Компания Finjan, которая занимается сетевой безопасностью,
сообщила о появлении нового способа для похищения денег со счетов ничего не
подозревающих пользователей. В частности, специалисты Finjan раскрыли
нетривиальную схему вывода денег, в которой используется управляющий сервер на
Украине, фальшивые веб-сайты, вирус-троянец, получивший название URLZone,
подставные лица и ложные банковские выписки.
По данным отчета, который опубликовала компания Finjan, одна
из банд нового формата похитила около 300 тысяч евро за 22 дня. Для кражи денег
преступники нанимали добропорядочных граждан, искавших работу в сети.
Использование этих подставных лиц, не подозревавших о характере своей работы,
помогало преступникам запутать следы и скрыть поступление денег в собственные
карманы. Отслеженная атака в августе этого года затронула несколько
Интернет-банков в Германии, о чем была проинформирована немецкая полиция. На
данный момент управляющий сервер, использованный в этой атаке, не откликается
на внешние сигналы, хотя преступники могут вновь задействовать его в любой
момент.
Новая схема похищения денег выглядит чрезвычайно
продуманной. Сначала преступники распространили собственный троянец, заразив им
популярные сайты вполне законопослушных компаний. После посещения этих сайтов
машины пользователей оказались зараженными, так что преступники получили полный
доступ к информации на компьютерах жертв. Далее троянец URLZone получал команду
на перевод денег со счета жертвы на счет подставного лица – в материалах Finjan
эти случайные соучастники преступления носят название «деньгоносы» (money mule).
Интересно, что преступники, как правило, переводили довольно небольшие суммы
денег и не использовали подставные счета «деньгоносов» более двух раз, чтобы
банковские системы не заподозрили мошенничества.
Ювал Бен-Ицхак (Yuval Ben-Itzhak), технический директор Finjan,
рассказал, что по данным проведенного исследования, официальные и поддельные
сайты злоумышленников посетило более 90 тысяч человек. Достоверно известно о
6400 случаях заражения – большинство пользователей заразилось через браузер Internet
Explorer, хотя другие браузеры тоже оказались уязвимы. По словам Бен-Ицхака,
эксперты впервые столкнулись со столь хитроумной системой похищения денег,
которой удалось обмануть как банковские системы, так и владельцев счетов в
Интернет-банках, обычно очень внимательных к состоянию своего счета.
Интереснее всего, как злоумышленникам удалось красть деньги,
не привлекая внимание владельцев счетов, и обмануть банковские системы для
слежения за мошенниками. Дело в том, что созданная преступниками система
снимала только некрупные суммы, при этом счет жертвы не должен был оказаться
пустым. Для обмана самих владельцев троянец использовал подмену веб-страницы с
выписками – когда пострадавший заходил в свой личный кабинет, перед ним
оказывалась поддельная страница без указания операций преступников. Подлог
обнаруживался только тогда, когда пользователь заходил в Интернет-банк с
другого, незараженного компьютера. Как показало расследование, в нескольких
случаях преступникам вообще удалить сведения о транзакциях.
Интересно отметить и роль подставных «деньгоносов» - по мнению
Finjan, нынешний экономический кризис снизил порог тревожности, поэтому
украинским киберпреступникам удалось довольно легко завербовать достаточное
количество подставных лиц. «Деньгоносам» предлагали на одноразовой основе поучаствовать
в легитимном онлайн-проекте, и они легко соглашались. Преступники перегоняли
деньги со счетов жертв на счета «деньгоносов» с условием перечисления части
денег на собственные счета. В результате «деньгоносы» получали якобы законный
доход, а преступники отмывали похищенные деньги. Эксперты отмечают, что
«деньгоносов» в данном конкретном случае следует рассматривать не как
соучастников, а как пострадавших. Скорее всего, обвинения им не грозят, хотя
наверняка придется ответить на вопросы компетентных органов.
Подробнее новый прием преступников по краже денег из
Интернет-банков описан в официальном
отчете компании Finjan.
По материалам сайтов BBC и Wired.
|
