Мне заранее жаль тех пользователей, которые формально и несерьезно относятся к защите тех компьютеров, с помощью которых они работают с интернет-банком. Именно они, “частники”, основная цель хакеров, которые готовы “приделать ноги” их финансам. Если внимательно почитать свежий отчет Group-IB, то можно отметить, что в прошлом году рынок киберпреступности в России (оценка аналитиков CERT-GIB) составил 2,3 млрд. долл. И значимая часть этих преступных доходов пришлась именно на мошенничества в системах интернет-банка. На этот “кусок” пришлась самая большая часть криминального финансового “пирога” – 21,3% или 490 млн. долл. в абсолютных цифрах. Интересно, что хищение электронных денег (всевозможных “виртуальных фантиков”) никак не может сравниться с атакой на системы дистанционного банковского обслуживания: он занимает всего-то 1,3% от всего рынка или 30 млн. долл.
Кстати, если в 2010 году жертвами хищений в системах интернет-банкинга были в основном юридические лица, то годом позже все изменилось с точностью до наоборот – всплеск хищений уже у физических лиц. Это и понятно – низкая защищенность таких систем на стороне клиента, возможность поймать пользователя на ошиках авторизации, низкая осведомленность абонентов о технической схеме работы таких систем и, как итог, большое количество времени от хищения до реакции и сообщения в правоохранительные органы. Вроде бы в Госдуму внесен проект поправок в ГК РФ – согласно ему вводится “презумпция невиновности” для клиентов: в случае кражи денег банк будет обязан возместить все потери без лишних разговоров, но перспективы его внедрения откровенно туманны. Так что системных проектов по защите своих клиентов крупные финансово- кредитные учреждения особенно не проводят. В результате, как отмечают эксперты GroupIB, для данного вида хищений злоумышленники активно использовали техники веб-инжектов, а также троянские программы, перенаправляющие пользователя на фишинговый ресурс. “В результате только за последний квартал 2011 года жертвами таких троянских программ стали десятки тысяч физических лиц, а общая сумма похищенных у них средств составила 73,5 млн. долларов”.
Вопреки стереотипам о одиночках юного хакерского возраста, за деньгами пользователей охотятся полноценные преступные группировки, которые могут себе позволить не только прямой взлом банковских систем на стороне пользователя, но и работу с инсайдерами в финансово-кредитных учреждениях. Все чаще на рынок киберпреступности проникают традиционные организованные преступные группировки, которые пытаются взять под свой контроль не только обналичивание похищенных денежных средств, но и весь процесс хищения. Подобная тенденция ведет к слиянию двух преступных миров и последующему перераспределению ресурсов из традиционных сфер контроля мафии (проституция, наркоторговля, незаконный оборот оружия и пр.) в пользу компьютерных преступлений. Причем, преступные группы из “технарей” все чаще предлагают свои услуги “коллегам по цеху” – формируется рынок услуг Cybercrime to Cybercrime (С2C), которые предоставляются на платной основе специализированными группами хакеров на аутсорсинге (администрирование, обучение, консалтинг и т. д.). Таким образом, компьютерные преступления перестают быть уделом «технарей», так как требуют, в первую очередь, не специальных знаний, а капиталовложений.
Кроме того, рост хищений денежных средств у пользователей обусловлен улучшением функциональности вредоносных программ, ориентированных именно на различные банковские системы. В результате в декабре 2011 года, по данным Group IB, крупнейшая «банковская» бот-сеть насчитывала около 2 млн. компьютеров: именно такое количество машин могли как “завалить” сайт банка или платежной системы, так и передавали своим “хозяевам” всю информацию о финансовых транзакциях своих пользователей. Самыми крупными банковскими ботсетями, которые успешно работали против российских банков, стали системы построенные на таких вредоносных программах как Carberp, Hodprot, Shiz, Lurk, Spy.Ranbyus и Qhost. Смогли злоумышленники отреагировать и на усиление мер защиты со стороны производителей систем ДБО и банков – в качестве ответа на эти меры они стали активно экспериментировать со средствами удаленного доступа для проведения мошеннических операций прямо с компьютеров жертв. То есть вирус дает возможность перехватить управление и в скрытом режиме, обладая паролями от системы ДБО, выполнить все действия якобы от лица пользователя. Для удаленного доступа злоумышленники использовали такие средства как TeamViewer, Hamachi, Mipko. Но “истина” оказалась рядом – наибольшее распространение получил троян, который предоставлял доступ по протоколу Microsoft Remote Desktop.
Кроме того, в 2011 году мошенники стали широко использовать такую совершенно “замечательную” штуку, как “автоподмена и автозалив”. Суть состоит в том, что вредоносная программа, в скрытом режиме, перехватывает управление системой интернет-банка пользователя и осуществляет подмену реквизитов платежного поручения в момент подписания документа и его отправки. То есть платите своему провайдеру связи – на вашем экране все отлично, но это имитация. А в это время вирус все ваш деньги отправляет на другую сторону планеты – и вы этот перевод своим переменным кодом или криптосертификатом подтверждаете. Работа с таким ПО позволяет преступникам избежать необходимости удаленного подключения либо копирования информации с пользовательского компьютера для обхода средств защиты (виртуальные клавиатуры, PIN-коды, VPN-туннели, сетевая фильтрация).
Мошенничество в системах интернет-банкинга, конечно, на спад не пойдет – в 2012 году число таких атак только увеличится, поскольку данная область деятельности продолжает приносить преступникам сверхприбыли. Судя по данным Group IB, именно “автоподмена и автозалив” будет лидерами кибер-преступлений в 2012 году. Вдобавок умножится число фальшивых ресурсов, визуально имитирующих заглавные странички интернет-банков крупных финансово-кредитных учреждений РФ. “Как показала практика, работа с фишиновыми ресурсами является трудоемкой задачей, однако даже люди с небольшой квалификацией и маленьким стартовым капиталом могут развить это направление до еще более крупных масштабов”, – пишут эксперты GroupIB.
Значит ли все это, что надо заводить для интернет-банка отдельный компьютер с криптосертификатом, хорошим антивирусом и firewall и его настройку отдать в руки профи? Если вы компания сектора СМБ – так и стоит делать. Причем, строго ограничить число пользователей такой техники. Но если вы самый обычный клиент – это, скорее всего, нереально. Да и толку-то в этом нет. Избавиться от множества проблем можно с помощью универсального правила – “не уверен – не делай”. Да, антивирусы и защитные программы полезны, как и токены, а также карты переменных кодов. Но главное – надо включить голову. Банки не просят CVV вашей карты. Они не производят “перерегистрацию пользователей” дистанционно. Им не нужен ваш пароль от интернет-банка “поскольку произошел сбой системы”. А если ваш компьютер стал работать как-то медленно при выгруженной туче программ – надо подумать о том, чтобы понять в чем причина. Все эти хитроумные хакеры не смогут проникнут на ваш компьютер, если вы организуете даже минимальный периметр безопасности – им будет не до этого, ведь есть много беззащитных “лохов”.
Максим Букин http://i-business.ru/