Cobalt использует шлюзы платежных систем для вывода средств из банков

Cobalt использует шлюзы платежных систем для вывода средств из банков

Группа киберпреступников Cobalt продолжает свою вредоносную деятельность. На этот раз злоумышленники придумали новый способ вывода средств из атакованых банков. Он заключается в использовании шлюзов платежных систем. Благодаря этой схеме преступники вывели 100 000 долларов из Банка жилищного финансирования (БЖФ).

Источники в правоохранительных органах, с которыми беседовали сотрудники «Ъ», также сообщили, что похожим атакам подверглись еще три кредитные организации. Крайне низкий уровень кибербезопасности — вот, что объединяло эти три банка.

Успешная атака, которая позволила преступникам вывести $100 000 через шлюзы платежных систем, произошла в прошлом месяце. Эксперты отмечают, что это довольно оригинальный способ, который, во-первых, не присущ данной группировке, а во-вторых, вообще не использовался уже много лет.

Владимир Кузнецов, исполнительный директор CyberPlat, объяснил, что при таком способе вывода денежные средства можно выводить как онлайн, так и траншами. Минусом могут выступать ограничения на переводы, которые накладывают платежная система и банк, каждый со своей стороны.

Способ заражения кредитной организации был до боли прост — вредоносная программа пришла с фишинговым письмом, которое было замаскировано под официальное письмо от Альфа-банка. В письме утверждалось, что кредитная организация хочет решить вопрос с мошенническими транзакциями, которые исходят от БЖФ.

«Атака с почты, названием схожей с адресом известной организации, крайне распространенный хакерский прием, рассчитанный на невнимательность», — передал «Ъ» комментарии пресс-службы Альфа-банка.

В августе группа Cobalt была замечена в незаконной онлайн-активности. В тот раз злоумышленники атаковали банки России и Румынии целевым фишингом. Во вредоносных электронных письмах содержались две злонамеренные составляющие, которые связываются с двумя разными командными серверами C&C.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Экс-инженер Google рассказал о вездесущем коде отслеживания Meta*

Meta, владеющая Facebook и Instagram (все три признаны экстремистскими, их деятельность запрещена на территории России) внедряет код в веб-сайты для отслеживания действий пользователя. Об этом говорит новое исследование от бывшего инженера Google.

Два вышеупомянутых приложения пользуются функциональностью встроенного браузера, который помогает переходить по внешним ссылкам без необходимости подключать сторонний интернет-обозреватель вроде Safari или Chrome.

Исследователь в области кибербезопасности и конфиденциальности Алекс Краузе, создавший инструмент для разработки, который Google выкупила в 2017 году, рассказал о практиках экстремисткой Meta:

«Приложение Instagram внедряет код для отслеживания в каждый посещаемый пользователем веб-сайт. Это позволяет корпорации отслеживать любое действие веб-сёрферов: клики на рекламных объявлениях, взаимодействие с кнопками, выделение текста, снятие скриншотов, ввод паролей, адресов или данных банковских карт».

В ответ корпорация Цукерберга заявила, что «инъекция» отслеживающего кода соответствует тем настройкам конфиденциальности, которые каждый пользователь выбирает сам. Кроме того, эти трекеры якобы используются для агрегации данных, таргетированной рекламы и т. п.

«Мы сознательно разработали этот код, чтобы соответствовать праву выбора пользователей. Трекеры позволяют нам собирать пользовательские данные перед тем, как задействовать их для релевантной рекламы. Мы не добавляем никаких дополнительных пикселей», — пишут представители интернет-гиганта.

«Если пользователь осуществляет покупки, мы спрашиваем его разрешение на сохранение данных карты для автозаполнения и удобства».

Алекс Краузе смог выявить инъекцию кода с помощью собственного инструмента, который был специально разработан для этих целей. Тулза Краузе позволяет составить список дополнительных команд, которые браузер добавляет на веб-сайт.

В случае с Facebook и Instagram инструмент обнаружил 18 дополнительных строк кода. А вот в WhatsApp ничего подобного зафиксировать не удалось.

* организация признана экстремистской, её деятельность запрещена на территории России

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru