Xakep #305. Многошаговые SQL-инъекции
Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга. В новой схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет третьим лицам подключиться к смартфону. В течение полугода ежемесячно, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа.
По данным экспертов, основной пик мошенничества с использованием мобильного приложения и TeamViewer на весну текущего года: в апреле и мае 2019 года в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, а второй пик активности пришелся на июль 2019 года. РБК сообщает, что такие атаки фиксировали службы безопасности банка «Открытие», Почта Банка и Альфа-банка.
Обнаружить подобные атаки оказалось весьма трудно, так как в данном случае пользователь мобильного приложения банка сам соглашался установить TeamViewer, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, становилось сложно. Для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять мошенническую активность в мобильном канале.
Только в одном из банков Group-IB удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 000 000 рублей за 2 месяца. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн рублей.
Работает данная схема весьма просто. Злоумышленник звонит пользователю, представляясь сотрудником банка, и сообщает, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета. Якобы службе безопасности банка требуется помощь клиента: нужно решить техническую проблему для противодействия мошенничеству. Для этого необходимо срочно установить программу удаленного управления смартфоном, чтобы сотрудники банка могли получить доступ к устройству и обезопасить пользователя. После установки такой программы, мошенник получает возможность действовать от имени пользователя и, получив доступ к приложению мобильного банкинга, выводит средства со счета жертвы.
В одном из разговоров с мошенниками, специалисты Group-IB сообщили преступникам, что видят свой счет и деньги с него не списаны. Мошенник не растерялся и ответил, что средства списываются не сразу: якобы банк уже видит транзакцию, а пользователь еще нет, поэтому необходимы срочные превентивные меры.
Еще один сценарий атаки выгляди следующим образом: на телефон жертвы отправляется фейковое SMS-сообщение (якобы от лица банка) о списании средств. Зачастую такое сообщение предваряет телефонный звонок мошенников. Далее пользователю звонит «сотрудник банка», говорит, что зафиксировал попытку вывода денежных средств и тут же уточняет: получал ли пользователь оповещение? Жертва отвечает, что сообщение приходило, мошенник тут же сообщает, что на смартфоне зафиксирована вредоносная активность, и чтобы ее прекратить, нужно установить все ту же программу удаленного доступа.
Исследователи отмечают, что транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае, не поможет. Злоумышленник действует от имени и фактически «рукой» легального пользователя. В свою очередь, именно пользователь «наделил» злоумышленника такими правами, по доброй воле установив на свой смартфон программу для удаленного доступа. При этом сама установка TeamViewer не является доказательством реализации мошеннической схемы.
«Единственный вариант обнаружить данную схему — фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии. „Умные“ технологии защиты клиента в каналах ДБО умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления нового ПО для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять — совпадает ли его поведение с обычным поведением его профиля. И если нет — такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком», — рассказывает Павел Крылов, руководитель по развитию продуктов направления Secure Bank и Secure Portal.
Специалисты Group-IB советуют пользователям: если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета — кладите трубку, независимо от того, с какого номера поступил звонок. Для проверки информации — перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.