Троянец не только крал деньги с банковских счетов, но и заметал следы
Компания Finjan, которая занимается сетевой безопасностью, сообщила о появлении нового способа для похищения денег со счетов ничего не подозревающих пользователей. В частности, специалисты Finjan раскрыли нетривиальную схему вывода денег, в которой используется управляющий сервер на Украине, фальшивые веб-сайты, вирус-троянец, получивший название URLZone, подставные лица и ложные банковские выписки.
» Нажмите, для открытия спойлера | Press to open the spoiler «
По данным отчета, который опубликовала компания Finjan, одна из банд нового формата похитила около 300 тысяч евро за 22 дня. Для кражи денег преступники нанимали добропорядочных граждан, искавших работу в сети. Использование этих подставных лиц, не подозревавших о характере своей работы, помогало преступникам запутать следы и скрыть поступление денег в собственные карманы. Отслеженная атака в августе этого года затронула несколько Интернет-банков в Германии, о чем была проинформирована немецкая полиция. На данный момент управляющий сервер, использованный в этой атаке, не откликается на внешние сигналы, хотя преступники могут вновь задействовать его в любой момент.
Новая схема похищения денег выглядит чрезвычайно продуманной. Сначала преступники распространили собственный троянец, заразив им популярные сайты вполне законопослушных компаний. После посещения этих сайтов машины пользователей оказались зараженными, так что преступники получили полный доступ к информации на компьютерах жертв. Далее троянец URLZone получал команду на перевод денег со счета жертвы на счет подставного лица – в материалах Finjan эти случайные соучастники преступления носят название «деньгоносы» (money mule). Интересно, что преступники, как правило, переводили довольно небольшие суммы денег и не использовали подставные счета «деньгоносов» более двух раз, чтобы банковские системы не заподозрили мошенничества.
Ювал Бен-Ицхак (Yuval Ben-Itzhak), технический директор Finjan, рассказал, что по данным проведенного исследования, официальные и поддельные сайты злоумышленников посетило более 90 тысяч человек. Достоверно известно о 6400 случаях заражения – большинство пользователей заразилось через браузер Internet Explorer, хотя другие браузеры тоже оказались уязвимы. По словам Бен-Ицхака, эксперты впервые столкнулись со столь хитроумной системой похищения денег, которой удалось обмануть как банковские системы, так и владельцев счетов в Интернет-банках, обычно очень внимательных к состоянию своего счета.
Интереснее всего, как злоумышленникам удалось красть деньги, не привлекая внимание владельцев счетов, и обмануть банковские системы для слежения за мошенниками. Дело в том, что созданная преступниками система снимала только некрупные суммы, при этом счет жертвы не должен был оказаться пустым. Для обмана самих владельцев троянец использовал подмену веб-страницы с выписками – когда пострадавший заходил в свой личный кабинет, перед ним оказывалась поддельная страница без указания операций преступников. Подлог обнаруживался только тогда, когда пользователь заходил в Интернет-банк с другого, незараженного компьютера. Как показало расследование, в нескольких случаях преступникам вообще удалить сведения о транзакциях.
Интересно отметить и роль подставных «деньгоносов» - по мнению Finjan, нынешний экономический кризис снизил порог тревожности, поэтому украинским киберпреступникам удалось довольно легко завербовать достаточное количество подставных лиц. «Деньгоносам» предлагали на одноразовой основе поучаствовать в легитимном онлайн-проекте, и они легко соглашались. Преступники перегоняли деньги со счетов жертв на счета «деньгоносов» с условием перечисления части денег на собственные счета. В результате «деньгоносы» получали якобы законный доход, а преступники отмывали похищенные деньги. Эксперты отмечают, что «деньгоносов» в данном конкретном случае следует рассматривать не как соучастников, а как пострадавших. Скорее всего, обвинения им не грозят, хотя наверняка придется ответить на вопросы компетентных органов.
По материалам сайтов BBC и Wired
Троянец URLzone оставил преследователей с носом
итроумная троянская программа продемонстрировала еще одну сторону таланта своих создателей. Ее авторы не только тщательно продумали механизмы хищения средств с банковских счетов пострадавших, но и заранее предусмотрели весьма остроумный ответ своим преследователям.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Специалисты компании RSA Security, изучающие работу троянца URLzone Trojan, столкнулись с тем, что созданный ими в исследовательских целях аналог вредоносной программы получает от управляющего сервера фальшивые номера счетов для перечисления украденных средств. Как оказалось, авторы мошеннической схемы тщательно продумали свои действия на случай провала, разработав целую серию тестов, позволяющих определить, находится ли их программа «под колпаком» или нет.
В частности, каждому зараженному компьютеру присваивается уникальный идентификатор, который используется в сеансах связи с управляющим сервером. Список выданных идентификаторов хранится на сервере и используется для проверки легитимности обращающихся к нему троянцев. Если сервер получает неизвестный или подозрительный идентификатор, то троянцу отправляются фальшивые банковские реквизиты для перевода украденных средств. Однако эти реквизиты генерируются не случайным образом, а берутся из базы данных реальных счетов, которые уже были обчищены программой ранее.
По материалам _wired.com