Трояны заражают банковские IT-системы 500 тыс раз ежемесячно

Рынок финансовых мошенничеств становится все более организованным, а трояны, нацеленные на электронные банковские системы, - все более изощренными. За первые три квартала 2013 г. число финансовых троянов возросло в три раза, и на сегодняшний день они являются одним из самых распространенных типов угроз. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем.

«Потому что там были деньги!» - такой ответ якобы дал известный в США грабитель банков, Вилли Саттон, когда его спросили, почему он совершал свои преступления. И хотя на самом деле Саттон этих слов не говорил, они - чистая правда.

Это также верно, когда речь заходит о современных вредоносных программах в сфере финансов. Электронные банковские системы – это то место, где сейчас осуществляются все денежные операции, и именно поэтому они привлекают внимание злоумышленников. Не является неожиданностью так же и то, что трояны, нацеленные против электронных банковских систем, становятся все более изощренными. Одним из таких примеров является недавно упомянутый специалистами Symantec троян Neverquest, преемник Trojan.Snifula, который впервые появился еще в 2006 г., однако применяется до сих пор.

В 2007 г. появился продвинутый финансовый троян под названием Zbot (Zeus). Он был создан Российским вирусописателем под ником Slavik/Monstr и продавался на черном рынке за тысячи долларов. Два года спустя у этого трояна появился конкурент под названием Spyeye, автором которого был некий Gribodemon. Цена нового продукта была более доступной и составляла $700. Подпольный рынок финансовых троянов процветал.

С тех пор рынок претерпел значительные изменения: в 2011 г. исходный код Zeus был украден и выложен в открытый доступ, что привело к резкому обвалу его цены. С этого момента начало появляться множество версий Zeus, включая доработанные Ice IX и Citadel, которые стали бороться за рынок. Банды киберпреступников также создали альтернативные варианты Zeus, предназначенные для частного использования, как, например, знаменитый Gameover, который появился в июле 2011 г. Через месяц после публикации исходного кода Zeus некто Xylibox путем взлома получил доступ к исходному коду Spyeye, что привело к аналогичному обвалу цены. На данный момент какая-либо информация о дальнейшей разработке двух этих троянов их создателями отсутствует. Многие нынешние финансовые трояны позаимствовали приемы и архитектуру Spyeye и Zeus.

К маю 2003 г. существовало около 20 различных банковских троянов. И по мере того как финансовые учреждения укрепляли защиту и системы выявления мошенничеств, злоумышленники приспосабливались. С тех пор появилось множество банковских троянов. К сожалению, внедрение новых, надежных технологий защиты происходит довольно медленно, и злоумышленники успешно пользуются уязвимостями нынешних, пока еще несовершенных, механизмов. За последние несколько лет трояны стали значительно более изощренными, и именно финансовые трояны на сегодняшний день являются одним из самых распространенных типов угроз.

За первые девять месяцев 2013 г. число случаев заражения финансовых учреждений увеличилось на 337%. Это почти полмиллиона заражений в месяц. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем. В этих файлах хранится информация об атакуемых URL-адресах, а также о стратегии атаки. Стратегии варьируются от простого перенаправления пользователей до сложных веб-инжектов (Web-injects), способных автоматически осуществлять транзакции в фоновом режиме. Проанализированные конфигурационные файлы содержали более 2000 адресов, принадлежащих 1486 организациям-жертвам, из которых почти 95% – финансовые учреждения. Оставшиеся 5% – это компании, предлагающие онлайн-услуги, например СМИ, сайты поиска работы, аукционы и сервисы электронной почты. Это указывает на широкий охват таких троянов: злоумышленники атакуют любые цели, способные принести прибыль. Объектами атак являются финансовые учреждения практически всех типов – от коммерческих банков до кредитных кооперативов. Основной целью злоумышленников являются сайты классических банков, однако, помимо этого, в качестве потенциальных объектов атак рассматриваются и  учреждения нового типа. В попытках максимизировать прибыль злоумышленники начинают атаковать популярные и, соответственно, прибыльные сети финансовых транзакций, такие как американская Automated Clearing House, а также европейская Single Euro Payments Area (SEPA), подвергшаяся атаке совсем недавно.

