Информационные атаки на банки

Нескончаемый поток фишинговых писем и появление наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя "поделиться" своими конфиденциальными данными. И причин тому несколько. Во-первых, попытки "просветить" пользователей не дают пока желаемого результата: люди упорно продолжают проходить по ссылкам, содержащимся в фишинговых рассылках. Создается впечатление, что пользователи либо не подозревают о существовании механизмов защиты (таких как https), либо не придают этому вопросу серьезного значения, либо просто игнорируют предупреждения о недействительных или недостоверных сертификатах безопасности веб-сайтов. Кроме того, в попытке максимально увеличить денежный оборот киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть пользователя, достаточно сведущего в вопросах безопасности.

Вторая причина эффективности фишинга в том, что система защиты большинства финансовых учреждений может быть легко взломана с помощью самой простой фишинг-атаки. Даже беглый взгляд на меры безопасности, принимаемые во многих банках США, Великобритании и других стран, показал, что для получения доступа в систему интернет-банкинга используются самые обычные статические логины и пароли. Все, что требуется от киберпреступников, - получить эти имена и пароли, после чего они могут свободно проводить практически любые транзакции. Еще одним минусом использования статического имени пользователя и пароля является то, что их можно сохранять в памяти компьютера, что означает, что злоумышленнику нет необходимости обрабатывать данные в режиме реального времени, эту работу можно сделать позднее.

Банки, которые более ответственно относятся к своим системам защиты, используют как минимум один динамический пароль – одноразовый пароль, который действителен только для одной сессии. Такая аутентификация может применяться как при входе в систему, так и при подтверждении транзакции, а лучше в обоих случаях. Это сделает невозможным подтверждение транзакции с помощью устаревшего пароля, а в идеале – остановит злоумышленника уже при попытке несанкционированного входа в систему.

Для того чтобы киберпреступники могли с помощью фишинга произвести транзакцию в обход установленных динамических паролей, они должны применить атаку Man-in-the-Middle (MitM). Этот тип атаки мы рассмотрим чуть ниже. Подготовить атаку Man-in-the-Middle существенно сложнее, чем запустить работу стандартного фишингового сайта. Однако сейчас появилась возможность приобрести наборы утилит для проведения атак Man-in-the-Middle, поэтому злоумышленники могут атаковать популярные банки, прилагая для этого минимум усилий.

Судя по тому что фишинг остается очень распространенным видом интернет-мошенничества, атаки с его использованиемчасто бывают вполне успешны. Однако, с точки зрения киберпреступников, у фишинга имеется один серьезный недостаток: пройти или не пройти по ссылке, содержащейся в сообщении, вводить или не вводить данные зависит только от пользователя.

Этот момент выбора присутствует всегда, когда речь идет о методах социальной инженерии. Технический подход, предусматривающий использование вредоносного программного обеспечения, исключает возможность выбора: его можно применять в отношении тех пользователей, которые не попались на удочку фишинг-мошенников.

3 Автоматизированные атаки

Создаваемое вредоносное финансовое ПО бывает самым разнообразным, и обычно оно "подгоняется", т.е. специально приспосабливается для атаки на конкретную организацию. Способ действия такой вредоносной программы, как правило, определяется тем, какая система безопасности установлена в компьютерной сети банка. Это значит, что киберпреступникам нет необходимости тратить время на создание чересчур сложного вредоносного ПО. Есть несколько методов, которые вирусописатели могут использовать, чтобы обойти систему защиты банка и получить пользовательские данные. Например, если в системе защиты банка применяется однофакторная аутентификация со статическим именем пользователя и паролем, то задача решается всего лишь регистрацией того, какие клавиши нажимаются. Другое дело, если банк использует динамические кнопочные панели, и пользователь должен набрать некую "произвольную" комбинацию, чтобы ввести свой пароль. "Перехитрить" систему защиты авторы вредоносных программ могут, применив один из двух методов: либо сделать снимок экрана, когда пользователь заходит на конкретный сайт, либо получить информацию, перехватив отправленную на сайт форму, заполненную пользователем. В обоих случаях похищенные данные обрабатываются позднее.

Использование кодов авторизации (Transaction Authorisation Numbers (TAN)) для подтверждения транзакции несколько усложнило получение доступа к счетам. Финансовая организация может выдать держателю счета список кодов на физическом носителе или присланный в виде SMS-сообщения. В обоих случаях у киберпреступников не будет к нему доступа. Чаще всего вредоносное ПО перехватывает вводимую пользователем информацию одним из способов, описанных выше. Как только пользователь вводит код, вредоносная программа перехватывает эту информацию и либо выдает поддельное сообщение об ошибке, либо отправляет другой, неправильный, код на сайт финансовой организации. В результате пользователю приходится вводить другой код. В некоторых финансовых организациях для завершения транзакции требуется ввести два кода (это зависит от установленной в их сети системы защиты). Если же требуется введение только одного кода, то описанная выше атака может позволить киберпреступникам совершить две транзакции.

Успех подобной атаки в большой степени зависит от особенностей системы авторизации. Некоторые системы не ограничивают срок действия кодов авторизации транзакции, и следующим вводимым кодом оказывается тот, что идет следующим в списке. Если следующий по списку код не попадает на сайт финансовой организации, злоумышленники могут либо воспользоваться им немедленно, либо сохранить его и использовать позднее. Однако украденные коды менее "долговечны", чем статические имя пользователя и пароль, потому что, если у пользователя постоянно будут возникать проблемы во время банковской онлайн-сессии, то он, скорее всего, позвонит в банк и попросит о помощи.

Если коды авторизации отправляются держателю счета в виде SMS-сообщений, то для каждой отдельной транзакции будет предоставляться отдельный код (подобно методу двухфакторной аутентификации). С этого момента киберпреступники начинают обрабатывать информацию в режиме реального времени, применяя атаку Man-in-the-Middle.

3.1 Перенаправление трафика

Еще один метод в арсенале киберпреступников – перенаправление трафика. Для этого есть несколько способов. Самый простой – модифицировать файл hosts (системный файл Windows). Этот файл, расположенный в директории %windows%\system32\drivers\etc, может быть использован для того, чтобы обойти запросы к DNS-серверу (Domain Name Server). DNS-сервер преобразует доменные имена, например www.kaspersky.com, в IP-адреса. Имена доменов нужны исключительно для удобства пользователей; компьютерам для соединения с узлом необходим IP-адрес. Если файл hosts модифицировать так, чтобы он перенаправлял запросы с определенным доменным именем на IP-адрес фальшивого сайта, компьютер соединится с этим последним.

Еще один тип атак, связанный с перенаправлением трафика – изменение настроек DNS-сервера. Вместо того, чтобы избежать отправки запроса на легальный DNS-сервер, настройки меняются, таким образом, чтобы компьютер использовал иной, вредоносный DNS-сервер. Большинство людей, подключающихся к интернету с домашнего компьютера, отправляют запросы на DNS-сервер своего интернет-провайдера. Поэтому подавляющее большинство таких атак ориентировано на рабочие станции. Однако если для получения доступа в интернет используется маршрутизатор, то по умолчанию DNS-запросы выполняет он, передавая их результаты на рабочие станции. Было отмечено несколько атак на маршрутизаторы, целью которых было изменить настройки DNS на маршрутизаторе . Учитывая повышенный интерес к плохой защищенности маршрутизаторов, следует ожидать, что атаки на них станут более распространенными. Для изменения ключевых настроек модификации отдельных установок, таких как установки используемых DNS-серверов, могут быть применены атаки XSS (Сross Site Sсriрting), для проведения которых нужно, чтобы пользователь посетил определенный сайт в интернете.

Перенаправлять трафик можно и установив на компьютер-жертву троянскую программу, которая отслеживает посещение интернет-сайтов. Как только пользователь соединяется с сайтом банка или другой финансовой организации, троянец перенаправляет трафик на фальшивый сайт. Это можно сделать с сайта, использующего протокол HTTPS, на сайт HTTP (потенциально небезопасный): тогда троянец, как правило, может блокировать любое предупреждающее сообщение, посылаемое браузером.

С точки зрения киберпреступников, у этого метода есть свои недостатки: такие троянские программы обычно представляют собой так называемые Browser Helper Objects, которые работают только в Internet Explorer. Кроме того, хотя трафик и перенаправлен, передаваемые данные нельзя обрабатывать в режиме реального времени, что дает жертве возможность связаться со своим банком и остановить транзакцию.

3.2 Атака man-in-the-middle

В более сложном вредоносном ПО применяется атака Man-in-the-Middle (MitM), которая позволяет киберпреступникам не только поразить больше банков, но и гарантированно получить более высокую прибыль, поскольку информация обрабатывается в реальном времени. При атаке Man-in-the-Middle используется вредоносный сервер, который перехватывает весь трафик между контрагентами, т.е. между клиентом и финансовой организацией. Пользователь не замечает ничего подозрительного, и, когда его просят разрешить транзакцию, на самом деле он разрешает транзакцию, осуществляемую киберпреступниками. Вредоносное ПО, применяющее атаку MitM, обычно либо скрывает уведомления браузера о фальшивом сертификате безопасности веб-сайта, либо (что случается чаще) показывает фальшивое уведомление. Однако в зависимости от подхода, реализованного авторами вредоносной программы, ей может не потребоваться ни того, ни другого. Например, пользователь заходит на сайт банка, вредоносная программа получает контроль над трафиком и перенаправляет его на MitM-сервер; вредоносная программа лишь "обновляет" банковскую страницу, создавая у пользователя впечатление, что он по-прежнему находится на сайте банка.

Во многих сложных финансовых вредоносных программах, предназначенных для проведения атак MitM, используются также HTML-инъекции.

Как правило, это происходит следующим образом. Троянская программа Trojan-Spy.Win32.Sinowal, принадлежащая семейству вредоносных программ, которые могут атаковать более 750 банков, часто показывает всплывающие окна, куда пользователь должен ввести данные. Sinowal может показывать и всплывающие окна, где запрашивается не имеющая прямого отношения к делу информация, пытаясь убедить пользователя ввести другие конфиденциальные данные. Ниже приведен пример скриншота, показывающий всплывающее окно, созданное троянцем Sinowal на сайте банка. У пользователя запрашиваются реквизиты кредитной карты, которые не имеют отношения к текущей транзакции.

Всплывающее окно, созданное Sinowal, в котором запрашиваются реквизиты кредитной карты

Более распространенным способом использования HTML-инъекций является размещение на интернет-странице банка дополнительной формы, при заполнении которой требуется ввести дополнительную информацию.

Как правило, запрашиваемые данные – это имя пользователя и пароль, необходимые для совершения транзакции. Таким образом сервер, проводящий атаку Man-in-the-Middle, может автоматически завершить транзакцию даже в тех случаях, когда используется двухфакторная аутентификация.

И хотя нельзя сказать, что успешное завершение атаки Man-in-the-Middle невозможно без использования этого метода, он легче других поддается автоматизации. Однако некоторые атаки Man-in-the-Middle применяют другую тактику. Они или добавляют еще одну транзакцию, или модифицируют уже подтвержденную клиентом транзакцию, разумеется, не уведомляя об этом жертву.

Обычно атаки Man-in-the-Middle проходят успешно, но с точки зрения киберпреступников, у них есть определенные недостатки. MitM-атаки существенно замедляют работу браузера, что может вызвать подозрения у пользователя. Кроме того, банки пересматривают подход к системам защиты, и пытаются выявить незаконные транзакции эвристическими методами. Например, если клиент входит в систему с определенного IP-адреса 99 раз, а в сотый раз он делает это с IP-адреса, зарегистрированного в другой стране, система подаст сигнал о возможной угрозе безопасности.

Стараясь максимально увеличить свою прибыль и остаться при этом на свободе, киберпреступники изучают другие способы проведения атак. В результате мы наблюдаем усиление активности так называемого следующего поколения вредоносного финансового ПО – атак Man-in-the-Endpoint.

3.3 Следующее поколение

Концепция атак Man-in-the-Endpoint обсуждается на протяжении уже нескольких лет, однако лишь недавно эти атаки стали активно применяться. В отличие от атаки Man-in-the-Middle атака Man-in-the-Endpoint не использует дополнительный сервер для перехватывания трафика между клиентом и сервером: все изменения происходят в локальной системе.

У такого подхода есть несколько важных преимуществ. Во-первых, соединение с компьютерной системой финансовой организации устанавливается напрямую, и тогда незаконная транзакция не привлечет к себе внимания тем, что пользователь вошел в систему с неизвестного IP-адреса. Во-вторых, атака Man-in-the-Endpoint более эффективна в борьбе со сложными системами защиты, чем атака Man-in-the-Middle.

Однако создание атаки Man-in-the-Endpoint требует от писателя вредоносных программ времени и усилий. Один из сценариев атаки – заражение системы троянской программой, предназначенной для перехвата всего трафика HTTPS и отправки его вирусописателям. Анализ перехваченного трафика позволяет вирусописателям получить представление об особенностях работы сайта и создать еще одну троянскую программу, специально предназначенную для атаки на этот сайт.