Успех подобной атаки в большой степени зависит от особенностей системы авторизации. Некоторые системы не ограничивают срок действия кодов авторизации транзакции, и следующим вводимым кодом оказывается тот, что идет следующим в списке. Если следующий по списку код не попадает на сайт финансовой организации, злоумышленники могут либо воспользоваться им немедленно, либо сохранить его и использовать позднее. Однако украденные коды менее "долговечны", чем статические имя пользователя и пароль, потому что, если у пользователя постоянно будут возникать проблемы во время банковской онлайн-сессии, то он, скорее всего, позвонит в банк и попросит о помощи.

Если коды авторизации отправляются держателю счета в виде SMS-сообщений, то для каждой отдельной транзакции будет предоставляться отдельный код (подобно методу двухфакторной аутентификации). С этого момента киберпреступники начинают обрабатывать информацию в режиме реального времени, применяя атаку Man-in-the-Middle.
Перенаправление трафика

Еще один метод в арсенале киберпреступников – перенаправление трафика. Для этого есть несколько способов. Самый простой – модифицировать файл hosts (системный файл Windows). Этот файл, расположенный в директории %windows%\system32\drivers\etc, может быть использован для того, чтобы обойти запросы к DNS-серверу (Domain Name Server). DNS-сервер преобразует доменные имена, например www.kaspersky.com, в IP-адреса. Имена доменов нужны исключительно для удобства пользователей; компьютерам для соединения с узлом необходим IP-адрес. Если файл hosts модифицировать так, чтобы он перенаправлял запросы с определенным доменным именем на IP-адрес фальшивого сайта, компьютер соединится с этим последним.

Еще один тип атак, связанный с перенаправлением трафика – изменение настроек DNS-сервера. Вместо того, чтобы избежать отправки запроса на легальный DNS-сервер, настройки меняются, таким образом, чтобы компьютер использовал иной, вредоносный DNS-сервер. Большинство людей, подключающихся к интернету с домашнего компьютера, отправляют запросы на DNS-сервер своего интернет-провайдера. Поэтому подавляющее большинство таких атак ориентировано на рабочие станции. Однако если для получения доступа в интернет используется маршрутизатор, то по умолчанию DNS-запросы выполняет он, передавая их результаты на рабочие станции. Было отмечено несколько атак на маршрутизаторы, целью которых было изменить настройки DNS на маршрутизаторе . Учитывая повышенный интерес к плохой защищенности маршрутизаторов, следует ожидать, что атаки на них станут более распространенными. Для изменения ключевых настроек модификации отдельных установок, таких как установки используемых DNS-серверов, могут быть применены атаки XSS (Сross Site Sсriрting), для проведения которых нужно, чтобы пользователь посетил определенный сайт в интернете.

Перенаправлять трафик можно и установив на компьютер-жертву троянскую программу, которая отслеживает посещение интернет-сайтов. Как только пользователь соединяется с сайтом банка или другой финансовой организации, троянец перенаправляет трафик на фальшивый сайт. Это можно сделать с сайта, использующего протокол HTTPS, на сайт HTTP (потенциально небезопасный): тогда троянец, как правило, может блокировать любое предупреждающее сообщение, посылаемое браузером.

С точки зрения киберпреступников, у этого метода есть свои недостатки: такие троянские программы обычно представляют собой так называемые Browser Helper Objects, которые работают только в Internet Explorer. Кроме того, хотя трафик и перенаправлен, передаваемые данные нельзя обрабатывать в режиме реального времени, что дает жертве возможность связаться со своим банком и остановить транзакцию.

Атака Man-in-the-Middle

В более сложном вредоносном ПО применяется атака Man-in-the-Middle (MitM), которая позволяет киберпреступникам не только поразить больше банков, но и гарантированно получить более высокую прибыль, поскольку информация обрабатывается в реальном времени. При атаке Man-in-the-Middle используется вредоносный сервер, который перехватывает весь трафик между контрагентами, т.е. между клиентом и финансовой организацией. Пользователь не замечает ничего подозрительного, и, когда его просят разрешить транзакцию, на самом деле он разрешает транзакцию, осуществляемую киберпреступниками. Вредоносное ПО, применяющее атаку MitM, обычно либо скрывает уведомления браузера о фальшивом сертификате безопасности веб-сайта, либо (что случается чаще) показывает фальшивое уведомление. Однако в зависимости от подхода, реализованного авторами вредоносной программы, ей может не потребоваться ни того, ни другого. Например, пользователь заходит на сайт банка, вредоносная программа получает контроль над трафиком и перенаправляет его на MitM-сервер; вредоносная программа лишь "обновляет" банковскую страницу, создавая у пользователя впечатление, что он по-прежнему находится на сайте банка.

