俄罗斯企业金融账户遭盗，网络罪犯如何得逞？卡巴斯基揭秘

对于任何业务，在线财务帐户是主要的机密信息。一旦此信息落入了网络罪犯的手中，它将对公司造成财产损失。

几天前，这样的安全事故发生在一家俄罗斯公司。尽管由于银行的警惕性，企业金融帐户中有13,000美元免于盗窃，但网络犯罪分子仍然成功地使用该帐户支付了8,000美元的账单。正是因为付款金额很小，因此不能引起银行的警惕，而较小金额的交易不需要客户组织的会计师确认，从而允许网络罪犯的阴谋成功。那么，网络罪犯如何轻松从公司财务帐户中窃取资金？

为了了解安全事故背后的真相，邀请了世界知名的IT安全提供商卡巴斯基实验室进行调查。根据卡巴斯基实验室全球紧急响应小组的安全专家的调查，网络罪犯向公司发送了一封电子邮件卡巴斯基安全键盘，被伪装成税收局的侮辱。该附件似乎是一个普通的文档文档，但实际上它已被CVE-2012-0158漏洞感染。因此，一旦打开文档，就会激活利用，并将另一个恶意程序下载到公司的计算机上。

除外，卡巴斯基实验室专家还发现了在受感染计算机硬盘上远程访问计算机的法律程序的修改版本。该程序通常由会计师或系统管理员使用。但是，发现的程序版本可以在修改后将其自己的痕迹隐藏在感染系统上。卡巴斯基实验室产品已拦截该程序，并将其视为“ .WIN32.RMS”。

但是，这并不是在感染计算机上发现的唯一恶意程序。通过进一步调查，另一个恶意程序。该恶意程序由.WIN32.RMS下载到计算机。在.win32.agent的守则中，卡巴斯基实验室安全专家发现了银行特洛伊木马的要素，并于今年早些时候发布了源代码。网络罪犯使用此恶意程序来获得对虚拟网络计算（VNC）权限访问感染计算机的远程访问。这样，罪犯使用远程银行系统计划非法付款订单，并使用会计师的计算机验证IP地址，从而获得了银行的信任。

但是，网络犯罪分子如何获得会计师的付款密码？事实证明，受害者计算机上还有另一个恶意程序-Spy.win32.delf。这是一个键盘记录器，可拦截通过键盘输入的数据。通过这种方法，网络罪犯窃取了会计师的密码并进行非法交易。

正当调查临近时，卡巴斯基实验室安全专家发现，攻击中使用的所有恶意程序均由属于同一子网IP地址的命令和控制服务器管理。筛选子网处理时，网络罪犯犯了一个错误。结果，卡巴斯基实验室的安全专家发现了感染了Spy.win32.Delf的其他计算机的IP地址。在大多数情况下，这些地址属于中小型企业的计算机。

关于安全事故，卡巴斯基实验室全球紧急响应小组恶意软件分析师说：“尽管从技术的角度来看，俄罗斯发生了这一安全事故，但这种攻击并未分为国家。实际上，这种网络犯罪在全球范围内很少。在全球范围内，公司在全球范围内使用，大多数公司都使用，并且这些程序可能包含未押注的安全性，而在线交易也是如此。这使得网络犯罪分子更容易通过远程银行系统窃取资金。”

To the risk of funds being , Lab that using a multi- ( and one-time by banks, etc.) to that the on the is ( the used by the ), for the , train to signs of , and be able to when遇到攻击。