Согласно отчету «Лаборатории Касперского», в 2015 году не менее 29 крупных российских банков подверглись атакам киберпреступников и потери составили миллионы долларов.
Прежде чем описать подробности современных методов атак киберпреступников следует рассказать почему о таких атаках очень мало информации, особенно если атака была успешной. Дело в том, что банку не выгодно разглашать информацию об успешно проведенной на него атаке, поскольку, в этом случае, репутационные риски могут не просто многократно превысить таковые от успешной атаки, но и привести к банкротству банка.
Именно по причине нежелания показывать слабость перед своими клиентами банки могут расследовать в строгой секретности подобные случаи самостоятельно, либо нанимать внешних консультантов по информационной безопасности, например, специалистов из «Лаборатории Касперского».
В отчете упоминаются три различных группировки, которые действовали независимо друг от друга. Объединяло их то, что в отличие от обычных атак, когда целью выступают клиенты банка, группировки забирали деньги самих банков, а не их клиентов.
Первая группировка несет ответственность за создание банковского трояна Metel, а вернее его реинкарнацией 2015 года, когда троян использовался для атак на сам банк, а не на его клиентов. Суть работы заключалась в последовательном заражении компьютеров сотрудников банка с помощью фишинговых писем или уязвимостей браузера. Получив доступ к одному компьютеру, они с помощью вполне легальных программ взламывали и остальные, пока не добирались до машины, позволявшей отменять денежные переводы (компьютер службы поддержки).
Результатом проведенной атаки стали безлимитные банковские карты – настоящая мечта любой блондинки и не только. Преступники снимали деньги с карты атакованного банка в банках-партнерах и каждый раз отменяли проведенную транзакцию.
Вторая группировка, с названием GCMAN, вместо банкоматов использовали электронные переводы, но процесс заражения компьютеров сотрудников банков был очень похож на первый вариант. С помощью фишинга сотрудника заставляли открыть вредоносное вложение. Преступники либо ждали, либо вызывали мелкие сбои системы, чтобы в системе авторизовался администратор, злоумышленники воровали его учетные данные.
Далее преступники искали компьютер способный переводить деньги на различные электронные кошельки, при этом, переводились небольшие суммы до 200 долларов, т.к. это лимит для анонимных переводов.
Однако, наибольший интерес вызвала группировка Carbanak, которая по определенным оценкам похитила около миллиарда долларов.
Первоначальное заражение осуществлялось с помощью фишинговой атаки, когда сотрудник неумышленно устанавливал вредоносное ПО. Данное ПО предназначалось для шпионажей, кражи данных и удаленного управления системой. Киберпреступники в ручном режиме рассматривали компьютеры организации, а также производили видеозапись работы компьютеров сотрудников банка, что было необходимо, т.к. в банках работа организована по-разному.
Интересны и методы съема денег злоумышленниками:
- Через банкоматы, путем подачи удаленной команды на выдачу наличных без использования самих банковских карт.
- Через системы международных переводов SWIFT на счета киберпреступников.
- Путем создания фальшивых счетов с высоким балансом.
Для снятия наличных использовались «денежные мулы» (подставные лица). Интересно, что после того, как банк «облегчали» на 2,5-10 млн. долларов, его оставляли в покое.
В заключение следует упомянуть, что по заключениям «Лаборатории Касперского» все преступники являются русскоговорящими из России и Украины, а атакам подвергались банки этих стран.
Источник: Лаборатория Касперского