Как украсть ваши деньги: шесть любимых приемов хакеров
По данным ЦБ РФ ежегодно с банковских счетов россиян мошенники воруют около 1 млрд рублей. Ниже основные приемы хакеров и как от них защититься.
Рассказывает старший преподаватель международной школы IT и кибербезопасности HackerU в России Ильдар Садыков — действующий руководитель отдела ИБ Центра информационно-технического обеспечения и межведомственного электронного взаимодействия ФГБУ ФБ МСЭ Минтруда РФ.
Хакеры, у которых есть ваши данные, используют их для кражи денег с банковских карт. Как это происходит? Звонят вам на мобильный телефон, представляясь оператором банка. Рассказывают о некой совершенной операции, которую необходимо отменить по телефону. Цель таких звонков — выяснить проверочный код банка, который якобы отменит операцию.
Или, например, вы совершили онлайн-покупку. Вам звонят из банка, сообщают, что операция на конкретную сумму не прошла и нужно подтвердить платеж еще раз. А вы в это время переводите сумму уже на расчетный счет хакеров.
Обычно операторами на телефонах у команды хакеров работают профессиональные психологи или НЛП специалисты. При помощи провокационных вопросов и специальных приемов они вводят человека в состояние стресса и замешательства, тем самым вынуждая совершать необдуманные поступки.
Они обращаются к вам по имени отчеству, называют последние цифры номера карты. Все это формирует доверие. Но следует знать, что имя отчество и последние цифры номера карты легко выяснить, если ваша карта привязана к номеру телефона. Достаточно лишь сделать попытку перевода средств на ваш номер.
Данные о вас хакеры покупают на черном рынке, где продаются базы данных с адресами, паспортными данными, номерами банковских карт, ИНН, СНИЛС и номером мобильного телефона. Средняя стоимость таких баз от 100 руб за данные обычного человека.
Сумма ущерба от действий хакеров может составлять сотни миллионов рублей. Вычислить таких хакеров практически невозможно. Сложно отследить их манипуляции, поскольку они проводят их через купленные IP адреса и телефонию.
Совет 1. Не контактируйте со специалистами, звонящими из банка.
Если вам поступил подобный звонок, сообщите оператору, что вы сейчас сами перезвоните в банк по официальному номеру. Перезвоните в банк и уточните, действительно ли имел место подобный инцидент. Желательно звонить в банк с другого номера. Поскольку если вы уже оказались под прицелом хакером велики шансы, что на вашем телефоне или компьютере уже установлен вирус или вредоносная программа считывания данных.
Совет 2. Не поддавайтесь на провокации
Старайтесь не впадать в панику и не реагировать на провокации “Все, ваши деньги списались, мы ничего не можем сделать”. Всегда можно позвонить или поехать в банк и решить проблему.
Вместе с сомнительным установленным приложением на телефон может попасть троянская программа. Это скрытая программа, которая отправляет с вашего телефона скриншоты и другую ценную информацию злоумышленникам.
И вот вы, как обычно, заходите в мобильный банк, совершаете платеж, а в это время хакеры перехватывают ваш код и все данные карты для совершения платежей. Есть такие программы, которые могут сделать так, что вы не заметите, что на ваш номер приходила смс от банка с кодом подтверждения платежа. Ее тоже перехватывают.
Больше всего троянским программам подвержены старые девайсы или устройства с необновленными версиями Android (до 6-ой версии стояла слабая защита от таких программ). А также взломанные игры и программы.
Часто пользователи приложений с трояном сами неумышленно дают разрешение на совершение программой данных действий, нажимая кнопки “Разрешить приложению..”. Даже, если оно установлено из Google Play.
Пользователям iOs повезло больше. У операционной системы хорошо работает внутренняя защита. Но даже для нее существуют джейлбрейки, которые могут взломать приложение.
Совет 1. Не отключать функцию встроенной защиты для Android ”Не устанавливать приложения из неизвестных источников”.
Совет 2. Обязательно пользоваться (и скачивать!) обновленными приложениями. Если приложение давно не обновлялось — оно потенциально уязвимо.
