Регион

Уведомления отключены

31 октября 2016, 15:40

Как украсть у банка миллиард

Фото: © flickr.com/The Preiser Project

Сегодняшняя новость о задержании банды, специализирующейся на киберограблениях банков, не содержит детального описания схемы, которой пользовались преступники. Однако люди, сведущие в информационной безопасности, увидят в ней достаточно, чтобы опознать если не саму группировку, то использующиеся ею методы. По всей видимости, речь идёт о задержании группы Metel, либо их "коллег".

О деятельности Metel, она же Corkow, в прошлом году вкратце рассказывали "Лаборатория Касперского" и Group-IB, проводившие расследования по заданиям различных банков. На счету группы атака на биржевые терминалы казанского "Энергобанка", вызвавшая значительное колебание курса рубля к доллару, а также серия ловких ограблений банков посредством "неисчерпаемой" дебетовой карты. Следует учитывать, что термин "группировка Metel" относится ко всем преступникам, использующим Metel – троянскую программу, специализированную на получение доступа к банковским информационным системам. Поэтому вполне вероятно, что речь идёт о нескольких группах, закупивших и освоивших одного и того же троянца, и никак иначе не связанных.

Схема с неисчерпаемой дебетовкой устроена весьма изящно. Преступники массово рассылают так называемые фишинговые письма, содержание которых написано так, чтобы обмануть получателя и вынудить его открыть приложенный файл. Нечто подобное получают время от времени почти все, причём порой отправителем значится ваш реальный знакомый (например, если его компьютер заражён). В случае атаки на банк хакеры могут действовать через отдел кадров, присылая письмо якобы с резюме, через бухгалтерию, предлагая открыть скан платёжного документа, или через любого сотрудника, предлагая ему посмотреть чьи-то интимные фото. В письме всегда содержится замаскированный файл троянца, при запуске которого происходит заражение. Есть и другие методы первичного заражения, но этот — наиболее простой в исполнении и практикуется наиболее широко.

После первичного заражения троянец определяет, на чей компьютер он попал и какими полномочиями обладает жертва, затем обращается к своему серверу за получением дополнительных команд и загружает необходимые модули. Если удалось заразить компьютер сетевого администратора банка, начинается дальнейшее распространение по сети — троянец ищет компьютеры сотрудников кредитного учреждения, имеющих право отменять транзакции, проведённые в банкоматах клиентами банка.

Получив сигнал, что троянец попал куда надо, злоумышленники идут в атакованный банк получать по поддельным или украденным документам дебетовую карту. На карту вносится солидная сумма денег. Затем преступники возят эту карту по разным банкоматам в различных городах присутствия банка и везде снимают эту сумму. Один из членов банды в это время управляет внедрённым троянцем, который отменяет банкоматные транзакции по карте сразу после выдачи денег, — таким образом, она становится неисчерпаемой.

Ключевой момент тут в том, что карта выдана тем же банком, которому принадлежат "выдаиваемые" банкоматы. В этом случае транзакция идёт не через платёжную систему Visa/MasterCard/МИР, а обрабатывается исключительно внутри процессингового центра банка. Такую транзакцию банк может отменить, чем и пользуются преступники. Технически в атаке Metel ничего нового нет и, казалось бы, банки легко могли бы защититься от этого — средств хватает. На практике преступникам благоприятствует ряд обстоятельств:

— Большинство банков защищаются от вредоносных программ с помощью обычных антивирусов. Антивирусный контроль на почтовом сервере и на атакуемом компьютере эффективен, только когда антивирус "знает" именно эту версию троянца. Новые, не попадавшиеся ещё исследователям версии, практически невидимы. Более продвинутые технологии — белые списки, анализ поведения программ и так далее — создают много неудобств в работе и применяются банками лишь на самых критичных участках, например, для защиты автоматизированных рабочих мест клиента Банка России (АРМ КБР). Атака Metel проводилась через рядовые машины.

— Физическое разделение корпоративной сети и сети процессингового центра также не практикуется многими банками. У работников центра помимо поддержания бесперебойного хождения транзакций и решения оперативных задач есть ещё необходимость получать и отправлять электронную почту, пользоваться внутренними порталами банка, выходить в Интернет. Держать на рабочем месте два компьютера, подключённых к разным сегментам сети, не только затратно, но и неудобно для пользователя. В итоге присланный по почте троянец получает доступ к управлению транзакциями на том же самом компьютере.

— Тренинги по информационной безопасности производят ограниченный эффект: на десять сотрудников, усвоивших базовые правила, всегда есть один раздолбай, он-то и окажется слабым звеном. Тут сработают большие числа: если разослать, к примеру, 10 тысяч фишинговых писем (а это всего-то 100 сотрудников в 100 банках), обязательно найдётся несколько человек, склонных бездумно открывать вложения.

Учитывая масштабы украденного, инциденты такого рода крайне опасны для финансовой устойчивости банков — это уже не кража 10 тысяч рублей с карточки пенсионера, такие потери в бюджет не заложишь. Значит, меры будут приняты, иначе кто-то лишится своих банков, а кто-то — своих вкладов.

Подписаться на LIFE
  • yanews
  • yadzen
  • Google Новости
  • vk
  • ok
Комментарий
0
avatar

Новости партнеров