Хакер #305. Многошаговые SQL-инъекции
Пока финансовые организации принимают на вооружение новую защиту, хакеры уже
успевают к ней приспособиться.
В 2007 году исследователи обнаружили троян, способный отслеживать и
регистрировать нажимаемые на компьютере клавиши, ориентируясь, таким образом, на
банковских сайтах и воруя деньги с аккаунтов. Вслед за своими растущими
успехами, знаменитый троян Zeus быстро адаптировался ко многим системам защиты,
внедряемым банками для предотвращения онлайн-краж.
В этом месяце преступники, стоящие за очередным воплощением Zeus, известным
как SpyEye, нашли новый способ обходить меры защиты, применяемые некоторыми
онлайн-банками. Специалисты из фирмы по обеспечению финансовой безопасности
Trusteer задокументировали один из вариантов SpyEye, который способен заразить
компьютер, выкрасть учетные данные для входа и сменить номер телефона, по
которому банк подтверждает транзакцию. Это последняя версия атаки, которая,
среди прочего, может заразить телефон, на который банк шлет текстовые сообщения
для подтверждения сделки.
"Эта атака сильнее всего того, с чем мы сталкивались раньше", - сказал Микки
Будаи, руководитель Trusteer.
Игра в кошки-мышки между преступниками, стоящими за банковскими троянами и
финансовыми организациями, пытающимися предотвратить мошенничество, в последние
годы стала гораздо активнее. Сначала казалось, что схемы двухфакторной
аутентификации, такие как токены безопасности, которые генерируют
псевдослучайные числа, будут панацеей от сетевых краж. Однако преступники
научились спекулировать банковскими сессиями и управлять транзакциями втайне от
жертвы.
Некоторые финансовые организации и фирмы по обеспечению безопасности добавили
еще один уровень защиты и в подтверждение крупных транзакций стали посылать
пользователям код через так называемые внеполосные коммуникации, используя иные
устройства, нежели ПК. Но воры снова быстро приспособились.
Некоторые киберперсутпники сосредоточились на атаках на устройства, которые
непосредственно получают коды подтверждения – на мобильных телефонах. Ранее в
этом году специалисты из фирмы по обеспечению безопасности ПО Trend Micro
проанализировали троян, заражавший смартфоны, перехватывал текстовые сообщения и
перенаправлял банковские коды подтверждения на другой сервер, откуда преступники
могли их забрать и завершить мошеннические транзакции.
Другие трояны, вроде недавнего варианта SpyEye, пытаются использовать
непосредственный источник проверок, банковский сервер, снабжая его
фальсифицированной информацией.
"До тех пор, пока хорошие парни пробуют внедрять новые технологии для защиты
пользователей, злодеи будут пытаться эти технологии обойти", - комментирует
Луциф Харуни, главный исследователь угроз в Trend Micro.
Первоначальные попытки обойти внеполосную защиту были примитивными. Но атаки
стали более отточенными. Например, если клиент, чей ПК заражен трояном SpyEye,
зайдет на сайт своего банка, то троян создаст сообщение, якобы отправленное
банком, в котором попросит клиента скачать вредоносное мобильное приложение.
"Обеспокоенность тем, что мобильные телефоны становятся все менее и менее
внеполосными устройствам, постоянно возрастает", - говорит Джейсон Миллитэри,
технический директор по анализу вредоносного ПО компании Dell SecureWorks,
который проследил развития банковских зловредов. "Телефоны постепенно заменяют
людям компьютеры, и люди будут осуществлять через них даже банковские операции".
Решения трудны, говорит Миллетэри. Некоторые компании стараются укрепить
канал мобильной связи, закодировав данные таким образом, чтобы перехваченную
информацию можно было обнаружить. Другие компании, такие как Trusteer,
сосредотачивают свои усилия на укреплении канала первичной связи, создавая более
защищенные браузеры.
"ПК и установленный на нем браузер должны быть защищены", - утверждает Будаи
из Trusteer. "Пользователям очень сложно понять, если часть банковского сайта
находится не под контролем банка, а под контролем мошенника".
В конечном счете, какого-то единого решения недостаточно. Обучение
пользователей, более защищенные браузеры и более качественные дополнительные
меры защиты одинаково необходимы.