سه شنبه, ۲۹ دی ۱۳۹۴، ۰۹:۵۹ ق.ظ
شرح تروجان بانکی
تروجانهای بانکی یا Banking Trojans ملویرهائی
هستند که با سایر ملویرها تفاوت دارند از این نظر که مخفی تر و پر درامدتر
و همچنین پیچیده تر با توانائی تطبیق بسیار هستند. این تروجان را در بحث پست قبلی انواع تروجان ها و عملکردشان توضیح دادیم در این بخش کامل تر به شرح آن پرداختیم:
تروجانهای بانکی چه خساراتی وارد میکنند و چگونه عمل میکنند ؟
تروجانهای بانکی یا اسب تروا های بانکی برنامه هائی مخرب و بخصوص تهاجمی هستند که هدف از انها دسترسی غیر قانونی به حسابهای بانکی افراد و یا شرکتها برای ربودن پول انها است.
از معروفترین تروجانهای بانکی میتوان از Zeus, SpyEye, Carberp, Citadel, Hermes, Torpig نام برد. هر چند که این تروجانهای بانکی چندین سال است که وجود دارند اما همچنان به غارت خود ادامه میدهند چون کد انها مرتبا بهبودی میابد.
تروجانهای بانکی میتوانند خود را با موقعیتهای گوناگون وفق دهند و از چندی پیش خود را با دستگاه های موبایل بخصوص با سیستم اندروید تطبیق داده اند تا برای غارت حسابهای بانکی همیشه موثرتر و مخفی تر باشند.
قابلیتهای کلاسیک تروجانهای بانکی
اکثر این تروجانها خصوصیات زیر را دارند :
- به دست گرفتن کنترل دستگاه الوده
- نصب و اجرای کاملا مخفیانه
- ربودن رمز عبورها
- ضبط تایپ روی صفحه کلید و کلیکهای ماوس یا قابلیت کیلاگینگ
- انجام عملیات بانکی پیچیده
اخرین پیشرفتها و ترقیهای تروجان های بانکی
اگر چه بعضی از تروجانهای بانکی کاملا جدید نیستند اما همچنان خطرناکند چون برای دور زدن اخرین راه حلهای امنیتی و یا برای افزودن قابلیتهائی جدید مرتبا بروز رسانی میشوند. از بین این قابلیتها میتوان از قابلیت دور زدن شناسائی دو مرحله ای نام برد.
سرویسهای گوناگون وب چون وبمیلها و شبکه های اجتماعی و سایتهای پرداخت انلاین و موسسات مالی بیشتر از پیش از سیستم شناسائی دوبل یا دو مرحله ای برای ایمن ساختن دسترسی یا پرداخت کاربران استفاده کرده و از انها خواسته میشود تا شناسه و رمز عبور خود را وارد کنند اما تائید و اجازه دسترسی فقط بعد از وارد کردن کد منحصر بفردی که با اس ام اس ارسال میگردد میسر است.
با اینهمه بعضی تروجانهای بانکی چون Eurograbber موفق به دور زدن این سیستم امنیتی میشوند. این ملویر روی یک دستگاه الوده انتظار میکشد تا کاربر برای اولین بار به فضای بانکی خود کانکت شود. بعد از کانکت شدن او به سایت رسمی بانکش, پیامی جعلی روی اکران نمایش داده شده و از کاربر تقاضا میشود تا برای افزایش امنیت دسترسی, یک شماره تلفن وارد کند. سپس کاربر اس ام اسی حاوی یک لینک برای نصب برنامه شناسائی دوبل دریافت میکند. مسلما این ملویر موبایل است که نصب گشته و هدف از ان اینترسپت و دور زدن سیستم شناسائی دو مرحله ای بانک میباشد.
تغییر صفحات عملیات بانکی :
بعضی از نسخه های SpyEye میتوانند مستقیما کد HTML و JavaScript را مستقیما در صفحات اینترنت سایتهای بانکی تزریق کنند که این نه تنها برای تغییر جهت دادن این عملیات بانکی بلکه همچنین برای تغییر نمایش یک صفحه است و بدینگونه این تروجان میتواند عملیات متقلبانه خود را از چشمان کاربر پنهان نگاه دارد بطوریکه او متوجه انجام هیچ عملیاتی نمیشود.
برای انجام اینکار, این ملویر جریان HTML یا وب را قبل از اینکه روی اکران کاربر نمایش داده شود اینترسپت میکند که به این روش "Man in the browser" گفته میشود.
