Новости

вірус безтілесний

  1. Без вибухів і розрізів
  2. Фантоми в мережі: черв'як атакує
  3. Хакери грають в джекпот
  4. СМС-паролі не рятують
  5. Великий фаєрвол і антидоти

Безконтактні віруси крадуть гроші не у клієнтів, а у банкоматів

фото: Banki.ru

У березні новий безфайлові вірус вразив банкомати ряду російських банків. Як відбити шахрайські атаки на банкомати?

Без вибухів і розрізів

Інтернет-банкінг, мобільні додатки, термінали, банкомати та інші технології дистанційного керування рахунками давно не є чимось дивним і унікальним. Це стала вже звичною інфраструктура, обов'язкові елементи нашої повсякденної реальності, від яких ми не готові відмовитися, як від центрального водопостачання або електрики. Оскільки ці технології пов'язані з доступом до грошей, вони привертають увагу злочинців. І чим активніше розвиваються технології, тим більше число, масштаб і різноманітність технологічних пограбувань. Про це свідчать зміни в сфері кіберзлочинності і статистика по розкраданнях грошових коштів.

Згідно з даними Європейської групи з безпеки банкоматів (European ATM Security Team, EAST), в минулому році в Європі кількість Недеструктивні атак на банкомати (тобто без вибухів і різання металу) зросла на 28%. Збиток від таких атак виріс на 12%. Що стосується способів атак на банкомати і їх зараження, тепер це відбувається не тільки контактно, коли шкідливий код завантажується, наприклад, з інсталяційного диска, але і віддалено. Доступ до банкоматів злочинці отримують через мережу банку в результаті цільових атак.

Згідно з нашими оцінками - і тут ми сходимося з іншими фахівцями, які працюють в області кібербезпеки, - збиток від кіберзлочинності в СНД за минулий рік склав близько 5 млрд доларів США, збільшившись удвічі за останні два роки. Багато це чи мало? З одного боку, не більше 2% від глобального збитку. З іншого боку, динаміка зростання насторожує.

У Росії з'явився новий вірус, що атакує банкомати. Особливість в тому, що проникає він в банкомат без будь-якого фізичного контакту, а виявити і усунути проблему складно. Як з'ясував "Комерсант", мета вірусу - не гроші клієнтів, а гроші в банкоматі, який налаштовується на видачу всіх найбільших купюр будь-кому, який набрав певний код. Поки простий механізм боротьби не знайдений, банкам залишається лише підвищувати загальний рівень безпеки своїх мереж. Однак більшості гравців простіше і дешевше застрахувати банкомати, що тільки підстьобне до поширення шахрайства.

Зростання відбувається переважно за рахунок того, що кіберзлочинці стають професійніше і виходять на промисловий рівень. Крім вірусів, якими заражаються комп'ютери і смартфони користувачів систем ДБО, з'являється шкідливе ПО, метою якого стає інфраструктура самих банків. Особливий інтерес і велику небезпеку становлять безтілесні віруси, які живуть в оперативній пам'яті комп'ютерів: їх важко виявити, і вони стійкі до традиційних антивірусів і заходам протидії.

Фантоми в мережі: черв'як атакує

Не так давно саме пройшла інформація про один з таких набирають в Росії популярність безтілесних вірусів, яким заражають банкомати. Механізм зараження в даному випадку - віддалений: проникнувши в мережу банку, черв'як потрапляє в комп'ютер адміністратора банкоматної мережі та з нього заражає банкомати. Далі злочинцям залишається тільки ввести на банкоматі спеціальний код і отримати готівку.

Як і інші безтілесні віруси, він не має виконуваного файлу (* exe) і не залежить від файлів на жорсткому диску. Тому його важко виявити. Він швидко відновлюється після перезавантаження банкомату, під час якої повністю очищається вміст оперативної пам'яті. Причому відновлення може відбуватися як з області автозавантаження оперативної системи комп'ютера банкомату, так і безпосередньо з мережі банку.

