APWG đã đưa ra cảnh báo rằng tội phạm mạng đã da dạng các chiêu thức lừa đảo, và năm 2009 là năm kỷ lục của các phương thức lừa đảo này.

Trong số 23 triệu máy tính được quét, số máy tính bị nhiễm phần mềm độc liên quan tới lĩnh vực tài chính vẫn là hơn 1,5 triệu chiếc, dù tỷ lệ trojans ngân hàng này đã có dấu hiệu giảm (từ 16,94% trong Qúy 2 xuống còn 15,89% trong quý 3).
 
Tỷ lệ Downloaders Quý 3 giảm còn 8,39% so vơi 11,44% ở Qúy 2 nhưng vẫn cao hơn Qúy 1 (4,22%).

Tháng trước, một báo cáo của Gartner (công ty tư vấn và nghiên cứu thị trường CNTT) cho rằng xác thực 2 yếu tố cũng như giao thức truyền thống như xác minh điện thoại, không để bảo vệ khách hàng. Tội phạm mạng dễ dàng vượt qua các yêu cầu xác thực để thực hiện giao dịch của mình thông qua tài khoản nạn nhân.

Phần mềm độc hại ẩn giấu bên trong trình duyệt của người dùng và chờ cho người sử dụng đăng nhập vào ngân hàng trực tuyến. Trong quá trình đăng nhập, các phần mềm độc hại sao lại toàn bộ ID (thông tin cá nhân) của người sử dụng, mật khẩu và OTP (mật khẩu theo thời gian thực, thay đổi liên tục).

Những thông tin này sẽ gửi đến kẻ tấn công và chặn trình duyệt của người dùng gửi yêu cầu đăng nhập tới trang web ngân hàng. Người dùng tin rằng dịch vụ này "tạm thời không hoạt động". Ngay lập tức, tin tặc sử dụng ID người dùng, mật khẩu và OTP để đăng nhập vào tài khoản ngân hàng của người dùng.

Phần mềm độc hại khác có thể ghi đè các giao dịch mà người sử dụng (URLZone Trojan Network). Việc ghi đè lên này ẩn giấu “đằng sau” các thao tác người dùng và nó không hiển thị lên màn hình khiến người dùng không nhìn thấy giá trị giao dịch đã bị sửa đổi.

Mặc dù, nhiều ngân hàng trực tuyến gửi trả lại chi tiết giao dịch và yêu cầu người dùng xác nhận lại một lần nữa với OTP, nhưng các phần mềm độc hại vẫn dễ dàng thay đổi các giá trị hiển thị trên màn hình trình duyệt.

Người sử dụng chỉ nhìn thấy những gì mà ban đầu được nhập vào. Bằng cách này, người dùng hay ngay cả các ngân hàng cũng không nhận ra rằng các dữ liệu được gửi đến ngân hàng đã bị thay đổi.

Đối với việc xác thực bằng điện thoại, tội phạm mạng chỉ cần dùng một kỹ thuật đơn giản để gian lận. Theo đó, tội phạm mạng sẽ yêu cầu nhà mạng chuyển tiếp cuộc gọi  tới một số máy khác – số máy của kẻ gian lận.

Kẻ gian lận chỉ cần đưa ra lý do số điện thoại thường dùng hỏng hay bị lỗi…và phải chuyển tiếp các cuộc gọi, sau đó dễ dàng vượt qua các yêu cầu xác minh từ ngân hàng, thực hiện các giao dịch trước đó.

Tháng trước, hiệp hội các ngân hàng Mỹ (ABA) đã ban hành một cảnh báo tương tự với các doanh nghiệp nhỏ và đề xuất sử dụng máy tính dành riêng cho hoạt động ngân hàng trực tuyến. Một trong các yêu cầu đó là không bao giờ được sử dụng để đọc email hoặc truy cập vào các trang web nhằm hạn chế khả năng nhiễm các phần mềm độc hại.