Cerberp банков вирус как да защитите сметките си
И когато поведението на жертвата и нейния софтуер са достатъчно проучени, се извършва вторият етап от операцията - контролният сървър дава команда на троянския кон да открадне пари, така че той незабелязано от потребителя да генерира фиктивно плащане, да го подписва с краден електронен цифров подпис, да го прекара през системата "Клиент-банка" и внимателно да прикрие следите му. Защо вирусът успява да владее толкова умело? Тъй като използва различни уязвимости в операционните системи, техните недокументирани функции и дупки в сигурността на конкретен софтуер. Нека да разгледаме по-отблизо как Cerberp прониква и какво прави.
Проникване
Освен това, според някои слухове от източници в кръговете за банкова сигурност, има нови модификации на Cerberp, които дори не се нуждаят от администраторски права, за да бъдат инсталирани на компютъра на жертвата.
Ако говорим за по-прост случай - домашен компютър, тогава всичко се случва по-бързо и по-малко болезнено. Просто отговорихте на изскачащия прозорец - и вече имате вируса. Освен това той се въвежда в други работни процеси в паметта и се скрива в тях. Собствен първоначален процес - разтоварва. Следователно е нереалистично да го намерите в списъка с процеси в паметта, той няма да бъде там. В същото време кодът е написан с достатъчно качество, така че неговата дейност да не забавя компютъра (единственият фактор, който косвено може да накара потребителя да помисли за допълнителна задълбочена проверка на системата). Уви, времената, когато забавянето на компютъра предизвикваше съмнения за вирус, отминаха. Когато става въпрос за големи пари, програмите се пишат по различен начин: с високо качество и точност, в строго съответствие със задачата. Все пак това вече не е хулиганство за лично удоволствие, апрестъпен бизнес.
Компютър, заразен по този начин, сам става носител на заразата. Ако в него са поставени външни носители на данни (HDD, Flash Disk), тогава вирусът може да проникне в тях. Така че, дори и без мрежа, вирусът продължава да се разпространява.
Наблюдение и кражба на информация
В зависимост от командата от „центъра“ вирусът краде пароли за достъп до системи за дистанционно банкиране, ключове за електронен цифров подпис и чете данни за плащане. Контролният сървър, след като получи такива данни за потенциална жертва, ги натрупва. Престъпниците, контролиращи вируса, анализират поведението на клиента: какви финансови дейности извършва, на кого, за какво и какви суми плаща. Тяхната задача е да инструктират вируса да извърши плащане в часа X, което по смисъл няма да се откроява в потока на нормалните дейности на жертвата, а ще прехвърли парите по сметките на фиктивна фирма-еднодневка. С обичайната цел на плащане за този клиент.
Cerberp разполага с модули за работа с най-разпространените RBS системи. Това означава, че впоследствие вирусът ще получи индивидуална поръчка за кражба на пари от конкретна система Клиент-Банка от конкретен клиент. Всъщност това е прилагането на ясен механизъм за „поръчка“. Модулите се зареждат по време на работа, няма нужда да „носите“ целия арсенал за хакване със себе си: след като анализират информация от заразен компютър, престъпниците решават кой допълнителен модул да заредят върху него - за конкретна RBS система и банка.
Един от обичайните начини, по които работи Cerberp, е да прихваща обаждането на браузъра към уебсайта на банката, като заменя страницата с фалшива (пълно копие на оригиналната), на която нищо неподозиращата жертва въвежда банково име и парола. Ясно е, че вирусът прихващаи вече програмно ги въвежда в този сайт, като по този начин получава достъп до RBS системата. Клиентът си мисли, че комуникира с банката, а всъщност - само с огледалния й образ в хакерския сайт.
Вирусът дублира действията на потребителя, но не извършва активни действия на етапа на наблюдение. Така се натрупва трудова история на клиента, плащания, подробности. Всички тези данни са необходими в бъдеще за анализ, за да се състави фалшиво плащане, което е възможно най-подобно на наличните в натрупаната база данни.
Кражба от банкови сметки
Когато се съберат достатъчно досиета за жертвата, престъпниците планират удобен момент да изтеглят парите. Обикновено се анализират дните, в които счетоводителят и директорът са недостъпни за комуникация. Например, някои от тях придобиха навика да ходят на лов или на почивка в чужбина през определени периоди от годината или да изключват мобилните си телефони през уикендите или празниците. В случай, че се изчисли такъв период от време, нападателите чакат потвърждение за наличието на пари в банковата сметка. Вирусът може сам да се свърже с банката, ако заразеният компютър е включен и да провери салдото по сметката.
Особеността на Cerberp е, че когато компютърът е включен, той напълно го контролира. Може да въвежда необходимите данни на клавиатурата и да блокира тази възможност за потребителя. Вирусът поддържа връзка с контролния сървър, където всъщност седят основните кукловоди - хората. В края на операцията „Инжектиране“ те ще дадат подробности за вируса, суми и команди за влизане в RBS системата от името на потребителя и извършване на плащане. Според експерти по компютърна сигурност цялата операция по теглене на пари от банкова сметка след получаване на команда от "центъра" отнема от една до две минути.
Преди пет години се използваха вирусисамо за да откраднат необходимите пароли за достъп, а престъпниците сами са прехвърляли пари от сметките на жертвите, като са влизали в банковите сървъри от техните компютри. Но през годините разработчиците на системите Клиент-Банка въведоха редица подобрения и банковата част на системата започна да контролира средата за изпълнение, като: версия и тип на операционната система, конфигурация на компютъра, версия на браузъра и редица други параметри, общо от 50 до 250 в зависимост от настройките. Ако внезапно тези комбинации се променят, банковият служител се свързва с клиента и изяснява дали е преконфигурирал компютъра си. Така, ако клиентът използва системата Клиент-Банка само от едно (например официално) място и банката е задала параметрите за наблюдение на средата за връзка на клиента, обичайната кражба на пароли не работи.
Преди това бяха откраднати и ключове за електронен цифров подпис (EDS). В края на краищата те бяха съхранени като обикновен файл. През последните няколко години разработчиците на инструменти за сигурност предложиха да се използват защитени носители с несменяеми ключове вместо файлове с EDS ключове - устройство за генериране на EDS, което прилича на обикновено флаш устройство. Принципът на подписване на платежен документ се свежда до факта, че определени параметри на плащането се изпращат до това електронно устройство, поставено в USB порта. Устройството иска ПИН код. Потребителят въвежда кода, а устройството прочита изпратените му данни, налага им цифров подпис вътре в себе си и ги връща обратно към системата Клиент-Банка в готов вид. Самите ключове за криптиране са вградени в микроконтролера, който принципно не поддържа четене от него. Тези клавиши не се появяват никъде освен в контролера. Следователно те не могат да бъдат копирани.
Добър шев на пръв поглед. Но не от Церберп. Като се има предвид горната политикасигурност: контрол на конфигурацията на компютъра на потребителя от банките, невъзможност за възстановяване на цифровия подпис (обаче в Украйна тези методи за защита все още се използват рядко навсякъде), Cerberp може да използва тактика за заобикаляне. При първия вариант вече има изготвен фиктивен документ, като се очаква счетоводителят да влезе в системата "Клиент-банка", за да извърши обичайните си плащания. Тогава, между другото, измамно плащане, подписано с легитимен подпис, ще бъде хвърлено в общия поток от документи от вируса в момента, в който счетоводителят лично въведе ПИН кода за достъп до устройството за налагане на електронен подпис. Освен това, тъй като вирусът контролира целия банков трафик чрез себе си и своята фалшива страница, той няма да покаже фиктивния документ на счетоводителя. Друг вариант е, когато на етапа на наблюдение вирусът прихване ПИН кода и по-късно сам го въвежда, когато е необходимо. Основното е, че счетоводителят трябва да остави устройството за генериране на цифров подпис поставено в компютъра.
Преди това банковите троянски коне откраднаха всички данни в техните контролни центрове, а след това нападатели от други компютри се свързаха с банката. Сега тази тактика се заменя с нова - поемане на пълен таен контрол върху компютъра на жертвата с по-нататъшно незабележимо манипулиране на плащанията от работното му място.
Защита Cerberp
За съжаление няма универсален лек. Разбира се, трябва да имате добра антивирусна програма с редовни актуализации. Но ако банков троянски кон се пусне в бизнес, той се проверява от антивирусни програми за работа. Вероятността антивирусът да защити на етапа на заразяване е ниска. Месец-два по-късно шансовете са по-големи. Вярно, през това време те можеха вече да са разчистили сметките. За съжаление е възможно да се появят нови разновидности на същия вирус, което бързоне се идентифицират от антивирусни програми. Известни вируси, които са се занимавали с индустриален и финансов шпионаж и не са били открити поне една година.
Друг инструмент е защитна стена или защитна стена. С определени настройки на така наречения поведенчески анализ защитните стени на трети страни (което означава, че не са вградени в Windows) могат да блокират проникването на един процес в друг, достъп до интернет без разрешение и редица други подозрителни действия. Това ще създаде значителни трудности за вируси, които не се откриват чрез сигнатурен анализ от антивирусни програми.
Третият начин е прилагането на принципа при работа с RBS системи: „Подписвам това, което виждам“. Ако този режим се поддържа от вашата банка, тогава при прилагане на електронен подпис трябва да въведете параметрите на плащането - сума, част от номера на сметката, бенефициент. Така цифровият подпис се обвързва с конкретно платежно нареждане, чиито параметри счетоводителят въвежда от разпечатката на фактурата. Ако вирус прихване истинския ви документ (и го покаже на екрана) и тайно изпрати своя фиктивен за подпис, то данните за плащане от този документ ще бъдат използвани при подписване на фиктивния. При преминаване на проверката на подписа в банката, такова плащане ще бъде отхвърлено - данните в плащането няма да съвпадат с данните в криптирания подпис. В този случай, въпреки усилията на вируса, плащането няма да премине.
За банките използването на системи за мониторинг срещу измами дава добри резултати. Такива системи автоматично натрупват и анализират дейностите на клиентите и в случай на подозрителна активност дават аларма или незабавно блокират операцията. Според уверенията на разработчиците на системи за сигурност от различни компании, такива системи предупреждават 80-90%опити за неразрешено дебитиране на средства.
В идеалния случай би било правилно да се откажете от практиката да използвате устройства за криптиране, които имат общ интерфейс с компютър. В чужбина, за да подпишат документ, често използват цифрови подписи, генерирани на устройства под формата на ключодържатели (токени) или под формата на калкулатор. Въведох ключовите параметри за плащане, получих комбинация от отговор на цифров подпис и го закарах в „Клиент-банка“. Вирусите все още не могат да повлияят на устройството в ръцете. Съгласно условията на украинското законодателство има изисквания за използването на EDS, така че използването на описаните западни устройства под формата на токени е възможно, но от правна гледна точка само като допълнителен елемент на защита. Въпреки че за безопасността на парите няма значение как да се нарече. Основното е, че парите не са откраднати.
Забелязали сте грешка? Маркирайте и натиснете Ctrl / Cmd + Enter