دور زدن حفاظت انتی ویروس ها :
یک ویروس خوب, برنامه ای مخرب است که توسط اکثر انتی ویروسهای اصلی و معروف شناسائی و یافت نشود. به همین دلیل است که مجرمین سایبری که ملویرهائی توسعه میدهند از سایتهای تخصصی همچون ویروس توتال (VirusTotal.com) برای ازمایش برنامه خود و اطمینان از اینکه قابل شناسائی توسط انتی ویروسهای اصلی نیست استفاده میکنند.
از طرفی بعضی از تروجانهای بانکی چون Zeus میتوانند 400 برنامه اجرائی در دقیقه تولید کنند. بدینگونه انتی ویروسها که عمل اصلی انها شناختن امضای ملویرهای شناخته شده است, کاملا فلج میشوند یعنی از عهده شناسائی انها برنمیایند چون در واقع یک برنامه مخرب پیشرفته هزاران امضای متفاوت دارد.
جستجوی شخصی سازی شده اسیب پذیری ها :
زمانیکه برنامه های نصب شده روی یک دستگاه هرگز بروز رسانی نمیشوند, ان دستگاه مملو از اسیب پذیریهای امنیتی اصلاح نشده میگردد. در اغلب تروجانها کاتالوگ جامعی از شایع ترین اسیب پذیریهای امنیتی ادغام میشود. زمانیکه این تروجانها مخفیانه یک صفحه وب و یا یک بنر تبلیغاتی که برای کاربر نمایش داده میشود را الوده کرده اند, روی کامپیوتر کاربر به دنبال تمام اسیب پذیریهای امنیتی ممکن در سیستم عامل و جاوا و فلش و ریدر و مرورگر و غیره میگردند. زمانیکه یک اسیب پذیری اصلاح نشده میابند, از طریق ان بدون اطلاع کاربر ملویری روی کامپیوتر او نصب میکنند که به این روش Drive by Download میگویند.
زمانیکه برنامه های نصب شده روی یک دستگاه هرگز بروز رسانی نمیشوند, ان دستگاه مملو از اسیب پذیریهای امنیتی اصلاح نشده میگردد. در اغلب تروجانها کاتالوگ جامعی از شایع ترین اسیب پذیریهای امنیتی ادغام میشود. زمانیکه این تروجانها مخفیانه یک صفحه وب و یا یک بنر تبلیغاتی که برای کاربر نمایش داده میشود را الوده کرده اند, روی کامپیوتر کاربر به دنبال تمام اسیب پذیریهای امنیتی ممکن در سیستم عامل و جاوا و فلش و ریدر و مرورگر و غیره میگردند. زمانیکه یک اسیب پذیری اصلاح نشده میابند, از طریق ان بدون اطلاع کاربر ملویری روی کامپیوتر او نصب میکنند که به این روش Drive by Download میگویند.
چگونه از تروجانها بپرهیزیم ؟
مشکل میتوان خود را بطور صد در صد از تروجانها چه بانکی باشند و چه نباشند محافظت کرد. اما با اینهمه با چند توصیه کاربردی میتوان حداقل امنیت را روی کامپیوتر خود برقرار کرد :
- فعال کردن بروز رسانی خودکار سیستم عامل و نصب بروز رسانی سایر برنامه های نصب شده به محض ارائه انها
- ایجاد یک حساب کاربری غیر از حساب ادمینیستراتور برای انجام کارهای روزانه
- اسکن کردن مرتب با یک انتی ویروس بروز و همچنین یک برنامه امنیتی مکمل
- تا جائیکه مقدور است شماره تلفن خود را در زمان باز کردن یک حساب بانکی مستقیما به بانک خود و یا مسئول حساب بانکی خود بدهید
- مرتبا پلاگینها و اکستنشنها و ماژولهای مکمل مرورگرهای نصب شده خود را کنترل کنید و انچه که لازم نیست را حذف نمائید
انتی ویروسهای نسل اینده احتمالا برای یافتن برنامه های مخرب موثرتر خواهند بود و اکنون علاوه بر کنترل امضای برنامه ها رفتارهای متفاوت را بررسی کرده و پیشنهاد خنثی سازی انهائیکه که به نظر مشکوک میرسند را میدهند.
تروجانهای بانکی به نوعی رولز رویس اسب ترواهای سنتی هستند چون بیشتر ابتکار و نواوری در انها بکار میرود. انها در منحرف ساختن عملیات بانکی و غارت حسابهای بانکی تخصص دارند. برای اینکار بعضی از انها کدهائی دارند که مخصوص بانکهائی بخصوص هستند.