Во многих сложных финансовых вредоносных программах, предназначенных для проведения атак MitM, используются также HTML-инъекции.

Как правило, это происходит следующим образом. Троянская программа Trojan-Spy.Win32.Sinowal, принадлежащая семейству вредоносных программ, которые могут атаковать более 750 банков, часто показывает всплывающие окна, куда пользователь должен ввести данные. Sinowal может показывать и всплывающие окна, где запрашивается не имеющая прямого отношения к делу информация, пытаясь убедить пользователя ввести другие конфиденциальные данные. Ниже приведен пример скриншота, показывающий всплывающее окно, созданное троянцем Sinowal на сайте банка. У пользователя запрашиваются реквизиты кредитной карты, которые не имеют отношения к текущей транзакции.


Более распространенным способом использования HTML-инъекций является размещение на интернет-странице банка дополнительной формы, при заполнении которой требуется ввести дополнительную информацию.

Как правило, запрашиваемые данные – это имя пользователя и пароль, необходимые для совершения транзакции. Таким образом сервер, проводящий атаку Man-in-the-Middle, может автоматически завершить транзакцию даже в тех случаях, когда используется двухфакторная аутентификация.

И хотя нельзя сказать, что успешное завершение атаки Man-in-the-Middle невозможно без использования этого метода, он легче других поддается автоматизации. Однако некоторые атаки Man-in-the-Middle применяют другую тактику. Они или добавляют еще одну транзакцию, или модифицируют уже подтвержденную клиентом транзакцию, разумеется, не уведомляя об этом жертву.

Обычно атаки Man-in-the-Middle проходят успешно, но с точки зрения киберпреступников, у них есть определенные недостатки. MitM-атаки существенно замедляют работу браузера, что может вызвать подозрения у пользователя. Кроме того, банки пересматривают подход к системам защиты, и пытаются выявить незаконные транзакции эвристическими методами. Например, если клиент входит в систему с определенного IP-адреса 99 раз, а в сотый раз он делает это с IP-адреса, зарегистрированного в другой стране, система подаст сигнал о возможной угрозе безопасности.

Стараясь максимально увеличить свою прибыль и остаться при этом на свободе, киберпреступники изучают другие способы проведения атак. В результате мы наблюдаем усиление активности так называемого следующего поколения вредоносного финансового ПО – атак Man-in-the-Endpoint.
Следующее поколение

Концепция атак Man-in-the-Endpoint обсуждается на протяжении уже нескольких лет, однако лишь недавно эти атаки стали активно применяться. В отличие от атаки Man-in-the-Middle атака Man-in-the-Endpoint не использует дополнительный сервер для перехватывания трафика между клиентом и сервером: все изменения происходят в локальной системе.

У такого подхода есть несколько важных преимуществ. Во-первых, соединение с компьютерной системой финансовой организации устанавливается напрямую, и тогда незаконная транзакция не привлечет к себе внимания тем, что пользователь вошел в систему с неизвестного IP-адреса. Во-вторых, атака Man-in-the-Endpoint более эффективна в борьбе со сложными системами защиты, чем атака Man-in-the-Middle.

Однако создание атаки Man-in-the-Endpoint требует от писателя вредоносных программ времени и усилий. Один из сценариев атаки – заражение системы троянской программой, предназначенной для перехвата всего трафика HTTPS и отправки его вирусописателям. Анализ перехваченного трафика позволяет вирусописателям получить представление об особенностях работы сайта и создать еще одну троянскую программу, специально предназначенную для атаки на этот сайт.

Киберпреступники обычно используют Man-in-the-Endpoint для атаки на банки с двухфакторной системой аутентификации, затрудняющей получение несанкционированного доступа к разделу на сайте банка, используемому для проведения транзакций. Метод, описанный выше, эффективен с технической точки зрения. Он также избавляет от необходимости привлекать инсайдеров, т.е. работников финансовой организации, способных предоставить преступнику достоверные имена пользователей и пароли для входа на ее сайт.

Троянские программы, используемые для атаки, часто имеют возможность получать информацию с сервера управления, где преступники хранят данные о номерах счетов и количестве денег, которые следует перевести. В результате каждый зараженный компьютер в динамическом режиме получает сведения, на основании которых он переводит средства соответствующим "денежным мулам".

Примечательно, что вирусописатели создают варианты вредоносной программы в соответствии со специфическими механизмами защиты банка. Это делается для того, чтобы максимально увеличить эффективность атаки. Например, в одном банке троянец тайком добавляет новую транзакцию, в другом – скрытно подменяет транзакцию пользователя, чтобы не вызвать подозрений.

Решения

Потери финансовых организаций в результате деятельности киберпреступников растут во всем мире. Установка более надежных систем защиты стоит больших денег, но очевидно, что банкам придется пойти на эти траты. Рассказанное в этой статье наглядно демонстрирует, что однофакторная аутентификация легко преодолевается злоумышленниками: все, что для этого требуется, – это простая программа-кейлоггер для перехвата вводимой с клавиатуры информации. Обнадеживает то, что многие банки, в которых еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать.

Однако сегодня наметилась четкая тенденция: рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению количества вредоносного ПО, способного обойти и этот способ защиты. Это значит, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для писателей вредоносного финансового ПО.

С другой стороны, следует отметить, что большинство банков, использующих в настоящее время двухфакторную систему аутентификации, до сих пор не настроили ее так, чтобы она обеспечивала максимальную степень защиты. Это значит, что создатели систем IT-безопасности могут повысить уровень защиты финансовых организаций, оптимизируя настройки установленной системы.

Тем не менее, у двухфакторной аутентификации существует серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или SMS-сообщений (которые уже применяются некоторыми финансовыми организациями). С помощью SMS-сообщений можно устанавливать ограничение на срок действия кодов авторизации, на доступные для совершения транзакции номера счетов, на максимально допустимую сумму транзакции.

Очевидно, что у последнего метода есть потенциальные недостатки – его широкое использование приведет к тому, что вирусописатели будут создавать вредоносные программы для устройств, которые принимают SMS-сообщения. И в этом случае криптографическое устройство доступа – хорошее решение, поскольку установить какое-либо дополнительное программное обеспечение на него невозможно. В идеале такое устройство должно иметь отдельные алгоритмы для входа на сайт и для подтверждения транзакции.

В настоящее время при подтверждении транзакции от пользователей требуется криптографическая верификация. Но проблема в том, что коды верификации не несут для пользователя никакой смысловой нагрузки. Поэтому для каждой транзакции нужно проводить дополнительную верификацию. Использование для этого суммы транзакции –не самый безопасный способ, поскольку некоторые троянские программы уже "справляются" с этим механизмом, изменяя номер счета вместо проведения дополнительных транзакций.

Верификация, обеспечивающая должный уровень безопасности, могла бы включать в себя требование к пользователю ввести реквизиты счета, на который он хочет перевести деньги, т.е. ту информацию, которой нет у вредоносных программ и у киберпреступников. Преимущество такого сценария в том, что пользователь самостоятельно вводит номер счета. Теоретически это означает, что у него больше шансов обнаружить подложную транзакцию, чем в том случае, если бы он просто вводил данные, присланные в SMS-сообщении.

Кроме того, подобный механизм можно сделать более удобным для пользователя, предусмотрев возможность создания белого списка номеров счетов, для доступа к которым не требуется дополнительная аутентификация. Однакоэто потребует защиты как самого белого списка, так и для процедуры доступа к нему.

Очевидно, что многое зависит от самих финансовых организаций и банков, от их желания принимать надлежащие меры защиты. Обеспечение безопасности интернет-банкинга – сравнительно новая проблема, и на создателей антивирусного ПО в этой связи ложится дополнительная ответственность: способны ли решения для защиты от информационных угроз обнаруживать последние варианты современных вредоносных финансовых программ, в состоянии ли они заблокировать фишинг-атаки?

И последнее, но не менее важное: любая система или процедура безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В данном случае это пользователь. Станет ли он проходить по ссылке или запускать приложение? Установлены ли в его системе все необходимые обновления? Часть финансовых организаций уже учитывают эти факторы, а некоторые (например, в Новой Зеландии) даже отказываются возмещать убытки, если в системе, подвергшейся атаке, не были установлены все необходимые обновления.

К сожалению, опыт показывает, что попытки обучения пользователей не слишком продуктивны и что меры безопасности, принимаемые организациями, часто бывают бессистемными. Следовательно, когда дело доходит до атак на банки, антивирусная индустрия вновь оказывается на передовой, защищая как пользователей, так и финансовые организации.

автор Роул Шоуэнберг