Внимание, угроза: банковские...
TRANSCRIPT
с 1992
Слепой не боится змеи
Внимание, угроза: банковские троянцы!
Слепой не боится змеи
Защити созданное
2
Слепой не боится змеи
1. Бухгалтерсрабочегокомпьютера,накоторомустановленасистемаДБО,читаетвИнтернетестатьинасайтеоздоровье.
2. Браузерзависает,появляетсяокошкоспредупреждениемонекорректнойработепрограммы.
3. Бухгалтермашинальножметнаоднуизкнопококошка,чтобыейничегонемешалочитатьважнуюстатью.
4. Нобраузервсетакжевиснет,ибухгалтерзоветсистемногоадми-нистратора.
5. СистемныйадминистраторзаходитнакомпьютербухгалтераподсвоимадминистраторскимДОМЕННЫМпаролемирешаетпроблемусбраузером—можнодальшечитатьважнуюстатью.Троянец,которыйНЕЗАМЕТНОпроникнакомпьютербухгалтерассайтаоздоровьеибылактивировансамимбухгалтером(онанажаланакнопкувокошкебраузера—см.п.3),толькоэтогоиждет—парольковсейсетибанкаужеврукахмошенников,равнокакипарольксистемеДБО.
6. БухгалтернесколькоднейнезаходитвсистемуДБО,авместестемзаэтиднисовершенынесколькомошенническихпроводокнамиллионырублей.
Один из сценариев заражения компьютера банковским троянцем
Реальныйслучай,которыйпроизошелвдекабре2012годаводнойизмосковскихкомпаний.
Что такое банковские троянцы?
Банковскомутроянцу,например,Trojan.Carberp,необходимовсего1–3минуты,чтобыпохититьпаролииденежныесредствасосчетажертвы.
Уэтоготроянцаимеютсяверсиимодулейдлякражиденегизвсехсамыхраспространенныхсистемдистанционногобанковскогообслуживания(ДБО).
Внимание!Всвязисособенностямисхемы,применяемойзлоумышленни-камидлязаражения,наибольшейопасностиподвергаютсякомпаниималогоисреднегобизнеса.
Что крадет банковский троянец?
Деньги.
Другоееговладельцевнеинтересует.
Этоисключительновредоносныепрограммы,которыемогут:
похищатьпаролидлядоступакбанковскимиплатежнымсистемам,денежныесредствасбанковскихсчетовкомпанийлюбогомасштаба;
загружатьдругиевредоносныепрограммы,втомчислесвоидополнительныемодули;
поудаленнойкомандезлоумышленникаполностьюпарали-зоватьработукомпьютера.
Самыйопасныйизнихнасегодняшнийдень—Trojan.Carberp.
Преждечемприступитькхищениям,владельцытроянцасобираютинформациюожертве:онизнаютсостояниебалансакомпаниидокопейкивлюбоймоментвремени,суммыиформулировкиосно-ванийперечислений(этижеформулировкипотомиспользуютсявмошенническихплатежках),мгновеннополучаютинформациюобоВСЕХсовершаемыхбухгалтеромкомпанииплатежах—зажертвойведетсякруглосуточноенаблюдениепередтемкакбудетопустошенсчет.Мошенникиполучаюттакиеданные:
3
Слепой не боится змеи
Владелецтроянцаобладаетполнойинформациейосчетежертвыиимеетдоступклюбойинформацииназараженномкомпьютере.
ЕслипохищенпаролькДБО Банковскийсчет
Баланссчета
Суммаперевода(«залива»)
Основаниеплатежа
СкомпрометированнаясистемаДБО(название)
WWW-адрессистемыДБО
IP-адрескомпьютеражертвы
Используемыйбраузер
Еслискомпрометированабанковскаякарта BINбанка
Счетклиента-жертвы
Адрессистемыэлектронныхплатежей,вкоторойбыласком-прометированакарта
Номеркарты
Датаокончаниясрокадействиякарты
Имяифамилиядержателякарты
CVV2/CVC2
Кому это нужно? Современныевредоносныепрограммыразрабатываютсявирусо-писателями-профессионалами,иэто—хорошоорганизованныйкриминальныйбизнес,вовлекающийвсвоюдеятельностьвысоко-квалифицированныхсистемныхиприкладныхразработчиковПО.
Разработкойи«продвижением»банковскихтроянцевзанима-ютсяорганизованныепреступныегруппы:разработчикинаходятсяводнойстране,серверы,скоторыхраспространяетсятроянец,—вдругой,организаторы—втретьей,«партнеры»—преступники,которыепокупаютуслугивладельцевтроянцевиобслуживающихихбот-сетейдлясовершенияхищений,—внесколькихстранах.
Программыпостоянносовершенствуютсяихавторами,процессвыпускановыхверсийтроянцевпоставленнапоток.ЕжедневноввирусныебазыDr.Webдобавляетсянесколькодесятковразновид-ностейTrojan.Carberp!!!!! А ведь это только один троянец...