Злоумышленники выходят и на новые рынки, расширяют сферу своей деятельности и ищут новые цели, против которых бы работали существующие приемы. В таких регионах, как Ближний Восток, Африка и Азия, число объектов атак продолжает расти. При этом густонаселенные и богатые районы представляют для них больший интерес, и именно поэтому такие районы, как Саудовская Аравия, Объединенные Арабские Эмираты, Гонконг и Япония, недавно подверглись многочисленным атакам.

Современные финансовые трояны отличаются невероятной гибкостью и поддерживают широкий спектр приемов, помогающих упростить осуществление мошеннических транзакций в различных банковских системах. Такие трояны во многом схожи между собой. Так, например, техника MITB (Man in the Browser, «Человек-в-браузере») характерна для всех рассмотренных экземпляров. Степень же изощренности атаки зависит от уровня защищенности конкретного учреждения - в конечном итоге, выбор трояна зависит от финансовых ресурсов злоумышленника и того, насколько продвинута система защиты атакуемого учреждения.

По данным исследования, наиболее часто атакуемый банк расположен на территории США, и его данные присутствовали в 71,5% всех проанализированных конфигурационных файлов. Другие банки из Топ-15 самых атакуемых были обнаружены более чем в 50% всех конфигурационных файлов. Это значит, что каждый второй троян был нацелен хотя бы на один из этих банков. Вероятно, такой высокий показатель связан с тем, что эти URL выступают в качестве примеров при конфигурировании троянов. Другая причина может состоять в том, что эти трояны все еще работают против этих организаций, т. к. не все фирмы успели обновить свои системы защиты.

Конечно, большинство организаций осведомлены об этих угрозах и внедряют новые механизмы защиты, способные блокировать подобные атаки. К сожалению, на внедрение новых технологий требуются время и средства, так что здесь злоумышленники всегда будут обладать преимуществом. В конечном итоге, слабым звеном любой финансовой операции остается пользователь, и даже лучшие технологии не гарантируют защиты от атак, использующих методы социальной инженерии. Можно ожидать, что в ближайшие годы троянские атаки на финансовые учреждения продолжатся.

Ключевые пункты исследования:

  • Объектами атак с использованием финансовых троянов являются более 1400 финансовых учреждений;
  • Более 50% троянов атаковали топ-15 финансовых учреждений мира;
  • Самый «популярный» банк расположен в США, и он был атакован 71,5% из всех проанализированных троянов;
  • Распознаны две основные стратегии атаки: «сфокусированная атака» и «крупные мазки»;
  • Объектами атак стали учреждения в 88 странах;
  • Продолжается расширение зоны действий мошенников за счет регионов Ближнего востока, Африки и Азии;
  • Теперь объектами атак становятся не только электронные банковские системы, но и компании, занимающиеся иными видами деятельности;
  • Существующие приемы совершенствуются: обеспечивается автоматизация и повышается точность;
  • За первые три квартала 2013 г. число финансовых троянов возросло в три раза.
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Глава Apple: У Google есть проблемы конфиденциальности, но они лучшие

В вопросе недавних претензий к корпорации Google и использовании соответствующей поисковой системы Тим Кук встал на сторону интернет-гиганта. Отвечая журналистам, глава Apple признал наличие у Google проблем конфиденциальности, однако выступил также в защиту использования поисковой системы на корпоративных устройствах.

Заданный Куку вопрос касался миллиардов долларов, которые Google якобы платит Apple за установку ее поисковой системы по умолчанию в продуктах компании. Журналист подчеркнул, что политики Apple и Google в отношении обращения с персональными данными не совпадают.

«На мой взгляд, их поисковая система — лучшая на данный момент», — ответил Кук в интервью Axios.

Глава Apple также добавил, что браузер Safari, используемый по умолчанию во всех операционных системах компании, оснащен специальными возможностями, которые не позволят корпорациям вроде Google отслеживать активность пользователей.

Кук согласился с тем, что даже столь серьезные настройки конфиденциальности — не панацея, и компании все еще предстоит долгий путь борьбы со сбором информации о пользователях и отслеживанию их поведения в Сети.

Другой основатель «яблочной» корпорации Стив Возняк также высказался по поводу отношения современных интернет-гигантов к пользователям. Под критику знаменитого программиста попали методы Facebook и Марка Цукерберга.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru