自動送金システムとは【用語集詳細】
自動送金システム(Automatic Transfer System)は、バンキング型トロイの木馬など、オンラインバンクを狙うマルウェアが用いる攻撃技術です。
自動送金システムはWebインジェクションの一種であり、Webページの改ざんを通じてユーザーとWebサーバとの通信や資格情報を窃取し、正規の送金プロセスを自動化します。
自動送金システムの挙動にはいくつかのパターンが存在します。
ユーザーがバンキングアプリにログインし、送金先と送金額を入力し、送金を確定したタイミングでマルウェアが送金先を差し替えます。この場合、再度ユーザーに対し認証が求められますが、ユーザーは送金先のすり替えに気が付かずに資格情報を入力し、攻撃者に送金を行うことになります。
別のパターンでは、ユーザーがオンラインバンキングWebサイトにアクセスした段階でマルウェアがこのページを改ざんし、ユーザーに対し暗証番号等の入力を促します。手に入れた暗証番号を利用し、攻撃者はユーザーに気づかれることなく自動送金システムを実行し、攻撃者の口座に送金させます。
この挙動をとるマルウェアは国内でも確認されており、ログイン後に偽のプログレスバーが表示される点が指摘されています。
自動送金システムを利用するマルウェアにSharkBotやVAWTRAKなどがあります。