Совет 3. Не устанавливать взломанные приложения и игры. С большой долей вероятности они идут в комплекте с троянской программой.
Совет 4. Не давать разрешение приложению на сомнительные действия, например, когда игра запрашивает доступ на отправку смс-сообщений или звонков.
Совет 5. Если вы регулярно устанавливаете много игр и сомнительных приложений на устройство, не используйте это устройство как средство оплаты или мобильный банк.
Совет 6. Используйте приложения с высоким рейтингом и регулярно проверяйте разрешения на доступ к контактам, установкам, смс. Практически в любом смартфоне можно сделать подборку по приложениям и проверить выданные разрешения приложениям.
В момент, когда вы совершаете онлайн платежи на компьютере, хакеры могут подменить реквизиты карты на страничке оплаты Cyber Secure и перехватить ваш платеж. Обычно это происходит, если на устройстве уже есть уязвимость или вредоносная программа.
Совет 1. Установите хорошую антивирусную программу, например, NOD 32, Doctor Web или Лаборатория Касперского. Ваш антивирус должен регулярно обновляться. Этот совет актуален и для мобильных устройств. В случае, если вы часто устанавливаете приложения, особенно игры, безоговорочно выдаете любые разрешения приложениям — скачайте себе дополнительную антивирусную программу.
Совет 2. Не давайте устройства с доступом к мобильному банку для игр детям. Дети часто знают пин-коды телефона родителей, устанавливают сомнительные игры и приложения. Могут дать любые разрешение на доступ сомнительным программам.
Деньги с карты можно украсть и при помощи ненужных вам подписок. Как это происходит? На ваш мобильный приходит смс вида “отправьте код подтверждения на короткий номер XXXX”. После отправки такой смс с вашего мобильного списывается некая сумма. Это может быть сразу 300 рублей, а может быть 1 рубль, но ежедневно.
Такие подписки сложно контролировать. Сомнительное приложение с хакерской программой может отправлять такие смс без вашего ведома, если, например, вы ранее дали приложению разрешение на отправку сообщений. Или само заходить вместо вас в интернет и подписываться.
Совет 1. Старайтесь быть осознанным пользователем. Внимательно читайте смс сообщения. Проверяйте разрешения, которые у вас запрашивают мобильные приложения.
Совет 2. Не реагируйте на непонятные смс, не отправлять сообщения на короткие номера без крайней необходимости.
Это новый вид мошенничества, с которым сейчас активно борются банки.
Мошенники совершают определенные манипуляции с банкоматом, оставляют внутри свою банковскую карту и уходят. Когда следующий пользователь вставляет свою карту в банкомат, с его карты сразу списывается значительная сумма денег.
Некоторые мошенники идут еще дальше. Чтобы замести следы преступления, они оставляют украденные банковские карты, с которых уже вывели все средства, “торчащими” в самом банкомате. Когда к банкомату подходит обычный человек и вынимает чужую карту, его сдают полиции. Доказать, что человек не причастен к краже денег с чужой карты сложно — гражданина взяли с поличным, с чужой банковской картой на руках и отпечатками пальцев на ней.
Последние несколько месяцев банки стараются обезопасить граждан. В холлах с банкоматами дежурят контролеры-сотрудники банка и проверяют работу машин. Но тем не менее, следует знать о подобных ситуациях, чтобы быть более бдительными.
Совет 1: Для предотвращения транзакции по переводу денег с вашей карты в банкомате следует нажать кнопку “Отмена” несколько раз.
Совет 2: Не трогайте руками чужие банковские карточки, “случайно” оставленные в банкомате. Привлекайте сотрудников банка для решения вопроса или пользуйтесь другим банкоматом.
А вы попадались на уловки мошенников? Расскажите в комментариях.
Советы для домохозяек
Если вам действительно нужен профессиональный хакер, чтобы взломать телефон вашего изменяющего парня / девушки / супруги, WhatsApp,
Вот хакер Спетрик
Facebook, взлом банковских счетов и т. Д. Или повысив кредитный рейтинг, я бы порекомендовал [email protected] .
