Это интересно

Кража со взломом. Как защитить банковскую карту от мошенников нового типа

Банковские операции в интернете по-прежнему небезопасны: хакеры придумывают новые способы вывода денег со счетов. Чаще всего жертвами становятся клиенты-физлица. Как обезопасить свои счета от атак?

За последние два года ущерб от кибератак в банковской сфере в России составил более 8 млрд рублей. При этом около половины денег было украдено не у самих кредитных организаций, а напрямую у их клиентов — физических и юридических лиц. Об этом говорится в ежегодном отчете IT-компании Group-IB о преступлениях в сфере высоких технологий, который был опубликован 10 октября.

Фото Donal Husni / Zuma / TASS

По данным исследования, каждый клиентский сегмент страдает от действий хакеров в разной степени. За два года у юридических лиц, использующих интернет-банкинг, украли 1,6 млрд рублей. Чуть меньше хакеры похитили у физлиц. C помощью вредоносных программ для Android они «собрали» 1,2 млрд рублей, с использованием троянов для ПК — 22 млн рублей.

При этом именно в сегменте физических лиц за последний год (с апреля 2016 по апрель 2017 года) отмечен наибольший рост ущерба — он составил 136% у владельцев гаджетов на Android (до 821 млн рублей) и 144% — у жертв троянов для ПК (до 15,7 млн рублей). Для сравнения: объем похищенных средств у корпоративных клиентов, напротив, сократился за этот же период на 35% до 622 млн рублей.

Охота на «корпората»

Опрошенные эксперты отмечают, что традиционно мишенью для хакеров выступали прежде всего корпоративные клиенты банков. Кражи на крупные суммы, которые могут составлять от нескольких сот тысяч до десятков миллионов рублей, интереснее злоумышленникам и в большей степени оправдывают риски, связанные с незаконной деятельностью, объясняет региональный представитель компании «Уральский центр систем безопасности» Алексей Комаров. 

Генеральный директор компании SafeTech Денис Калемберг добавляет, что в 87% случаев у юридических лиц крадут суммы в пределах от 100 000 рублей до 10 млн рублей за раз, но случаются кражи и масштабнее. Так, в 2016 году у одной крупной логистической компании похитили сразу 236 млн рублей, приводит пример эксперт.

По его словам, активно похищать деньги у юрлиц через дистанционное банковское обслуживание (ДБО) хакеры начали еще в 2006 году, и с тех пор технологии стали более продвинутыми.

«Первая технология мошенников была абсолютно примитивной: они заражали компьютер и копировали ключи электронной подписи, которые все тогда хранили на флэшках или дискетах, — рассказывает Денис Калемберг. — С помощью этих ключей от имени клиента подписывались платежные поручения».

В ответ на это крупные банки с 2007 года начали продавать клиентам аппаратные токены (специальные устройства, используемые для получения доступа к счету) — с них украсть ключ подписи было намного сложнее. В результате рост убытков у клиентов замедлился, но только на время, вспоминает эксперт.

В 2009 году появились токены «с неизвлекаемым ключом», и специалисты по информационной безопасности банков оптимистично назвали их «панацеей от краж в ДБО».

Однако уже в 2010 году хакеры сменили тактику и начали воровать деньги с использованием удаленного подключения к компьютеру бухгалтера — от этого токены уже не спасали. Поэтому банковским клиентам предлагалось на каждую операцию вводить дополнительный одноразовый пароль (он генерировался в отдельном устройстве или приходил по SMS).

«Это было очень неудобно, и помогало недолго, так как в 2011 году появилась самая совершенная технология атаки — «автоматическая подмена реквизитов», или «автозалив», — уточняет Денис Калемберг.

Технология работает так: когда компьютер клиента заражается, троян автоматически меняет данные платежа, которые уходят на подпись в токен. При этом пользователь видит на экране своего компьютера платежку, вводит все необходимые коды и даже не подозревает, что перечисляет деньги мошенникам.

Генеральный директор компании Group-IB Илья Сачков добавляет, что при совершении атак на юридических лиц злоумышленники могут подменять реквизиты 1С или использовать удаленное управление, чтобы совершать необходимые транзакции в ручном режиме.

Финансы под угрозой

Сокращение объема краж в корпоративном сегменте за последний год Сачков связывает с тем, что хакеры стали тщательнее выбирать жертв (средняя сумма одной кражи выросла до 1,25 млн рублей). Кроме того, резко сократилось число преступных групп, занимающихся работой с юрлицами, а банки начали активно внедрять системы класса антифрод, которые блокируют подозрительные операции по выводу средств со счета.

Таким образом, опрошенные эксперты сходятся во мнении, что усилия хакеров теперь сконцентрированы на частных пользователях, управляющих своими счетами с домашнего компьютера или смартфона.

Согласно данным Group-IB, больше всего клиенты-физлица пострадали от атак на смартфоны на базе Android. Эксперты компании объясняют это тем, что почти 85% смартфонов в мире работают на этой платформе. В отличие от iOS, это открытая экосистема с незначительной цензурой, поэтому неудивительно, что большинство вирусов пишутся именно под нее, подчеркивается в исследовании Group-IB.

Денис Калемберг считает, что основной причиной роста успешных атак на счета физлиц является технологическая легкость кражи паролей и кодов подтверждения операций.

«Практически все банки отправляют их через SMS, а этот канал изначально не был предназначен для передачи конфиденциальной информации», — разъясняет эксперт.

Злоумышленникам не составляет особого труда перехватить такое SMS-сообщение техническим способом — например, заразив смартфон клиента «трояном», либо перевыпустив SIM-карту по поддельной доверенности, добавляет Калемберг.

Впрочем, по мнению Ильи Сачкова, именно ориентация новых групп хакеров на получение данных банковских карт, а не на перехват SMS, позволила повысить средний ущерб от одной атаки.

К примеру, злоумышленники заражают устройство на Android и получают из него данные банковской карты либо логин/пароль от интернет-банка, а также информацию о текущем балансе. Если баланс пользователя вызовет интерес, то мошенники привязывают на своем iPhone банковский счет жертвы к Apple Pay.

Для этого они используют полученные данные карты или логин/пароль, а также смс-подтверждения, которые успешно перехватывает Android-троян. После этого они могут совершать покупки, не имея физической карты. Впрочем, мошенники вынуждены отовариваться в определенных точках — если суммы большие, платежный терминал может запросить ПИН-код. К тому же только у части банков есть список доверенных точек, в которых ПИН-код никогда не требуется.

Можно ли вернуть деньги

Все опрошенные специалисты отметили, что если злоумышленники успели вывести деньги со счета, а внутренние системы банка пропустили платеж, то отменить его уже невозможно.

Теоретически можно оспорить транзакцию, или попытаться заблокировать деньги на счете получателя на основании N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», но, скорее всего, уже через несколько часов деньги будут обналичены в банкоматах.

В этой ситуации остается лишь одна опция — доказать, что банк не сделал все возможное для обеспечения безопасных платежей, и получить с него возмещение убытков, считает эксперт компании RTM Group Евгений Царев. Он советует сразу же обращаться в правоохранительные органы и требовать возбуждения уголовного дела.

Кроме того, необходимо привлечь эксперта по информационной безопасности. Его основной задачей будет сбор доказательств невыполнения банком существующих требований по защите информации и бездействия по предотвращению инцидента. Также необходимо убедить суд, что сам клиент выполнил все требования по информационной безопасности, а также проявил должную осмотрительность.

«Если в 2016 году практически не было дел, где была бы доказана прямая вина банка в хищении через ДБО, то судебная практика по делам 2017 года дает возможность надеяться на полное или частичное возмещение убытков. Кроме того, заключен ряд мировых соглашений, которые также подразумевают выплату компенсаций», — комментирует Евгений Царев.

Небольшому или региональному банку крайне сложно выполнить весь спектр отраслевых и законодательных требований по защите информации, поэтому нарушения в любом случае будут. Также следствие обычно запрашивает экспертизу безопасности самописных систем, например, ДБО, где тоже можно выявить нарушения, добавляет эксперт.

Как защититься

Для противодействия мошенникам специалисты советуют не полагаться на один способ защиты, а использовать комбинацию технических и организационных мер.

  • Чаще всего бухгалтерский ПК находится в общей корпоративной сети. Поэтому меры защиты должны быть обеспечены в масштабе всей организации;
  • В дополнение к антивирусной защите (ее необходимость не обсуждается), необходимо применять дополнительные средства безопасности сети: межсетевые экраны, обнаружение вторжений, антиспам, системы класса «песочница»;
  • Необходимо следить за своевременной установкой обновлений всех операционных систем и приложений;
  • Надо постоянно проводить обучение пользователей принципам «цифровой гигиены»: не переходить по подозрительным ссылкам, не открывать почтовые вложения от непроверенных адресатов, не использовать неизвестные носители информации, тщательно хранить пароли;
  • При проведении платежей можно использовать так называемые «трастскрины», аппаратные устройства с «доверенной средой», которые отображают настоящие реквизиты платежа и блокируют его подписание до тех пор, пока клиент не подтвердит операцию нажатием кнопки на корпусе устройства;
  • Внимательно изучите договор с банком на предоставление услуг ДБО. Если там прописано применение определенных мер защиты — использовать их надо обязательно.

 

Защита личного ПК

Если вы проводите операции с личными финансами через свой персональный компьютер или ноутбук, то  необходимо соблюдать следующие принципы:

  • Обязательно используйте не просто антивирусную программу, а продукт класса Internet Security, который содержит встроенный файервол. Обычно это платные продукты, даже если базовая версия антивируса бесплатна.
  • Скачивайте и сразу устанавливайте все обновления операционной системы и приложений;
  • Никогда не используйте публичную сеть wi-fi для доступа к интернет-банку;
  • Не переходите по подозрительным ссылкам, не открывайте почтовые вложения от непроверенных адресатов, не используйте неизвестные носители информации, тщательно храните и периодически меняйте пароли.

 

Защита смартфона

Злоумышленники очень активно разрабатывают новые технологии троянов для Android, поэтому использовать интернет-банкинг на смартфоне нужно крайне осторожно:

  • установите антивирусное приложение;
  • используйте для общения с банком, приема или передачи подтверждающих смс-сообщений другой телефон, лучше всего, не смартфон;
  • никогда не используйте публичную сеть wi-fi для доступа к интернет-банку;
  • не переходите по подозрительным ссылкам, не открывайте почтовые вложения от непроверенных адресатов, не устанавливайте малоизвестные приложения;
  • используйте программу класса «подпись в смартфоне» или программный «трасткрин в смартфоне».

 

Елена Изюмова

Опубликовано 3 ноября 2017 года на сайте Forbes
Подробнее...
Источник: http://www.forbes.ru/finansy-i-investicii/352379-krazha-so-vzlomom-kak-z...

 

ЦБ зашел на сайты. Регулятор требует повышения безопасности дистанционных платежей

ЦБ пытается улучшить защиту средств компаний и граждан от хищений. Он вводит дополнительные требования к банкам и любым иным структурам, так или иначе проводящим платежи, в том числе настаивая на ограничении операций определенными параметрами. Это позволит усилить ответственность банков за безопасность платежей, признают эксперты, однако полностью проблему не решит.

На regulation.gov.ru опубликован текст поправок к Положениям ЦБ «О требованиях к обеспечению защиты информации при денежных переводах». Регулятор хочет ввести ряд важных новаций для защиты средств клиентов банков и платежных систем от хищений. Объемы мошеннических операций ежегодно растут. По итогам 2016 года, по данным ЦБ, киберпреступники похитили около 1 млрд руб. со счетов граждан и 1,9 млрд руб. со счетов компаний. Всего же через онлайн-банк и мобильный банк было совершено в 2016 году 240 тыс. хищений.

Фото: Евгений Павленко / Коммерсантъ 

Новые требования вводятся не только для банков или платежных систем, но фактически для всех сайтов, принимающих оплату. Ежегодно по требованию регулятора эти структуры обязаны проводить анализ уязвимости своих систем, а также тестировать на возможность взлома с привлечением специалистов, имеющих лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК, подведомственна Минобороны), и использовать только сертифицированное программное обеспечение.

«Крайне важно, что данная новация касается не только банков, но и всех тех сайтов, которые принимают платежи,— интернет-магазинов, кинотеатров, даже компаний, собирающих пожертвования на разные цели»,— отмечает замглавы лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин.

«Сейчас при оплате покупки в интернете сайт нередко запрашивает данные на своем сайте, а далее переадресует на сайт банка или платежной системы, чем пользуются злоумышленники и что в итоге приводит к хищениям»,— продолжает господин Никитин.

Впрочем, и для кредитных организаций данная новация крайне важна. По данным исследования Positive Technologies, уязвимости, которые могут привести к хищениям, есть в каждом третьем банке-клиенте.

Для повышения безопасности трансакций ЦБ требует от проводящих платежи введения дополнительных мер безопасности. Платеж и его подтверждения должны быть в разных программных средах (например, платеж на компьютере и подтверждение на телефон). Клиент в обязательном порядке должен видеть реквизиты платежа, который он подтверждает. Это, по словам экспертов, должно защитить клиентов от вредоносных программ подмены (когда на экране телефона или компьютера клиент видит одни реквизиты, тогда как на самом деле платеж уходит по другим реквизитам). «До сих пор даже в некоторых крупных банках при подтверждении трансакции клиенту присылается лишь код без расшифровки — кому именно идет платеж и какая сумма,— отмечает руководитель направления Solar inCode компании Solar Security Даниил Чернов.— Платеж корпоративного клиента подтверждается электронной подписью сразу, без выведения подтверждения реквизитов трансакции». По словам гендиректора SafeTech Дениса Калемберга, платеж можно подтверждать не только в специальном приложении для смартфона, но и в отдельном аппаратном устройстве, и это один из наиболее безопасных способов подтверждения.

Впрочем, банки, со своей стороны, не слишком озабочены повышением безопасности платежей, исходя из тезиса, что защита средств клиентов — головная боль самих клиентов. По словам главы коллегии адвокатов «Старинский, Корчаго и партнеры» Евгения Корчаго, при предъявлении же претензий к банкам клиентов суды в подавляющие большинстве случаев становились на сторону кредитных организаций и взыскать похищенное с банка не удавалось. «Не удастся и в будущем,— продолжает он.— Однако хотя бы банк будет должен предоставить клиенту возможность видеть, какую трансакцию он подтвердил».

Тем не менее ЦБ настаивает на том, чтобы банки усилили контроль за сомнительными трансакциями уже на этапе авторизации клиента и даже приостанавливали операции при наличии определенных признаков. Для отсеивания подозрительных трансакций банки должны устанавливать ограничение по максимальной сумме трансакции, временной период, в который могут быть проведены платежи (например, ввести ограничение по частоте трансакций, чтобы исключить отправки веерных платежей по множеству счетов злоумышленников в течение пары минут). Подозрительным может быть и география устройств, с которых подготовлен платеж или прийти подтверждение (например, для компаний — определенные компьютеры в офисе компании или местоположение телефона, с которого придет подтверждение) и т. д. «Это означает, что любая трансакция, которая попадет, с точки зрения банка, в сомнительные, не будет проведена без звонка клиенту и его подтверждения,— отмечает руководитель службы информбезопасности банка из топ-50.— Это, безусловно, в ряде случаем замедлит прохождение денег и даже может вызвать недовольство клиентов, но в то же время защитит от хищения их средств». Данные поправки должны вступить в силу с 1 июля 2018 года.

 

Вероника Горячева

Опубликовано 7 сентября 2017 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3403714

Вирусы встали на бухучет. Хакеры атакуют банковские счета через профессиональные сайты

Банковское сообщество обеспокоено массовым заражением компьютеров пользователей вирусами, которые приводят к хищению средств компаний через систему банк-клиент. При этом есть ряд сайтов, преимущественно бухгалтерских, которые «награждают» «вредоносами» своих посетителей регулярно. Для них специалисты в сфере информбезопасности предлагают ввести ответственность за халатность на законодательном уровне. Пока же банкам, компаниям и владельцам информационных ресурсов необходимо объединить усилия, чтобы минимизировать потери, уверены эксперты.

Фото: Олег Харсеев / Коммерсантъ 

Вчера специализирующаяся на кибербезопасности компания Group-IB сообщила о выявленном масштабном заражении пользователей профильных сайтов для бухгалтеров и юристов вирусом Buhtrap. Он, попадая в компьютерную сеть через компьютер сотрудника, посещавшего такой сайт, похищает деньги компании на счетах в банках через систему банк-клиент. Buhtrap подгружается лишь на компьютеры, с которых есть доступ к дистанционному банковскому обслуживанию (перед загрузкой ищет файлы ДБО). В 2016 году ежедневно от подобных атак компании теряли 3,8 млн руб., отмечают в Group-IB. При этом кибермошенники оттачивают мастерство, и масштабы проблемы растут. Показательным, по словам экспертов, в данном случае может быть пример хищения средств через сайт glavbukh.ru летом этого года — в течение 13 минут с момента входа сотрудника компании на сайт Buhtrap уже предоставил злоумышленникам доступ к банк-клиенту и позволил вывести деньги.

Как сообщил “Ъ” заместитель начальника ГУБиЗИ Банка России Артем Сычев, в ЦБ знают об инцидентах заражения вирусами клиентов банков через профильные бухгалтерские сайты, результатами которых стало хищение денежных средств. «Однако требовать соблюдения подобными сайтами информбезопасности мы не можем, это вне сферы нашей компетенции»,— отметил Артем Сычев.

«В настоящее время нет регулятора, кто мог бы предъявить подобные требования,— отмечает заместитель директора центра компетенций по экспертным сервисам Positive Technologies Алексей Новиков.— FinCert — структура ЦБ — действует лишь в рамках своих полномочий, ФСБ и ГосСОПКА — по объектам критической информационной инфраструктуры. Единого же контролера нет».

При этом, как показывает статистика, киберпреступники распространяют вирус постоянно через одни и те же сайты, дыры в которых не закрываются даже после выявления хищений. Специалисты в сфере информбезопастности настаивают на введении ответственности за подобную халатность для владельцев информационных ресурсов на законодательном уровне. «Если владелец сайта не хочет решать проблему, он способствует ее распространению»,— указывают в Group-IB. «К ответственности необходимо привлекать тех, кто знал об уязвимостях, но не устранил их и допустил атаки и хищения с использованием своих ресурсов»,— добавляет Алексей Новиков. Впрочем, пока в виде законопроекта данная идея не оформлена.

Юристы уверены, что решить проблему могло бы вмешательство в ситуацию правоохранительных органов. «Прокуратура в рамках своих полномочий может направить запрос любому из подобных сайтов с требованиями устранить проблемы в информбезопасности, которые могут привести к хищению денежных средств,— отмечает председатель коллегии адвокатов “Старинский, Корчаго и партнеры” Евгений Корчаго.— За неисполнение подобного предписания есть административная ответственность, главное — чтобы прокуратура была заинтересована в подобной борьбе». Впрочем, пока такой заинтересованности не наблюдается, отмечают эксперты.

Банкиры тем временем не на шутку озабочены хищениями средств вирусом Buhtrap. «Хищение средств у клиента банка, даже по вине самого клиента,— это в любом случае головная боль банка, поскольку любой подобный инцидент всегда требует подробного расследования со стороны банка,— отмечает глава юридического департамента СДМ-банка Александр Голубев.— Существуют и репутационные риски, ведь далеко не всегда клиенты готовы признать собственную оплошность или хотя бы подождать с выводами до окончания расследования».

Пока законодательного решения нет, все стороны — клиенты, банки, информресурсы — готовы объединить усилия в борьбе с проблемой. По словам исполнительного вице-президента Ассоциации российских банков Эльмана Мехтиева, для противодействия неправомерным списаниям средств клиентов недостаточно построения новых линий обороны только на стороне банков. Банкиры и владельцы профильных сайтов должны объединиться и вырабатывать совместные меры борьбы, указывает он. «Эффективным было бы создание системы взаимодействия между сайтами, банками и компаниями, занимающимися безопасностью, которая позволила бы оперативно устранять потенциальные и реальные угрозы»,— отмечает руководитель интернет-проектов группы «Главбух» Алексей Грудинин. Заражение популярных сайтов — это действительно серьезная угроза информационной безопасности для целых корпораций, поэтому очень важно заниматься детектированием таких ресурсов и передавать эту информацию в государственные CERT (центры реагирования на компьютерные инциденты), которые могут проверить ее и принять необходимые меры, указывает директор по маркетингу Solar Security Валентин Крохин.

 

Вероника Горячева

Опубликовано 25 августа 2017 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3392280

Ловушка для главбуха

Киберпреступники взломали популярные сайты для бухгалтеров и юристов. Их используют для дальнейшего заражения пользователей и кражи денег со счетов.

Group-IB обнаружила масштабное заражение пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров. Наша система Threat Intelligence фиксирует, как уже многие годы киберпреступники используют для заражения одни и те же ресурсы, но "дыры" так и не закрыты. Легкомысленное отношение к безопасности способствует распространению вирусов и кражам денег у пользователей. Ежедневно от подобных атак компании в прошлом году теряли 3,8 млн рублей.

В июне 2017 года у одной из столичных компаний похитили со счета деньги. Криминалисты Group-IB приехали в офис фирмы, взяли жесткий диск на экспертизу и провели криминалистическое исследование. Мы узнали, что в тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос — "НДФЛ с доходов получаемых с иностранных компаний когда платить". Одна из ссылок вела на сайт www.glavbukh.ru. По хронологии видно, что в 03:16 пользователь открыл браузер, через какое-то время зашел на сайт glavbukh.ru, после чего, буквально через считанные секунды, в 03:29, уже сработал вредоносный скрипт, который в итоге загрузил на компьютер пользователя банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.

Троян Buhtrap — нам был уже хорошо известен. Долгие годы он использовался разными преступными группами для кражи денег у компаний, банков. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.

В начале 2016 года исходные коды Buhtrap были опубликованы в открытом доступе на хакерском форуме, после чего программа стала использоваться в атаках на юридических лиц уже другими преступниками. Схема была похожа на ту, что мы наблюдали в случае с www.glavbukh.ru: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов — и, если удавалось найти уязвимости в веб-браузере происходило исполнение PowerShell скрипта, который в свою очередь загружал уникальный загрузчик, который впоследствии загружал банковский троян. Но сначала он действовал по алгоритму: проверял, что зараженная машина интересна для дальнейшей эксплуатации – в частности, что с нее осуществляется работа с системами дистанционного банковского обслуживания (ДБО). Он осуществлял поиск исполняемых файлов ДБО, проверку директорий и истории веб-браузера. И только если хотя бы один из пунктов срабатывал, загружался Buhtrap.

Что произошло с Главбухом?

Расследуя июньский кейс, мы поняли, что при посещении сайта www.glavbukh.ru некоторым пользователям загружался банковский троян. Наши специалисты стали выяснять, откуда производилась загрузка вредоносного PowerShell-скрипта и довольно быстро нашли источник — ресурсы virtual-earth.de и tsitu.be. Фактически это сайты-пустышки, которые использовались преступниками. Используя специальные техники, мы выяснили, откуда еще шел трафик на эти ресурсы и установили 16 сайтов в России и на Украине. Этот список, конечно, неполный, но и он впечатляет: здесь и федеральные общественно-политические издания, и профильные сайты для бухгалтеров, юристов, директоров.

Трафик, то есть посетителей, с популярных сайтов на вредоносные ресурсы перенаправляют специальные люди — трафферы. Они могут зарабатывать и на серых схемах, когда направляют трафик на рекламные сайты (как было в случае с авиакомпаниями), и черных схемах, когда "льют траф" на вредоносные ресурсы, с которых загружаются трояны, ворующие деньги. Бизнес-трафик ценится дороже, так что если преступники хотят распространять банковский троян, им не нужен трафик с порно-сайтов, а нужны состоятельные посетители банковского ресурса — бухгалтера и юристы. А троян Buhtrap ориентирован именно на корпоративный сектор.

Пример объявления на подпольном хакерском форуме о продаже доступа к сайту Glavbukh в 2012 году.

Мы, как Threat Intelligence компания, наблюдаем, как уже многие годы киберпрестпуники используют для заражения одни и те же ресурсы. Например, еще в 2012 году на хакерских форумах продавали доступ к ресурсу Главбух за $5000. Продавец отмечал, что это качественный бизнес трафик — «50 000 пользователей и все бухгалтера». В 2014 году на форумах продавали доступ ко взломанному ресурсу Клерк.ру (мы предупреждали администрацию ресурса об этой опасности). В 2015 году ресурсы forum.glavbukh.ru и glavbukh.ru фигурировали в расследовании инцидентов — преступники заражали компании трояном Lurk. Разумеется, мы предупреждаем об этой опасности наших клиентов - банки, крупные компании, госорганы.

Заражения тем не менее продолжались. Почему так сложно детектировать и остановить траферов? Имея доступ к взломанному ресурсу, злоумышленники внедряют кусочек кода-скрипта, который перенаправляет пользователей на вредоносный сайт. Трафик льют не постоянно, а включают эту функцию на 1-3 часа в пиковые часы — это позволяет злоумышленникам оставаться незамеченными долгое время.

Но справиться с этим, разумеется, можно, регулярно проводя аудит всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов. 86% из них содержат как минимум одну критическую уязвимость. Наша позиция в этом вопросе довольно жесткая. Мы считаем, что пора вводить ответственность за безрассудное отношение к информационно безопасности. Ведь именно эти сайты способствовали распространению банковских троянов и хищению денег у их посетителей.

Хищения в ДБО

Первые масштабные хищения в системах ДБО начались в России в 2007 году. В прошлом году ежедневно происходило до 8 успешных атак, в результате которых в среднем злоумышленники похищали 3,8 млн рублей. 

Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.

Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.

Кто виноват и что делать?

Понять, что его сайт скомпрометирован зачастую не сможет даже опытный администратор, не говоря уже о простом пользователе. Безусловно, если владельцы ресурса уделяют достаточное внимание вопросам безопасности, своевременно обновляют CMS и плагины, то риск компрометации значительно снижается. Но полностью исключить ее проведением простых профилактических мероприятий, к сожалению, нельзя. Это специальная и достаточно специфическая область знаний информационной безопасности, которая постоянно видоизменяется, ведь преступники не стоят на месте, постоянно придумывая новые способы проведения атак.

 

Для того, чтобы минимизировать риски компрометации веб-сайта мы предлагаем следующий комплекс мероприятий: 

1. Проводить регулярное «техническое обслуживание» ресурса – своевременно устанавливать обновления, отслеживать корректность работы, регулярно проводить аудитинформационной безопасности собственными силами или с привлечением сторонних специалистов. 

2. Если у администратора нет базовых знаний по информационной безопасности, провести для него дополнительное обучение. Это позволит если не справиться с возникшей проблемой самостоятельно, то по крайней мере своевременно выявить ее наличие и начать принимать меры.

3. Если собственных знаний для решения проблемы недостаточно, то лучшим вариантом станет обращение к профессионалам – это может быть как консультация, так и заказ определенной услуги «под ключ». Чего категорически НЕ стоит делать, так это надеяться на то, что проблема «рассосётся» сама. Наша практика показывает, что вероятность такого исхода стремится к 0.

4. Для того, чтобы знать о готовящихся атаках заранее, необходимо выходить за пределы собственного периметра и получать информацию об угрозах, преступных группах, их тактике и используемых инструментах. Лучше всего это позволяет сделать система предупреждения киберугроз Threat Intelligence (киберразведка).

Помните, что от того, насколько внимательно и профессионально вы относитесь к подобным вопросам, зависит безопасность тех, кто вам доверяет: ваших клиентов, пользователей, читателей.

 

Для юридических лиц, работающих с системами ДБО, рекомендации могут быть следующие: 

1. Своевременно обновляйте ПО – операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap.

2. Правильно выстраивайте архитектуру сети, исходя из требований безопасности – компьютеры, которые работают с бухгалтерией, должны быть изолированы, а доступ по внешнюю сеть должен быть разрешен только по «белым спискам» (White lists).

 

Опубликовано 25 августа 2017 года в Блоге компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/blog/buhtrap

Хакеры взламывают криптокошельки через номера мобильных телефонов

Хакеры обнаружили, что один из ключевых элементов онлайн-безопасности — номер мобильного телефона — является и самым уязвимым. За последние полгода таким образом были украдены тысячи долларов у владельцев биткойн-кошельков, пишет New York Times.

Хакеры получают контроль над номером мобильного телефона довольно банальным способом — звонят операторам и придумывают различные экстренные причины, по которым номер необходимо перевести на другой аппарат. Казалось бы, ни один менеджер в здравом уме и твердой памяти не одобрит такую операцию, но «хакеры делают десятки, а то и сотни дозвонов в разные офисы, пока однажды не найдут на другом конце провода идиота», — говорит Джоби Уикс, биткойн-предприниматель, у которого хакеры увели миллион долларов со счета, несмотря на то, что он просил оператора мобильной связи усилить безопасность, после того, как такой же атаке подверглись его родственники.

Аутентификация по мобильному телефону считается одной из самых безопасных. Ее используют Google, Facebook, Twitter, а также криптовалютные кошельки. Но завладев номером телефона, хакеры могут сбросить пароли на всех аккаунтах через кнопку «Забыли пароль?». Им не надо их даже взламывать.

«Мой iPad перезагрузился, мой телефон перезапустился, и мой компьютер снова запустился, и вот тогда я всерьез испугался», — говорит Крис Берниске, криптовалютный инвестор, потерявший контроль над своим номером телефона в конце прошлого года.

По данным Торговой комиссии США, число подобных атак за последние несколько лет выросло в два раза. Так, в январе 2013 года было зафиксировано 1038 инцидентов, а к январю 2016 года их число увеличилось до 2658. В основном, жертвами угона номера становятся люди, так или иначе связанные с инвестициями в криптовалюты. Хакеры отслеживают их по постам в социальных сетях. Официальные цифры об атаках занижены, так как биткойн-инвесторы боятся спровоцировать конкурентов по бизнесу, но в интервью NYT очень многие признались, что стали жертвами взлома.

«У всех, кого я знаю в криптовалютном мире, хоть раз увели номер телефона», — говорит Уикс. Все происходит очень быстро: хакеры взламывают аккаунты за несколько минут. По мнению опрошенных NYT жертв, это говорит о том, что они работают командами.

Операторы мобильной связи, Verizon, AT&T, T-Mobile, Sprint и другие, хоть и говорят, что работают над усилением безопасности (добавляют более сложные PIN-коды для учетной записи и идентификационные номера), но кажутся бессильными перед атаками: взлом часто происходит прямо у них под носом в реальном времени, когда жертвы знали, что их грабят и предупредили оператора.

Подобная уязвимость бросает вызов не столько мобильным операторам, сколько криптовалютному сообществу. Биткойн-транзакции были осознанно придуманы, как необратимые, чтобы избавить пользователей от вмешательства извне, но, по иронии судьбы, привели как раз к обратному.

Coinbase уже призывает клиентов отвязывать мобильные телефоны от своих учетных записей. Но пользователи предлагают идти дальше и откладывать выполнение транзакций, если недавно был изменен пароль.

«Coinbase похож на банк: хранит миллионы долларов, но вы не представляете до конца, насколько слабая у него защита, пока вас не ограбят на тысячи долларов за считанные минуты», — говорит Коди Браун, VR-разработчик, чей аккаунт был взломан в мае. «Это здорово, иметь возможность контролировать свои деньги и перемещать их без какого-либо разрешения, — говорит Адам Покорницкий, управляющий партнер в Cryptochain Capital, у которого тоже увели номер. — Но нужно помнить, что за такую привилегию приходится платить».

В июле появилась информация о взломе блокчейн-сервиса Parity. Хакеры смоли похитить с криптовалютных кошельков эфира на $32 млн.

 

Автор: Артем Никитин

Опубликовано 23 августа 2017 года на сайте  "Хайтек".
Подробнее...
Источник: https://hightech.fm/2017/08/23/phone-hack-bitcoin

Страницы