Кибер-атака чуть не унесла $78 млн

Кибер-атака чуть не унесла $78 млн

Антивирусная компания McAfee и консалтинговая фирма Guardian Analytics опубликовали совместный отчет о раскрытии изощренной мошеннической схемы. Изначально атаки по этой схеме выполнялись из Италии, а потом распространились по всему миру. Согласно отчету, ущерб от мошенничества с незаконным переводом средств составил не менее 78 миллионов долларов США, пострадавшими оказались порядка 60 финансовых учреждений, а наибольшие потери понес Банк Нидерландов – оттуда мошенники пытались перевести более 44 млн. долл. Примечательно, что кибер-преступники не мелочились – сумма отдельных переводов превышала 130 тыс. долл.

Эксперты по безопасности из McAfee и Guardian заявляют об уникальном характере обнаруженной атаки. Уникальность этого взлома банковских систем заключается в сочетании уже известных вредоносных программ и кода, написанного по заказу. Специалисты полагают, что создатели кода обладают глубокими познаниями по внутренним банковским транзакциям, а саму операцию относят к классу «организованная преступность».

В отчете McAfee и Guardian операция по обезвреживанию мошенников получила название «Отчаянный игрок», поскольку мошенники атаковали только богатых частных и корпоративных клиентов с крупными суммами на счетах, чтобы крупные переводы не вызвали подозрений. Сумма похищаемых средств заметно превысила средний уровень для инцидентов такого рода – разовые переводы доходили до 130 тыс. долл. Примечательно, что в отчете компания McAfee не сообщает, насколько успешными оказались эти атаки – речь идет только о попытках перевода средств. В ходе дальнейшего расследования специалисты по безопасности обнаружили, что в каждой новой атаке мошенники немного адаптировали алгоритм атаки, делая его более подходящим для каждой новой банковской системы.

Сначала эксперты считали, что атака не слишком отличается от других подобных угроз с клиентских систем. В дальнейшем обнаружилось, что система мошенников отличается высоким уровнем автоматизации. Вместо сбора данных и выполнения транзакций вручную на другом компьютере, вредоносная система вставляла в веб-страницы скрытый тег iFRAME и перехватывала контроль над банковским счетом жертвы. В результате транзакции запускались с компьютера самого пострадавшего лица без активного вмешательства со стороны преступников. В тех случаях, которые были зафиксированы в Италии, вредоносная система искала жертву с самым большим размером банковского счета, проверяла баланс счета, а потом переводила либо фиксированный процент от остатка на счету (процент менялся для каждой серии атак и составлял порядка 3 %), либо относительно небольшую фиксированную сумму порядка 500 евро (600 с лишним долларов) на предоплаченную дебетовую карту или анонимный банковский счет.

В определенный момент преступники смогли даже взломать двухфакторную авторизацию пользователей. Когда жертве нужно было использовать собственную SIM-карту для подтверждения платежа, система мошенников, по словам специалистов, «могла перехватывать и обрабатывать необходимую дополнительную информацию». Таким образом, это первый известный случай, когда мошенники смогли обойти двухфакторную авторизацию с использованием SIM-карт в сотовых телефонах клиента.

Еще через два месяца, когда под атакой оказались Нидерланды, преступники обнаружили возможность обхода систем безопасности и мониторинга путем запуска переводов на стороне серверов банка. В одном из случаев, когда сервер банка сам выполнял автоматизированную атаку в г. Бри (шт. Калифорния, США), специалисты зафиксировали вход хакеров в систему управления из Москвы. В отчете о расследовании авторы заявляют, что ведут самое тесное сотрудничество с правоохранительными органами разных стран, чтобы окончательно блокировать источник угрозы.