Вам нужны услуги взлома? Вы сталкиваетесь с задержками и ненужными оправданиями со стороны фиктивных хакеров на вашей работе? Не волнуйтесь больше, потому что мы лучшие хакеры на свете. Какой хакерский сервис вам нужен? Мы сделаем это в кратчайшие сроки и без промедления, на вашу работу будет 100% гарантия.
Наши услуги включают следующее и многое другое;
"Смена оценок в университете
"WhatsApp Hack
"Взлом банковских счетов
"Взлом Twitters
"Взлом почтовых аккаунтов
"Сайт упал
"Сервер разбился
"Продажа шпионского ПО и клавиатурных шпионов
«Восстановление потерянных файлов / документов
"Взломать удаление судимости
"Взлом баз данных
«Продажа всех видов дамповых карт.
"IP не найден
«Взлом персональных компьютеров
"Денежный перевод (western union, money gram, ria и т. Д.)
«Взлом банковского счета и кредита и т. Д.
наши услуги лучшие онлайн.
Вы можете связаться со мной по wathsapp +14793181175.
Если вам действительно нужен профессиональный хакер, который сделает для вас хакерские услуги, я бы порекомендовал[email protected] для повышения кредитоспособности. Нужны ли вам услуги взлома? Вы сталкиваетесь с задержками и ненужными отговорками от фальшивых хакеров в своей работе? Не волнуйтесь больше, потому что мы лучшие хакеры на свете. Какой хакерский сервис вам нужен? Мы можем сделать это незамедлительно, и ваша работа будет гарантирована на 100% без промедления. Наши услуги включают в себя следующее и многое другое: «Изменение оценок в университете» Взлом WhatsApp »Взлом банковских счетов« Взлом Twitters »Взлом учетных записей электронной почты« Произошел сбой веб-сайта » сбой сервера "Продажа шпионского ПО и клавиатурных шпионов" Восстановление потерянных файлов / документов "Удаление криминального прошлого" Взлом базы данных "Продажа дамп-карт всех видов" IP не найден "Взлом компьютеров" Денежный перевод (Western Union, Geldgramm, Ria и т. д.) " Взлом банковского счета, кредита и т. Д. КОНТАКТ: chabotdingler4[email protected]у них лучшие хакерские услуги, лучшие онлайн .
Изысканные уловки хакеров для кражи подарочных карт
Схема работы “Black hat” хакеров стара как мир: найти цель, взломать, заработать денег. С течением последних лет было реализовано очень много хитроумных атак по новейшим техникам, которые вызвали переломные изменения во всей цифровой инфраструктуре.
Некоторые утверждают, что нынче атаки стали однообразными, но я считаю, что это не так. Люди не могут понять, что самые лучшие и наиболее креативные нападения — это те, которые мы не замечаем. Этим летом я решил провести своеобразное исследование, чтобы узнать, каким образом хакеры обходят системы защиты. Начал я с пары форумов, включая nulled и cracked, где к своему удивлению обнаружил множество сервисов с тысячами просмотров.
На этих ресурсах зачастую одновременно находилось до 15 000 пользователей, просматривающих маркетплейс и активно обменивающихся информацией. Мое же внимание привлек онлайн-магазин, продающий подарочные карты Starbucks. Мне стало искренне любопытно, как можно заполучить такие украденные карты различных магазинов. Это было удивительно, потому что продавец предлагал их без PIN-кода. Скажу наперед, приключение в итоге выдалось интересное!
