Forum Library
Professional
Онлайновое ограбление банка, в котором компьютерные воры украли 63 000 долларов у канзасской компании, продающей автомобили, хорошо иллюстрирует ту легкость, с которой кибер-преступники обходят слабые и явно недостаточные меры защиты коммерческих счетов, которые все еще используются во многих банках.
В 7:45 утра в понедельник, 1 ноября 2010 года, контролер компании Green Ford Sales, Inc. (город Абилин, штат Канзас), зарегистрировался в системе банка First Bank Kansas, чтобы проверить счета компании.
Семью часами позднее, он снова зарегистрировался в системе и передал платежную ведомость, перечисляя сотрудникам компании в общей сложности 51 970 долларов. Система аутентификации банка выслала ему сообщение по e-mail, запрашивающее подтверждение платежей, и контролер дал подтверждение.
В тот момент контролер еще не знал, что злоумышленники уже заразили его компьютер копией «трояна» ZeuS, который позволял им контролировать компьютер и регистрироваться в банковской системе, используя его машину. Менее чем через час после того, как бухгалтер одобрил платежи по ведомости, как видно из банковского журнала, воры снова зарегистрировались в системе банка и получили доступ к счету Green Ford, зайдя с того же самого Internet-адреса, обычно используемого этой компанией, и введя правильное имя пользователя и пароль.Атакующие удерживали соединение недолго — просмотрели историю платежей, остаток на счете и баланс — и вышли из системы. Они ждали до 13:04 следующего дня, создавая собственную платежную ведомость на 63 000 долларов и добавив компании девять новых сотрудников. Добавленные сотрудники были «деньгоносами» или мулами, вольными или невольными сообщниками, завербованными для «работы на дому», чтобы помочь преступникам «отмыть» украденные деньги.
Контролер из Green Ford так и не получил запрос подтверждения по e-mail, отправленный банком, поскольку преступники имели доступ также и к почте контролера.
«Они просто взяли, и стерли его», сказал владелец компании, Лиз Даквел (LeaseDuckwall). «Если они захватили контроль над его машиной, то конечно могли контролировать и его почту тоже».
Если система аутентификации транзакций банка зависит от того, заражен или нет ПК клиента, то такая система уязвима для взлома, учитывая появление новых, более скрытных банковских «троянов».
Как мне кажется, эта атака хорошо показывает, почему эти банковские «электронные» кражи не ослабевают по всей стране: атакующий, захвативший контроль над компьютером владельца счета, может контролировать все аспекты того, что видит или не видит жертва, поскольку преступник может перехватывать, удалять, модифицировать или перенаправлять все коммуникации инфицированного ПК. Если система аутентификации транзакций банка зависит от того, заражен или нет ПК клиента, то такая система уязвима для взлома, учитывая появление новых, более скрытных банковских «троянов».
Трудно поверить, что еще существуют банки, которые для онлайновой аутентификации клиента при доступе к коммерческому счету используют всего лишь пароль. Но опять же, некоторые из техник, связанных с современными банковскими «троянами», могут преодолеть и многие из самых современных механизмов защиты.
Банки часто жалуются, что жертвы таких «налетов» на коммерческие счета могли бы обнаружить кражу, просто сверив счета в конце дня. Но некоторые новые образцы вредоносного ПО способны манипулировать суммами, которые жертва видит на экране при просмотре своего счета.
Возможно, наиболее элегантная техника кражи из тех, что построены на использовании «троянов», известная, как «сеансовый налет» (session riding) состоит в том, что после захвата контроля над компьютером жертвы преступник ждет, когда пользователь зарегистрируется в банковской системе, а потом перехватывает сеанс на себя и уводит деньги со счета.
Амит Клайн (AmitKlein), главный технолог в Trusteer, написал в своем блоге на этой неделе об относительно новой разновидности вредоносного ПО, прозванной OddJob, которая похищает онлайновый сеанс клиента банка в реальном времени, используя идентификаторы и маркеры сеанса. По словам Клайна, OddJob сохраняет сеанс связи с банком открытым, в то время как клиент думает, что закрыл его, что позволяет преступникам совершить кражу, оставшись незамеченными.
