Трояны по-прежнему остаются эффективным оружием финансовых мошенников
Фото: Fotolia/Brian Jackson
Банковские трояны становятся все более разнообразными и изощренными. Как они работают и как пользователям защитить себя от онлайн-ограбления?
Идеальное преступление
Банковские трояны помогают киберпреступникам совершать идеальные преступления - похищать средства со счетов ничего не подозревающих жертв, не оставляя практически никаких следов и с минимальным для себя риском. Поэтому неудивительно, что в период с июня по декабрь 2016 года банковские трояны лишь немного отставали от программ-вымогателей в списке самого распространенного вредоносного ПО. А в странах Азиатско-Тихоокеанского региона они далеко обогнали ransomware (от англ. ransom - «выкуп» и software - «программное обеспечение», вредоносное программное обеспечение, предназначенное для вымогательства. - Прим. Банки.ру) по числу атак. Итак, как работают банковские трояны и как пользователям защитить себя от онлайн-ограбления?
Троянская война
Вредоносные программы-вымогатели, блокирующие компьютер и шифрующие данные пользователя, становятся все опаснее и требуют от своих жертв все больших сумм. Банки.ру разбирался в разновидностях троянцев-вымогателей и в том, как от них защититься.
Кейлоггинг с мулами
Во-первых, эти зловреды представляют собой один из самых скрытных типов вредоносного ПО. После того как троян инфицирует устройство, он не будет проявлять никакой активности, пока пользователь не зайдет на сайт онлайн-банка. Дождавшись этого момента, троян активизируется и использует кейлоггинг (фиксацию действий пользователя - например, нажатий клавиш), чтобы похитить имя пользователя и пароль, а затем тайно отправляет эти данные преступникам, осуществляющим атаку. После этого хакеры могут войти в банковскую учетную запись пользователя и переводить деньги на свои счета - обычно через сложную последовательность трансакций с использованием аккаунтов-«мулов» (посредников, которые получают деньги за пособничество), чтобы замести следы.
Вор в браузере
Многие трояны умеют применять продвинутые тактики атак типа «человек-в-браузере». Например, веб-инъекции или механизмы перенаправления, которые маскируют действия троянов в реальном времени: они незаметно подменяют картинку, которую пользователь видит в браузере. Трансакции как будто бы происходят в обычном режиме, и жертва не замечает кражи. Другие тактики включают отображение подложных страниц с предупреждениями, которые просят пользователя ввести свои учетные данные, а также страниц выхода из учетной записи, когда на самом деле пользователь остается в системе. Цель этих тактик - как можно дольше скрывать действия трояна от пользователей, чтобы киберпреступники могли продолжать похищать средства с их счетов.
По данным отчета Check Point 2016 H2 Global Threat Intelligence Trends , самыми распространенными банковскими троянами в мире во втором полугодии 2016 года стали:
1. Zeus, атакующий устройства на платформе Windows и часто используемый для кражи банковской информации с помощью технологий типа «человек-в-браузере» - записи нажатий клавиш клавиатуры и фиксации данных, вводимых в формы.
2. Tinba , похищающий данные учетных записей пользователя с помощью веб-инъекций. Он активизируется, когда пользователь пытается зайти на сайт своего банка.
3. Ramnit, похищающий данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
В действительности в течение всего 2016 года Zeus, Tinba и Ramnit оставались в топ-20 вредоносного ПО и часто оказывались в топ-10 по всему миру, согласно Check Point.
Согласно отчету Banking Trojans: from Stone Age to Space Era, помимо давно существующих Zeus, Tinba и Ramnit, набор банковских троянов продолжает пополняться новыми семействами. Так, в 2016 году появились Panda, который использовался во вредоносной атаке на бразильские банки накануне Олимпийских игр - 2016, а также Goznym и Trickbot. Последний получил распространение в основном в Австралии, Великобритании, Индии, Сингапуре и Малайзии.
Интересно, что изначально трояны для банков распространялись прежде всего в англоговорящих странах. Это упрощало хакерам работу с кодом и вектором атаки. Однако сейчас эксперты отмечают все больше и больше таргетированных хакерских кампаний в конкретных странах и на разных языках.
Мобильный банк: движущаяся мишень
Мы также наблюдаем эволюцию мобильных банковских троянов. Зловреды обычно выводят на экране мобильного устройства поддельные уведомления и экраны, когда пользователь пытается работать с приложением. Эти экраны выглядят так же, как страницы входа в банковские приложения. Через них злоумышленники могут похищать учетные данные или перехватывать СМС-сообщения из банка пользователя с кодами доступа, собирая данные, необходимые для одобрения мобильных трансакций.
Как защититься
Понятно, что, помимо использования специальных решений для защиты от вредоносного программного обеспечения, пользователям нужно быть бдительными в Сети. Это самое слабое место в вопросе сетевой безопасности, так как люди часто не воспринимают и не замечают даже явных признаков мошенничества в Интернете.
Вот несколько классических советов, которые сделают использования онлайн- и мобильного банка хоть немного безопаснее.
Будьте бдительны , открывая сообщения электронной почты, даже если они по виду пришли из доверенных источников, - не переходите по ссылкам, не открывайте вложения и не включайте макросы в файлах Microsoft Office.
Установите комплексное современное решение по безопасности. Высококачественные решения и программы по безопасности (антивирус, антибот, продвинутое предотвращение угроз) защитят вас от разнообразных типов вредоносного ПО и векторов атак.
Будьте внимательны к «странностям» поведения сайтов, через которые вы получаете доступ к банковским услугам. Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные. Выдать вредоносную страницу также могут дополнительные поля на страницах входа, которые вы не видели ранее (особенно если в них просят ввести персональные данные или информацию, которую банк спрашивать не должен), изменения дизайна страниц входа и мелкие недостатки и неточности отображения веб-сайта.
Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные.
Устанавливайте мобильные приложения и особенно банковские приложения только из известных и доверенных источников , таких как Google Play и Apple Store. Это не дает полной гарантии от скачивания вредоносных приложений, но защитит вас от большинства угроз.
Создавайте резервные копии самых важных файлов. Держите копию ваших файлов на внешнем устройстве, не подключенном к вашему компьютеру, и в онлайн-хранилище в облаке. Самые распространенные банковские трояны сегодня вслед за фазой хищения информации осуществляют внедрение другого вредоносного программного обеспечения, включая программы-вымогатели, которые могут заблокировать ваши файлы и удерживать до тех пор, пока вы не заплатите выкуп.
Несколько лет назад. Практически с самого момента своего появления он умел обходить механизм двухфакторной аутентификации. Троян делал это при помощи вредоносного мобильного контента.
Специалисты по информационной безопасности утверждают, что это ПО использует различные типы веб-инъекций для проникновения на компьютеры пользователей. Цель у этого трояна одна - похищение у жертвы аутентификационных данных для проведения транзакций в онлайн-банкинге в интересах своего создателя.
Для того, чтобы обойти систему защиты большинства банковских организаций, этот троян старается убедить жертву установить мобильное приложение. Оно помогает обходить необходимость подтверждения банковских операций. Это приложение представляет собой вредоносный код Android/Perkele. Жертва получает его одновременно с веб-инъекцией, используемой для установки кода. Мобильный зловред может перехватывать SMS-сообщения с устройства пользователя (например, авторизационные SMS, отправляемые банком). Как только жертва заходит в свой аккаунт онлайн-банкинга, код, встроенный в веб-страницу, запрашивает установку мобильного приложения для конкретной модели телефона. Пользователю сообщается, что это мобильное приложение его банка.
Схема атаки, которую использует зловред, хорошо известна. Это Man-in-the-Browser, MiB. На первом этапе malware внедряет свой код в любой из популярных браузеров (Internet Explorer, Firefox и другие), эксплуатируя специфическую уязвимость. После внедрения создатель трояна получает возможность проводить транзакции от имени пользователя в интересах своего создателя. Для этого используется JavaScript, который выполняет перевод средств со счета жертвы на счет злоумышленника без ведома владельца счета.