Начал я с того, что “прикинулся” разработчиком и отправил продавцу сообщение, поинтересовавшись, как можно перед покупкой проверить карточки на наличие баланса. В ответ мне сообщили, что я могу это сделать по горячей линии магазина, чья карта меня интересует. Такой ответ меня смутил. С чего бы я стал использовать горячую линию? Может продавец эксплуатировал ее? Может у него был доступ? В итоге я решил отложить идею с проверкой схемы работы и на неделю об этом вообще забыл. Однако чуть позже, когда я был занят поиском SMS-провайдера, до меня дошло. Он каким-то образом получал огромный список подарочных карт и проверял их баланс по горячей линии, используя провайдера телефонной связи. Я тут же направился на форум и вбил в поиске бота подарочных карт. Сайт выдал ветку новой программы easycards.io. В процессе ее чтения я нашел, что искал:
Когда я прочел информацию, все встало на свои места. Бот совершал звонки, используя телефонного провайдера (в данном случае Twilio), а затем возвращал баланс, используя сервис преобразования речи в текст (Assembly). Тогда я решил взять свою старую, когда-то подаренную мне на день рождения карточку Starbucks и самостоятельно проверить ее баланс по телефону. Я ввел ее данные через систему тонального набора, на что получил весьма неожиданную просьбу ввести капчу. В тот момент я понял, что все куда сложнее, чем мне изначально казалось.
Боты должны находить способ звонить на горячую линию подарочных карт, вводить их данные, получать капчу, отправлять ее, записывать баланс, транскрибировать его и затем отправлять обратно пользователю, делая все это с точностью. Такая степень сложности и детализации задачи несколько меня ошарашила, и я решил попробовать сделать это сам.
Я снова позвонил на горячую линию, чтобы проверить, сколько продлиться ожидание ввода капчи. При этом я также сначала ввел добавочный номер, потом номер карты, после чего возникло предложение ввести капчу. Далее, спустя примерно 7 секунд, всплыло сообщение “Sorry, that’s incorrect”. То есть у программы было всего 7 секунд на то, чтобы получить капчу, записать ее, транскрибировать и отправить. Меня поистине поражало, что продавцы каким-то образом с помощью этой методики умудрялись получать 1 500 подарочных карт с балансами выше $5. Будучи шокирован уровнем сложности, я сделал то, что сделал бы любой хороший программист — создал такую программу сам.
Первые пару дней я разбирался в документации Twilio, изучая программную реализацию этих звонков. В Twilio есть вспомогательные/оберточные библиотеки функций практически на каждом возможном языке, так что задача была несложной. Через POST-запрос к маршруту создания вызова бот набирал номер, затем вводил добавочный номер и после номер карты. В этом подходе для совершения связанных с вызовом действий требуется так называемый Twiml (корпоративное имя для XML). Выглядит этот Twiml так:
А код Python так:
В параметре send_digits можно настроить ожидание в секундах и получекундах, что идеально подходит для данного случая, потому что нередко приходится ожидать до начала ввода цифр добавочного номера. Например, если вам нужно подождать 3 секунды, набрать добавочный номер 1, а затем подождать еще 3 секунды, то введите следующее:
После совершения вызова можно подождать необходимое для появления капчи время (я не буду указывать время для Starbucks во избежание вредоносного использования), чтобы начать записывать вызов. После записи возвращается конечная точка, откуда в последствии ее можно использовать. Записывающая функция вызывается с помощью SID (уникального идентификатора) вызова, который возвращается из функции создания вызова. Код будет выглядеть так:
Спустя примерно 5 секунд нужно будет с помощью того же Twilio API остановить запись и передать URL в службу транскрибирования, например Assembly.
В завершении можно использовать регулярное выражение для парсинга транскрипции и отправки цифр обратно через Twilio API. Вот псевдокод:
Сразу после отправки нужно будет снова начать запись, после чего в определенный момент (по истечении элемента Pause в Twiml) транскрибировать возвращенные данные и отправить их клиенту. Прежде чем передавать их клиенту следует очистить ввод до простых возвращаемых значений VALID или INVALID, чтобы облегчить восприятие. Добытую информацию лучше всего будет сохранить в текстовый файл. На выполнение всей этой процедуры проверки затрачивается $0,015 — весьма незначительное количество в сравнении с тем, сколько можно заработать с позиции Black Hat-хакера, крадущего подарочные карты.
Самый главный вывод, сделанный мной в течение этого проекта — это то, что наши системы постоянно подвергаются атакам злоумышленников. Причем, судя по данной методике, эти атаки становятся все более и более изощренными, несмотря на заявление многих людей об их однообразии.
