Системы интернет-трейдинга и брокерского обслуживания под угрозой

С ноября 2012 года специалисты Group-IB фиксируют, что владельцы банковских бот-сетей начали активный сбор информации по пользователям систем интернет-трейдинга и брокерского обслуживания.

В 2009-2010 годах, преступные группы используя различные троянские программы совершали хищения с банковских счетов именно юридических лиц. В 2011-2012 году они постепенно начали активно совершать хищения и со счетов не только юридических, но и физических лиц, что значительно увеличило их доходы. Пользователи систем интернет-трейдинга и брокерского обслуживания стали целью злоумышленников недавно.

В Group-IB были обращения по совершению мошеннических операций с использованием скомпрометированных пользовательских данных систем интернет-трейдинга и брокерского обслуживания в 2012 году, но проведённые исследования показали, что в тех мошеннических операциях были замешаны недобросовестные партнёры без использования специализированных вредоносных программ.

Теперь с уверенностью можно сказать, что следующей целью для кибер-преступников станут пользователи различных систем интернет-трейдинга и брокерского обслуживания. Принцип работы злоумышленников остаётся прежним: вредоносная программа попадая на компьютер жертвы определяет, установлено ли программное обеспечение для работы с брокерскими системами. Установлено, что вредоносные программы нацелены на пользователей систем QUICK от ARQA Technologies и FOCUS IVonline от EGAR Technology, крупнейшими клиентами которых являются «Сбербанк», «Альфа-банк» и «Промсвязьбанк».

Если вышеуказанные системы установлены на компьютере, то вредоносная программа начинает активное слежение за действиями пользователей. Собранные данные, логины/пароли и снимки экранов передаются на сервер злоумышленника для последующего анализа и проверки [23].

 

Фишинг

 

Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Часто в качестве причины, по которой пользователь должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»). На рисунке 1 приведен пример фишингового письма с требованием пройти по ссылке и обновить свои данные в системе FederalCreditUnion.

Рисунок 1 - Пример фишингового письма в системе Federal Credit Union [25]

 

Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.

Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов [25].

Целями фишинга являются — банки, электронные платежные системы, аукционы и пользователи. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.

Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка/ сайта/ провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссылке «Перейти на сайт и залогиниться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.

Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в командной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки.

Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вместо www.examplebank.com стоит www.login-examplebank.com).Также в последнее время популярный фишинговый прием — ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login/стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login.

Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников.

Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно[25].

Атаки фишеров бывают случайными и целевыми. В первом случае атака производится случайным выбором жерты. Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва пойдет на провокацию. На рисунке 2 показано пример фишингового письма — фрагмент поддельного уведомления популярной платежной системы PayPal.

Рисунок 2 - Пример фишингового письма системы PayPal [25]

 

Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. В 2003 году была создана Anti-Phishing Working Group (APWG) — группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. В настоящее время (2013 год) в APWG насчитывается более 3200 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. По оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов [25].

 

Кардинг

 

Вопреки сложившемуся стереотипу, пластиковой карте деньги не хранятся. Карточка по сути своей является аналогом ключа к банковской ячейке. Только к ячейке электронной. Значит вместо денег она хранит нечто более ценное — уникальную информацию о том, как добраться до счета «где деньги лежат».

Похитив идентификационную информацию с пластиковой карты, злоумышленник может выдать себя за хозяина карты и начать расхищать денежные средства [26].

По данным отчета 2012 года компании Symantec, разброс оптовых цен на данные кредитных карт составляет от 17 долл. за 10 карт до 300 долл. за 1 тыс. карт. Для кражи этой ценной информации злоумышленники используют все доступные методы – от фишинга и спама до мобильных технологий. По данным Symantec, в 56% случаях фишинг-атак злоумышленники маскировались под банки [24].

Кардинг и его виды

Пластиковая карта — это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту — неправильный ход. Владелец может ее хватиться и, позвонив в банк-эмитент, заблокировать. Как и в случае настоящего ключа, правильнее всего сделать его слепок, то есть снять информацию, хранящуюся на карте. И потом с дубликатом карты можно совершать похищения денежных средств.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. cardholder — владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если посмотреть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где находятся кардеры. Узкими местами проведения транзакций являются чеки-слипы(слип - документ (чек), подтверждающий проведение по банковской карте операций), POS-терминалы (кстати, банкомат — это POS-терминал с сейфом), и каналы интернета, используемые интернет-магазинами. На рисунке 3 представлены самые распространенные виды кардинга через которые мошенники осуществляют похищение данных банковских карточек.

Рисунок 3 - Виды кардинга [26]

 

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

 

 

Скимминг

Скимминг (skimming) — самый адреналиновый вид кардерства. Кардеры, занимающиеся скиммингом, должны быть весьма хладнокровны, артистичны и ловки. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа — скиммера (skimmer). Самым наглым и опасным способом скимминга является установка скиммера прямо на банкомат. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или (более дешевый вариант) записывающий их во внутреннюю флэш-память. Пример скиммера представлен на рисунке 4[26].

Рисунок 4 - Скиммер, вид спереди и сзади [26]

 

⇐ Предыдущая123456789Следующая ⇒

Поделиться:

Популярное:

1. A. Какой заголовок подходит к данному тексту?
2. B Подключите один конец шланга
3. B подшипника корпус коды размера
4. Complex Subject (Сложное подлежащее)
5. Confirmation of order — письмо-подтверждение
6. H. Приглаживание волос, одергивание одежды и другие подобные жесты
7. He все болезни от подсознания
8. I) Получение передаточных функций разомкнутой и замкнутой системы, по возмущению относительно выходной величины, по задающему воздействию относительно рассогласования .
9. I. Выберите правильную форму глагола, согласующуюся с подлежащим. Запишите составленные предложения, переведите их на русский язык.
10. I. РАЗВИТИИ ЛЕКСИЧЕСКОЙ СИСТЕМЫ ЯЗЫКА У ДЕТЕЙ С ОБЩИМ НЕДОРАЗВИТИЕМ РЕЧИ
11. II. Выпишите из текста предложения, подтверждающие следующие высказывания.
12. II. О ФИЛОСОФСКОМ АНАЛИЗЕ СИСТЕМЫ МАКАРЕНКО