Menu

У що нам обходиться інтернет-банкінг

Корпорація Symantec показала дослідження про фінансові троянах в 2013 році. Ринок фінансових шахрайств стає все більш організованим, а трояни, націлені на електронні банківські системи, - все більш витонченими. За перші три кварталу 2013 р. число фінансових троянів зросла в три рази, і на сьогоднішній день є одним з найпоширеніших типів загроз. Для того щоб краще зрозуміти масштаби і механізми роботи фінансових троянів, експерти Symantec проаналізували понад 1000 конфігураційних файлів восьми троянських програм, спрямованих проти банківських систем.

Во что нам обходится интернет-банкинг

«Тому що там були гроші!» - така відповідь нібито дав відомий у США грабіжник банків, Віллі Саттон, коли його запитали, чому він здійснював свої злочини. І хоча насправді Саттон цих слів не говорив, вони - чиста правда.

Це також вірно, коли мова заходить про сучасних шкідливих програм у сфері фінансів. Електронні банківські системи - це те місце, де зараз здійснюються всі грошові операції, і саме тому вони привертають увагу зловмисників. Не є несподіванкою так само і те, що трояни, націлені проти електронних банківських систем, стають все більш витонченими. Одним з таких прикладів є нещодавно згаданий фахівцями Symantec троян Neverquest, наступник Trojan.Snifula, який вперше з'явився ще в 2006 р., однак застосовується до цих пір.

У 2007 р. з'явився вдосконалений фінансовий троян під назвою Zbot (Zeus). Він був створений Російським вирусописателем під ніком Slavik/Monstr і продавали на чорному ринку за тисячі доларів. Два роки потому у цього трояна з'явився конкурент під назвою Spyeye, автором якого був якийсь Gribodemon. Ціна нового продукту була ббільш доступною і становила $700. Підпільний ринок фінансових троянів процвітав.

З тих пір ринок зазнав значні зміни: в 2011 р. вихідний код Zeus був викрадений і викладений у відкритий доступ, що призвело до різкого обвалу його ціни. З цього моменту почала з'являтися безліч версій Zeus, включаючи допрацьовані Ice IX і Citadel, які стали боротися за ринок. Банди кіберзлочинців також створили альтернативні варіанти Zeus, призначені для приватного використання, як, наприклад, знаменитий Gameover, який з'явився в липні 2011 р. Через місяць після публікації вихідного коду Zeus хтось Xylibox шляхом злому отримав доступ до вихідного коду Spyeye, що призвело до аналогічного обвалу ціни. На даний момент будь-яка інформація про подальшій розробці двох цих троянів їх творцями відсутня. Багато нинішні фінансові трояни запозичили прийоми і архітектуру Spyeye і Zeus.

До травня 2003 р. існувало близько 20 різних банківських троянів. І по мірі того, як фінансові установи зміцнювали захист і системи виявлення шахрайств, зловмисники пристосовувалися. З тих пір з'явилося безліч банківських троянів. На жаль, впровадження нових, надійних технологій захисту відбувається досить повільно, і зловмисники успішно користуються уразливими нинішніх, поки ще недосконалих, механізмів. За останні кілька років трояни стали значно більш витонченими, і саме фінансові трояни на сьогоднішній день є одним з найпоширеніших типів загроз.

За перші дев'ять місяців 2013 р. число випадків зараження фінансових установ збільшилася на 337%. Це майже півмільйона заражень в місяць. Для того щоб краще зрозуміти масштаби і механізми роботи фінансових троянів, експерти Symantec проаналізували понад 1000 конфігураційних файлів восьми троянських програм, спрямованих проти банківських систем. У цих файлах зберігається інформація про атакованих URL-адреси, а також про стратегії атаки. Стратегії варіюються від простого перенаправлення користувачів до складних веб-інжектов (Web-injects), здатних автоматично здійснювати транзакції у фоновому режимі. Проаналізовані конфігураційні файли містили більше 2000 адрес, що належать 1486 організаціям-жертв, з яких майже 95% - фінансові установи. Решта 5% - це компанії, що пропонують онлайн-послуги, наприклад ЗМІ, сайти пошуку роботи, аукціони та сервіси електронної пошти. Це вказує на широке охоплення таких троянів: зловмисники атакують будь-які цілі, здатні принести прибуток. Об'єктами атак є фінансові установи практично всіх типів - від комерційних банків до кредитних кооперативів. Основною метою зловмисників є сайти класичних банків, однак, крім цього, в якості потенційних об'єктів атак розглядаються і заклади нового типу. В намаганнях максимізувати прибуток зловмисники починають атакувати популярні і, відповідно, прибуткові мережі фінансових транзакцій, такі як американська Automated Clearing House, а також європейська Single Euro Payments Area (SEPA), піддалася атаці зовсім недавно.

Зловмисники виходять і на нові ринки, розширюють сферу своєї діяльності і шукають нові цілі, проти яких би працювали існуючі прийоми. У таких регіонах, як Близький Схід, Африка і Азія, число об'єктів атак продовжує зростати. При цьому густонаселені і багаті райони представляють для них більший інтерес, і саме тому такі райони, як Саудівська Аравія, Об'єднані Арабські Емірати, Гонконг і Японія, недавно піддалися численним атакам.

Сучасні фінансові трояни відрізняються неймовірною гнучкістю і підтримують широкий спектр прийомів, які допомагають спростити здійснення шахрайських транзакцій в різних банківських системах. Такі трояни багато в чому схожі між собою. Так, наприклад, техніка MITB (Man in the Browser, «Людина-в-браузері») характерна для всіх розглянутих примірників. Ступінь витонченості атаки залежить від рівня захищеності конкретної установи - в кінцевому підсумку, вибір трояна залежить від фінансових ресурсів зловмисника і того, наскільки просунута система захисту атакується установи.

За даними дослідження, найбільш часто атакується банк розташований на території США, і його дані були присутні в 71,5% всіх проаналізованих конфігураційних файлів. Інші банки з Топ-15 найбільш атакованих були виявлені більш ніж у 50% всіх конфігураційних файлів. Це означає, що кожен другий троян був націлений хоча б на один з цих банків. Ймовірно, такий високий показник пов'язаний з тим, що ці URL виступають в якості прикладів при конфігуруванні троянів. Інша причина може полягати в тому, що ці трояни все ще працюють проти цих організацій, оскільки не всі фірми встигли оновити свої системи захисту. Звичайно, більшість організацій обізнані про ці загрози і впроваджують нові механізми захисту, здатні блокувати атаки. На жаль, на впровадження нових технологій потрібні час і кошти, так що тут зловмисники завжди будуть володіти перевагою. В кінцевому підсумку, слабкою ланкою будь-якої фінансової операції залишається користувач, і навіть кращі технології не гарантують захисту від атак, що використовують методи соціальної інженерії. Можна очікувати, що в найближчі роки троянські атаки на фінансові установи продовжаться.

Ключові пункти дослідження:

• Об'єктами атак з використанням фінансових троянів є понад 1400 фінансових установ;

• Понад 50% троянів атакували топ-15 фінансових установ світу;

• «Найпопулярніший» банк розміщений в США, і він був атакований 71,5% з усіх проаналізованих троянів;

• Розпізнані дві основні стратегії атаки: «сфокусована атака» та «великі мазки»;

• Об'єктами атак стали установи в 88 країнах;

• Триває розширення зони дій шахраїв за рахунок регіонів Близького сходу, Африки та Азії;

• Тепер об'єктами атак стають не тільки електронні банківські системи, але і компанії, що займаються іншими видами діяльності;

• Існуючі прийоми удосконалюються: забезпечується автоматизація і підвищується точність;

• За перші три квартали 2013 р. число фінансових троянів зросла в три рази.

Додатково
|