Все это иллюстрирует существующую потребность в механизме какого-либо рода, который позволил бы системе на стороне банка обнаруживать мошеннические транзакции, таком, как построение профиля обычной активности клиента и позволяющим обнаруживать активность, которая от профиля отклоняется. Например, почти в каждом случае, что я описывал, жертва была ограблена после того как воры зарегистрировались в системе и добавили несколько новых имен в платежную ведомость. Почти наверняка существуют и другие подобные приметы-индикаторы и банкам следовало бы следить за ними. К сожалению, многие мелкие и средние банки передают значительную долю обработки транзакций на аутсорсинг поставщикам соответствующих сервисов, большинство из которых не спешат разрабатывать и внедрять новые решения, позволяющие банку замечать различные тревожные признаки в проводимых клиентом операциях.
СЛЕДОМ ЗА ДЕНЬГАМИ
В 7:45 утра в понедельник, 1 ноября 2010 года, контролер компании Green Ford Sales, Inc. (город Абилин, штат Канзас), зарегистрировался в системе банка First Bank Kansas, чтобы проверить счета компании.
Семью часами позднее, он снова зарегистрировался в системе и передал платежную ведомость, перечисляя сотрудникам компании в общей сложности 51 970 долларов. Система аутентификации банка выслала ему сообщение по e-mail, запрашивающее подтверждение платежей, и контролер дал подтверждение.
В тот момент контролер еще не знал, что злоумышленники уже заразили его компьютер копией «трояна» ZeuS, который позволял им контролировать компьютер и регистрироваться в банковской системе, используя его машину. Менее чем через час после того, как бухгалтер одобрил платежи по ведомости, как видно из банковского журнала, воры снова зарегистрировались в системе банка и получили доступ к счету Green Ford, зайдя с того же самого Internet-адреса, обычно используемого этой компанией, и введя правильное имя пользователя и пароль.Атакующие удерживали соединение недолго — просмотрели историю платежей, остаток на счете и баланс — и вышли из системы. Они ждали до 13:04 следующего дня, создавая собственную платежную ведомость на 63 000 долларов и добавив компании девять новых сотрудников. Добавленные сотрудники были «деньгоносами» или мулами, вольными или невольными сообщниками, завербованными для «работы на дому», чтобы помочь преступникам «отмыть» украденные деньги.
Контролер из Green Ford так и не получил запрос подтверждения по e-mail, отправленный банком, поскольку преступники имели доступ также и к почте контролера.
«Они просто взяли, и стерли его», сказал владелец компании, Лиз Даквел (LeaseDuckwall). «Если они захватили контроль над его машиной, то конечно могли контролировать и его почту тоже».
Если система аутентификации транзакций банка зависит от того, заражен или нет ПК клиента, то такая система уязвима для взлома, учитывая появление новых, более скрытных банковских «троянов».
Как мне кажется, эта атака хорошо показывает, почему эти банковские «электронные» кражи не ослабевают по всей стране: атакующий, захвативший контроль над компьютером владельца счета, может контролировать все аспекты того, что видит или не видит жертва, поскольку преступник может перехватывать, удалять, модифицировать или перенаправлять все коммуникации инфицированного ПК. Если система аутентификации транзакций банка зависит от того, заражен или нет ПК клиента, то такая система уязвима для взлома, учитывая появление новых, более скрытных банковских «троянов».
Трудно поверить, что еще существуют банки, которые для онлайновой аутентификации клиента при доступе к коммерческому счету используют всего лишь пароль. Но опять же, некоторые из техник, связанных с современными банковскими «троянами», могут преодолеть и многие из самых современных механизмов защиты.
Банки часто жалуются, что жертвы таких «налетов» на коммерческие счета могли бы обнаружить кражу, просто сверив счета в конце дня. Но некоторые новые образцы вредоносного ПО способны манипулировать суммами, которые жертва видит на экране при просмотре своего счета.
Возможно, наиболее элегантная техника кражи из тех, что построены на использовании «троянов», известная, как «сеансовый налет» (session riding) состоит в том, что после захвата контроля над компьютером жертвы преступник ждет, когда пользователь зарегистрируется в банковской системе, а потом перехватывает сеанс на себя и уводит деньги со счета.