Вперше інформація про безтілесних віруси з'явилася влітку 2001 року, коли був зареєстрований спалах епідемії CodeRed. Завдяки труднощі виявлення кілька років тому такі віруси стали набирати популярність як частина серйозних кібератак в основному для розкрадання даних. Під ударом опинилися бази даних не тільки банків, але і телеком-операторів і, звичайно, урядових структур. Механізм атак на банки був приблизно тим же, що у нового вірусу, який атакує банкомати. Але метою був доступ до системи адміністрування бази даних та отримання облікових даних клієнтів, за допомогою яких можна від їх імені здійснювати різні операції. У лютому цього року «Лабораторія Касперського» повідомляла, що жертвами безтілесних вірусів стали понад 140 організацій з 40 країн по всьому світу.

З одного боку, злом мережі і зараження таким вірусом вимагає від злочинців великого професіоналізму, висококласної підготовки і навіть таланту. З іншого - важливо враховувати, що сучасні кіберзлочинці все більше орієнтуються саме на вчинення добре спланованих атак, які потенційно можуть принести велику віддачу. Так що варто бути готовими до того, що хакери будуть освоювати створення безтілесних вірусів і застосовувати їх активніше.

Протидія такого виду шкідливому ПО складається з двох великих і важких завдань - виявити і знешкодити. У будь-якому випадку потрібні комплексні заходи захисту. Виявити вірус можна за непрямими ознаками за допомогою аналітичних систем і систем моніторингу, в результаті аналізу подій, які відбуваються з підключеними до мережі пристроями. Щоб аналітичні моделі працювали більш ефективно і могли самообучаться, потрібна інтеграція з базою інцидентів. Такий моніторинг і аналіз допоможе також виявити уразливості в мережевому контурі і виявити ознаки готується атаки.

Що стосується лікування безтілесних інфекцій, тут все залежить від самого вірусу. Серед них «втікачі», які зникають, як тільки виконано завдання, наприклад викрадені дані, скомпрометовані карти і т. Д. А є «резиденти», які можуть довгий час непомітно працювати в IT-інфраструктурі банку. «Резиденти», в свою чергу, можуть знищуватися під час перезавантаження або після установки оновлень, компілюватиметься з розрізнених фрагментів коду, ховатися на периферійних пристроях, створювати резервні копії та навіть мімікрувати під файли легального ПЗ.

Хакери грають в джекпот

Вірусів, за допомогою яких злочинці можуть привласнити гроші банку або його клієнтів, велика кількість. Причому об'єктом атаки може стати будь-яка система в IT-інфраструктурі банку - від CRM-системи до систем миттєвих грошових переказів. Кінцевою метою атаки можуть бути гроші фізосіб, юросіб, самого банку, банків-контрагентів. Для кожного об'єкта і знаходиться під ударом суб'єкта існують десятки способів атаки. Тому розглянемо ті, що пов'язані з найбільшим ризиком і потенційним збитком.

Перший спосіб - кардинг. Метою є кошти клієнтів банку. Атака пов'язана з доступом до рахунків через підроблені банківські картки. При цьому дані про використані в банкоматі картах можуть розвантажуватися безпосередньо з комп'ютера банкомату. Іншими словами, злочинці, отримуючи фізичний доступ до банкомату, підключають до нього портативний пристрій з шкідливим ПЗ, яке дозволяє обійти антивірус і завантажити дані. У 2009 році банківська спільнота серйозно стурбувала поява трояна Backdoor.Win32.Skimer. Це була перша шкідлива програма, метою якої були безпосередньо банкомати. Причому за допомогою цього трояна злочинці могли не тільки зібрати дані про оброблених в банкоматі картах, але і спустошити диспенсер.

