«Дырявая» система: как крадут деньги с банковских счетов

Новая схема кражи денег с банковских счетов: Как не стать жертвой мошенников?

Чем активнее сегодня развиваются интернет-технологии, тем изощрённее становятся те, кто хочет воспользоваться ими для корыстных целей. В последнее время не только в России фиксируются масштабные утечки персональных данных, совершаемые, как правило, в мошеннических целях. На поверку оказывается, что против некоторых видов интернет-мошенничества бессильны все фаерволы и антивирусы вместе взятые. Жертвами теперь становятся крупные банки с очень продвинутыми системами защиты.

«Лаборатория Касперского» сегодня снова бьёт тревогу. Обнаружены новые угрозы, которые по своим масштабам вполне сопоставимы с печально известными вирусами-вымогателями типа WannaCry. Этот «червь», пожалуй, наиболее известен, ещё несколько лет назад он держал в страхе пользователей по всему миру.

Фото: City News Moskva / Globallookpress

Вирус работал очень просто — блокировал работу компьютера и выводил на экран сообщение с реквизитами мошенников, на которые необходимо было перевести деньги, чтобы восстановить доступ к операционной системе. Окно было невозможно закрыть, нередко помогала лишь полная переустановка операционной системы с форматированием жёсткого диска, то есть, так или иначе, с потерей ценной информации. Но «червь» со временем был побеждён антивирусами, эпидемия вскоре сошла на нет.

Однако если WannaCry был вирусом в прямом смысле слова, то есть он мог быть нейтрализован с помощью программных средств, то сегодня настало время принципиально новых угроз. В некотором смысле их можно назвать нативными, так как мошенникам теперь и вовсе нет нужды устанавливать на компьютер жертвы какое-либо вредоносное ПО. И в этом (мы вынуждены это признать) они сегодня оказываются хитрее производителей антивирусов.

Вас ограбили. А вы не заметили?

Именно согласно этому утверждению и работает новая схема. При этом пользователь действительно может и не догадываться о том, что уже передал мошенникам всё необходимое для того, чтобы те начали действовать. Причём масштабы тут как сугубо частные — применительно к отдельному пользователю, так и корпоративные.

Отметим важный момент. О новом способе мошенничества газете «Известия» рассказали в «Лаборатории Касперского». Однако на самом деле эти методы не новы, гораздо правильнее было бы сказать, что просто такой способ цифрового мошенничества становится сегодня всё более распространённым. Так о чём речь?

О так называемом фишинге (от англ. phishing и fishing — рыбалка, выуживание). Под фишингом понимают процесс выманивания у пользователя каких-либо персональных данных обманным путём. Как правило, при помощи фальшивых страниц авторизации на популярных сервисах. Эпидемиям фишинга в разное время были повергнуты разные страны, а сейчас, по словам специалистов, хищение данных, а затем и средств всё чаще происходит и в нашей стране. При этом на удочку попадаются сотрудники крупных банков, которые, сами того не ведая, передают мошенникам персональные данные клиентов или доступ к клиентским базам.

Способ работает следующим образом. По наблюдениям «Лаборатории Касперского», сотруднику банка приходит на корпоративную почту письмо от имени какой-либо организации. В письме содержится, например, приглашение на аттестацию, при прохождении которой этот сотрудник сможет рассчитывать на повышенные бонусы от своего руководства. В форме приглашения есть окна ввода логина и пароля от корпоративного аккаунта — сотрудник «залогинивается», передавая тем самым эти данные мошенникам. Отмечается, что корпоративные фильтры почты далеко не всегда могут заблокировать такое письмо и автоматически поместить его в папку со спамом. Почему? Потому что банк обязан работать с множеством организаций и чересчур жёсткие правила блокировки входящих писем могут навредить взаимодействию с клиентами.

