Это интересно

Ловушка для главбуха

Киберпреступники взломали популярные сайты для бухгалтеров и юристов. Их используют для дальнейшего заражения пользователей и кражи денег со счетов.

Group-IB обнаружила масштабное заражение пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров. Наша система Threat Intelligence фиксирует, как уже многие годы киберпреступники используют для заражения одни и те же ресурсы, но "дыры" так и не закрыты. Легкомысленное отношение к безопасности способствует распространению вирусов и кражам денег у пользователей. Ежедневно от подобных атак компании в прошлом году теряли 3,8 млн рублей.

В июне 2017 года у одной из столичных компаний похитили со счета деньги. Криминалисты Group-IB приехали в офис фирмы, взяли жесткий диск на экспертизу и провели криминалистическое исследование. Мы узнали, что в тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос — "НДФЛ с доходов получаемых с иностранных компаний когда платить". Одна из ссылок вела на сайт www.glavbukh.ru. По хронологии видно, что в 03:16 пользователь открыл браузер, через какое-то время зашел на сайт glavbukh.ru, после чего, буквально через считанные секунды, в 03:29, уже сработал вредоносный скрипт, который в итоге загрузил на компьютер пользователя банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.

Троян Buhtrap — нам был уже хорошо известен. Долгие годы он использовался разными преступными группами для кражи денег у компаний, банков. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.

В начале 2016 года исходные коды Buhtrap были опубликованы в открытом доступе на хакерском форуме, после чего программа стала использоваться в атаках на юридических лиц уже другими преступниками. Схема была похожа на ту, что мы наблюдали в случае с www.glavbukh.ru: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов — и, если удавалось найти уязвимости в веб-браузере происходило исполнение PowerShell скрипта, который в свою очередь загружал уникальный загрузчик, который впоследствии загружал банковский троян. Но сначала он действовал по алгоритму: проверял, что зараженная машина интересна для дальнейшей эксплуатации – в частности, что с нее осуществляется работа с системами дистанционного банковского обслуживания (ДБО). Он осуществлял поиск исполняемых файлов ДБО, проверку директорий и истории веб-браузера. И только если хотя бы один из пунктов срабатывал, загружался Buhtrap.

Что произошло с Главбухом?

Расследуя июньский кейс, мы поняли, что при посещении сайта www.glavbukh.ru некоторым пользователям загружался банковский троян. Наши специалисты стали выяснять, откуда производилась загрузка вредоносного PowerShell-скрипта и довольно быстро нашли источник — ресурсы virtual-earth.de и tsitu.be. Фактически это сайты-пустышки, которые использовались преступниками. Используя специальные техники, мы выяснили, откуда еще шел трафик на эти ресурсы и установили 16 сайтов в России и на Украине. Этот список, конечно, неполный, но и он впечатляет: здесь и федеральные общественно-политические издания, и профильные сайты для бухгалтеров, юристов, директоров.

Трафик, то есть посетителей, с популярных сайтов на вредоносные ресурсы перенаправляют специальные люди — трафферы. Они могут зарабатывать и на серых схемах, когда направляют трафик на рекламные сайты (как было в случае с авиакомпаниями), и черных схемах, когда "льют траф" на вредоносные ресурсы, с которых загружаются трояны, ворующие деньги. Бизнес-трафик ценится дороже, так что если преступники хотят распространять банковский троян, им не нужен трафик с порно-сайтов, а нужны состоятельные посетители банковского ресурса — бухгалтера и юристы. А троян Buhtrap ориентирован именно на корпоративный сектор.

Пример объявления на подпольном хакерском форуме о продаже доступа к сайту Glavbukh в 2012 году.