Інший широко поширений спосіб розкрадання даних - кібератака. Тут маса варіацій. Атаковані бути можуть сайти інтернет-магазинів, системи електронних гаманців, до яких прив'язані карти, бази даних самих банків і т. Д. Наприклад, в тому ж 2009 році в США була спіймана група злочинців - вихідців з СНД, яка зламала глобальний процесинг карт RBS Worldpay і вкрала з 130 банкоматів понад 9 млн доларів. Причому злочинці змінювали встановлені в системі ліміти видачі готівки за картками клієнтів, що дозволило скористатися одними і тими ж картами по кілька разів. Атака на банкомати йшла одночасно в 49 містах, в списку яких, крім Нью-Йорка, Атланти, Чикаго, Монреаля і Гонконгу, фігурувала Москва.

У Росії з'явився новий вірус, що атакує банкомати. Як з'ясувала газета «Комерсант», мета вірусу - не гроші клієнтів, а гроші в банкоматі, який налаштовується на видачу всіх найбільших купюр будь-кому, який набрав певний код.

Ще однією схемою, яка представляє великий ризик і несе великої шкоди, є так званий АТМ-реверс, він же зворотний реверс. Цей спосіб шахрайства виявили в 2015 році фахівці Group-IB. Тоді постраждали п'ять російських банків, збитки становлять понад 250 млн рублів.

Суть схеми в тому, що злочинці використовували вразливість у процесингу. Щоб викрасти кошти, вони спочатку отримували в банку і поповнювали в банкоматі брак карту, потім знімали ці гроші в тому ж банкоматі і друкували чек про операцію. Далі через віддалений доступ до скомпрометованим раніше POS-терміналів по RNN-референсу, зазначеному в чеку, формували команду на скасування операції. В результаті баланс карти відновлювався, і злочинці могли знову знімати гроші. При цьому фізично банкомати і POS-термінали знаходилися в різних країнах.

Трохи пізніше, в тому ж 2015 року з'явилася інша схема АТМ-реверсу. Гроші знімалися вже через банкомати сторонніх банків, а завдяки попередній компрометації системи управління трансакціями баланс дебетової картки не змінювався.

Нарешті, третя схема АТМ-реверсу - це управління банкоматом за допомогою різних команд і кодів. Зараз все частіше зараження відбувається в результаті атаки на мережу банку-еквайра, хоча ще пару років тому найбільш поширене було зараження з флешки, диска, портативного комп'ютера або інших носіїв. Тут суть - в обхід процесингу і системних логів отримати доступ до диспенсеру банкомату і забрати готівку. Схема приблизно така ж, що і з новим безтілесним вірусом, але зараження відбувається контактно.

СМС-паролі не рятують

Мобільний та інтернет-банкінг, зрозуміло, теж під прицілом. І оскільки починалося все з дрібного шахрайства - крадіжок безпосередньо з рахунків клієнтів, ця область рясніє варіантами зараження і стабільно підростає як в плані обсягів, так і в плані різноманіття способів атаки.

Наприклад, в 2014 році двоє хакерів з групи Carberp були засуджені до п'яти і восьми років тюремного ув'язнення за побудову бот-мережі з використанням банківського трояна. Жертвами стали більше тисячі росіян, а загальна сума вкрадених з їх рахунків грошей тільки за доведеними епізодами склала близько 10 млн доларів. На частку цього трояна Carberp припадає приблизно дві третини заражень банків в світі. Суть його роботи проста. Коли користувач заходив на заражений сайт, спеціальна програма-завантажувач визначала тип системи інтернет-банкінгу, якою він користується зі свого комп'ютера, і підбирала відповідний модуль шкідливого ПЗ. Той, в свою чергу, підміняв реквізити в легальних платіжних дорученнях.

Дуже поширені трояни, які атакують користувачів інтернет-банкінгу. Вони підміняють на комп'ютері користувача легальну сторінку системи на підроблену. Таким чином, злочинці отримують логін і пароль доступу до особистого кабінету клієнта. Небезпека в тому, що атакуючий отримує доступ до всіх рахунків клієнта. Він навіть може відкрити кредитний рахунок і зробити клієнта боржником.

