Хакеры берут на вооружение шпионские приемы

Год назад печально прославилась группа сетевых взломщиков Carbanak. Эта группировка первой начала применять для взлома банковских систем способы, ранее использовавшиеся только в работе хакеров, занимающихся кибершпионажем для правительств разных стран.

Carbanak адаптировали эти приемы для атак на финансовые организации (чаще всего банки), система защиты данных которых не устояла под напором новых техник. Важной отличительной особенностью атак Carbanak  является использование злоумышленниками легального ПО. Благодаря этому максимально снижает риск обнаружения атаки антивирусными программами, а также экономит время на создание специального софта для взлома.

Хакеры из группы Carbanak смогли ограбить сотни финансовых организаций в 30 странах мира и похитить миллионы долларов. Такие средства аутентификации пользователей как одноразовые пароли и введение PIN-кода, использующиеся обычно при снятии средств со счетов, не смогли помешать мошенникам, так как те использовали прямой  доступ к системам банка, осуществляющим денежные транзакции, и временный пароль им не требовался.

Image source: www.bondmovies.com

Этот пример оказался заразительным, и не так давно у Carbanak появилось сразу два последователя — GCMAN и Metel. Их атаки были нацелены, в основном, на российские финансовые учреждения.

В обоих случаях проникновение начиналось с рассылки таргетированных фишинговых писем, содержащих RAR-архив, после открытия которого вирус проникал в банковские системы. После взятия под контроль хакерами процессинговой системы банков сценарий действий группировок несколько различался.

В случае с Metel основной “фишкой” были отмены транзакций после снятия наличных в банкоматах. Таким образом, баланс на дебетовых картах жертв не менялся, а пропажа денег обнаруживалась лишь тогда, когда хакеры сворачивали свои действия. Одна только подобная операция позволила похитить несколько миллионов рублей.

GCMAN работали несколько иначе. Их атаки использовали cron. Программное обеспечение cron является абсолютно легальным и позволяет запускать под ОС Unix программы пользователя в указанное им время. Именно с помощью cron-сценария хакеры из группы GCMAN ежеминутно снимали со счетов пользователей инфицированных банков по 200$ (таков лимит на анонимные транзакции в российских банках). Впоследствии средства уходили на криптовалютные счета “дропов” — людей, специально нанятых для обналичивания украденного.

Если хакеры столь ловко могут преодолеть защиту даже таких устойчивых к угрозам структур, как банки, есть ли способ остановить их? Конечно, службы кибербезопасности могут еще и еще раз усиливать защищенность серверов и баз данных, использовать самое новое программное и аппаратное обеспечение. Однако, как показывает практика, это будут только временные меры. Вспомним фразу из всем известного фильма “Формула любви”: “То, что один человек сделал, другой завсегда сломать сможет”. Рано или поздно злоумышленники найдут возможность обойти самые совершенные технические преграды, а потому одного их применения явно недостаточно.

Image source: www.bondmovies.com

Давайте задумаемся, с чего начинается любой взлом? С проникновения контролируемого злоумышленниками ПО всего на один компьютер компании, на которую нацелена атака. А это никак невозможно без участия человека: запустившего установочный файл, перешедшего по ссылке, открывшего письмо со шпионским вложением. Поэтому одним из важнейших элементов защиты от хакерских атак является обучение сотрудников правилам информационной безопасности, позволяющее не попадаться на уловки кибермошенников. А так как люди все же несовершенны и склонны делать ошибки — от усталости, неосторожности, забывчивости, — защита данных пользователя обязательно должна включать надежные способы аутентификации на каждом рабочем месте. И лучше не только при входе в учетную запись, но и перед совершением тех или иных важных действий. На сегодняшний день двухфакторная аутентификация является наиболее проверенным средством подтверждения подлинности пользователя. А если при 2FA использовать ОТР токен, такой как Ultra от компании Протектимус, это сможет существенно усилить защиту аккаунтов. Ведь этот токен не соединен с открытыми сетями, учитывает характерные параметры каждой транзакции при создании ОТР, а, следовательно, перехват созданного им пароля будет бесполезен для злоумышленников.

Стоит помнить, что защита данных, как и любое большое дело, складывается из мелочей, каждая из которых одинаково важна. И только применение всего комплекса предохранительных мер — лучший способ оставить охотников за чужими деньгами и секретами ни с чем.

Author: Olga Geo

Раньше была стопроцентным гуманитарием: преподавала фортепиано и синтезатор. Компьютер и интернет считала "мировым злом". Однако, познакомившись с ними поближе, кардинально изменила мнение. Освоив HTML, CSS и другие необходимые для работы навыки, сделала интернет основным местом приложения собственных усилий. Сегодня занимается разработкой сайтов и ведением собственного блога о программном обеспечении. Пишет статьи об IT-технологиях.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This