Мнения

Антон Разумов
руководитель группы консультантов по безопасности компании Check Point Software Technologies

«Было украдено 36 млн евро»

28 февраля 2013, 19:57

Атака Eurograbber 2012 года, в ходе которой было украдено 36 млн евро (около 47 млн долларов США), по праву считается одной из самых масштабных операций во всемирной истории ограбления банков. А если принять во внимание, что сумма была украдена со счетов более 30 000 клиентов более 30 банков четырех европейских стран, а использованное вредоносное ПО поразило как ПК, так и мобильные телефоны, то эту атаку можно расценивать как самую изощренную из когда-либо раскрытых краж.

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента

Но самым тревожным в Eurograbber оказалось то, что она осуществлялась в рамках существующей системы двухфакторной аутентификации, то есть с точки зрения банка мошеннические транзакции выглядели абсолютно законными. Это позволяло Eurograbber действовать и оставаться незамеченной в течение месяцев, а мошенникам красть все новые и новые суммы. Как это стало возможным? И что делать банкам и их клиентам, чтобы защитить себя от подобных атак в будущем?

Дело в том, что у хакеров было полное понимание того, как работает банковская онлайн-система и как она взаимодействует с клиентами. Атака была нацелена на метод двухфакторной аутентификации с использованием разового кода доступа, отправляемого SMS-сообщением на мобильное устройство; в ее ходе эти сообщения перехватывались, после чего злоумышленники могли использовать содержащиеся в них коды.

Атака на два фронта

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента и выуживание данных о его счете. Заражение компьютера клиента осуществлялось либо с помощью электронного письма, содержащего ссылку на вредоносный сайт, либо с помощью перехода по ссылке на такой сайт. При этом на ПК загружалась адаптированная версия небезызвестного трояна Zeus, находящаяся в режиме сна.

Затем, когда клиент заходил в свой личный кабинет на веб-сайте банка, троян просыпался и запускал ложную версию страницы банка с инструкциями по «обновлению» банковской онлайн-системы пользователя. От пользователя требовалось повторно ввести номер счета и другие банковские данные, а также номер мобильного телефона. Затем на экране появлялась надпись, что инструкции по завершению обновления будут отправлены на мобильный телефон; их необходимо будет выполнить.

Это был второй этап атаки. В текстовом сообщении, полученном якобы от банка, пользователям предлагалось завершить «обновление», перейдя по ссылке. Но при переходе по ссылке на мобильное устройство загружался троян ZitMo (Zeus in the mobile). Если у пользователя оказывалась нужная модель устройства Blackberry, Android или Symbian оно оказывалось зараженным.

Ловкость рук и никакого мошенничества

Так завершается цикл заражения ПК и мобильного устройства пользователя. С этого момента при каждом заходе клиента в личный кабинет осуществляется сделка по снятию со счета денежных средств. Троян на ПК обнаруживал, когда клиент заходит в свой кабинет, и отправлял в банк требование о переводе денег со счета клиента на счет мошенников.

При получении такого требования банк формировал аутентификационный номер транзакции (TAN) и отправлял его SMS-сообщением на мобильное устройство клиента. Сообщение перехватывалось трояном на мобильном устройстве. Троян извлекал TAN и отправлял его в банк, что и завершало незаконную сделку.

Клиенты оставались в полном неведении относительно мошеннических транзакций, поскольку они не видели сообщений банка на своем телефоне. А для банка они выглядели как вполне законные сделки. Мошенники впоследствии даже «научили» трояны Zeus ограничивать суммы, переводимые при каждой транзакции, до определенного процента от суммы на счете, что позволяло им оставаться незамеченными.

Безопасность

Какие же уроки можно извлечь из атаки Eurograbber? Она с явным успехом использовала распространенные в Европе методы экстренной аутентификации, заключающиеся в генерации разового кода доступа и его отправке на мобильное устройство.

Несмотря на то, что банки, использующие другие методы аутентификации, не были уязвимы для таких целевых атак, очевидно, что вполне реально разработать эксплойты, рассчитанные на другие системы аутентификации, и у мошенников найдутся для этого и терпение, и возможности. Пару лет назад был украден код для передового решения двухфакторной аутентификации, что и привело к угрозе взломов. Это говорит о том, что ни одна система аутентификации не является на 100% надежной и неуязвимой.

Тем не менее, этот факт также подчеркивает роль самих пользователей услуг онлайн-банкинга в обеспечении безопасности. Атака Eurograbber была нацелена не на банки, а на их клиентов. Поэтому лучшая защита от возможных в будущем атак типа Eurograbber обеспечить безопасность клиентов по двум направлениям: в сети, предоставляющей им доступ к банку, и на ПК, которые они используют для реализации услуг онлайн-банкинга.

Защита пользователей

Стоит еще раз напомнить клиентам интернет-банкинга, что банки никогда не отправляют незапрашиваемых электронных писем, поэтому отвечать на них не следует, поскольку это фишинг. На домашних ПК следует устанавливать современное антивирусное ПО и межсетевые экраны. В данном случае затраты не являются препятствием: существуют бесплатные решения, например ZoneAlarm, обеспечивающие защиту не хуже, чем платные приложения. Эти решения обнаруживают разновидности трояна Zeus Trojan до заражения компьютера пользователя. Еще одна важная мера предосторожности для пользователей регулярное обновление ПО, чтобы всегда иметь на вооружении самые передовые средства защиты.

