Мнения

Антон Разумов
руководитель группы консультантов по безопасности компании Check Point Software Technologies

«Было украдено 36 млн евро»

28 февраля 2013, 19:57

Атака Eurograbber 2012 года, в ходе которой было украдено 36 млн евро (около 47 млн долларов США), по праву считается одной из самых масштабных операций во всемирной истории ограбления банков. А если принять во внимание, что сумма была украдена со счетов более 30 000 клиентов более 30 банков четырех европейских стран, а использованное вредоносное ПО поразило как ПК, так и мобильные телефоны, то эту атаку можно расценивать как самую изощренную из когда-либо раскрытых краж.

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента

Но самым тревожным в Eurograbber оказалось то, что она осуществлялась в рамках существующей системы двухфакторной аутентификации, то есть с точки зрения банка мошеннические транзакции выглядели абсолютно законными. Это позволяло Eurograbber действовать и оставаться незамеченной в течение месяцев, а мошенникам красть все новые и новые суммы. Как это стало возможным? И что делать банкам и их клиентам, чтобы защитить себя от подобных атак в будущем?

Дело в том, что у хакеров было полное понимание того, как работает банковская онлайн-система и как она взаимодействует с клиентами. Атака была нацелена на метод двухфакторной аутентификации с использованием разового кода доступа, отправляемого SMS-сообщением на мобильное устройство; в ее ходе эти сообщения перехватывались, после чего злоумышленники могли использовать содержащиеся в них коды.

Атака на два фронта

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента и выуживание данных о его счете. Заражение компьютера клиента осуществлялось либо с помощью электронного письма, содержащего ссылку на вредоносный сайт, либо с помощью перехода по ссылке на такой сайт. При этом на ПК загружалась адаптированная версия небезызвестного трояна Zeus, находящаяся в режиме сна.

Затем, когда клиент заходил в свой личный кабинет на веб-сайте банка, троян просыпался и запускал ложную версию страницы банка с инструкциями по «обновлению» банковской онлайн-системы пользователя. От пользователя требовалось повторно ввести номер счета и другие банковские данные, а также номер мобильного телефона. Затем на экране появлялась надпись, что инструкции по завершению обновления будут отправлены на мобильный телефон; их необходимо будет выполнить.

Это был второй этап атаки. В текстовом сообщении, полученном якобы от банка, пользователям предлагалось завершить «обновление», перейдя по ссылке. Но при переходе по ссылке на мобильное устройство загружался троян ZitMo (Zeus in the mobile). Если у пользователя оказывалась нужная модель устройства Blackberry, Android или Symbian оно оказывалось зараженным.

Ловкость рук и никакого мошенничества

Так завершается цикл заражения ПК и мобильного устройства пользователя. С этого момента при каждом заходе клиента в личный кабинет осуществляется сделка по снятию со счета денежных средств. Троян на ПК обнаруживал, когда клиент заходит в свой кабинет, и отправлял в банк требование о переводе денег со счета клиента на счет мошенников.

При получении такого требования банк формировал аутентификационный номер транзакции (TAN) и отправлял его SMS-сообщением на мобильное устройство клиента. Сообщение перехватывалось трояном на мобильном устройстве. Троян извлекал TAN и отправлял его в банк, что и завершало незаконную сделку.

Клиенты оставались в полном неведении относительно мошеннических транзакций, поскольку они не видели сообщений банка на своем телефоне. А для банка они выглядели как вполне законные сделки. Мошенники впоследствии даже «научили» трояны Zeus ограничивать суммы, переводимые при каждой транзакции, до определенного процента от суммы на счете, что позволяло им оставаться незамеченными.

Безопасность

Какие же уроки можно извлечь из атаки Eurograbber? Она с явным успехом использовала распространенные в Европе методы экстренной аутентификации, заключающиеся в генерации разового кода доступа и его отправке на мобильное устройство.

Несмотря на то, что банки, использующие другие методы аутентификации, не были уязвимы для таких целевых атак, очевидно, что вполне реально разработать эксплойты, рассчитанные на другие системы аутентификации, и у мошенников найдутся для этого и терпение, и возможности. Пару лет назад был украден код для передового решения двухфакторной аутентификации, что и привело к угрозе взломов. Это говорит о том, что ни одна система аутентификации не является на 100% надежной и неуязвимой.

Тем не менее, этот факт также подчеркивает роль самих пользователей услуг онлайн-банкинга в обеспечении безопасности. Атака Eurograbber была нацелена не на банки, а на их клиентов. Поэтому лучшая защита от возможных в будущем атак типа Eurograbber обеспечить безопасность клиентов по двум направлениям: в сети, предоставляющей им доступ к банку, и на ПК, которые они используют для реализации услуг онлайн-банкинга.

Защита пользователей

Стоит еще раз напомнить клиентам интернет-банкинга, что банки никогда не отправляют незапрашиваемых электронных писем, поэтому отвечать на них не следует, поскольку это фишинг. На домашних ПК следует устанавливать современное антивирусное ПО и межсетевые экраны. В данном случае затраты не являются препятствием: существуют бесплатные решения, например ZoneAlarm, обеспечивающие защиту не хуже, чем платные приложения. Эти решения обнаруживают разновидности трояна Zeus Trojan до заражения компьютера пользователя. Еще одна важная мера предосторожности для пользователей регулярное обновление ПО, чтобы всегда иметь на вооружении самые передовые средства защиты.

Если компьютер пользователя уже заражен, троян Eurograbber попытается связаться со своим командным сервером (C&C) для завершения заражения и списания денежных средств с банковского счета клиента. В этом случае установка межсетевого экрана заблокирует такое соединение, а обновленное антивирусное ПО обнаружит угрозу и устранит ее.

В заключение хотелось бы сказать, что идеального решения по защите от таких кибератак, как Eurograbber, не существует. Необходимо постоянно быть начеку и использовать для защиты банков и их клиентов максимально эффективные и современные средства. Все эти меры обеспечивают значительную вероятность того, что следующая попытка подобной кибератаки провалится.

Вам может быть интересно

ЕС отказался отправить военные корабли в Ормузский пролив
Темы дня

Ормузский пролив обнажил слабость друзей Вашингтона

Дональд Трамп пытается собрать коалицию союзников для защиты Ормузского пролива. Впрочем, даже ближайшие партнеры США не спешат соглашаться на инициативу Белого дома: и европейские, и азиатские страны пока не рискуют направлять военные корабли на Ближний Восток, опасаясь втягивания в разрушительный конфликт. Удастся ли Штатам привлечь другие страны к конфликту против Ирана?

При каких условиях иранские беспилотники ударят по территории США

В США всерьез обсуждается предупреждение ФБР о том, что Иран мог готовить атаку беспилотниками по западному побережью страны. Сам факт такого предупреждения выглядит политической спекуляцией – однако при некоторых обстоятельствах у Ирана могут появиться и технические возможности, и даже военный мотив для такой операции.

У самой влиятельной женщины США диагностировали рак

Экс-спикер конгресса США предложил прорыть обход Ормузского пролива ядерными бомбами

Журова: Никто не мог предположить, что восемь раз прозвучит гимн России на Паралимпиаде
Новости

В Польше зафиксировали рост пророссийских настроений

В Польше фиксируется увеличение числа пророссийских настроений, заявил глава Службы военной контрразведки страны генерал Ярослав Стружик.

ВСУ потеряли более 2,5 тыс. солдат под Великой Михайловкой

В результате боев в районах Великой Михайловки и Покровского украинские войска понесли значительные потери, лишившись более 2,5 тыс. солдат, заявил начальник Генштаба ВС РФ генерал армии Валерий Герасимов.

На астероиде Рюгу нашли необходимые для зарождения жизни соединения

Образцы, доставленные с астероида Рюгу, содержат все пять нуклеиновых оснований, необходимых для создания ДНК и РНК, сообщила команда экспертов Японского агентства морских и земных наук и технологий (JAMSTEC), а также университетов Хоккайдо, Кейо и Кюсю.

Приставы арестовали 32 млрд рублей на счетах «Южуралзолото группа компаний»

Судебные приставы наложили арест на денежные средства ПАО «Южуралзолото группа компаний» (ЮГК), сумма арестованных средств составляет 32,1 млрд рублей.

Трамп допустил перенос визита в Китай из-за Ирана

Президент США Дональд Трамп заявил, что его визит в Китай, запланированный на конец марта – начало апреля, может быть перенесен примерно на месяц.

В российском прокате отменили премьеру фильма «Скуф» с украинским блогером

Картина «Скуф» с Александром Зубаревым, Николаем Василенко, Валей Карнавал и Леонидом Якубовичем не выйдет в российский прокат, сообщили в компании «Атмосфера кино».

Герасимов сообщил о создании полосы безопасности в Днепропетровской области

Подразделения российской группировки «Центр» продолжают создавать полосу безопасности и ведут активные действия в Днепропетровской области, сообщил начальник Генштаба ВС РФ Валерий Герасимов.

Журналист Грэм Филлипс ответил на санкции цитатой из фильма «Брат-2»

Британский репортер Грэм Филлипс, комментируя ограничительные меры Брюсселя в отношении себя, заявил, что они лишь мотивируют его продолжать освещение событий в Донбассе.

Иран пригрозил США «горами пепла» в случае нападения на остров Харк

официальный представитель генерального штаба ВС Ирана Абольфазль Шекарчи пригрозил превратить нефтяные объекты союзников США на Ближнего Востока в «горы пепла» в случае нападения на стратегический остров Харк.

NetEase: Уничтожена почти половина прибывших на Украину наемников

Российская армия уничтожила почти половину иностранных наемников, прибывших на Украину, сообщает китайский портал NetEase.

В Кабуле при авиаударах Пакистана погибли более 250 человек

Более 250 человек погибли и свыше 400 получили ранения в результате авиаударов Пакистана по Кабулу, сообщили СМИ.

На Кубе произошел полный блэкаут национальной энергосистемы

На Кубе вновь произошло полное отключение национальной энергосистемы, за последние 10 дней на острове уже фиксировались массовые протесты из-за энергетического кризиса.
Мнения

Тимофей Бордачёв: Верования в США тонут в Ормузском проливе

Призывы США к другим странам поучаствовать в разблокировке Ормузского пролива разрушают пузырь ожиданий от американцев, созданный по всему миру за прошедшие десятилетия с подачи Вашингтона. Хотя для способности достигать целей силой США не нуждаются ни в каких союзниках по НАТО.

Игорь Караулов: Евреи и персы воюют впервые в истории

До второй половины ХХ века ни одно персидское государство не сталкивалось с еврейским. Более того, например, Ахемениды создали свою державу, когда евреи находились в вавилонском плену, и сотворили для евреев великое благо, разрешив им возвратиться в Палестину.

Сергей Лебедев: Россия возвращает влияние в Сирии

Налаживая диалог с новыми сирийскими властями, Россия стремится как сохранить свое геостратегическое влияние на Ближнем Востоке, так и пытается не допустить инволюции сирийской государственности. На фоне ближневосточной войны это более чем важно.
 Вопрос дня

Почему замедляют Telegram в России?