Несмотря на то, что специалисты по информационной безопасности обнаружили троян несколько лет назад, справиться с ним пока не удалось. Более того, создатели трояна усовершенствовали его структуру и обновили некоторые функции. Сейчас основная цель трояна - это банковские структуры Великобритании.
В разные периоды прошлых лет Qadars атаковал банки Нидерландов, Австралии, Канады и США. Сейчас его создатели решили остановиться на Великобритании. Специалисты нашей компании изучили это зловредное ПО, которое уже затронуло работу 18 британских банков.
Среди прочих инструментов этого ПО стоит выделить следующие:
Перехват различных функций браузера (IE, Firefox);
Подделка сертификатов и куки;
Работа с формами;
Веб-инъекции;
FIGrabbers;
Использование клиента Tor на стороне клиента для скрытия своих каналов коммуникации;
Использование алгоритма DGAдля маскировки удаленных ресурсов злоумышленников.
Троян маскируется под окна обновления известных ОС. Как только пользователь нажимает «обновиться», троян запускает ShellExecuteEx Win32 API
Сейчас, как утверждают наши специалисты , в Сети работает уже третье поколение трояна, Qadars v3. С течением времени его создатели добавили трояну еще больше функций, позволяющих ему избегать обнаружения. Усовершенствовано и проведение веб-инъекций.
Троян обфусцирует все свои Win32 API вызовы. В этом отношении он работает схожим образом с такими зловредами, как URL Zone, Dridex и Neverquest. Приложение содержит зашифрованные CRC32 значения, что позволяет скрывать названия функций, работающих в трояне. Благодаря своим возможностям этот троян является одним из наиболее опасных банковских троянов последнего времени.
Успешная работа Qadars зависит от работы со своими серверами по специальным каналам связи. Также троян предоставляет возможность удаленного управления зараженных машин, что может повысить шансы злоумышленников на успех.
Слышали о банковских троянцах, но не знаете, чем именно они опасны? Эксперты рассказали подробно об этих программах, а также о том, как защититься от них.
Банковские троянцы - специализированные программы, созданные для похищения личных данных пользователей
Троянские программы являются одними из самых опасных и распространенных видов «вирусов» в мире. Особенно опасны так называемые банковские троянцы, которые являются причиной 80% случаев кражи денег с банковских счетов. Как работают эти программы и можно ли от них защититься — рассказали эксперты украинской антивирусной лаборатории Zillya .
Цели и методы
Банковские троянцы - специализированные программы, созданные для похищения личных данных пользователей. В особенности они заточены на воровство логинов и паролей пользователей интернет-банкинга. Троянцы также могут перехватывать SMS с секретными кодами, которые присылает банк, и перенаправлять их злоумышленникам.
Кроме того, они способны также непосредственно воровать деньги со счета - все сразу или постепенно небольшими переводами.
Наиболее вероятные пути заражения
Путь заражения компьютера пользователя троянской программой, как правило, происходит одинаково: она маскируется под безобидные, а часто и очень известные приложения. Самыми распространенными вариантами являются загрузка обновления программы не с официального сайта разработчика, а со стороннего ресурса, который имитирует оригинальный.
Пользователь скачивает, казалось бы, известную программу, а внутри нее прикреплен троян, который заражает ПК. Кроме того, троянцев могут загружать на ПК другие трояны и вредоносное ПО, которым заражен компьютер.
Не менее актуальным способом распространения банковских троянцев можно назвать СПАМ-рассылку. Этот метод усиливается технологиями социальной инженерии, которые строятся на психологии поведения и заставляют пользователя открыть прикрепленный документ или перейти по ссылке на зараженный сайт.
Банковские троянцы являются причиной 80% случаев кражи денег с банковских счетов. Фото: sensorstechforum.com
Объемы ущерба
Банковские троянцы - довольно опасный хакерский инструмент. В «умелых» руках он может нанести ощутимый ущерб финансам жертв.
Так, один из самых известных и опасных вредоносных программ этой категории Zeus, по подсчетам экспертов, стал причиной потерь от 50 до 100 млн долларов от непосредственного воровства и более 900 млн на разработку систем защиты.
Казалось, что время этого трояна уже прошло, и с ним научились бороться. Однако в 2016 году был выявлен новый мощный банковский троян Atmos, который, по мнению экспертов отрасли, способен побить все рекорды, поскольку является намного более технологичным продуктом.
Не менее известный троян SpyEye нанес ущерб в размере 100 млн долларов и смог собрать данные более 250 тысяч пластиковых карт. Отдельно стоит сказать про троян Citadel, заразивший более 10 тысяч компьютеров и, по данным спецслужб США, ставший инструментом кражи более 500 млн долларов.
Недавно нейтрализованный банкер Lurk, которым управляла целая группировка хакеров, смог нанести ущерб финансам пользователей в размере 40 млн долларов.
К слову, такие технологии стоят довольно дорого. На черном рынке цена на банковский троянец проверенной «марки» может варьироваться от 5 до 50 тысяч долларов (троян Carberp).
Аресты
Любое зло должно быть наказано, поэтому авторы троянов и их распространители зачастую оказываются за решеткой. Стоит отметить, что создатель Citadel получил 5 лет в американской тюрьме, а творец SpyEye Александр Панин (Gribodemon) - 9 лет лишения свободы.
Спецслужбы всего мира понимают потенциал таких киберугроз и готовы даже платить за «головы» современных преступников большие деньги. Так, за информацию об авторе Zeus объявлена награда в 3 млн долларов.
Лучшей защитой от троянских программ, по словам экспертов Zillya, является осмотрительность. Зная и используя несколько базовых правил кибербезопасности, можно свести к минимуму вероятность заражения:
1. Не открывайте письма от неизвестных адресатов с вложенными архивами и текстовыми документами.
2. Если открыли такое письмо, не открывайте файлы.
3. Удалите такое письмо.
4. Не используйте установочные файлы известных программ из сторонних источников.
5. Пользуйтесь антивирусом, как на ПК, так и на мобильном устройстве.
6. Регулярно делайте копии важной информации.
7. Реквизиты банковской карты должны запрашиваться при каждой повторной покупке в интернет-магазине. В противном случае, необходимо обратиться к менеджеру банка.
8. Помните: для входа в интернет-банкинг НЕ требуется ввод PIN-кода вашей карты.
Неужели, не успев нарадоваться широчайшим возможностям интернет-банкинга, нам снова предстоит прятать свои кровные под подушкой или в трехлитровой банке в погребе? Ведь ваши сбережения, которые вы тщательно контролируете по интернету, могу улетучиться буквально за минуту. А виной всему широко распространившиеся в последнее время троянские программы (вирусы), способные нанести непоправимый вред вашему банковскому счету, умыкнув оттуда кругленькую сумму.
Вирусы специально заказывают у хакеров для того, чтобы воровать деньги с банковских счетов или любым другим образом скомпрометировать систему интернет-банкинга или систему безопасности отдельных банков.
Первые банковские трояны появились еще в 2007 году.
Что может банковский троян
Банковский троян – это вовсе не безобидный вирус. Банковский троян способен:
Похищать пароли доступа к банковским счетам
- похищать деньги с банковского счета посредством проникновения в ваш личный кабинет онлайн-банкинга (для этого трояну требуется от 1 до 3 минут)
- загружать любые другие вредоносные программы и модули на ваш компьютер или мобильный
- маскироваться под обычные процессы
- полностью парализовать работу на зараженном компьютере.
