Мнения

Антон Разумов
руководитель группы консультантов по безопасности компании Check Point Software Technologies

«Было украдено 36 млн евро»

28 февраля 2013, 19:57

Фото: из личного архива

Атака Eurograbber 2012 года, в ходе которой было украдено 36 млн евро (около 47 млн долларов США), по праву считается одной из самых масштабных операций во всемирной истории ограбления банков. А если принять во внимание, что сумма была украдена со счетов более 30 000 клиентов более 30 банков четырех европейских стран, а использованное вредоносное ПО поразило как ПК, так и мобильные телефоны, то эту атаку можно расценивать как самую изощренную из когда-либо раскрытых краж.

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента

Но самым тревожным в Eurograbber оказалось то, что она осуществлялась в рамках существующей системы двухфакторной аутентификации, то есть с точки зрения банка мошеннические транзакции выглядели абсолютно законными. Это позволяло Eurograbber действовать и оставаться незамеченной в течение месяцев, а мошенникам красть все новые и новые суммы. Как это стало возможным? И что делать банкам и их клиентам, чтобы защитить себя от подобных атак в будущем?

Дело в том, что у хакеров было полное понимание того, как работает банковская онлайн-система и как она взаимодействует с клиентами. Атака была нацелена на метод двухфакторной аутентификации с использованием разового кода доступа, отправляемого SMS-сообщением на мобильное устройство; в ее ходе эти сообщения перехватывались, после чего злоумышленники могли использовать содержащиеся в них коды.

Атака на два фронта

Задачей хакеров было разработать двухэтапную атаку. Первый этап предполагал заражение ПК клиента и выуживание данных о его счете. Заражение компьютера клиента осуществлялось либо с помощью электронного письма, содержащего ссылку на вредоносный сайт, либо с помощью перехода по ссылке на такой сайт. При этом на ПК загружалась адаптированная версия небезызвестного трояна Zeus, находящаяся в режиме сна.

Затем, когда клиент заходил в свой личный кабинет на веб-сайте банка, троян просыпался и запускал ложную версию страницы банка с инструкциями по «обновлению» банковской онлайн-системы пользователя. От пользователя требовалось повторно ввести номер счета и другие банковские данные, а также номер мобильного телефона. Затем на экране появлялась надпись, что инструкции по завершению обновления будут отправлены на мобильный телефон; их необходимо будет выполнить.

Это был второй этап атаки. В текстовом сообщении, полученном якобы от банка, пользователям предлагалось завершить «обновление», перейдя по ссылке. Но при переходе по ссылке на мобильное устройство загружался троян ZitMo (Zeus in the mobile). Если у пользователя оказывалась нужная модель устройства Blackberry, Android или Symbian оно оказывалось зараженным.

Ловкость рук и никакого мошенничества

Так завершается цикл заражения ПК и мобильного устройства пользователя. С этого момента при каждом заходе клиента в личный кабинет осуществляется сделка по снятию со счета денежных средств. Троян на ПК обнаруживал, когда клиент заходит в свой кабинет, и отправлял в банк требование о переводе денег со счета клиента на счет мошенников.

При получении такого требования банк формировал аутентификационный номер транзакции (TAN) и отправлял его SMS-сообщением на мобильное устройство клиента. Сообщение перехватывалось трояном на мобильном устройстве. Троян извлекал TAN и отправлял его в банк, что и завершало незаконную сделку.

Клиенты оставались в полном неведении относительно мошеннических транзакций, поскольку они не видели сообщений банка на своем телефоне. А для банка они выглядели как вполне законные сделки. Мошенники впоследствии даже «научили» трояны Zeus ограничивать суммы, переводимые при каждой транзакции, до определенного процента от суммы на счете, что позволяло им оставаться незамеченными.

Безопасность

Какие же уроки можно извлечь из атаки Eurograbber? Она с явным успехом использовала распространенные в Европе методы экстренной аутентификации, заключающиеся в генерации разового кода доступа и его отправке на мобильное устройство.

Несмотря на то, что банки, использующие другие методы аутентификации, не были уязвимы для таких целевых атак, очевидно, что вполне реально разработать эксплойты, рассчитанные на другие системы аутентификации, и у мошенников найдутся для этого и терпение, и возможности. Пару лет назад был украден код для передового решения двухфакторной аутентификации, что и привело к угрозе взломов. Это говорит о том, что ни одна система аутентификации не является на 100% надежной и неуязвимой.

Тем не менее, этот факт также подчеркивает роль самих пользователей услуг онлайн-банкинга в обеспечении безопасности. Атака Eurograbber была нацелена не на банки, а на их клиентов. Поэтому лучшая защита от возможных в будущем атак типа Eurograbber обеспечить безопасность клиентов по двум направлениям: в сети, предоставляющей им доступ к банку, и на ПК, которые они используют для реализации услуг онлайн-банкинга.

Защита пользователей

Стоит еще раз напомнить клиентам интернет-банкинга, что банки никогда не отправляют незапрашиваемых электронных писем, поэтому отвечать на них не следует, поскольку это фишинг. На домашних ПК следует устанавливать современное антивирусное ПО и межсетевые экраны. В данном случае затраты не являются препятствием: существуют бесплатные решения, например ZoneAlarm, обеспечивающие защиту не хуже, чем платные приложения. Эти решения обнаруживают разновидности трояна Zeus Trojan до заражения компьютера пользователя. Еще одна важная мера предосторожности для пользователей регулярное обновление ПО, чтобы всегда иметь на вооружении самые передовые средства защиты.

Если компьютер пользователя уже заражен, троян Eurograbber попытается связаться со своим командным сервером (C&C) для завершения заражения и списания денежных средств с банковского счета клиента. В этом случае установка межсетевого экрана заблокирует такое соединение, а обновленное антивирусное ПО обнаружит угрозу и устранит ее.

В заключение хотелось бы сказать, что идеального решения по защите от таких кибератак, как Eurograbber, не существует. Необходимо постоянно быть начеку и использовать для защиты банков и их клиентов максимально эффективные и современные средства. Все эти меры обеспечивают значительную вероятность того, что следующая попытка подобной кибератаки провалится.

Вам может быть интересно

Дмитриев раскрыл секрет стремления США завладеть Гренландией
Темы дня

Повод для иска к России в США нашли в «мусорной корзине истории»

США вновь пытаются взыскать с России царские долги. На этот раз «инструментом» стал американский инвестиционный фонд Noble Capital RSD, потребовавший у Москвы более 225 млрд долларов. Примечательно, что данная ситуация развивается на фоне юридического спора между РФ и депозитарием Euroclear, с помощью которого ЕС намерен направить российские активы на поддержку Украины. Есть ли связь между этими процессами и с какой целью инициирован новый иск против России?

Выход войск России к городу Запорожье готовится на двух направлениях

Последняя естественная преграда осталась на пути у российских войск к городу Запорожье. О чем именно идет речь, как сейчас развивается наступление группировки «Центр» на данном участке – и что пытается противопоставить этому движению командование ВСУ?

Немцев задержали при переходе границы России на снегоступах

Министр обороны Италии назвал отправку военных ЕС в Гренландию началом анекдота

Советская киноклассика ушла из телеэфира в онлайн в новогодние праздники
Новости

МИД России рекомендовал россиянам отказаться от поездок в Молдавию

На фоне увеличившихся случаев дискриминации при пересечении границы Молдавии, россиянам советуют временно отказаться от поездок в эту страну, сообщает МИД России.

Путин поручил подготовить план внедрения гражданских беспилотных систем

Президент России Владимир Путин поручил правительству разработать комплекс мероприятий для внедрения беспилотных систем в приоритетных секторах экономики, уделяя особое внимание новым технологиям.

Глава Минтруда сообщил об увеличении маткапитала на первого ребенка

Размер материнского капитала на первого ребенка в России с 1 февраля увеличится более чем на 38 тыс. рублей и составит 729 тыс. рублей, сообщил министр труда и социальной защиты Антон Котяков.

Проход судов через пролив Дарданеллы наполовину заблокирован

Движение судов в Дарданеллах приостановлено после того, как сухогруз Boston Beacon с неисправным генератором заблокировал одну из направлений пролива.

Роскомнадзор опроверг новые ограничения для Telegram в России

В Роскомнадзоре сообщили, что на данный момент никаких дополнительных ограничений для работы мессенджера Telegram в России не вводится.

Объявлено о запуске 60 беспилотных «Ласточек» на МЦК

После 2029 года на Московском центральном кольце планируется запуск 60 полностью беспилотных электропоездов «Ласточка».

Орбан: Украина не вернет выданный ей Европой кредит

Премьер-министр Венгрии Виктор Орбан выразил сомнения в способности Украины вернуть кредит ЕС и подверг критике решение Еврокомиссии о выдаче средств.

Генерал объяснил сокрытие Киевом последствий удара «Орешником»

Киевские власти и западные кураторы ввели строгий режим секретности вокруг результатов применения российской баллистической ракеты «Орешник» по объектам во Львовской области, заявил Герой России, генерал-майор Сергей Липовой.

Путин поручил срочно ввести правовой статус роботов-доставщиков

Президент России Владимир Путин поручил срочно урегулировать правовой статус роботов-доставщиков.

Баканов: Роскосмос представит Путину систему связи для передачи сигнала на БПЛА

Госкорпорация «Роскосмос» готовится представить президенту России Владимиру Путину систему широкополосной спутниковой связи для передачи сигнала на беспилотные летательные аппараты.

Радиостанция «Судного дня» передала сигнал «Пожарник»

Сигнал «Пожарник» был передан в эфире радиостанции УВБ-76, которую также называют радиостанция «Судного дня».

Умер снявший «Калину красную» кинооператор Заболоцкий

Знаменитый кинооператор Анатолий Заболоцкий скончался на 91-м году жизни, сообщили в пресс-службе Союза кинематографистов России.
Мнения

Ольга Андреева: Интеллигенция страдает наследственным анархизмом

Мы имеем в анамнезе опыт страны, где несколько поколений русских интеллигентов были воспитаны в одном-единственном убеждении – государство всегда неправо. А ведь только государство, а вовсе не «прогрессивная общественность» несет реальную ответственность за благополучие страны.

Игорь Караулов: Стоит ли радоваться «отмене» международного права

«Не в силе Бог, а в правде». Европе и Америке этот принцип неведом, а у нас он известен каждому. Выхватывать куски, рыскать по миру, ища, где что плохо лежит – это совсем не по-нашему. Россия может утвердить себя только как полюс правды, искренности, человечности. Именно этого не хватает сегодня многим народам, всё острее ощущающим себя дичью.

Игорь Переверзев: Морского права больше нет

Действия Трампа в первых числах 2026 года не намекают, а прямо-таки кричат, что он готов обрушить мировую экономику. Морская торговля сегодня – ее фундамент. Трамп готов этот фундамент подорвать.
 Вопрос дня

Почему заблокировали Roblox?

Суть игры, риски и угрозы для детей, позиция Роскомнадзора и мнение экспертов