Если компьютер пользователя уже заражен, троян Eurograbber попытается связаться со своим командным сервером (C&C) для завершения заражения и списания денежных средств с банковского счета клиента. В этом случае установка межсетевого экрана заблокирует такое соединение, а обновленное антивирусное ПО обнаружит угрозу и устранит ее.

В заключение хотелось бы сказать, что идеального решения по защите от таких кибератак, как Eurograbber, не существует. Необходимо постоянно быть начеку и использовать для защиты банков и их клиентов максимально эффективные и современные средства. Все эти меры обеспечивают значительную вероятность того, что следующая попытка подобной кибератаки провалится.

Вам может быть интересно

Исторические фрагменты панорамы «Обороны Севастополя» уцелели после атаки ВСУ
Темы дня

Топ самых опасных болезней для российской экономики

Названы болезни, которые наносят самый большой экономический ущерб России на триллионы рублей. Это ожирение и артериальная гипертензия. Они убивают человека не прямо, а постепенно. Это потеря не только трудоспособного человека 45-55 лет, а опытного специалиста, наставника, профессионала. Как решить эту проблему?

Единый евроистребитель развалился до взлета

Германия и Франция развалили проект, который называли «одним из важнейших инструментов для суверенитета Европы в XXI веке». Речь идет о совместном создании истребителя шестого поколения. В чем именно не сошлись по этому поводу Берлин с Парижем и почему перед нами продолжение весьма старой тенденции?

Панорама «Оборона Севастополя» уничтожена ударом дрона

Минобороны Польши пригрозило Украине конфронтацией

В Териберке волонтеры начали готовить операцию по спасению раненого горбатого кита
Новости

Мадьяр предупредил Украину о недопустимости двойных стандартов при вступлении в ЕС

Будапешт отказался поддерживать форсированную интеграцию Украины в Евросоюз из-за продолжающегося вооруженного конфликта, заявил интервью телекомпании ATV премьер-министр Венгрии Петер Мадьяр.

Шведы потеряли интерес к переходу на евро

Желание граждан Швеции отказаться от кроны в пользу единой европейской валюты снижается второй год подряд на фоне уверенности в национальной экономике.

Посол Кубы раскрыла тайный план США по военному вторжению

Новые американские санкции и судебные обвинения против Рауля Кастро служат лишь предлогом для подготовки граждан к вооруженному вторжению на остров, отметили кубинские дипломаты.

В Петербурге поймали разыскиваемого с 2008 года вора в законе Алиева

Правоохранительные органы изобличили в Петербурге 54-летнего Юсифа Алиева, который обвиняется в убийствах и занятии высшего положения в преступной иерархии, он был в розыске с 2008 года, сообщил источник в ГУ МВД города.

Чебоксары подверглись ракетной атаке

Столица Чувашии оказалась под ракетным обстрелом, могли пострадать люди, сообщил глава региона Олег Николаев утром в среду.

Захарова заявила о желании уставшей Европы выслать украинцев на фронт

Европейские государства ищут способы избавиться от украинских переселенцев, обсуждая составление специальных списков для их официальной депортации в зону боевых действий, заявила официальный представитель МИД Мария Захарова.

Украинские морпехи понесли потери после удара по Чугуеву

В Харьковской области украинские подразделения лишились значительной части личного состава из-за массированного огневого поражения пункта временной дислокации, сообщил источник в российских силовых структурах.

США нанесли серию ударов по Ирану за сбитый вертолет Apache

Центральное командование США (CENTCOM) заявило о завершении ударов в целях самообороны по Ирану, согласно приказу главнокомандующего президента США Дональда Трампа в ответ на сбитый накануне вертолет Apache армии США.

Глава Роснедр рассказал о полезных ископаемых на Луне

Простая геологическая история Луны не позволила сформироваться богатым месторождениям, ограничив ресурсы спутника лишь возможными запасами титана, железа и ванадия, отметил руководитель Роснедр Олег Казанов.

Масштабные антимигрантские погромы вспыхнули в Белфасте

В Белфасте вспыхнули массовые беспорядки после вооруженного нападения мигранта на прохожего, протестующие поджигают автомобили и дома.

Иран атаковал американские военные базы ракетами и беспилотниками

Иранские вооруженные силы якобы провели комбинированную атаку на военные объекты в Бахрейне, Кувейте и Иордании, сообщают американские СМИ.

Берлин выделил дополнительные средства на закупку снарядов для ВСУ

Немецкое правительство профинансирует приобретение примерно 50 тыс. артиллерийских боеприпасов для нужд украинской армии в рамках международной программы.
Мнения

Игорь Караулов: В Израиле Макаревич впервые обрел родину

После начала СВО некоторые граждане ломанули из России в солнечный Израиль. Причина называлась такая: «не хотим жить в стране, воюющей с соседями». Теперь посмотрим счет на табло: Израиль сравнял с землей сектор Газа, напал на Иран, бомбит Ливан. Всё это они, конечно же, осуждают? Как бы не так.

Тимофей Бордачёв: Россия никому ничего не должна

Отношение Москвы к тем, кто провозглашает сейчас свою победу на выборах в Армении, объясняется не стремлением удержать республику в своей орбите, а желанием напомнить о том, что Россия поступает так, как ей сейчас выгодно, а не так, как от нее ждут.

Сергей Худиев: Пора дать засохнуть антирусским корням ленинизма

В ленинской трактовке идеи коммунизма есть одна бросающаяся в глаза черта – его антирусский характер. Ленин задолго до современных американских демократов продвигал фактически идею «позитивной дискриминации» (дискриминации, направленной против большинства).
 Вопрос дня

Что за ветеран сидел рядом с Путиным на параде Победы