Какие бывают банковские вирусы (троянские программы)
1.Банковский троян ZeuS, или Zbot
Одной из первых «банковских» ласточек стал троян ZeuS (или ZBot). Компьютеры, зараженные этим вирусом, получают команды от центрального сервера, куда затем и отправляются все украденные банковские данные. С этого сервера мошенники их считывают и используют с целью опустошить чужой счет.
Как работает троян ZeuS:
При заходе на страницу онлайн-банкинга программа «на лету» меняет код HTML, вставляя свою форму для ввода данных и таким образом получая любые пароли и информацию о банковской карточке. Троян ZeuS мог внедряться и работать только в браузере Internet Explorer, но все равно, по подсчетам специалистов, сумел украсть со счетов по всему миру более 70 млн. долларов.
Разработчики ZeuS не остановились на достигнутом и со временем создали версию трояна для системы Symbian. Троян ZeuS для Symbian вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его и получает SMS со ссылкой и просьбой загрузить некое ПО. Через эту ссылку троян и попадает на телефон, где затем собирает одноразовые пароли, высылаемые банком для идентификации клиента. Поэтому специалисты в области компьютерной безопасности советуют ни в коем случае не устанавливать утилиты для банкинга через ссылки в SMS.
2.Conficker
– универсальный троян, который способен не только красть пароли, но и совершать DDoS-атаки и распространять волны спама.
3.Вирус SpyEye
. В 2009 году появился еще более крутой троян, способный вредить не только в браузере Internet Explorer, но и в Mozilla Firefox. При этом разработчики банковского трояна SpyEye внедрили в свое творение возможность удалять троян ZeuS, что позволило им позиционировать себя как антишпионское ПО (что отображено уже в названии) и даже рекламировать его по интернету.
4.Троян Ice IX – ZeuS в новой оболочке
В августе 2011 года широкое распространение в России получил троян Ice IX, являющийся клоном трояна ZeuS. Российские хакеры разработали также и телефонную версию ZeuSа - программу Zitmo, которая перехватывает SMS с одноразовыми паролями и отсылает их злоумышленнику. Российские хакеры таким образом научились обходить двухфакторную аутентификацию в системах интернет-банкинга.
5. Shylock
, действующий посредством атаки «Man In The Browser», похищает денежные средства с банковских счетов жертв.
6. Троянцы семейства Trojan.Carberp
. В связи с особенностями схемы, применяемой злоумышленниками для заражения, наибольшей опасности подвергаются компании малого и среднего бизнеса. Trojan.Carberp проникает в систему во время просмотра взломанных сайтов. А таковым может оказаться любой сайт – с финансовыми новостями или кулинарными рецептами.
Как можно заразиться банковским трояном
1. Зайдя на зараженный сайт
Подхватить троян можно не только на подозрительных или порнографических сайтах.
Сайты, которые чаще всего являются источниками вредоносного ПО:
а) Сайты, посвященные технологиям и телекоммуникациям.
б) Сайты, где предлагается скачать программы, игры, фильмы, музыку.
в) Новостные порталы, бухгалтерские сайты и форумы, интернет-курсы\лекции\тренинги.
г) Женские сайты (о здоровье, кулинарии).
д) Социальные сети. Вирус легко поймать, пройдя по ссылке, полученной якобы от друзей.
2. Через съемные устройства.
Поймать вирус можно не только с флеш-карты, но и вообще с любых подключаемых к компьютеру через USB устройств – например, через подключенный фотоаппарат, мобильные телефон или МРЗ-плеер.
3. Перейдя по ссылке,
присланной в социальных сетях, по почте или с помощью интернет-мессенджеров (Скайп, ICQ).
Средства борьбы с банковскими троянами
Разработчики известного антивируса "Доктор Веб" запустили проект по борьбе с банковскими троянцами. «Информирован – значит, вооружен», - считают создатели Доктор Веб. Поэтому для победы над ИТ-безграмотностью компания «Доктор Веб» создала и продвигает обучающие курсы, рассчитанные на широкий круг пользователей ПК. Пройдя такой ИТ-курс, пользователь сможет лучше справляться с компьютерными угрозами и не попадаться на уловки мошенников.