Мы, как Threat Intelligence компания, наблюдаем, как уже многие годы киберпрестпуники используют для заражения одни и те же ресурсы. Например, еще в 2012 году на хакерских форумах продавали доступ к ресурсу Главбух за $5000. Продавец отмечал, что это качественный бизнес трафик — «50 000 пользователей и все бухгалтера». В 2014 году на форумах продавали доступ ко взломанному ресурсу Клерк.ру (мы предупреждали администрацию ресурса об этой опасности). В 2015 году ресурсы forum.glavbukh.ru и glavbukh.ru фигурировали в расследовании инцидентов — преступники заражали компании трояном Lurk. Разумеется, мы предупреждаем об этой опасности наших клиентов - банки, крупные компании, госорганы.

Заражения тем не менее продолжались. Почему так сложно детектировать и остановить траферов? Имея доступ к взломанному ресурсу, злоумышленники внедряют кусочек кода-скрипта, который перенаправляет пользователей на вредоносный сайт. Трафик льют не постоянно, а включают эту функцию на 1-3 часа в пиковые часы — это позволяет злоумышленникам оставаться незамеченными долгое время.

Но справиться с этим, разумеется, можно, регулярно проводя аудит всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов. 86% из них содержат как минимум одну критическую уязвимость. Наша позиция в этом вопросе довольно жесткая. Мы считаем, что пора вводить ответственность за безрассудное отношение к информационно безопасности. Ведь именно эти сайты способствовали распространению банковских троянов и хищению денег у их посетителей.

Хищения в ДБО

Первые масштабные хищения в системах ДБО начались в России в 2007 году. В прошлом году ежедневно происходило до 8 успешных атак, в результате которых в среднем злоумышленники похищали 3,8 млн рублей. 

Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.

Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.

Кто виноват и что делать?

Понять, что его сайт скомпрометирован зачастую не сможет даже опытный администратор, не говоря уже о простом пользователе. Безусловно, если владельцы ресурса уделяют достаточное внимание вопросам безопасности, своевременно обновляют CMS и плагины, то риск компрометации значительно снижается. Но полностью исключить ее проведением простых профилактических мероприятий, к сожалению, нельзя. Это специальная и достаточно специфическая область знаний информационной безопасности, которая постоянно видоизменяется, ведь преступники не стоят на месте, постоянно придумывая новые способы проведения атак.

 

Для того, чтобы минимизировать риски компрометации веб-сайта мы предлагаем следующий комплекс мероприятий: 

1. Проводить регулярное «техническое обслуживание» ресурса – своевременно устанавливать обновления, отслеживать корректность работы, регулярно проводить аудитинформационной безопасности собственными силами или с привлечением сторонних специалистов. 

2. Если у администратора нет базовых знаний по информационной безопасности, провести для него дополнительное обучение. Это позволит если не справиться с возникшей проблемой самостоятельно, то по крайней мере своевременно выявить ее наличие и начать принимать меры.

3. Если собственных знаний для решения проблемы недостаточно, то лучшим вариантом станет обращение к профессионалам – это может быть как консультация, так и заказ определенной услуги «под ключ». Чего категорически НЕ стоит делать, так это надеяться на то, что проблема «рассосётся» сама. Наша практика показывает, что вероятность такого исхода стремится к 0.

4. Для того, чтобы знать о готовящихся атаках заранее, необходимо выходить за пределы собственного периметра и получать информацию об угрозах, преступных группах, их тактике и используемых инструментах. Лучше всего это позволяет сделать система предупреждения киберугроз Threat Intelligence (киберразведка).

Помните, что от того, насколько внимательно и профессионально вы относитесь к подобным вопросам, зависит безопасность тех, кто вам доверяет: ваших клиентов, пользователей, читателей.

 

Для юридических лиц, работающих с системами ДБО, рекомендации могут быть следующие: 

1. Своевременно обновляйте ПО – операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap.

2. Правильно выстраивайте архитектуру сети, исходя из требований безопасности – компьютеры, которые работают с бухгалтерией, должны быть изолированы, а доступ по внешнюю сеть должен быть разрешен только по «белым спискам» (White lists).

 

Опубликовано 25 августа 2017 года в Блоге компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/blog/buhtrap

Хакеры взламывают криптокошельки через номера мобильных телефонов

Хакеры обнаружили, что один из ключевых элементов онлайн-безопасности — номер мобильного телефона — является и самым уязвимым. За последние полгода таким образом были украдены тысячи долларов у владельцев биткойн-кошельков, пишет New York Times.

