В статье представлен обзор методов, которые современные киберпреступники используют для проведения атак на финансовые организации, в частности на банки. Речь пойдет об общих тенденциях в этой области и о том, как вирусописатели создают программы, ориентированные на финансовые организации, которые умеют скрывать себя от антивирусов. Мы расскажем также о фишинге, "денежных мулах" и технических приемах, которые киберпреступники используют при запуске атак (например, таких как перенаправление трафика, атаки "man-in-the-middle" и "man-in-the-endpoint"). И наконец, будут предложены рекомендации по решению проблемы защиты информации, с которой сталкиваются все пользователи систем интернет-банкинга.

Цель статьи – знакомство с прийомами провидения атак для собственного розвития ! Не применять на практике потому что ето караетса законодателством !! статтю я нашол на http://www.securelist.com !!думаю что она будет комута интересна ))

Умение скрываться от антивируса

Финансовые вредоносные программы отражают общие тенденции вредоносного ПО в выборе векторов заражения. Подавляющее большинство вредоносных программ, нацеленных на банки, заражают компьютеры через интернет. И хотя некоторое количество подобных программ по-прежнему доставляется на компьютер жертвы по электронной почте, у злоумышленников, атакующих финансовые организации, есть веские причины, чтобы предпочесть интернет.

Прежде всего, у вредоносных программ, доставляемых по электронной почте, больше шансов привлечь к себе внимание антивирусных компаний и финансовых организаций, не говоря уже о средствах массовой информации и конечных пользователях. Однако залогом успеха атак на финансовые организации является способность вредоносных программ к скрытным действиям, следовательно, загрузка их через интернет с использованием эксплойтов оказывается весьма привлекательным методом. Если пользователь не замечает ничего странного в работе своего компьютера, он будет продолжать работать в обычном режиме, а значит, будет вводить конфиденциальные данные, которые злоумышленники затем похитят и будут использовать в криминальных целях.

Во-вторых, при заражении через интернет быстрому обнаружению антивирусными решениями вредоносных программ препятствует то, что они размещаются на веб-сервере. Следовательно, киберпреступники, которые используют эти программы для проведения атак, могут легко модифицировать вредоносные файлы с помощью автоматических инструментов. Этот метод известен как "серверный полиморфизм". В отличие от обычного полиморфизма, где алгоритм, используемый для модификации кода, содержится в теле самой вредоносной программы, "серверный полиморфизм" не позволяет создателям антивирусов проанализировать алгоритм, изменяющий вредоносный код, поскольку он расположен на удаленном сервере. И хотя существует возможность разработки процедуры generic-обнаружения (обнаружения вредоносного кода по общим признакам, объединяющим вредоносные программы данного типа, а не по сигнатурам каждой конкретной программы) для программ, использующих "серверный полиморфизм", на это уходит больше времени.

Кроме того, некоторые "продвинутые" троянские программы-загрузчики, используемые для доставки вредоносного финансового ПО к месту назначения, самоуничтожаются (или "тают") после удачно или неудачно выполненной загрузки вредоносной финансовой программы. Естественно, это серьезно осложняет проведение антивирусными специалистами аналитических исследований.
"Денежные мулы" (money mules)

Увеличение потока вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Кража данных (номеров кредитных карт, кодов доступа к банковским счетам) - это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы. Очевидно, что они не могут перевести украденные деньги на собственные счета, поскольку это существенно увеличивает риск быть обнаруженными и наказанными.

Банки ответили на увеличение количества атак дополнительным вложением средств, времени и сил в создание механизмов обнаружения мошенничества и нелегальной деятельности злоумышленников. Одной из таких мер безопасности является отслеживание транзакций, при которых крупные суммы переводятся в "подозрительные" регионы.

Для того чтобы обойти ловушки, расставленные банками, злоумышленники прибегают к услугам "денежных мулов", которых на языке киберкриминала называют дропами. Их находят, размещая объявления с предложениями о работе (например, "Требуется финансовый менеджер"), при этом на первый взгляд, предлагаемая работа выглядит вполне легальной. Если соискатель принимает предложение, он получает документы, которые выглядят вполне официально и которые потенциальный "денежный мул" должен подписать для придания законности сделке. После этого его банковский счет начинают поступать деньги, из которых 85-90% "мул" переводит далее через системы электронных платежей MoneyGram или E-Gold. Этот метод гарантирует преступникам анонимность, что, безусловно, снижает вероятность быть пойманными. Деньги, оставшиеся на счету "денежного мула", являются его "комиссией", но по сути это деньги, заработанные незаконным путем с использованием фишинга или вредоносного финансового ПО.


Объявление с предложением работы для "денежных мулов"

Работа "денежного мула" может показаться легким способом зарабатывания денег, некоторые "сотрудники" даже уверены, что занимаются абсолютно легитимной деятельностью. Однако закон рассматривает их как соучастников преступления, а не как жертв, попавшихся на удочку злоумышленников. "Мулы" рискуют: их могут выследить и арестовать, особенно если они живут в той же стране, что и жертва.

Привлекать "денежных мулов" выгодно. Во-первых, если и они, и сами злоумышленники действуют в одной стране, то шансы на то, что автоматизированные банковские системы сочтут транзакции подозрительными, весьма незначительны. Во-вторых, преступники могут пользоваться услугами сразу нескольких "мулов" и переводить, например, $50 000 не одной суммой, а разбить ее на десять переводов по $5000. Это снижает вероятность вызвать подозрения и уменьшает потери в случае, если одна или две транзакции все же будут заблокированы.

Естественно, вербуя "мулов", киберпреступники рискуют – они должны быть уверены в своих помощниках. Ведь почти не существует гарантии того, что "мул" не исчезнет вместе с деньгами, переведенными на его счет.
Фишинг

Начиная разговор о фишинге, необходимо, прежде всего, дать ему точное определение. Под фишингом мы понимаем следующее: это электронные письма, присланные якобы от имени какой-либо (финансовой) организации и составленные таким образом, чтобы получатель, попавшись на удочку, сообщил свои конфиденциальные данные. Фишинг основан исключительно на методах социальной инженерии, и как только в дело вступают вредоносные программы, атака уже не может более считаться фишингом.

Нескончаемый поток фишинговых писем и появление наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя "поделиться" своими конфиденциальными данными. И причин тому несколько. Во-первых, попытки "просветить" пользователей не дают пока желаемого результата: люди упорно продолжают проходить по ссылкам, содержащимся в фишинговых рассылках. Создается впечатление, что пользователи либо не подозревают о существовании механизмов защиты (таких как https), либо не придают этому вопросу серьезного значения, либо просто игнорируют предупреждения о недействительных или недостоверных сертификатах безопасности веб-сайтов. Кроме того, в попытке максимально увеличить денежный оборот киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть пользователя, достаточно сведущего в вопросах безопасности.

Вторая причина эффективности фишинга в том, что система защиты большинства финансовых учреждений может быть легко взломана с помощью самой простой фишинг-атаки. Даже беглый взгляд на меры безопасности, принимаемые во многих банках США, Великобритании и других стран, показал, что для получения доступа в систему интернет-банкинга используются самые обычные статические логины и пароли. Все, что требуется от киберпреступников, - получить эти имена и пароли, после чего они могут свободно проводить практически любые транзакции. Еще одним минусом использования статического имени пользователя и пароля является то, что их можно сохранять в памяти компьютера, что означает, что злоумышленнику нет необходимости обрабатывать данные в режиме реального времени, эту работу можно сделать позднее.

Банки, которые более ответственно относятся к своим системам защиты, используют как минимум один динамический пароль – одноразовый пароль, который действителен только для одной сессии. Такая аутентификация может применяться как при входе в систему, так и при подтверждении транзакции, а лучше в обоих случаях. Это сделает невозможным подтверждение транзакции с помощью устаревшего пароля, а в идеале – остановит злоумышленника уже при попытке несанкционированного входа в систему.

Для того чтобы киберпреступники могли с помощью фишинга произвести транзакцию в обход установленных динамических паролей, они должны применить атаку Man-in-the-Middle (MitM). Этот тип атаки мы рассмотрим чуть ниже. Подготовить атаку Man-in-the-Middle существенно сложнее, чем запустить работу стандартного фишингового сайта. Однако сейчас появилась возможность приобрести наборы утилит для проведения атак Man-in-the-Middle, поэтому злоумышленники могут атаковать популярные банки, прилагая для этого минимум усилий.

Судя по тому что фишинг остается очень распространенным видом интернет-мошенничества, атаки с его использованиемчасто бывают вполне успешны. Однако, с точки зрения киберпреступников, у фишинга имеется один серьезный недостаток: пройти или не пройти по ссылке, содержащейся в сообщении, вводить или не вводить данные зависит только от пользователя.

Этот момент выбора присутствует всегда, когда речь идет о методах социальной инженерии. Технический подход, предусматривающий использование вредоносного программного обеспечения, исключает возможность выбора: его можно применять в отношении тех пользователей, которые не попались на удочку фишинг-мошенников.
Автоматизированные атаки

Создаваемое вредоносное финансовое ПО бывает самым разнообразным, и обычно оно "подгоняется", т.е. специально приспосабливается для атаки на конкретную организацию. Способ действия такой вредоносной программы, как правило, определяется тем, какая система безопасности установлена в компьютерной сети банка. Это значит, что киберпреступникам нет необходимости тратить время на создание чересчур сложного вредоносного ПО. Есть несколько методов, которые вирусописатели могут использовать, чтобы обойти систему защиты банка и получить пользовательские данные. Например, если в системе защиты банка применяется однофакторная аутентификация со статическим именем пользователя и паролем, то задача решается всего лишь регистрацией того, какие клавиши нажимаются. Другое дело, если банк использует динамические кнопочные панели, и пользователь должен набрать некую "произвольную" комбинацию, чтобы ввести свой пароль. "Перехитрить" систему защиты авторы вредоносных программ могут, применив один из двух методов: либо сделать снимок экрана, когда пользователь заходит на конкретный сайт, либо получить информацию, перехватив отправленную на сайт форму, заполненную пользователем. В обоих случаях похищенные данные обрабатываются позднее.

Использование кодов авторизации (Transaction Authorisation Numbers (TAN)) для подтверждения транзакции несколько усложнило получение доступа к счетам. Финансовая организация может выдать держателю счета список кодов на физическом носителе или присланный в виде SMS-сообщения. В обоих случаях у киберпреступников не будет к нему доступа. Чаще всего вредоносное ПО перехватывает вводимую пользователем информацию одним из способов, описанных выше. Как только пользователь вводит код, вредоносная программа перехватывает эту информацию и либо выдает поддельное сообщение об ошибке, либо отправляет другой, неправильный, код на сайт финансовой организации. В результате пользователю приходится вводить другой код. В некоторых финансовых организациях для завершения транзакции требуется ввести два кода (это зависит от установленной в их сети системы защиты). Если же требуется введение только одного кода, то описанная выше атака может позволить киберпреступникам совершить две транзакции.