Факты Ежесуточноввируснуюлабораторию«ДокторВеб»посту-
паетвсреднемнеменее60000образцоввредоносныхпрограмм.
28ноября2012годабылпоставленсвоеобразный«рекорд»—наанализпоступилоболее300000образцов.Аужевначаледекабрярекордбылперекрытвдвое!Иэтодалеконевсе,чтосоздаетсявредоносногозасутки!
4
Внимание, угроза: банковские троянцы!
Вирусныеаналитики—неволшебники,имгновеннообработатьмногиетысячиежедневнопоступающихподозрительныхфайловнемогут.Поэтомурискзараженияещенеизвестнымантивирусувирусоместьвсегда.
Троянец подкрался незаметно?
Аонвообщенеподкрадывалсяквам!ВЫСАМИКНЕМУПРИШЛИ.
ТроянцысемействаTrojan.Carberpпроникаютнакомпьютерыпользователейво время просмотра взломанных сайтов.Ненужнопредприниматьвообщеникакихдействийдлятого,чтобы«получитьтроянца»,—заражение происходит автоматически.
Сайты, которые чаще всего являются источниками вредоносного ПО
1. Сайты,посвященныетехнологиямителекоммуникациям.
2. Новостныепорталы,бухгалтерскиесайтыифорумы,интернет-курсы/лекции.
3. Женскиесайты(оздоровье,кулинарии).
Другойоченьраспространенныйспособзаражения—черезсъемныеустройства.
Внимание!
Ксъемнымносителяминформацииотносятсянетолькофлеш-карты,ноивообщелюбые подключаемые к компьютеру через USB-порт устройства!ПередатьвируссодногокомпьютеранадругойможнодажечерезфотоаппаратилиMP3-плеер.
Троянцыумышленнорассчитанынараспространениесамимипользователями,таккаквотличиеотвирусовнеимеютмеханизмовсаморазмножения.Жертвысамипереносяттроянцевскомпью-теранакомпьютернафлешках.Именнотакпроисходитзаражениекомпьютеров—дажеизолированныхотИнтернетаилиотключенныхотлокальнойсети.
МишенямиатакпреступныхкиберсообществдавнопересталибытьтолькоофисныеПК—атакамподвергаютсяиличныеустройствасотрудников,включаямобильные.
Уже существует банковский троянец для платформы Android — Android.SpyEye.1.
Троянцы незаметны?
Досихпорбытуетопаснейшеезаблуждениеотом,чтодействиевредоноснойпрограммынакомпьютеревсегдазаметно,и,есликомпьютербудетзаражен,этобудетпонятносразу.Этосовершеннонетак!
ЗадачейсовременныхвирусописателейявляетсясозданиевредоносногоПО,котороедолжнокакможнодольшеоста-ватьсявсистеменеобнаруженным—каксостороныполь-зователясистемы,такисостороныспециальныхпрограмм(антивирусов).
Например,Trojan.Carberp,запускаясьнаинфицированноймашине,предпринимаетцелыйряддействийдлятого,чтобыобманутьсредстваконтроляинаблюдения.Послеуспешногозапускатроянецвнедряетсявдругиеработающиеприложения.
5
Слепой не боится змеи
Почему это происходит?
Что делать?
1. Всетехнологическисложныеиопасныевредоносныепрограммы,разработанныесцельюкражиденежныхсредств,тестируютсявирусописателяминаобнаружениевсемиантиви-русами.Именнопоэтомудопоступленияобразцоввредоносныхпрограммввируснуюлабораториюнекоторыеизнихнеобнару-живаютсяантивирусом.
2. Троянцы,созданныедлякражисредствуконкретныхкомпаний,могутдостаточнодолгонеобнаруживатьсяантивирусом,еслимошенникиточнознают,какойантивирусустановленнакомпью-терахорганизации.
3. Проникновениетроянцанакомпьютербухгалтерапроизошлоблагодаряэксплуатациитроянцемнесколькихуязвимостейвпрограммах,установленныхнаПК.Нажатиенакнопкувовсплывающемокошкепослужилоспусковымкрючкомдляприве-дениятроянцавдействие.Послеэтоготроянцунесоставлялотрудапохищатьлюбуюинформациюскомпьютеражертвы.
4. Самипользователи—незнающиеосновкомпьютернойбезопас-ности,простоуставшиеилиневнимательные—неумышленноилипохалатностинарушаяполитикибезопасности,способ-ствуютпроникновениювирусоввсетькомпании(используютUSB-устройства,непроверяяихнавирусы,автоматическиоткры-ваютпочтуотнеизвестныхотправителей,бесконтрольнопутеше-ствуютпоИнтернетуврабочеевремяипр.).
ДляборьбысИT-безграмотностьюкомпания«ДокторВеб»создаетобучающиекурсы,рассчитанныенаширокийкругпользователейПК,ипредлагаетбесплатныеонлайн-тестированияназнаниеосновкомпьютернойбезопасности.Приобретаемыевходеизучениякурсовзнанияпомогаютлучшесправлятьсяскомпьютернымиугро-замиинепопадатьсянауловкизлоумышленников.
Образовательный проект ВебIQметр: http://www.drweb.com/web-iq/Портал системы обучения «Доктор Веб»: http://training.drweb.com
Внимание!
Антивирус—этоединственноенасегодняшнийденьпрограммноеобеспечение,котороеспособноизбавитьсистемуотвредоносногоПО.
Почтивсегдаофактаххищенияжертвыузнают,когдавсеужепрои-зошло.Ноэтонезначит,чтоненадодействовать!Вэтотмоментисключительноважнойстановитсяправильнаяреакциянаинцидент.
Внимание!
Непытайтесьобновитьантивирусилизапуститьскани-рование—таквыуничтожитеследызлоумышленниковвсистеме!
Непытайтесьпереустановитьоперационнуюсистему!
Непытайтесьудалитьсдискакакие-либофайлыилипрограммы!
Непользуйтеськомпьютером,скоторогопредположительнопроизошлаутечкасредстваутентификацииксистемеДБО—дажеесливнеместьострая(производственная)необходимость!
Внимание, угроза: банковские троянцы!
ВРоссиинесуществуетединойстатистикифактовхищенийсредствчерезсистемыдистанционногобанковскогообслуживанияспомощьювредоносныхпрограмм.Частопострадавшиедаженеобращаютсявправоохранительныеорганы,считая,чтосредствавернутьневозможно.Жертвынезнают,счегоначатьдействоватьвкризиснойситуации,имнезнакомапроцедураинициированиярасследованияповозвратусредств,онитеряютдрагоценноевремя.
КражасредствспомощьювредоносногоПОявляетсяпротиво-правнымдействием,присовершениикоторогомогутприсутствоватьпризнакипреступлений,предусмотренныхпост.ст.159,159.6,165,272и273УКРФ.
Длявозбуждениявотношениизлоумышленниковуголовногоделаправоохранительныморганамнеобходимпроцессуальныйповод—вашезаявлениеопреступлении.Помните,чтовыможетебытьдалеконеединственнымпострадавшим,нопервым,обратившимвниманиенадеятельностьпреступников,ивашесвоевременноеобращениевполициюпоможетпрекратитьдеятельностьзлоумыш-ленников.
Каждыйпреступникоставляетзасобойследы.Послекомпью-терныхпреступленийтожеостаютсяследы—т.е.сэтимзломможно и нужно бороться.
Компания«ДокторВеб»оказываетуслугипоэкспертизе вирусозависимых компьютерных инцидентов,атакжепроводитпсихологическуюэкспертизуличностей(персонала)сцельювыявленияфактовпричастностиксовершению/пособничеству/укрывательству/поощрениюпротивоправныхдействийвотношениизаказчика,фактовбездействияилихалатногоотношениякслужебнымобязанностям.
http://antifraud.drweb.com/expertise/
Насайте«ДокторВеб»вразделе«Правовойуголок»http://legal.drweb.com/размещеныобразцызаявленийвправоохранительныеорганыидругиеинстанции,атакжерекомендацииподействиямпослеобнаруженияхищения.Пользуйтесьэтойинформацией!
Помните:компьютердляработысденежнымисредствами(системамидистанционногобанковскогообслуживания)недолжениспользоватьсядляработыскритическиважнымиданными,инаоборот.Никакиедругиеоперациинатакомвыделенномкомпьютерепроизводитьсянедолжны.
Дополнительная информация
Ознакомлениесэтимиинформационнымиматериаламипозволитвамминимизироватьвозможныефинансовыепотериприработессисте-мамидистанционногобанковскогообслуживания.Внихтакжесодер-жатсяполезныесоветыотом,какправильноорганизоватьзащищеннуюработуссистемамиДБО,чтодляэтогонеобходимопредпринятьичегоделатькатегорическинеследует.
Брошюра«Слепойзмеинебоится»(РаспечататьвPDF|ЧитатьвSWF).
Видео«Слепойзмеинебоится».
Информационныйразделнасайте«ДокторВеб»обанковскихтроянцах.
УчебныйкурсDWCERT070-3«Антивируснаясистемазащитыпредприятия».
© ООО «Доктор Веб», 2003 — 2014
125124,Россия,Москва,3-яулицаЯмскогополя,вл.2,корп.12а
Телефон:+7(495)789-45-87(многоканальный)
Факс:+7(495)789-45-97
www.drweb.com|estore.drweb.com|www.drweb-curenet.comwww.av-desk.com|www.freedrweb.com|mobi.drweb.com