Перейти к содержанию

Какие уроки нам можно вытянуть из атаки Eurograbber?

хакеры

 Если взять во внимание, что совокупность была похищена со счетов не менее 30 000 заказчиков не менее 30 банков 4-х стран Европы, а примененное вредное ПО сразило как ПК, так и смартфоны, то данную атаку можно понимать как наиболее утонченную из когда-то открытых краж.

«Задачей взломщиков было спроектировать двухэтапную атаку. Первый раунд полагал инфицирование ПК заказчика »

Однако самым беспокойным в Eurograbber было то, что она проводилась в рамках существующей системы двухфакторной аутентификации, другими словами с позиции банка жульнические транзакции смотрелись совершенно легальными. Это позволяло Eurograbber действовать и оставаться замеченной на протяжении лет, а жуликам — воровать все новые и свежие суммы. Как это возможно? И как быть банкам и их заказчикам, чтобы оградить себя от таких атак в дальнейшем?

Все дело в том, что у взломщиков было общее осознание того, как функционирует банковская онлайн-система и как она ведет взаимодействие с заказчиками. Атака была направлена на способ двухфакторной аутентификации с применением единовременного кода доступа, направляемого SMS-сообщением на устройство; в ее ходе эти сведения перехватывались, затем мошенники применяли находящиеся в них коды.

Целью взломщиков было спроектировать двухэтапную атаку. Первый раунд полагал инфицирование ПК заказчика и вылавливание данных о его счете. Инфицирование ПК заказчика проводилось или при помощи электронного послания, сохраняющего сноску на вредный веб-сайт, или при помощи прохода по сноске на подобный веб-сайт. При этом на ПК загружалась приспособленная модификация известного вируса Zeus, располагающаяся в режиме сна.

Потом, когда заказчик входил в собственный кабинет пользователя на сайте банка, вирус пробуждался и запускал неверную версию страницы банка с инструкциями по «обновлению» кредитной онлайн-системы клиента. От клиента требовалось вторично ввести номер счета и прочие банковские данные, и номер смартфона. Потом на дисплее возникала пометка, что аннотации по окончанию обновления будут высланы на смартфон; их нужно будет осуществить.

Это был 2-й раунд атаки. В текстовом известии, приобретенному будто бы от банка, пользователям предполагалось закончить «обновление», пройдя по сноске. Однако при проходе по сноске на устройство грузился вирус ZitMo (Zeus in the mobile). Если у клиента обнаруживалась необходимая модель устройства — Blackberry, Андроид либо Symbiаn — оно обнаруживалось инфицированным.

Так заканчивается курс инфицирования ПК и мобильного телефона клиента. Отныне при любом заходе заказчика в кабинет пользователя проводится операция по снятию со счета денег. Вирус на ПК находил, когда заказчик входит в собственный офис, и посылал в банк условие о передвижении денежных средств со счета заказчика на счет злоумышленников.

При получении такого условия банк создавал аутентификационный номер транзакции (TAN) и посылал его SMS-сообщением на устройство заказчика. Извещение перехватывалось трояном на мобильном устройстве. Вирус получал TAN и посылал его в банк, что и заканчивало нелегальную операцию.

Покупатели оставались в полном незнании сравнительно жульнических транзакций, так как они не видели извещений банка на собственном телефонном аппарате. А для банка они смотрелись как вполне легальные сделки. Злоумышленники потом даже «научили» вирусы Zeus урезать суммы, спускаемые при любой транзакции, до установленного % от суммы на счете, что позволяло им оставаться незамеченными.

Какие уроки можно вытянуть из атаки Eurograbber? Она с очевидным триумфом применяла популярные в Европе способы критической аутентификации, заключающие в генерации единовременного кода доступа и его отправке на устройство.

Невзирая на то, что банки, применяющие иные способы аутентификации, не были чувствительны для таких целевых атак, логично, что вполне возможно спроектировать эксплойты, нацеленные на иные системы аутентификации — и у злоумышленников найдутся для этого и упорство, и возможности. Несколько лет назад был похищен код для современного решения двухфакторной аутентификации, что и привело к опасности взломов. Это говорит о том, что ни одна система аутентификации не считается на 100% качественной и надежной.

Все-таки, данный факт также выделяет роль самих клиентов услуг онлайн-банкинга в снабжении безопасности. Атака Eurograbber была направлена не на банки, а на их заказчиков. Из-за этого самая лучшая оборона от вероятных в дальнейшем атак вида Eurograbber — снабдить безопасность заказчиков по 2-м назначениям: в интернете, дающей им доступ к банку, и на ПК, которые они применяют для реализации услуг онлайн-банкинга.

Стоит снова припомнить заказчикам интернет-банкинга, что банки никогда в жизни не посылают незапрашиваемых электронных посланий, из-за этого отвечать на них не стоит, так как это фишинг. На домашних ПК необходимо ставить сегодняшнее противовирусное ПО и межсетевые экраны. В этом случае траты не считаются осложнением: есть свободные решения, к примеру ZoneAlarm, которые обеспечивают защиту не хуже, чем коммерческие дополнения. Эти решения находят вариации вируса Zeus Trojan до инфицирования ПК клиента. Вторая значительная мера осторожности для клиентов — постоянное восстановление ПО, чтобы всегда иметь на вооружении наиболее современные средства обороны.

Если персональный компьютер клиента заражен, вирус Eurograbber предпримет попытку соединиться с собственным командным компьютером (C&C) для окончания инфицирования и списания денег с банковского счета заказчика. В такой ситуации установка межсетевого дисплея перекроет такое объединение, а модернизированное противовирусное ПО увидит опасность и уберет ее.

В заключение надо сообщить, что оптимального решения по обороне от подобных кибернетических атак, как Eurograbber, нет. Нужно регулярно быть наготове и применять для обороны банков и их заказчиков предельно действенные и передовые средства. Все эти меры обеспечивают существенную возможность того, что следующая попытка такой кибератаки завалится.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *