对于任何企业而言，在线金融账户均是首要的机密信息。这些信息一旦落入网络罪犯手中，将会给企业造成财产损失。

日前，一家俄罗斯的企业就发生了这样一起安全事故。尽管企业金融账户中的1.3万美金因银行的警惕幸免被盗，但是网络罪犯仍然成功用该账户支付了一笔8,000美元的账单。正是由于支付金额较小，无法引起银行的警惕，而且数额较小的交易也无需客户机构的会计人员确认，从而使网络罪犯的阴谋得逞。那么，网络罪犯究竟如何轻松盗取企业金融账户中的钱财？

为了了解安全事故背后的真相，全球知名的IT安全供应商卡巴斯基实验室受邀对此进行了调查。根据卡巴斯基实验室全球紧急响应团队安全专家的调查，网络罪犯曾向该公司发送了一封伪装成来自税务局的电子邮件，其附件看似为普通的Word文档，实则已被CVE-2012-0158漏洞利用程序感染。因此，一旦打开文档就会激活漏洞利用程序，下载另一种恶意程序至该公司的计算机中。

除了漏洞利用程序外，卡巴斯基实验室的专家在受感染计算机的硬盘上发现了一款用于远程访问计算机的修改版合法程序。这款程序通常被会计人员或系统管理员使用。但是，被发现的程序版本经修改后能够在受感染系统上隐藏自身痕迹。卡巴斯基实验室产品已将这一程序拦截，并将其检测为“Backdoor.Win32.RMS”。

然而，这并非在受感染计算机上发现的唯一一款恶意程序。通过进一步的调查，另一款恶意程序Backdoor.Win32.Agent浮出水面。这种恶意程序由Backdoor.Win32.RMS下载至计算机上。在Backdoor.Win32.Agent的代码中，卡巴斯基实验室安全专家发现了银行木马Carberp的元素，而Carberp的源代码在今年初就已经被公开。网络罪犯正是利用这款恶意程序获取远程访问虚拟网络计算（VNC）权限，访问受感染计算机。如此一来，不法分子就利用远程银行系统策划了一起非法支付订单，并使用会计人员的计算机进行IP地址验证，从而取得银行的信任。

但是，网络罪犯究竟如何获取会计人员的支付密码？原来，受害计算机上还存在另一款恶意程序Trojan-Spy.Win32.Delf。这是一种键盘记录程序，能够拦截通过键盘输入的数据。通过这种手段，网络罪犯窃取了会计人员的密码，从而进行非法交易。

就在调查接近尾声时，卡巴斯基实验室安全专家发现，攻击所用到的全部恶意程序由属于同一子网IP地址的命令和控制服务器进行管理。而网络罪犯在筛选子网地址时犯了一个错误。由此，卡巴斯基实验室的安全专家发现了其它受Trojan-Spy.Win32.Delf感染计算机的IP地址。大多数情况下，这些地址均属于中小型企业的计算机。

对于此次安全事故，卡巴斯基实验室全球紧急响应团队恶意软件分析师Mikhail Prokhorenko表示：“虽然这起安全事故发生在俄罗斯，但是从技术角度来看，这类攻击是不分国家的。事实上，这类网络犯罪行为在不同国家之间区别很小。全球范围内，大多数公司都会使用Windows和Microsoft Office，而这些程序可能会包含未修补的安全漏洞。同样，不同国家企业的财务部门通过网银与银行进行交易时所采取的手段也大同小异。这让网络罪犯通过远程银行系统窃取钱财变得更为容易。”

为了减少企业账户资金被盗的风险，卡巴斯基实验室安全专家建议使用远程银行系统的企业建立一套可靠的多因素认证措施（包括支付凭证以及银行提供的一次性密码等），确保安装在企业计算机上的软件即时更新（尤其是财务部门所使用的计算机），为计算机安装安全解决方案，培训员工如何识别攻击迹象，在遇到攻击时能够做出正确的反应。