За прохождение курса каждый пользователь награждается приятными мелочами – бонусами, за которые впоследствии можно будет приобрести подарки, и бесплатным 3-месячным ключом к антивирусу Dr.Web Security Space
Образовательный проект
ВебIQметр от Доктор Веб:
Портал системы
обучения «Доктор Веб»:
Защититься от банковских троянов и хищения своих сбережений через интернет-банкинг можно, приобретя современную антивирусную защиту. Многие из известных антивирусных продуктов уже умеют защищать пользователя от угрозы банковских троянов. Кроме защиты компьютера от попадания таких троянов в саму систему, эти антивирусы обладают функцией отдельной защиты банковских страниц, через которые вы заходите в свой профиль интернет-банкинга.
Например, данная функция есть в новом антивирусном продукте Лаборатории Касперского - Kaspersky Internet Security 2013/2014 . Функция называется "Безопасные платежи". Она предоставляет вам качественную защиту при использовании системам онлайн-банкинга и при работе с платежными системами WebMoney, PayPal, Яндекс.Деньги и др., а также при совершении покупок в интернете.
Банковский троян Qadars, созданный для банковской сферы, стал известным около двух лент назад. С самого начала он без проблем обходил механизмы двух этапной верификации (технология, при которой аутентификация пользователя проходит с применением двух разных технологий). Вирус использовал для этого мобильный контент.
Эксперты в области ИБ считают, это программное обеспечение применяет различные WEB-инъекции для попадания на ПК пользователей. Цель у Qadars одна – проникнуть на компьютер пользователя, похитить логин и пароль от Клиент-Банка и совершить перевод средств в пользу заинтересованного лица.
Для выполнения этих действий необходимо обойти банковскую систему защиты, поэтому вирус пытается склонить пользователя к установке специального ПО. Эта программа (мобильное приложение) является вирусом Android_Perkele. Пользователь получает данное приложение вместе с WEB-инъекцией, которая устанавливает вредоносный код. В дальнейшем, приложение перехватывает необходимые СМС (например, СМС с логином и паролем от Клиент-Банка). Как только пользователь заходит в Клиент-Банк, вирус предлагает установить приложение на мобильный телефон клиента. Выглядит это всё, как рекомендованное банком ПО.
Эта схема известна уже давным-давно, называется она Men_In_The_Browser. Сначала код внедряется в браузер (IE, Mozilla, Opera и т.д.). Когда это сделано, создатель вируса может самостоятельно проводить операции в Интернет-Банке. Для реализации перевода используется скрипт написанный на JavaScript. Перевод проходит незаметно для клиента банка.
Казалось бы, информация о вирусе появилась уже достаточно давно, прошло уже несколько лет, но специалисты так и не могут с ним справится. А хуже всего-то, что создатели Qadars постоянно занимаются его доработкой и обновлением. Сейчас, вирус особенно популярен в Объединенном Королевстве Великобритании (UK).
Помимо Британии, в разные годы вирус атаковал банковские организации Голландии, Соединенных штатов Америки и Канады.
Данный вирус был достаточно хорошо изучен. Вот несколько основных инструментариев которые он использует:
Возможность брать под свой контроль некоторые функции браузеров (Mozilla, IE); Подделка Cookies; Заполнение форм; WEB-инъекции; Full Information Grabber;
Вирус может использовать Tor (The Onion Route, система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) на клиентском устройстве.
Помимо этого, в его арсенале присутствует возможность выявления доменных имен, сгенерированных с использованием Domain Generation Algorithm. Данная технология помогает создателям скрывать свои ресурсы.
Зачастую, установка вируса выглядит как установка обычного обновления для OS. Как только нажимается кнопка «Обновить», начинается запуск ShellExecuteEx_Win32_API.
На сегодняшний день это уже третья версия вируса, Qadars_v3. Вирус хорошо развивается, получает новый функционал и найти его становится всё сложнее.