Амит Клайн (AmitKlein), главный технолог в Trusteer, написал в своем блоге на этой неделе об относительно новой разновидности вредоносного ПО, прозванной OddJob, которая похищает онлайновый сеанс клиента банка в реальном времени, используя идентификаторы и маркеры сеанса. По словам Клайна, OddJob сохраняет сеанс связи с банком открытым, в то время как клиент думает, что закрыл его, что позволяет преступникам совершить кражу, оставшись незамеченными.
Все это иллюстрирует существующую потребность в механизме какого-либо рода, который позволил бы системе на стороне банка обнаруживать мошеннические транзакции, таком, как построение профиля обычной активности клиента и позволяющим обнаруживать активность, которая от профиля отклоняется. Например, почти в каждом случае, что я описывал, жертва была ограблена после того как воры зарегистрировались в системе и добавили несколько новых имен в платежную ведомость. Почти наверняка существуют и другие подобные приметы-индикаторы и банкам следовало бы следить за ними. К сожалению, многие мелкие и средние банки передают значительную долю обработки транзакций на аутсорсинг поставщикам соответствующих сервисов, большинство из которых не спешат разрабатывать и внедрять новые решения, позволяющие банку замечать различные тревожные признаки в проводимых клиентом операциях.
СЛЕДОМ ЗА ДЕНЬГАМИ
Даквел хвалит свой банк за то, что тот быстро вошел в контакт с банками «мулов» после того как контролер компании поднял тревогу в 8 утра 3-го ноября. Но, по его словам, усилия по возврату денег замедлялись реакцией многих из банков, где находились счета «денежных мулов».
«Самое огорчительное то, что мы связались по телефону с нашим банком, а они немедленно связались с другими банками, но большинство из них прислали по факсу или e-mail форму, которую нужно было заполнить, подписать и отправить назад», сказал Даквел. «Просто ужасно, как много времени требуется, чтобы остановить такие вещи. У нас возникло что-то вроде перерыва в нашей нормальной работе».
Даквел связался с одним из «мулов», мужчиной по имени Шон Янг (Shawn Young) из Нью-Йорка, который получил почти 5 тысяч долларов из денег Green Ford. Янг еще не перевел деньги заграничному получателю, как его инструктировал наниматель, фальшивая компания, именующая себя «R.E. Company» (ее Web-сайт все еще доступен здесь). Янг сказал, что он связался с нанимателями в R.E. Company, зарегистрировавшись на этом Web-сайте, загрузив свои личные данные и свои банковские реквизиты, после чего стал ждать инструкций. Эти инструкции прибыли чуть позже, 3-го ноября (см. снимок экрана).
Даквел сказал, что банк First Bank Kansas сумел вернуть все, кроме 22 000 долларов, и что банк и компания после этого инцидента внесли изменения в свои защитные меры.
«Теперь отсылается два подтверждающих сообщения по e-mail … одно ко мне, и второе [контролеру]. Наш платежный лимит по счету остается равным нулю все время, кроме платежных дней», - объяснил Даквел по e-mail. «Затем президент банка поднимает лимит. В платежные дни, когда лимит поднят, контролер регистрируется в системе и создает файл платежей, потом связывается со мной. Я регистрируюсь в системе, просматриваю файл и авторизую его. Я использую при этом свою домашнюю машину. Затем я извещаю президента банка, который опускает лимит обратно до ноля. Каждый раз, когда я или контролер регистрируется в системе, мы запрашиваем код доступа по e-mail (файлы «cookies» на наших машинах запрещены). Я получаю все подтверждающие сообщения e-mail, которые генерируются системой, на четырех разных машинах».
Как мне кажется, тут слишком много разных действий для платежей, которые совершаются каждую неделю. И к тому же, все эти изменения не затрагивают самый корень проблемы: они все равно основываются на небезопасном способе коммуникации (e-mail) который может быть перехвачен на стороне клиента. И что еще хуже, все эти изменения продолжают основывать безопасность и аутентификацию транзакций на клиенте, который всегда оказывается самым слабым звеном.