Довгий час вважалося, що врятувати клієнтів від такого роду атак можуть одноразові СМС-паролі. Але злочинці швидко навчилися обходити і цей захист - перехоплювати такі повідомлення як програмними засобами, так і за допомогою соціальної інженерії. Зокрема, для цього створюють відрізнити від оригінальних мобільні додатки, вбудовують шкідливі алгоритми в легальне ПЗ, зламують особистий кабінет на сайті стільникового оператора і налаштовують переадресацію СМС і т. Д.

Перехоплення СМС-повідомлень від банку може відбуватися також на рівні самого мобільного пристрою: для цього злочинцям навіть не потрібно знати ні номера карти, ні номера телефону, ні комбінації логіна і пароля. Два роки тому з'явилися перші повідомлення від клієнтів банків, які використовують Android-смартфони, про те, що з їх карт пропадають гроші. Спроби дізнатися баланс карти через СМС результату не давали. Про зникнення люди дізнавалися, коли вже не могли розплатитися карткою через брак коштів, або по виписці з банкомату. Троян, який прописувався на смартфоні, відправляв на закріплений за банком короткий номер команди на переказ коштів на підставні карткові рахунки і затирав відправлені і отримані у відповідь повідомлення, а також відповіді банку на користувальницький запит про баланс.

СМС-банкінг дуже популярний в Росії: він не вимагає багатоступінчастої авторизації і цим зручний для користувачів. Але і для шахраїв. За даними Group-IB, саме в Росії і СНД фіксується максимальна кількість таких атак. До викриття бот-мережу автоматично робить від 50 до 200 шахрайських трансакцій. Для операцій, які клієнти можуть здійснювати за допомогою СМС-команд, як правило, діють жорсткі ліміти. Тому середня сума трансакції невелика - 3 тис. Рублів. Але в силу масового характеру такі дрібні крадіжки завдають серйозної шкоди.

Щоб обійти ліміти, злочинці використовують іншу схему. Спочатку збирають дані банківських карт через фальшиві діалогові вікна або самого банку, або популярних брендів. Далі поширені два сценарії. Або за допомогою сервісів для переказу грошей виводять кошти з карти, або злочинець встановлює у себе на телефоні офіційне мобільний додаток банку і діє через нього. Всі коди для підтвердження операцій, які банк відправляє в СМС, перехоплюють за допомогою того ж трояна.

Рекомендація тут одна - будьте уважні, оновлюйте антивірус. Тим більше в разі, якщо гроші з рахунку пропали по таким схемам, багато банків розглядають претензію клієнта тільки при наявності антивіруса. В іншому випадку відповідальність за можливі ризики лежить на самому клієнті.

Великий фаєрвол і антидоти

Поки злочинці почувають себе досить вільно в кіберпросторі - злочини такого типу складно розслідувати, правові норми в цьому напрямку слабо опрацьовані, а в банках не завжди є адекватні інструменти для протидії. Причому невеликим банкам часто простіше і дешевше застрахувати найбільш вразливі ділянки своєї інфраструктури, ніж будувати повноцінний контур захисту, що теж сприятиме зростанню числа атак і вірусних крадіжок.

Однак Банк Росії розуміє делікатність такій ситуації і вживає заходів щодо мінімізації кіберрісков банківської системи. У зв'язку з цим виглядає логічним посилення вимог регулятора до кредитним організаціям в частині наявності та використання різного роду антіфрод-механізмів. А створення FinCert стало відправною точкою об'єднання галузі в протидії кібершахрайства.

Обмін інформацією про інциденти дозволяє оперативно використовувати її для захисту від які стали відомими загроз. Але, крім цього, потрібно допрацьовувати законодавство, підвищувати грамотність співробітників банків в області інформаційної безпеки. Потрібні комплексні технологічні рішення, які задіяли б адекватні сучасним загрозам механізми, в тому числі методи машинного навчання, прогнозування, побудови мереж взаємозв'язків, допомагали б швидко збирати доказову базу і охоплювали б всі без винятку інформаційні системи банку.

Олексій коня, старший консультант антіфрод-практики SAS Росія / СНД

Як відбити шахрайські атаки на банкомати?
Багато це чи мало?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: