Хакеры атакуют интернет-банки

Мне заранее жаль тех пользователей, которые формально и несерьезно относятся к защите тех компьютеров, с помощью которых  они работают с интернет-банком. Именно они, «частники», основная цель хакеров, которые готовы «приделать ноги» их финансам. Если внимательно почитать свежий отчет Group-IB, то можно отметить, что в прошлом году рынок киберпреступности в России  (оценка аналитиков CERT-GIB) составил 2,3 млрд. долл. И значимая часть этих преступных доходов пришлась именно на  мошенничества в системах интернет-банка. На этот «кусок» пришлась самая большая часть криминального финансового «пирога» —  21,3% или 490 млн. долл. в абсолютных цифрах. Интересно, что хищение электронных денег (всевозможных «виртуальных  фантиков») никак не может сравниться с атакой на системы дистанционного банковского обслуживания: он занимает всего-то 1,3%  от всего рынка или 30 млн. долл.

Кстати, если в 2010 году жертвами хищений в системах интернет-банкинга были в основном юридические лица, то годом позже все  изменилось с точностью до наоборот — всплеск хищений уже у физических лиц. Это и понятно — низкая защищенность таких систем  на стороне клиента, возможность поймать пользователя на ошиках авторизации, низкая осведомленность абонентов о технической  схеме работы таких систем и, как итог, большое количество времени от хищения до реакции и сообщения в правоохранительные  органы. Вроде бы в Госдуму внесен проект поправок в ГК РФ — согласно ему вводится «презумпция невиновности» для клиентов: в  случае кражи денег банк будет обязан возместить все потери без лишних разговоров,  но перспективы его внедрения откровенно туманны. Так что системных проектов по защите своих клиентов крупные финансово- кредитные учреждения особенно не проводят. В результате, как отмечают эксперты GroupIB, для данного вида хищений  злоумышленники активно использовали техники веб-инжектов, а также троянские программы, перенаправляющие пользователя на  фишинговый ресурс. «В результате только за последний квартал 2011 года жертвами таких троянских программ стали десятки  тысяч физических лиц, а общая сумма похищенных у них средств составила 73,5 млн. долларов».

Вопреки стереотипам о одиночках юного хакерского возраста, за деньгами пользователей охотятся полноценные преступные  группировки, которые могут себе позволить не только прямой взлом банковских систем на стороне пользователя, но и работу с  инсайдерами в финансово-кредитных учреждениях. Все чаще на рынок киберпреступности проникают традиционные организованные  преступные группировки, которые пытаются взять под свой контроль не только обналичивание похищенных денежных средств, но и  весь процесс хищения. Подобная тенденция ведет к слиянию двух преступных миров и последующему перераспределению ресурсов из  традиционных сфер контроля мафии (проституция, наркоторговля, незаконный оборот оружия и пр.) в пользу компьютерных  преступлений. Причем, преступные группы из «технарей» все чаще предлагают свои услуги «коллегам по цеху» — формируется  рынок услуг Cybercrime to Cybercrime (С2C), которые предоставляются на платной основе специализированными группами хакеров  на аутсорсинге (администрирование, обучение, консалтинг и т. д.). Таким образом, компьютерные преступления перестают быть  уделом «технарей», так как требуют, в первую очередь, не специальных знаний, а капиталовложений.

Кроме того, рост хищений денежных средств у пользователей обусловлен улучшением функциональности вредоносных программ,  ориентированных именно на различные банковские системы. В результате в декабре 2011 года, по данным Group IB, крупнейшая  «банковская» бот-сеть насчитывала около 2 млн. компьютеров: именно такое количество машин могли как «завалить» сайт банка  или платежной системы, так и передавали своим «хозяевам» всю информацию о финансовых транзакциях своих пользователей.   Самыми крупными банковскими ботсетями, которые успешно работали против российских банков, стали системы построенные на  таких вредоносных программах как Carberp, Hodprot, Shiz, Lurk, Spy.Ranbyus и Qhost. Смогли злоумышленники отреагировать и  на усиление мер защиты со стороны производителей систем ДБО и банков — в качестве ответа на эти меры они стали активно  экспериментировать со средствами удаленного доступа для проведения мошеннических операций прямо с компьютеров жертв. То  есть вирус дает возможность перехватить управление и в скрытом режиме, обладая паролями от системы ДБО, выполнить все  действия якобы от лица пользователя. Для удаленного доступа злоумышленники использовали такие средства как TeamViewer,  Hamachi, Mipko. Но «истина» оказалась рядом — наибольшее распространение получил троян, который предоставлял доступ по  протоколу Microsoft Remote Desktop.

Кроме того, в 2011 году мошенники стали широко использовать такую совершенно «замечательную» штуку, как «автоподмена и автозалив». Суть состоит в том, что вредоносная программа, в скрытом режиме, перехватывает управление системой интернет-банка пользователя и осуществляет подмену реквизитов платежного поручения в момент подписания документа и его отправки. То есть платите своему провайдеру связи — на вашем экране все отлично, но это имитация. А в это время вирус все ваш деньги отправляет на другую сторону планеты — и вы этот перевод своим переменным кодом или криптосертификатом подтверждаете. Работа с таким ПО позволяет преступникам избежать необходимости удаленного подключения либо копирования информации с пользовательского компьютера для обхода средств защиты (виртуальные клавиатуры, PIN-коды, VPN-туннели, сетевая фильтрация).

Мошенничество в системах интернет-банкинга, конечно, на спад не пойдет — в 2012 году число таких атак только увеличится, поскольку данная область деятельности продолжает приносить преступникам сверхприбыли. Судя по данным Group IB, именно «автоподмена и автозалив» будет лидерами кибер-преступлений в 2012 году. Вдобавок умножится число фальшивых ресурсов, визуально имитирующих заглавные странички интернет-банков крупных финансово-кредитных учреждений РФ. «Как показала практика, работа с фишиновыми ресурсами является трудоемкой задачей, однако даже люди с небольшой квалификацией и маленьким стартовым капиталом могут развить это направление до еще более крупных масштабов», — пишут эксперты GroupIB.

Значит ли все это, что надо заводить для интернет-банка отдельный компьютер с криптосертификатом, хорошим антивирусом и  firewall и его настройку отдать в руки профи? Если вы компания сектора СМБ — так и стоит делать. Причем, строго ограничить  число пользователей такой техники. Но если вы самый обычный клиент — это, скорее всего, нереально. Да и толку-то в этом  нет. Избавиться от множества проблем можно с помощью универсального правила — «не уверен — не делай». Да, антивирусы и  защитные программы полезны, как и токены, а также карты переменных кодов. Но главное — надо включить голову. Банки не  просят CVV вашей карты. Они не производят «перерегистрацию пользователей» дистанционно. Им не нужен ваш пароль от  интернет-банка «поскольку произошел сбой системы». А если ваш компьютер стал работать как-то медленно при выгруженной туче  программ — надо подумать о том, чтобы понять в чем причина. Все эти хитроумные хакеры не смогут проникнут на ваш компьютер,  если вы организуете даже минимальный периметр безопасности — им будет не до этого, ведь есть много беззащитных «лохов».

Максим Букин    http://i-business.ru/