Фото: Rawpixel / Shutterstock.com

Возникает вопрос: как же так получается, что сотрудник банка или другой крупной организации оказывается не в состоянии обнаружить подвох? Специалисты дают такой ответ: сотрудники банков, во-первых, очень часто общаются даже друг с другом при помощи корпоративной почты. Через неё они реагируют на любые запросы клиентов или связанных с банком организаций. В общем большом и разношёрстном потоке писем выделить одно и отметить его как подозрительное почти невозможно. Во-вторых, банковские служащие нередко сталкиваются с различными корпоративными мероприятиями или предложениями о повышении квалификации, о необходимости аттестации или по другим похожим поводам.

В «Лаборатории Касперского» также отметили, что, в силу регулярности подобных мероприятий в крупных банках, фишинг в них может достигать огромных масштабов. Они не исключили, что таким способом уже взломано несколько тысяч почтовых аккаунтов в финансовых организациях.

Почему это опасно?

Казалось бы, если речь о взломе аккаунтов сотрудников в банках, то при чём тут рядовые граждане? На самом деле всё взаимосвязано. По данным энциклопедии «Лаборатории Касперского», наиболее частые жертвы фишинга — банки, кредитные организации, аукционы и электронные платёжные системы. Словом, это те места, где аккумулируются данные о дебетовых, кредитных картах и банковских счетах граждан.

Логика тут проста и понятна: зачем «ломать» аккаунт гражданина в какой-либо соцсети, когда можно взломать аккаунт банковского сотрудника, работающего сразу с десятками клиентов? В его почте могут быть конфиденциальные данные по счетам и транзакциям, а также реквизиты, включая данные по доступу к счёту. Фактически это означает, что гражданину, возможно, придётся отвечать за невнимательность сотрудника банка.

«Известия» также пишут со ссылкой на имеющийся в их распоряжении отчёт подразделения ЦБ России по кибербезопасности ФинЦЕРТ, что фишинг стоит на первом месте в числе способов, при помощи которых злоумышленники взламывают банки и получают доступ к данным жителей России. В целом же фишинг — одна из самых серьёзных цифровых угроз 2019 года, говорят специалисты.

Поясняется, что всё дело в человеческом факторе, ведь люди сами передают персональные данные. Опасность состоит также в том, что при помощи фишинга хакеры могут получить доступ к другим аккаунтам, то есть расширить сферу воздействия и объём собираемой информации. И это уже не говоря о том, что к злоумышленникам могут попасть критические данные, которые носят ответственный корпоративный или даже государственный характер.

Мировые примеры также являются достаточно громкими. Американские регуляторы уже не первый год бьют тревогу и даже видят пресловутый «русский след» в фишинговых атаках на энергосистему США. Заявляется также о том, что такими атаками могли заниматься китайские хакеры.

Так, летом 2020 года в США заявили о фишинговых атаках со стороны хакерской группировки Cloud Hopper, которая, предположительно, связана с правительством Китая. Злоумышленники рассылали поддельные письма сотрудникам крупных паролей, они выходили на облачные сервисы, где гиганты типа Hewlett Packard Enterprise и IBM хранили свои ценные данные. По утверждениям американцев, Китай таким образом занимался промышленным шпионажем.

Годом ранее в фишинговой деятельности США обвиняли и Россию. Тогда якобы «русские хакеры» из Fancy Bear, которых считают связанными с Кремлём, рассылали сотрудникам мелких энергетических компаний письма с фальшивыми формами авторизации на популярном сервисе Dropbox. Так хакеры получали пароли и данные, помогавшие им выйти на более крупные компании, которые обсуживались этим мелким подрядчиком.

Как распознать фишинг и не стать жертвой?

Очевидно, что антивирусное программное обеспечение, как и почтовые фильтры, далеко не всегда эффективны против фишинга. Уже говорилось, что речь идёт о человеческом факторе. Как это ни парадоксально, но бороться с фишингом можно его же условным оружием — проявляя внимательность.

Как правило, фишинг осуществляется двумя разными способами. Первый предполагает, что пользователь перейдёт по ссылке, которая содержится в полученном письме. Ссылка обычно ведёт на страницу, которая как две капли воды похожа, например, на главную страницу Facebook или «ВКонтакте». Однако внимательный пользователь увидит разницу — в адресной строке браузера будет указан некорректный адрес (даже если ссылка в письме выглядела корректно). Например, вместо знаков «/», разделяющих части адреса, будут стоят точки или тире. Также нередко можно встретить неправильно написание — «facebok» или «facebouk» вместо «facebook» и т. п.