Хакеры получают контроль над номером мобильного телефона довольно банальным способом — звонят операторам и придумывают различные экстренные причины, по которым номер необходимо перевести на другой аппарат. Казалось бы, ни один менеджер в здравом уме и твердой памяти не одобрит такую операцию, но «хакеры делают десятки, а то и сотни дозвонов в разные офисы, пока однажды не найдут на другом конце провода идиота», — говорит Джоби Уикс, биткойн-предприниматель, у которого хакеры увели миллион долларов со счета, несмотря на то, что он просил оператора мобильной связи усилить безопасность, после того, как такой же атаке подверглись его родственники.

Аутентификация по мобильному телефону считается одной из самых безопасных. Ее используют Google, Facebook, Twitter, а также криптовалютные кошельки. Но завладев номером телефона, хакеры могут сбросить пароли на всех аккаунтах через кнопку «Забыли пароль?». Им не надо их даже взламывать.

«Мой iPad перезагрузился, мой телефон перезапустился, и мой компьютер снова запустился, и вот тогда я всерьез испугался», — говорит Крис Берниске, криптовалютный инвестор, потерявший контроль над своим номером телефона в конце прошлого года.

По данным Торговой комиссии США, число подобных атак за последние несколько лет выросло в два раза. Так, в январе 2013 года было зафиксировано 1038 инцидентов, а к январю 2016 года их число увеличилось до 2658. В основном, жертвами угона номера становятся люди, так или иначе связанные с инвестициями в криптовалюты. Хакеры отслеживают их по постам в социальных сетях. Официальные цифры об атаках занижены, так как биткойн-инвесторы боятся спровоцировать конкурентов по бизнесу, но в интервью NYT очень многие признались, что стали жертвами взлома.

«У всех, кого я знаю в криптовалютном мире, хоть раз увели номер телефона», — говорит Уикс. Все происходит очень быстро: хакеры взламывают аккаунты за несколько минут. По мнению опрошенных NYT жертв, это говорит о том, что они работают командами.

Операторы мобильной связи, Verizon, AT&T, T-Mobile, Sprint и другие, хоть и говорят, что работают над усилением безопасности (добавляют более сложные PIN-коды для учетной записи и идентификационные номера), но кажутся бессильными перед атаками: взлом часто происходит прямо у них под носом в реальном времени, когда жертвы знали, что их грабят и предупредили оператора.

Подобная уязвимость бросает вызов не столько мобильным операторам, сколько криптовалютному сообществу. Биткойн-транзакции были осознанно придуманы, как необратимые, чтобы избавить пользователей от вмешательства извне, но, по иронии судьбы, привели как раз к обратному.

Coinbase уже призывает клиентов отвязывать мобильные телефоны от своих учетных записей. Но пользователи предлагают идти дальше и откладывать выполнение транзакций, если недавно был изменен пароль.

«Coinbase похож на банк: хранит миллионы долларов, но вы не представляете до конца, насколько слабая у него защита, пока вас не ограбят на тысячи долларов за считанные минуты», — говорит Коди Браун, VR-разработчик, чей аккаунт был взломан в мае. «Это здорово, иметь возможность контролировать свои деньги и перемещать их без какого-либо разрешения, — говорит Адам Покорницкий, управляющий партнер в Cryptochain Capital, у которого тоже увели номер. — Но нужно помнить, что за такую привилегию приходится платить».

В июле появилась информация о взломе блокчейн-сервиса Parity. Хакеры смоли похитить с криптовалютных кошельков эфира на $32 млн.

 

Автор: Артем Никитин

Опубликовано 23 августа 2017 года на сайте  "Хайтек".
Подробнее...
Источник: https://hightech.fm/2017/08/23/phone-hack-bitcoin

Россия заняла 10 место в индексе кибербезопасности ООН

В Глобальном индексе кибербезопасности ООН (GCI) Россия заняла десятое место, поднявшись на два пункта по сравнению с результатами 2014 г. Лидерами рейтинга стали Сингапур и США, разместившиеся на первом и втором местах соответственно.

