«Лаборатория Касперского» публикует аналитическую статью «Атаки на банки»

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, представляет аналитическую статью ведущего вирусного аналитика Роэля Шоуэнберга «Атаки на банки», посвященную методам, применяемым для проведения атак на финансовые организации, в частности, на банки.

Статистика показывает, что процент обнаруживаемого за месяц вредоносного финансового ПО падает, хотя количество самих вредоносных программ, нацеленных на банки, растет. Подавляющее большинство из них распространяется через интернет, поскольку в этом случае у них меньше шансов привлечь к себе внимание антивирусных специалистов, чем при доставке по электронной почте. Кроме того, вредоносное ПО, заражающее компьютеры через интернет, размещается на веб-серверах, а это значит, что код вредоносного файла может быть модифицирован прежде, чем он будет доставлен на компьютер-жертву или систему. Размещение вредоносного кода на удаленном сервере препятствует его анализу и обнаружению антивирусными программами.

Увеличение количества вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Однако кража денег - это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы.

Фишинг. Нескончаемый поток фишинговых писем и распространение наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя «поделиться» своими конфиденциальными данными. Кроме того, киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть беспечного пользователя.

Перенаправление трафика. Технический подход – это модификация специального текстового файла hosts (системный файл Windows) или настроек DNS-сервера для перенаправления трафика на фальшивые сайты, а также размещение троянской программы на компьютере-жертве. Трафик перенаправляется с сайта HTTPS на потенциально незащищенный сайт НТТР. Однако такой трафик нельзя обрабатывать в режиме реального времени. Для того, чтобы это стало возможным, злоумышленники используют атаку Man-in-the-Middle.

Man-in-the-Middle. При подобной атаке используется вредоносный сервер, который перехватывает весь трафик между контрагентами, т.е. между клиентом и финансовой организацией. В более сложном вредоносном финансовом ПО, применяющем эти атаки, также используются HTML-вложения.

Решения. Однофакторная аутентификация легко преодолевается злоумышленниками. Поэтому многие банки, в которых еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать. В любом случае, существует несколько методов, способных усилить современные механизмы защиты или усовершенствовать их.