Социальная инженерия как метод кражи чужих денег
20.03.2016
С каждым годом количество хакерских атак на финансовые организации увеличивается. Центральному Банку России также довелось стать жертвой мошенников. Финансовая организация потеряла почти 2 миллиарда рублей со своих счетов за 6 месяцев. Криминалисты установили причину – хакеры крали деньги при помощи компьютерного вируса Buhtrap.
Злоумышленники построили схему кражи на социальной инженерии. Письма с поддельных адресов, якобы принадлежащих Центробанку России, получили сотни граждан. Статистические данные неутешительны: за последний год хакеры 14 раз атаковали российские финансовые организации с помощью нового вируса.
«Читаем чужие письма»: что было в рассылке
Содержание первой почтовой рассылки не вызывало сомнений у сотрудников финансовых организаций. Каждый из них охотно открывал письмо от [email protected], ведь в теме было указано, что это «Информация для сотрудников банка». К письму был прикреплен файл MS Word, который незамедлительно открывался каждым работником.
Вирус моментально разворачивал программу, проникающую в историю браузера и определяющую все ссылки, имеющие отношение к банковским операциям со счетами клиентов. Если ссылки соответствующего характера обнаруживались, то сразу же скачивалась вторая программа из интернета, устанавливалась за несколько секунд и приступала к сбору секретной информации. Примечательно, что вирус невозможно обнаружить ни одной антивирусной программой, отменить скачивание и установку вручную не получается.
Следующая атака начиналась с темы письма «Срочно! Обновленная база дропов!». В теле письма была ссылка на файл для скачивания. При переходе по ссылке, работник банка загружал не базу дропов, а все тот же вирус. Схема работы вредоносного программного обеспечения была прежней – поиск информации.
Благодаря рассылкам подобного рода, хакерам стала известна информация о клубе «Антидроп». Это секретная организация, созданная для представителей служб безопасности финансовых учреждений. В базе хранится вся информация о мошенниках, а сотрудники банка, регулярно обновляют ее.
Не так давно пресс-служба Центробанка сообщила, что адрес [email protected] не принадлежит финансовой организации. Поступок был совершен после многочисленных жалоб пользователей. На их почту приходили письма с темой «Вакансия в Центробанке», к письму прилагался уже известный нам документ.
Действия банков: как они берегут деньги клиентов
Центробанк сразу же связался с правоохранительными органами с целью установления личностей злоумышленников. Разумеется, пока не обнародовали никаких результатов.
Хакеры продолжали действовать, но уже по другой схеме. Был зарегистрирован домен fincert.net, одноименное название носит служба безопасности и защиты информации Банка России. У самой организации нет сайта в распоряжении. Но учитывая уровень траста, банкиры вновь попались «на крючок».
Результатом этой атаки стал выход двух финансовых организаций из системы безопасности. Металлинвест и Русский международный банк сообщили, что так они хотят обезопасить свои активы.
Руководство Металлинвеста констатирует, что похищенная сумма составляет меньше 1% от общих активов, но объем потерь, все же, впечатляет – банк лишился 200 миллионов рублей.
Руководство Русского международного банка сообщает о том, что благодаря использованию программы «Антикиллер» им удалось избежать хищения средств. Сотрудники сработали оперативно, именно это спасло деньги клиентов финансовой организации. Максимальная сумма хищения в 2016 году превысила 500 миллионов рублей, однако, банки не спешат улучшать системы безопасности.
Назад