈:一种针对线下用户的在线威胁

        卡巴斯基实验室研究人员Fabio Assolini在Virus Bulletin大会上,公布了其针对Boletos恶意软件威胁的研究。Boletos恶意软件是一种针对巴西用户的大范围金融欺诈活动。

        有些用户早已认定金融恶意软件极具危险,所以不会使用任何在线支付服务。但是,这种太过谨慎的做法能否真的能够确保安全?根据Fabio Asolini的调查,事实并非如此,尤其对于经常使用Boletos做为在线或离线支付手段的巴西用户更是如此。

  • Boletos是一种特殊的支付凭证,能够通过用户的计算机生成。而巴西的网络罪犯则可以更改Boletos的支付证书
  • To do this, criminals use various techniques from SpyEye-like malware, encrypted malware payloads delivery and malicious browser extensions distributed via the official app store
  • 要做到这一点,网络罪犯会使用多种不同网络犯罪技术,包括同SpyEye相似的恶意软件、加密恶意软件的有效负载以及通过官方应用商店传播恶意的浏览器插件等
  • The damage already caused by Boleto fraud schemes could exceed millions of dollars
  • Boleto欺诈可能已造成逾数百万美金的损失

        Belotos是巴西最常见的一种支付账单或购买商品的支付手段,甚至被政府机构采用。它是巴西市场上一种独特的现象。Boleto是一种特殊的纸质文书,上面包含一个条形码和一串特殊的44位ID代码。用户在使用Beletos购买商品或支付服务时会将该凭证打印出来,接着通过银行、ATM机或在线银行账户扫描条形码或输入ID代码,之后通过现金或数字支付完成交易。每张Boleto的条形码和44位ID代码均不相同,赋予Boleto不同的购买范围,以免出现任何差错。

        欺诈过程. 大多数在线服务会自动发行Boletos,这种文书及其支付凭证会在用户设备的浏览器中生成。而网络罪犯就是在这一环节介入的。他们会使用多种恶意手段,偷偷更改支付凭证。尤其会更改条形码和ID代码,将支付重定向到不同的银行账户。大多数用户在意识到支付被更改时,已为时已晚。所以,其欺诈过程为:受害者在不知情的情况下,将钱支付给欺诈者的银行账户,而受害者还以为自己进行了正常的购买和支付。

        网络罪犯使用的恶意技术. 巴西的网络罪犯会使用大量不同的恶意技术引诱受害者落入Boletos欺诈的圈套。我们检测到的最早的案例发生于2013年4月。在这次攻击中,网络罪犯使用木马在受害者的浏览器中注入恶意代码。其攻击原理与知名的SpyEye银行木马相同。

        网络罪犯甚至可以使用SSL加密,攻击Boletos的发行服务。卡巴斯基实验室分析的一款恶意软件中使用了一种名为Fiddler的网络调试代理工具。有些Boleto恶意软件使用这种工具拦截SSL通讯,或发动中间人攻击,甚至在Boletos在HTTPS页面生成时,就做了更改。

        在另一起攻击案例中,巴西的网络欺诈者借用了加密恶意软件有效负载的技术手段,而这一技术最早被ZeuS/Gameover的开发者所使用。通过使用加密的有效负载,能够让网络罪犯有效地绕过防火墙、网页过滤器、网络入侵检测系统和其他可能存在的防御措施。在这项技术中,网络罪犯会使用一款小体积的木马下载加密文件,之后解密这些文件,完成感染。

        此外,还有人发现网络罪犯会使用针对Chrome浏览器的恶意扩展,而且是通过官方Chrome网上应用商店成功进行传播。另外针对Firefox的扩展同样也被使用。

        影响. 根据已经公布的信息,针对Boleto用户(包括个人用户和企业用户)的攻击每年造成高达数百万美元的金融损失。卡巴斯基实验室的安全专家没有发现任何证据能够精确证实这一估量,但为了验证这一问题,我们的安全专家对一台Boleto恶意软件的命令和控制服务器进行了排查,并且发现了多个受害者。例如,仅在一个恶意服务器上,我们就发现3天内有超过612,000条注册记录请求。其中每台受感染的计算机上在生成Boletos时,都会被注入假冒的ID字段。

        为了抵御针对Boletos的欺诈行为,卡巴斯基实验室的安全专家建议发行这类【凭证的企业使用服务器端生成的PDF格式的Boletos,不要生成HTML版本的Boletos凭证。这样能够阻止网络罪犯修改通过受感染计算机浏览器生成的Boleto。

        建议使用Boletos进行个人交易的用户使用可靠的安全解决方案,利用其专门的安全技术保护在线金融交易安全。

        请访问Securelist查看完整版研究报告,了解有关Boleto欺诈行为的更多详情。