Антивирусная компания McAfee и консалтинговая фирма Guardian
Analytics опубликовали совместный отчет о раскрытии изощренной мошеннической
схемы. Изначально атаки по этой схеме выполнялись из Италии, а потом
распространились по всему миру. Согласно отчету, ущерб от мошенничества с
незаконным переводом средств составил не менее 78 миллионов долларов США, пострадавшими оказались порядка 60 финансовых учреждений, а наибольшие
потери понес Банк Нидерландов – оттуда мошенники пытались перевести более 44
млн. долл. Примечательно, что кибер-преступники не мелочились – сумма отдельных
переводов превышала 130 тыс. долл.
Эксперты по безопасности из McAfee и Guardian заявляют об
уникальном характере обнаруженной атаки. Уникальность этого взлома банковских
систем заключается в сочетании уже известных вредоносных программ и кода,
написанного по заказу. Специалисты полагают, что создатели кода обладают
глубокими познаниями по внутренним банковским транзакциям, а саму операцию
относят к классу «организованная преступность».
В отчете McAfee и Guardian операция по обезвреживанию
мошенников получила название «Отчаянный игрок», поскольку мошенники атаковали
только богатых частных и корпоративных клиентов с крупными суммами на счетах,
чтобы крупные переводы не вызвали подозрений. Сумма похищаемых средств заметно
превысила средний уровень для инцидентов такого рода – разовые переводы
доходили до 130 тыс. долл. Примечательно, что в отчете компания McAfee не
сообщает, насколько успешными оказались эти атаки – речь идет только о попытках
перевода средств. В ходе дальнейшего расследования специалисты по безопасности
обнаружили, что в каждой новой атаке мошенники немного адаптировали алгоритм атаки,
делая его более подходящим для каждой новой банковской системы.
Сначала эксперты считали, что атака не слишком отличается от
других подобных угроз с клиентских систем. В дальнейшем обнаружилось, что
система мошенников отличается высоким уровнем автоматизации. Вместо сбора
данных и выполнения транзакций вручную на другом компьютере, вредоносная
система вставляла в веб-страницы скрытый тег iFRAME и перехватывала контроль
над банковским счетом жертвы. В результате транзакции запускались с компьютера
самого пострадавшего лица без активного вмешательства со стороны преступников. В
тех случаях, которые были зафиксированы в Италии, вредоносная система искала
жертву с самым большим размером банковского счета, проверяла баланс счета, а
потом переводила либо фиксированный процент от остатка на счету (процент
менялся для каждой серии атак и составлял порядка 3 %), либо относительно
небольшую фиксированную сумму порядка 500 евро (600 с лишним долларов) на предоплаченную
дебетовую карту или анонимный банковский счет.
В определенный момент преступники смогли даже взломать
двухфакторную авторизацию пользователей. Когда жертве нужно было использовать
собственную SIM-карту для подтверждения платежа, система мошенников, по словам
специалистов, «могла перехватывать и обрабатывать необходимую дополнительную
информацию». Таким образом, это первый известный случай, когда мошенники смогли
обойти двухфакторную авторизацию с использованием SIM-карт в сотовых телефонах
клиента.
Еще через два месяца, когда под атакой оказались Нидерланды,
преступники обнаружили возможность обхода систем безопасности и мониторинга
путем запуска переводов на стороне серверов банка. В одном из случаев, когда
сервер банка сам выполнял автоматизированную атаку в г. Бри (шт. Калифорния,
США), специалисты зафиксировали вход хакеров в систему управления из Москвы. В
отчете о расследовании авторы заявляют, что ведут самое тесное
сотрудничество с правоохранительными органами разных стран, чтобы окончательно
блокировать источник угрозы.
По материалам сайтов Wired, Ars Technica и The Verge.
|