Рейтинг кибербезопасности ООН

В исследовании, которое проводилось Международным союзом электросвязи – специализированным учреждением ООН, изучены разные аспекты обеспечения кибербезопасности в странах-членах этой международной организации. В первую очередь рассматривались технические, организационные и юридические вопросы. На основе комплекса данных был составлен рейтинг, определяющий готовность и возможность каждой страны противостоять кибератаке. Важнейшим значением для оценки уровня киберзащиты каждого государства стало принятие национальной программы безопасности. Но отчет показал, что почти у половины из 195 стран-участниц ООН такой программы нет.

Десятое место России: серьезные успехи и новые проекты

Российская Федерация в отчете названа одним из лидеров региона, который в отчете обозначается как СНГ, но включает вышедшую из его состава Грузию. Россия поднялась на десятое место, набрав 0,788 балла в общемировом рейтинге, в котором занимала 12 место с индексом 0,5 в 2014 г. Эксперты отмечают успехи России в области разработки стандартов кибербезопасности и повышении осведомленности общественности в этом вопросе. Кроме того, в стране есть крупные представители рынка киберзащиты, среди которых «Лаборатория Касперского», созданная в 1997 г. Программное обеспечение компании защищает более 400 млн пользователей и около 270 тыс. организаций.

Одна из причин, по которой Россия находится среди лидеров индекса кибербезопасности ООН — внимание государства к проблеме киберзащиты. В конце июля 2017 г. в России была утверждена программа развития цифровой экономики. Целью программы является развитие и внедрение цифровых технологий во все области жизни: от городского и сельского хозяйства до госуправления. До 2024 г. планируется обеспечить широкополосным доступом в интернет до 97% домашних хозяйств.

Стратегия национальной кибербезопасности должна соответствовать направлениям развития цифровой экономики в России. Данной программой до 2024 г. определены базовые направления развития цифровой экономики. В соответствии с распоряжением правительства РФ №1632-р от 28 июля 2017 г. «Об утверждении программы "Цифровая экономика Российской Федерации"» определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики, в которой данные в цифровом виде являются ключевым фактором производства во всех сферах социально-экономической деятельности. Стратегия национальной кибербезопасности должна предусматривать защиту от внешних угроз, развитие отраслевых стандартов безопасности, информационной инфраструктуры и компетенции в области информационной безопасности, начиная со школьных методик обучения.

Лидеры индекса

Лидером по уровню обеспечения кибербезопасности стал Сингапур. Это государство имеет долгую историю инициатив в сфере кибербезопасности, которые страна начала в 2005 г. В 2015 г. в Сингапуре было создано агентство по кибербезопасности, которое наблюдает за ситуацией в сфере компьютерной и сетевой защиты в стране. Кроме того, в 2016 г. в Сингапуре принята национальная стратегия кибербезопасности.

Соединенные Штаты Америки, занявшие второе место в рейтинге, получили наиболее высокие оценки за принятые юридические нормы. Кроме того, эксперты высоко оценили координацию действий в сфере кибербезопасности между всеми штатами страны. Малайзия оказалась на высоком третьем месте в глобальном рейтинге благодаря государственной поддержке профессиональной подготовки кадров в сфере кибербезопасности в высших учебных заведениях страны.

Готовность к киберзащите

В своем докладе ООН предупреждает правительства стран мира о том, что высокое благосостояние граждан – это повышенный риск кибератак. Более обеспеченные пользователи становятся потенциальными мишенями вымогателей. Но вместе с тем, высокие экономические показатели страны не являются гарантией наличия в ней налаженной системы киберзащиты. Мероприятия по осведомленности граждан и предприятий о возможных кибератаках, подготовка квалифицированных кадров и формирование национальных стратегий по защите информации должны стать первоочередными задачами любого государства.

 

Автор: Михаил Левкевич

Опубликовано 2 августа 2017 года на сайте CNews.
Подробнее...
Источник: http://safe.cnews.ru/news/top/2017-08-01_rossiya_na_11_meste_v_indekse_kiberbezopasnosti

Мошенники крадут платежные данные, предлагая продлить подписку на WhatsApp

Эксперты ESET предупреждают пользователей WhatsApp о новой фишинговой атаке. Мошенники сообщают об окончании подписки на сервис и под этим предлогом крадут платежные данные.

Потенциальная жертва получает по электронной почте письмо от лица WhatsApp. В нем сообщается, что пробный период использования мессенджера завершен. Чтобы продлить подписку, пользователю предлагают перейти по ссылке и обновить платежную информацию.

Ссылка ведет на фишинговый сайт мошенников с формой ввода данных банковской карты. Излишне уточнять, что введенная информация отправится напрямую злоумышленникам и будет использована для снятия средств со счета жертвы.

Обману способствует тот факт, что в прошлом WhatsApp действительно взимал абонентскую плату после года бесплатного использования. Но сервис отказался от этой модели еще в январе 2016 г. и сейчас бесплатен для абонентов.

 

Опубликовано 2 августа 2017 года на сайте CNews.
Подробнее...
Источник: http://safe.cnews.ru/news/line/2017-08-02_moshenniki_kradut_platezhnye_dannyepredlagaya_prodlit

Эксперт Positive Technologies рассказал о способах компрометации Apple Pay

Эксперт Positive Technologies Тимур Юнусов на прошедшей 22―27 июля в США конференции по информационной безопасности BlackHat представил результаты исследования защищенности платежной системы Apple Pay. Исследователю удалось обнаружить несколько проблем безопасности, которые могут позволить злоумышленникам скомпрометировать привязанные к кошельку Apple Pay банковские карты, а также осуществлять неавторизованные платежи на внешних ресурсах.

Масштабные проблемы защищенности Apple Pay были обнаружены на смартфонах, прошедших процедуру джейлбрейка (JailBreak — это процесс, при котором появляется возможность свободного доступа к файловой системе, простыми словами это взлом прошивки iPhone, iPad, iPod Touch). На таких аппаратах при добавлении карты в кошелек возможна полная компрометация платежных данных. Кроме того, в ходе исследования был обнаружен ряд недостатков, актуальных для обычных смартфонов, без установленного джейлбрейка. В частности, злоумышленник, обладающий способностью перехвата SSL-трафика, может подделывать и повторять транзакции. Это открывает возможность для совершения неавторизованных платежей в различных приложениях и на веб-сайтах.

Использующие Apple Pay владельцы iPhone после джейлбрейка рискуют полностью скомпрометировать свои банковские карты и потерять средства. При этом от кражи денег при работе с Apple Pay не защищены и пользователи смартфонов, не подвергшихся процедуре джейлбрейка.

«Серьезная ответственность в деле обеспечения безопасности лежит на мерчантах, то есть ресурсах, принимающих оплату через Apple Pay, — сказал Тимур Юнусов, руководитель отдела безопасности банковских систем, Positive Technologies. — Однако и сами пользователи должны соблюдать базовые меры безопасности, например, не устанавливать Apple Pay и не привязывать к системе банковские карты на iPhone после джейлбрейка, а также не использовать незащищенные соединения в публичных местах для совершения финансовых транзакций».

Эксперты Positive Technologies советуют магазинам, поддерживающим технологию Apple Pay, обратить внимание на реализацию передачи данных с платежными шлюзами и клиентами. Пользователям системы, в свою очередь, рекомендуется подключить технологию 3D-Secure и активировать SMS-информирование о финансовых операциях — это позволит оперативно выявить потенциальную компрометацию банковских карт.

Автор: Владимир Бахур

Опубликовано 28 Июля 2017 года на сайте CNews
Подробнее...
Источник: http://safe.cnews.ru/news/line/2017-07-28_ekspert_positive_technologies_rasskazal_o_sposobah

Страницы