Второй способ фишинга — добиться от пользователя введения логина/пароля прямо в форме, содержащейся в письме. Это как раз то, что активно используется при атаке банков. В то же время и рядовому гражданину на почту может прийти письмо якобы от его банка. Фишинговые письма отличает очень высокое качество подделки — оригинальный логотип банка, оригинальные выходные данные, правовая информация и телефоны. Однако при этом там же будет содержаться форма ввода данных карты или просьба «для обеспечения повышенной безопасности» подтвердить свой пароль к личному кабинету или указать секретное слово.

Совершенно не важно, как злоумышленники получат персональные данные. Как отмечают специалисты, чаще всего они не будут возиться с ними сами, а просто зашифруют и продадут различным интересантам, покупающим готовые базы данных в теневом сегменте интернета. Это уже те люди, у которых отработаны схемы снятия денег со счетов.

Именно поэтому лучшая защита от фишинга — внимательность. Проблема, как уже говорилось, является общемировой, а жертвами становятся всё более крупные компании, включая банки, у которых, как правило, есть максимум информации о гражданах. Если на почту пришло подозрительное письмо или даже письмо от известной фирмы — не стоит сразу кликать на ссылку и уж тем более вводить свои данные в открывшемся окне браузера.

Фото: wk1003mike / Shutterstock.com

Коме этого, «нарваться» на фишинговую страницу можно и во время сёрфинга в интернете, а не через почту. Нередко после клика на какую-либо ссылку открываются дополнительные окна. Также могут открыться страницы сайтов популярных телеканалов или СМИ, где может быть сказано, что для продолжения просмотра необходимо авторизоваться через аккаунт Facebook или «ВКонтакте» в соответствующей форме. Верный признак обмана — форма ввода пары логин/пароль будет занимать центральное место, блокируя обзор сайта. В принципе, потенциально опасными в интернете являются вообще любые навязчивые и мешающие обзору всплывающие окна.

В целом же очевидно, что, даже несмотря на то, что в среднем фишинговая страница «живёт» не более пяти дней, в интернете и дальше будет идти борьба между антивирусами и мошенниками. Фишеры будут создавать новые страницы и придумывать более изощрённые способы обмана, а разработчики защитных приложений — распознавать их и блокировать. Отдельно стоит сказать об ответственности сотрудников банков, из-за невнимательности которых могут пострадать клиенты. Ведь сегодня «Лаборатория Касперского» знает об уже нескольких тысячах взломанных банковских аккаунтов, и пока совершенно непонятно, кто будет нести за это ответственность.

Атаки проходили в фоновом режиме

Финансовый сектор киберпреступники рассматривают, как лакомый кусок для обогащения, поэтому кража личных данных их не интересует. На протяжении последних 5 лет зафиксирован ряд крупных взломов банков в США, России и Южной Корее.

Так, осень. 2016-го произошла массовая кибератак на Сбербанк, Банк Москвы, Альфа-банк и другие крупные компании. Помимо этого, некоторые финансовые организации в мае 2017-го стали жертвами глобального вируса WannaCry. Из-за этого инцидента регулятор решил выпускать рекомендации по уменьшению риска для участников финансового сектора России.

Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявлял, что в 2017-м атаки вируса не нанесли существенного ущерба банковскому сектору страны.

«Атаки шифровальщиков для банковской отрасли прошли, что называется, в фоновом режиме. Даже не очень крупные банки, которые фактически не могут уделять большого внимания информационной безопасности, и то подобные атаки сумели отразить. И реально по финансовой системе вообще практически никакого ущерба эти атаки не нанесли», — говорил Сычев.

По мнению технического директора Check Point Software Technologies Никиты Дурова, вопрос информационной безопасности для отечественных банков в настоящее время стоит крайне остро.

«Ежедневно их услугами пользуются миллионы людей, поэтому хакеры так стремятся взломать их защиту. Кроме того, компрометация онлайн-банкинга приведет к подрыву доверия клиентов как к отдельному банку, так и к самой модели дистанционного банковского обслуживания. Взлом информационной безопасности банка даст злоумышленникам возможность получить данные о пользователях, а значит обеспечит доступ к их счетам и операциям», — отметил эксперт.

В ESET Russia считают, что хакерские атаки на финансовый сектор в основном строятся на человеческом факторе, иначе говоря — на социальной инженерии. Руководитель поддержки продаж Виталий Земских рассказал, что порой применяются и другие варианты: к примеру, атакующие могут хорошо изучить внешние веб-сервисы потенциальных жертв и с их помощью попасть в периметр. Далее они расширяют права в системе, проводят разведку и совершают атаку.

Также слабым звеном являются банкоматы, которые подвержены распространению вредоносного ПО, уязвимостям и эксплойтам.

«До недавнего времени некоторые банки следили преимущественно за защитой банкоматов от физического ущерба (кражи, подрыва и пр.), а безопасности ПО уделяли меньше внимания. Эта недоработка была использована в кибератаках», — констатирует Земских.

← Предыдущая новость

Кредиторы предупредили Киев о недопустимости давления на НАБУ

Следующая новость →

Хакеры и их инструменты

Хакеры могут взломать систему и изменить код, чтобы задать ботам новые алгоритмы. Владельцы могут даже не заметить этих изменений и продолжать использовать своё торговое ПО. Существуют и другие способы взлома ботов, торговых программ или API.

Ниже приведены примеры разных технических подходов к взлому криптоботов.

API

Как уже упоминалось, боты взаимодействуют с API бирж – специфическими интерфейсами, позволяющими автоматически размещать заявки. Как правило, эти системы имеют несколько уровней разрешений, защищённых уникальными ключами. Используя схемы фишинга, хакеры могут получить доступ к этим ключам и взломать систему.

В числе самых ярких примеров мошеннического использования API – случай Binance. API этой биржи имеет три типа разрешений: на чтение, торговлю и вывод. В июле 2020 гогда хакеры получили доступ к первым двум уровням, искусственно раздули цену монеты SYS и перевели огромные суммы на счета и на вывод, которые они контролировали ещё до этого. В результате Binance временно закрылась, выполнила сброс всех ключей и провела полное тестирование системы безопасности.

В чём же проблема? Binance – платформа с высоким уровнем безопасности, но централизованная. Профессиональные хакеры могут легко похитить ключи и получить контроль над торговыми ботами или API.

Приложения

Этот пример простой и отчасти отсылает к предыдущему. Всем известны торговые приложения для ПК или смартфонов, которые позволяют легко и удобно размещать заявки. Данные программы не являются ботами, так как требуют ручного контроля, но они тоже основаны на API, что делает их уязвимыми.

Можно вспомнить для примера фейковые приложения Poloniex, созданные мошенниками для Android. Их можно было бесплатно скачать в Google Play, поэтому пользователи просто предоставляли хакерам свою личную информацию и данные своих аккаунтов. Поддельные биржевые программы – это разновидность фишинга, используемая преступниками для получения доступа к пользовательским кошелькам или аккаунтам. Поэтому будьте осторожны и всегда используйте двухфакторную аутентификацию.

Расширения

Некоторые торговые боты могут представлять собой расширения для браузеров. Они кажутся очень удобными, поскольку позволяют торговать быстрее и всегда контролировать процесс. Однако мы советуем во что бы то ни стало избегать подобных расширений, так как они обычно вредоносны. Плагины и расширения для браузеров могут компрометировать ваше аппаратное обеспечение или просто копировать всё, что вы вводите, включая ключи и пароли.

Боты в Slack

Криптомошенники также используют различные программы и каналы Slack. В 2020 году сообщалось об атаках киберпреступников на разработчиков блокчейн-проектов посредством ботов в Slack. Хакеры используют схемы фишинга, уведомляя пользователей о потенциально выгодных сделках и предоставляя ссылку на мошеннический сайт, который просит ввести личные данные или войти в кошелёк.


Понравилась статья? Поделиться с друзьями:
Добавить комментарий