Трояны заражают банковские IT-системы 500 тыс раз ежемесячно

Рынок финансовых мошенничеств становится все более организованным, а трояны, нацеленные на электронные банковские системы, - все более изощренными. За первые три квартала 2013 г. число финансовых троянов возросло в три раза, и на сегодняшний день они являются одним из самых распространенных типов угроз. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем.

«Потому что там были деньги!» - такой ответ якобы дал известный в США грабитель банков, Вилли Саттон, когда его спросили, почему он совершал свои преступления. И хотя на самом деле Саттон этих слов не говорил, они - чистая правда.

Это также верно, когда речь заходит о современных вредоносных программах в сфере финансов. Электронные банковские системы – это то место, где сейчас осуществляются все денежные операции, и именно поэтому они привлекают внимание злоумышленников. Не является неожиданностью так же и то, что трояны, нацеленные против электронных банковских систем, становятся все более изощренными. Одним из таких примеров является недавно упомянутый специалистами Symantec троян Neverquest, преемник Trojan.Snifula, который впервые появился еще в 2006 г., однако применяется до сих пор.

В 2007 г. появился продвинутый финансовый троян под названием Zbot (Zeus). Он был создан Российским вирусописателем под ником Slavik/Monstr и продавался на черном рынке за тысячи долларов. Два года спустя у этого трояна появился конкурент под названием Spyeye, автором которого был некий Gribodemon. Цена нового продукта была более доступной и составляла $700. Подпольный рынок финансовых троянов процветал.

С тех пор рынок претерпел значительные изменения: в 2011 г. исходный код Zeus был украден и выложен в открытый доступ, что привело к резкому обвалу его цены. С этого момента начало появляться множество версий Zeus, включая доработанные Ice IX и Citadel, которые стали бороться за рынок. Банды киберпреступников также создали альтернативные варианты Zeus, предназначенные для частного использования, как, например, знаменитый Gameover, который появился в июле 2011 г. Через месяц после публикации исходного кода Zeus некто Xylibox путем взлома получил доступ к исходному коду Spyeye, что привело к аналогичному обвалу цены. На данный момент какая-либо информация о дальнейшей разработке двух этих троянов их создателями отсутствует. Многие нынешние финансовые трояны позаимствовали приемы и архитектуру Spyeye и Zeus.

К маю 2003 г. существовало около 20 различных банковских троянов. И по мере того как финансовые учреждения укрепляли защиту и системы выявления мошенничеств, злоумышленники приспосабливались. С тех пор появилось множество банковских троянов. К сожалению, внедрение новых, надежных технологий защиты происходит довольно медленно, и злоумышленники успешно пользуются уязвимостями нынешних, пока еще несовершенных, механизмов. За последние несколько лет трояны стали значительно более изощренными, и именно финансовые трояны на сегодняшний день являются одним из самых распространенных типов угроз.

За первые девять месяцев 2013 г. число случаев заражения финансовых учреждений увеличилось на 337%. Это почти полмиллиона заражений в месяц. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем. В этих файлах хранится информация об атакуемых URL-адресах, а также о стратегии атаки. Стратегии варьируются от простого перенаправления пользователей до сложных веб-инжектов (Web-injects), способных автоматически осуществлять транзакции в фоновом режиме. Проанализированные конфигурационные файлы содержали более 2000 адресов, принадлежащих 1486 организациям-жертвам, из которых почти 95% – финансовые учреждения. Оставшиеся 5% – это компании, предлагающие онлайн-услуги, например СМИ, сайты поиска работы, аукционы и сервисы электронной почты. Это указывает на широкий охват таких троянов: злоумышленники атакуют любые цели, способные принести прибыль. Объектами атак являются финансовые учреждения практически всех типов – от коммерческих банков до кредитных кооперативов. Основной целью злоумышленников являются сайты классических банков, однако, помимо этого, в качестве потенциальных объектов атак рассматриваются и  учреждения нового типа. В попытках максимизировать прибыль злоумышленники начинают атаковать популярные и, соответственно, прибыльные сети финансовых транзакций, такие как американская Automated Clearing House, а также европейская Single Euro Payments Area (SEPA), подвергшаяся атаке совсем недавно.

Злоумышленники выходят и на новые рынки, расширяют сферу своей деятельности и ищут новые цели, против которых бы работали существующие приемы. В таких регионах, как Ближний Восток, Африка и Азия, число объектов атак продолжает расти. При этом густонаселенные и богатые районы представляют для них больший интерес, и именно поэтому такие районы, как Саудовская Аравия, Объединенные Арабские Эмираты, Гонконг и Япония, недавно подверглись многочисленным атакам.

Современные финансовые трояны отличаются невероятной гибкостью и поддерживают широкий спектр приемов, помогающих упростить осуществление мошеннических транзакций в различных банковских системах. Такие трояны во многом схожи между собой. Так, например, техника MITB (Man in the Browser, «Человек-в-браузере») характерна для всех рассмотренных экземпляров. Степень же изощренности атаки зависит от уровня защищенности конкретного учреждения - в конечном итоге, выбор трояна зависит от финансовых ресурсов злоумышленника и того, насколько продвинута система защиты атакуемого учреждения.

По данным исследования, наиболее часто атакуемый банк расположен на территории США, и его данные присутствовали в 71,5% всех проанализированных конфигурационных файлов. Другие банки из Топ-15 самых атакуемых были обнаружены более чем в 50% всех конфигурационных файлов. Это значит, что каждый второй троян был нацелен хотя бы на один из этих банков. Вероятно, такой высокий показатель связан с тем, что эти URL выступают в качестве примеров при конфигурировании троянов. Другая причина может состоять в том, что эти трояны все еще работают против этих организаций, т. к. не все фирмы успели обновить свои системы защиты.

Конечно, большинство организаций осведомлены об этих угрозах и внедряют новые механизмы защиты, способные блокировать подобные атаки. К сожалению, на внедрение новых технологий требуются время и средства, так что здесь злоумышленники всегда будут обладать преимуществом. В конечном итоге, слабым звеном любой финансовой операции остается пользователь, и даже лучшие технологии не гарантируют защиты от атак, использующих методы социальной инженерии. Можно ожидать, что в ближайшие годы троянские атаки на финансовые учреждения продолжатся.

Ключевые пункты исследования:

  • Объектами атак с использованием финансовых троянов являются более 1400 финансовых учреждений;
  • Более 50% троянов атаковали топ-15 финансовых учреждений мира;
  • Самый «популярный» банк расположен в США, и он был атакован 71,5% из всех проанализированных троянов;
  • Распознаны две основные стратегии атаки: «сфокусированная атака» и «крупные мазки»;
  • Объектами атак стали учреждения в 88 странах;
  • Продолжается расширение зоны действий мошенников за счет регионов Ближнего востока, Африки и Азии;
  • Теперь объектами атак становятся не только электронные банковские системы, но и компании, занимающиеся иными видами деятельности;
  • Существующие приемы совершенствуются: обеспечивается автоматизация и повышается точность;
  • За первые три квартала 2013 г. число финансовых троянов возросло в три раза.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru