|
|
В рейтинге наиболее опасных внешних угроз для интернет-банкинга, по-прежнему лидирует фишинг. Наиболее часто применяемым инструментом остается целевая рассылка потенциальным жертвам писем от имени конкретного банка, с ссылкой на web-страницу, копирующую его сайт. Преследуя цель убедить пользователя в необходимости перейти по нужной ссылке, мошенники используют богатый арсенал методов социальной инженерии: от угроз до обещания бонусов и подарков. Вкупе с технологической подготовленностью такого типа атак, они по-прежнему имеют высокий шанс на успех.
Стратегическая цель злоумышленника – извлечение максимального объема прибыли, нивелирующего высокие риски при осуществлении криминальной и полукриминальной деятельности. В идеале это «заказ» со своим «заказчиком» и «заказанным». Причем для этого злоумышленнику не надо быть высококвалифицированным хакером, способным создать полнофункциональную вредоносную платформу, включающую до десятка элементов – каждый со своей «смысловой нагрузкой». Достаточно просто сделать заказ по интернету на написание «вредоноса» с заданными параметрами, заплатить оговоренную сумму и начинать атаку, которая обычно начинается с рассылки фишинговых писем клиентам какого-либо банка.
Фишинг по-прежнему уверенно держит лидерство в рейтинге наиболее опасных внешних угроз. Согласно данным исследования Deloitte Touche Tohmatsu, 46% специалистов из числа опрошенных выдвигают угрозу фишинга на 1-е место.
APWG (Anti-Phishing Working Group) - международная антифишинговая группа, ведущая статистику по фишинг-преступлениям, в мае этого года выпустила очередной отчет Global Phishing Survey: Trends and Domain Names Use in 2H2008. Данные, приводимые APWG, малоутешительны для зоны .ru. Россия попала в топ-10 стран, ранжированных по количеству фишинговых атак в доменных зонах первого уровня, и заняла 6 место в рейтинге.
Топ-15 доменных зон первого уровня с распределением по количеству фишинг-атак
Ранг | Домен | Страна | Количество фишинговых атак 2 кв 2008 | Количество доменных имен, используемых для фишинга, 2 кв. 2008 |
Количество зарегистрированных доменов (12.2008) | Количество фишинга на 10 000 доменов, 2 кв.2008 |
Количество атак на 10 000 доменов, 2 кв. 2008 |
1 | ve | Венесуэла | 1627 | 1504 | 82500 | 182,3 | 197,2 |
2 | th | Таиланд | 170 | 88 | 39880 | 22,1 | 42,6 |
3 | su | Советский Союз | 271 | 76 | 85119 | 8,9 | 31,8 |
4 | fr | Франция | 2320 | 430 | 1 289 559 | 3,3 | 18 |
5 | bz | Белиз | 69 | 55 | 43377 | 12,7 | 15,9 |
6 | ru | Россия | 2150 | 676 | 1860179 | 3,6 | 11,6 |
7 | kr | Корея | 1104 | 413 | 983626 | 4,2 | 11,2 |
8 | ro | Румыния | 289 | 188 | 310114 | 6,1 | 9,3 |
9 | cl | Чили | 211 | 116 | 232897 | 5 | 9,1 |
10 | vn | Вьетнам | 62 | 37 | 92992 | 4 | 6,7 |
11 | jl | Израиль | 78 | 38 | 139243 | 2,7 | 5,6 |
11 | tw | Тайвань | 226 | 144 | 406669 | 3,5 | 5,6 |
13 | es | Испания | 586 | 253 | 1082757 | 2,3 | 5,4 |
14 | gr | Греция | 128 | 71 | 250000 | 2,8 | 5,1 |
15 | be | Бельгия | 430 | 240 | 859474 | 2,8 | 5 |
15 | ua | Украина | 198 | 107 | 397051 | 2,7 | 5 |
15 | mx | Мексика | 140 | 80 | 277652 | 2,9 | 5 |
15 | sk | Словакия | 87 | 31 | 172500 | 1,8 | 5 |
Источник: AWPG, 2009
Заметим, что выше в таблице располагается домен .su (Soviet Union), в котором в основном зарегистрированы русско-язычные сайты. Как видим, проблема фишинга для русского сегмента сети интернет более чем актуальна и заслуживает пристального внимания.
«Живучесть» фишинга объясняется просто. Главный вектор фишинг-атаки направлен на самое слабое звено любой современной системы безопасности – на человека. Используя естественные желания человека, социальные инженеры играют на различных обещаниях (подарков, бонусов, скидок и др.), на угрозах (от закрытия доступа к «личному кабинету» до аннулирования счёта) или даже на простом соблюдении соглашений с банком (банк «попросил» предоставить информацию – значит нужно предоставить). Наиболее часто применяемым инструментом по-прежнему является целевая рассылка потенциальным жертвам писем от имени конкретного банка, с ссылкой на web-страницу, копирующую сайт этого банка.
В самом простом варианте пользователь вводит свои учетные данные на сайте-подделке, и они тут же оказываются у его создателей. В частности, при атаке на российский филиал Citigroup, в письме содержались сообщение о переводе $2 тыс. на личный счет клиента и просьба зайти в систему Citibank Online и подтвердить перевод (будто, если подтверждения не воспоследует, сумма будет возвращена отправителю).
Показателен и совсем недавний пример атаки на одно из отделений Swedbank. Клиенты латвийского филиала банка получили электронные письма, в которых при помощи поддельной ссылки их перенаправляли на интернет-страницу мошенников, где предлагали ввести данные, в том числе о счете. К счастью, благодаря оперативным действиям специалистов банка, ни один клиент не пострадал.
Несколько более трудоёмкий способ фишинг-атаки включает подмену Web-страницы «на лету». Специальный троян, инфицировавший компьютер пользователя, может добавлять в отображаемый браузером сайт дополнительные поля, отсутствующие на оригинальной странице. Например, номер кредитной карты. Проведения такой атаки требует от злоумышленника четко знать банк или платёжную систему, которыми пользуется жертва. Именно поэтому тематические базы электронных адресов пользуются большой популярностью и являются ликвидным товаром на черном рынке.
В более сложной реализации фишинг-атаки - фарминге (pharming), пройдя по ссылке, пользователь получит на свой компьютер полный набор программ, перехватывающих его пароли, учетные данные, ключи электронной цифровой подписи и другую важную информацию, которая затем отправится прямиком на электронный адрес злоумышленника. Риск попасться на такую удочку есть и у самого внимательного пользователя, который тщательно проверяет или каждый раз вручную вводит URL-адрес своего банка. Злоумышленники могут атаковать один из серверов доменных имен (DNS), и, в случае успеха, перенаправлять пользователей, запрашивающих сайт какого-либо банка, на подложный ресурс. Конечно, вероятность того, что такая атака увенчается успехом ниже, но зато ставки (количество «пойманных» пользователей) намного выше. Кроме того, большинство существующих ныне систем электронного банкинга являются «тонкими», то есть они не требуют установки на компьютер дополнительного ПО и работают из любой точки земного шара. А значит для злоумышленника, владеющего всеми необходимыми данными, ничего не стоит «распотрошить» счет жертвы из любого Интернет-кафе, не рискуя оставить следы своей деятельности.
Что касается арсенала современных «рыбаков», по данным PandaLabs, одной из наиболее распространенных угроз для систем интернет-банкинга в 2008 году были трояны. Их главная цель – кража банковских данных жертвы для доступа к её счету. Незаметно для пользователя этот тип вредоносного кода загружается в память компьютера и активируется только тогда, когда жертвы заходят на сайт соответствующего банка. «И вновь отличились русские» - именно такой вывод делают исследователи, приводя в пример наиболее опасную группу троянов, названную «русские банковские трояны 2.0». К ним специалисты отнесли новые мутации известных «вредоносов» вроде Sinowal, Torpig, Bankolimb. Создатели этих семейств тщательно следят за постоянными обновлениями кода, что затрудняет обнаружение троянов. Общая черта вредоносов - хранение списка целевых банков и организаций в конфигурационном файле, который либо распространяется вместе с трояном, либо пересылается с контролируемого злоумышленниками сервера.
Еще одним распространенным видом мошенничества, которому нужно уделить внимание, является так называемая атака «человек в середине». При ее реализации злоумышленник вклинивается в информационный обмен между клиентом и банком, «представляясь», например, сетевым устройством. Перехватывая конфиденциальные данные (логины, пароли, одноразовые комбинации), он получает возможность производить собственные операции со счетом жертвы, передавая ей ложную информацию об успешных транзакциях. В Интернет можно найти достаточное количество специализированного ПО для реализации этой схемы мошенничества.
К сожалению, не только компьютерные средства для кражи учетных данных банковских клиентов могут быть использованы мошенниками. Недавно появившаяся технология отправки пользователям одноразовых паролей по SMS недолго оставалась надежной. В последнее время было проведено несколько успешных атак на счета клиентов «Альфа-банка», данные инциденты получили широкую огласку в прессе и на банковских форумах. В упомянутом случае, злоумышленники подделали доверенности на перевыпуск сим-карт клиентов банка и оперативно сняли деньги, используя полученные от банка одноразовые пароли.
Также для кражи денег со счетов используются телефоны с некорректной прошивкой, которые можно приобрести на «сером» рынке по цене до 25 000 долларов. Например, Nokia 1100, изготовленные на фабрике Nokia в г. Бохум (Германия). Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. Найденные проблемы позволяют перепрограммировать аппарат и перехватывать с его помощью одноразовые пароли, передаваемые по SMS.
Денис Калемберг, Ника Комарова