Специалисты по безопасности из IBM Security Intelligence обнаружили и подробно описали новую хакерскую атаку, комбинирующую зловредный код и социальную инженерию, благодаря которой уже удалось похитить более миллиона долларов с банковских счетов пострадавших. Атака получила название Dyre Wolf и основана на уже использовавшейся программе Dyre, подменявшей страницы браузеров.
Работая на компьютере жертвы, Dyre при попытке зайти на сайт определённого банка подменяла страницу таким образом, что введённые пользователем данные попадали злоумышленникам. В связи с этим банки усилили «броню» защиты, повсеместно вводя двухфакторную идентификацию. В ответ на это хакеры улучшили «снаряд».
Атака в первую очередь направлена на организации, которые часто переводят через банки большие суммы денег. В связи с этим отслеживать несанкционированные переводы становится труднее.
Сначала на компьютер жертвы в виде приложения к письму поступает зловред небольшого размера Upatre. После его установки он скачивает основную программу Dyre. Затем, когда жертва пытается зайти на страницу одного из множества банков, имеющихся в базе Dyre Wolf, ему показывают страницу, на которой указано, что сайт банка испытывает временные трудности. Страница предлагает телефонный номер, на который необходимо позвонить для входа в онлайн-банк.
На звонок отвечают подставные лица. У них есть информация, в какой банк, по мнению жертвы, она звонит. В разговоре с жертвой они вытягивают из неё нужную для совершения переводов информацию. Когда жертва вешает трубку, денежный перевод уже запущен. Сразу после этого на сеть компании начинается массированная DDoS-атака, препятствующая быстрому раскрытию проблем и реагированию на них.
Платежи разбиваются на несколько мелких частей, которые много раз переводятся между различными оффшорными банками, в результате чего отследить их путь становится чрезвычайно сложно.
Слабое звено в организации – работники, которые не разбираются в компьютерной безопасности или просто не заботятся о ней. Единственное средство борьбы с такими атаками – периодические тренировать и обучать их основам безопасности.
Комментарии (11)
SovGVD
05.04.2015 13:08Сначала на компьютер жертвы в виде приложения к письму поступает зловред небольшого размера Upatre. После его установки
А есть нынче реально интересные вирусы? Ф то что не новость, то юзер неведомо что запускает/устанавливает и доверяет всему, а потом «ой, это всё вирусы виноваты».Mixim333
05.04.2015 18:15Также подумал, прямо как дети маленькие. Вот это немного не понял: «В разговоре с жертвой они вытягивают из неё нужную для совершения переводов информацию» — что подразумевается под «нужной для совершения переводов информацией», CVC2-код что ли?
tavi
05.04.2015 19:16+2Картинка для привлечения внимания выглядит так, будто троян — это новая разработка IBM.
Ubuntovod
06.04.2015 06:52Уже не первый год как рабочие места оснащаются ПК, не первый раз админы/безопасники пляшут на одних и тех же граблях. Тяжело смотреть, как выражения «банк», «организация» и «в виде приложения к письму поступает зловред» встречаются в одном тексте. Ну что, что-о-о мешает блокировать выполнение файлов из писем! Почему нельзя запрещать выполнение аттачей на уровне групповой политики, зная что это один из основных методов заражения ПК?
corvus
07.04.2015 02:08А разве так трудно распутать всю эту цепочку банковских переводов?
Я про то, что открыть счет в банке не так просто, как купить ворованную симку у метро.
Или я ошибаюсь?
pcdesign
07.04.2015 10:29Да, трудно распутать, а еще тяжелее вернуть.
Допустим была цепочка из 10 стран-счетов и только потом деньги были сняты наличными в каком-нибудь Могадишо, каким-нибудь дропом.
Следователю надо будет столкнутся с юрисдикциями 10 стран, чтобы пройти по всей цепочке.
А ни один банк так просто информацию не даст о своем клиенте.
И так каждый банк, каждая страна.
Счета открыть проще, чем купить симку у метро.
Были бы деньги.
Даже без личного присутствия, например на Сейшельских островах, на Кипре.
Ну и еще достаточно много стран, где нет нужды ехать, чтобы открыть в банке счет.
И это все официально и полностью законно.
Клиент-банк придет DHL-ем, ну и собственно все.
Ryav
Как денежный перевод так быстро запускают и разбивают на несколько частей? Ведь в лучшем случае перевод может сутки занять, а они умудряются туда-сюда их перекидывать.
pcdesign
Это в России долго.
По миру деньги доходят за 10-15 минут.
За полчаса можно успеть отправить деньги в Гонконг, оттуда в Германию из Германии на Сейшелы.
Eklykti
Ну смотря какая система перевода. В случае, например, card-to-card транзакция может между банками обрабатываться неделями, но деньги с карты тратить можно сразу, как пришла инфа о переводе (обычно несколько секунд). После чего можно всё обналичить в ближайшем банкомате и скрыться, даже если транзакцию в итоге откатят, деньги ты уже получил.
Daemon_Hell
Card-to-card много денег не уведешь, тем более у компании.