Уверен, что о мире безопасность можно очень многое узнать, просто заглянув под поверхность и углубившись в суть. Надеюсь, эта статья вдохновит некоторых из вас на обнаружение своего типа атаки “телефонным ботом”, ведь развитие будущей безопасности зависит от стремления исследователей проводишь больше времени в изучении внутренностей системы, а не в общении друг с другом.
Как хакеры используют роботов и воруют деньги по SMS
Продвигаемые повсюду электронные деньги и банковские сервисы рекламируют безопасность и защищенность людей, а по факту способствуют возможности быстро и эффективно воровать деньги одновременно у десятков, сотен и даже тысяч людей.
С повсеместным распространением смартфонов, бесплатного общественного Wi-Fi и мобильных банков мы все чаще рискуем оказаться жертвами хитроумных злоумышленников. Методы хакеров постоянно меняются — теперь лишиться денег можно во время поездки на работу или после SMS из банка. «Лента.ру» выяснила, какие новые опасности ежедневно подстерегают граждан и что нужно сделать для защиты своих сбережений.
В середине марта российские банки забили тревогу: за последние полгода они потеряли почти 2 миллиарда рублей из-за хакерских атак. Причем если раньше преступники в основном пытались взламывать компьютерные системы, то теперь взяли на вооружение человеческий фактор.
Сотрудникам финансовых организаций рассылались письма от имени Центробанка с прикрепленным документом, в котором якобы содержались рабочие инструкции. На самом деле в файле была программа Buhtrap, проверявшая в браузере ссылки на страницы с уже проведенными транзакциями. Поскольку в большинстве случаев на них сохранены все логины, пароли и номера счетов, хакеры беспрепятственно снимали и переводили себе деньги.
Более того, письмо с вирусом пришло и в закрытый чат для членов службы безопасности банков — уже от имени Газпромбанка. Вирус Buhtrap был замаскирован под таблицу с данными «дропов» — людей, на чье имя оформляются поддельные кредитные карты.
Стандартное сообщение от злоумышленников, после которого обычно следует звонок с попыткой узнать номер и пин-код карты.
Стандартное сообщение от злоумышленников, после которого обычно следует звонок с попыткой узнать номер и пин-код карты.
Вновь выдать себя за Центробанк преступники попытались 15 марта, когда разослали в десятки банков письма с вредоносными файлами от имени FinCERT — специального отдела в структуре ЦБ, созданного для информирования финансовых учреждений о кибератаках. Рассылка производилась по специально составленной базе, а каждое письмо начиналось с обращения по фамилии, имени и отчеству. Правда в этот раз на уловку хакеров никто не попался.
Эксперты по кибербезопасности называют такой метод взлома «социальной инженерией», ведь ставка делается не на заражение компьютерной системы вирусом, а на предсказуемость человеческих реакций. Хотя случай с сотрудниками банков скорее можно считать исключением. Обычно от таких психологических экспериментов страдают рядовые держатели пластиковых карт.
Чаще всего мошенники узнают имена и контакты будущих жертв в интернете, отправляют им сообщение о блокировке счета, а затем звонят от лица сотрудников банков и пытаются узнать номер карты, а также расположенный на обороте CVV2-код. Эти данные затем используются для вывода средств или крупной покупки в интернет-магазине. В борьбе с таким видом мошенничества большинство российских банков уже ввели СМС-подтверждение любых платежей и переводов.
Но хакеры опробовали новую схему — звонки от автоматизированных программ, которым пользователи доверяют больше, чем живым людям. Роботы сообщают о системном сбое в банке, после чего просят назвать номер карты и данные для входа в интернет-банк. За прошлый год этот способ принес злоумышленникам больше 6 миллионов рублей.
При подобных звонках стоит помнить, что работники банка никогда не требуют назвать любые логины и пароли, а также CVV2-код и пин от карты. К тому же банки в принципе редко звонят своим клиентам, так что любой входящий вызов от имени банка сразу следует воспринимать с подозрением.
В конце марта несколько пользователей Wi-Fi в московском метро столкнулись с необычной проблемой — при подключении к сети вместо страницы авторизации загружался флаг запрещенной в России террористической группировки «Исламское государство» (ИГ). Похожее случилось в ноябре 2015 года — тогда демонстрировались надписи на арабском и черный флаг с подписью: «Вчера — Париж, сегодня — Москва!»
В обоих эпизодах сама сеть столичной подземки взлому не подвергалась, и ее пользователи не пострадали. Демонстрация символики террористов была чьей-то злой шуткой, за которую, однако, предусмотрено уголовное наказание. «МаксимаТелеком» подала соответствующие заявления в полицию. Как объяснил «Ленте.ру» технический директор компании Михаил Миньковский, пользователи могли столкнуться с подменой сети в отдельно взятом вагоне. Неизвестные злоумышленники, предположительно, использовали методику Man in the middle («человек посередине»).
Злоумышленники могут подменить сеть Wi-Fi в отдельно взятом месте.
Фото: Сафрон Голиков / «Коммерсантъ»
Злоумышленники могут подменить сеть Wi-Fi в отдельно взятом месте.
В одном из вагонов расположился пассажир с ноутбуком и USB-модемом, дав своей точке доступа такое же имя, как и у сети Wi-Fi в метро. Поскольку большинство современных смартфонов и планшетов автоматически подключаются к уже известным им точкам с максимальным качеством сигнала, пассажиры могли невольно воспользоваться сетью злоумышленников, где и был размещен флаг ИГ.
В некоторых случаях сети-клоны могут быть весьма опасны, ведь по незащищенным каналам Wi-Fi злоумышленники нередко получают доступ ко всей хранящейся на устройстве информации, включая личную переписку, фотографии и приложения, к которым обычно привязаны карты или электронные кошельки. Сегодня большинство социальных сетей, почтовых сервисов и мобильных банков автоматически шифруют все данные между пользователем и конкретным приложением. Шифрование по умолчанию получили и все модели iPhone с установленной iOS 8 и выше, а также смартфоны с шестой версией операционной системы Android.
Тем не менее, чтобы по ошибке не подключиться к вредоносной точке доступа, стоит внимательнее относится к URL-адресу стартовой страницы и всех используемых сайтов. Также нужно убедиться, что ресурс работает на защищенном протоколе https — это обеспечивает эффективную защиту передаваемых данных. Наконец, необходимо вовремя обновлять операционную систему устройства, поскольку большинство уязвимостей злоумышленники находят именно в устаревших версиях ПО.
Заплати по счетам
В начале февраля один из пользователей Facebook рассказал, что встретил в метро подозрительного гражданина, который с помощью беспроводного терминала, вероятно, снимал деньги у пассажиров в карманах и сумках.
В России применяются две технологии бесконтактной оплаты — PayWave от VISA и PayPass от MasterCard, ими пользуются около 2 миллионов россиян. Эксперты по безопасности подтвердили, что таким способом действительно можно вывести средства с карты, но не более тысячи рублей, иначе система автоматически потребует ввести пин-код. Впрочем, злоумышленники вполне могут орудовать в людных местах, а их жертвами в час пик могут стать десятки и даже сотни владельцев карт.
Преступники могут использовать легальные платежные терминалы для воровства средств в час пик.
Фото: Виталий Белоусов / РИА Новости
Преступники могут использовать легальные платежные терминалы для воровства средств в час пик.
Чтобы снять деньги со счета, мошеннику достаточно приложить устройство к карману или сумке жертвы — считыватели карт работают на расстоянии до 20 сантиметров. Сами платежные терминалы примерно за 20 тысяч рублей можно приобрести в интернете или собрать самостоятельно. Наиболее примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру. На компьютер устанавливается софт для приема платежей.
Правда, преступники неизбежно столкнутся со сложностями при выводе денег, особенно если они используют легальный терминал. Для поступления средств необходимо иметь банковский счет, который откроют только по паспорту. Кроме того, жертва может обратиться в свой банк или в полицию, и вычислить конечного адресата платежа будет не сложно.
Обзор: как хакеры грабят банки
Помните эти эпичные фильмы про ограбления? Где крутые ребята придумывают гениальный план, меняют облики чаще, чем модели на показах, используют невероятные (нереализуемые) психологические трюки и рискуют своей шкурой в погоне за выгодой. Думаю, что помните. Тяжело представить таких грабителей в наши дни. Основные экономические преступления происходят на цифровом поле. Сегодня грабитель — это не гений психологии и не строитель, знающий, где нужно начать копать. Сегодня грабитель — это хакер, знающий все тонкости работы банковской сферы.
Кардинг
Существует множество различных видов атак, с которыми ежедневно приходится сталкиваться платежным системам и банкам:
Платежи без 3-D Secure
Большинство случаев мошенничества приходится на интернет-платежи, проходящие по схеме card-not-present (для проведения транзакции требуются лишь данные, написанные на карте и легко добываемые на теневых маркетах). Для борьбы с такими схемами изобрели 3-D Secure — схему дополнительной авторизации, использующую три сущности домена: домен интернет-магазина, домен платежной системы и домен банка-эквайера. Однако часть крупных магазинов, таких как Amazon, не готова работать с 3-D Secure, что является приятной новостью для мошенников.
Клонирование магнитной полосы
Несмотря на то, что современные карты оснащены чипом, клонирование магнитной полосы — второй по популярности вид мошенничества. Дело в том, что во многих магазинах США при оплате смарт картой можно провести транзакцию с использованием магнитной полосы. А если терминал откажется принимать магнитную полосу, есть схема technical fallback, работающая по Америке (как Северной, так и Южной) и Европе. Просто вставьте в терминал/банкомат карту с несуществующим чипом, и после трех неудачных попыток терминал предложит провести операцию с использованием магнитной полосы. В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. Однако, в некоторых магазинах можно встретить терминалы, принимающие операции по technical fallback. И к тому же, никто не запрещает злоумышленникам передавать данные в Европу/Америку для дальнейшей монетизации.
По изображению видно, что на карте не одна, а целых две магнитные полосы разной плотности (Track1 и Track2).
Офлайновая аутентификация
По современным правилам платежных систем, 99.9% операций должны совершаться онлайн (криптограмма подтверждается на стороне банка-эмитента), за исключением оплаты в метро, на самолетах и круизных лайнерах. В таких местах интернет не всегда работает стабильно. К тому же множество платежных систем работало раньше по Floor limit — операции выше определенного лимита подтверждалось онлайн, а ниже — самим терминалом. Несколько лет назад количество таких терминалов (особенно в Америке и Европе) было достаточно велико, чтобы атаковать недостатки офлайновой аутентификации карт.
Человеческий фактор
Человек — самое слабое звено в любой системе, насколько бы надежной она не была. Злоумышленники легко обходят защиту сетевого периметра с помощью банального фишинга, который доставляет вредоносное ПО в корпоративную сеть. Сотрудник банка может легко перейти по подозрительной ссылке в письме или скачать неопознанный файл. Что уж говорить об обычных пользователях. Ситуацию усугубляет то, что практически у каждого на смартфоне есть сервис системы дистанционного банковского обслуживания (например, мобильный банк). Рассмотрим типичную схему на примере вируса «5-ый рейх» от челябинских «кибер-фашистов» (система управления имела нацистскую символику).
Пример фишингового письма, отправленного одному из сотрудников Check Point
Ничего не подозревающий пользователь скачивал троянскую программу, маскирующуюся под Adobe Flash Player. При установке программа запрашивала права администратора. Когда юзер запускал банковское приложение, троян подменял оригинальное окно на фишинговое, куда вводились необходимые данные, которые потом отсылались на сервер злоумышленников. Обладая логином, паролем и доступом ко всем СМС, в том числе и с банковскими кодами, мошенники могли успешно совершать банковские переводы. Программа распространялась с помощью СМС-рассылки с вредоносной ссылкой.
Пример инсталляция вредоносного ПО
Проникновение в корпоративные сети
По данным исследования Positive Technologies, специалистам компании удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществлялось управление банкоматами. В 17% банков недостаточны защищены системы карточного процессинга, что позволяет манипулировать балансом на карточных счетах, указано в отчете. Уровень защиты сетевого периметра банков обычно выше, чем у других компаний, однако все еще далек от идеала.
Как выяснили авторы исследования, большую опасность для банков представляют интерфейсы удаленного доступа и управления (такие как SSH, Telnet, протоколы доступа к файловым серверам), которые зачастую доступны любому пользователю. Исследование также показало, слабым звеном являются и сотрудники банка, а также внутренние злоумышленники. В некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего доступом лишь к сетевым розеткам (охранники, уборщики). После получения доступа к внутренней сети, злоумышленникам необходимо завладеть привилегиями локального администратора на компьютере сотрудника или серверах. Атаки, согласно аналитике, полагаются, в основном, на слабую парольную политику (легкие пароли, стандартные учетные записи, плохая групповая политика) и недостаточную защиту от восстановления паролей из памяти ОС. Перемещаясь по внутренней сети с помощью уязвимостей и локального ПО, не вызывающего подозрения, злоумышленники могут получить полный контроль над инфраструктурой банка.
Развитие атаки и закрепление в сети, источник фото
В целом атаку на банковскую систему можно описать следующими шагами:
- Проникновение
- Удаленный доступ
- Получение привилегий
- Поиск целей
- Работа с целевыми системами
- Обналичивание
Хакерские организации
Ох, в каких только грехах не обвиняют Северную Корею. Ущемление свобод граждан, тоталитаризм, наркоторговля, агрессивная внешняя политика. Но в плане кибератак Северная Корея, пожалуй, переплюнула все остальные страны. Хакерские атаки, курируемые государством, приносят стране огромные деньги.
Вероятное место базирования хакеров — гостиница «Рюгер» в Пхеньяне.
По оценкам ООН, всего Северная Корея заработала на хакерский кампаниях порядка 2-х миллиардов долларов, и это при 28 миллиардов долларов ВВП (на 2016 год)! 7% процентов — это не хило. Также не хило, как и спонсирование хакерской программы. По неофициальным данным (да и с чего бы им быть официальными в отношении КНДР?) до 20% годового военного бюджета тратится на хакерскую программу. Периодически, в школах КНДР проводятся специальные тестирования школьников, по результатам которых ученики старших классов отправляются углубленно изучать информатику. Вот оно, начало становления киберсолдата Ким Чен Ына. Зачастую, действия хакеров из КНДР связывают с хакерской организацией Lazarus. Одни из самых крупных атак, произведенные этой группой, являются атака на Sony в 2014 году(предположительно, за фильм «Интервью» 2014 года), атака на Центробанк Бангладеша в 2016 и запуск вируса-вымогателя WannaCry в 2017 году(который поразил более 200 тысяч компьютеров по всему миру). Считается, что Lazarus Group была создана в 2007 году под управление генерального штаба КНДР.
ФБР ищет члена Lazarus Group. Может видели где-нибудь?
OldGremlin
«Есть люди, которые верят в гремлинов.
Есть люди, которые не верят в гремлинов.
Но неаккуратно положенным на стремянке гаечным ключом по голове от них получают все.»
OldGremlin — эта русскоязычная хакерская группировка, которая заявила о себе в 2020 году. Первая атака датируется мартом-апрелем 2020 года. На волне коронавируса OldGremlin от имени Союза микрофинансовых организаций «МиР» рассылала по финансовым организациям рекомендации по обеспечению безопасности на период пандемии. В целом, тактику этой группы можно охарактеризовать как конъюнктурную. В течение 2020 года они рассылали письма с вредоносной ссылкой в связи с различными общественными событиями: ковид, политические волнения в СНГ.
хронология вредоносных рассылок
тактика действий OldGremlin
Silence
Эта группировка отличается тем, что в ней можно выделить 2 основные роли: оператора и разработчика. Возможно, в неё входит всего два человека! Конечно, это не уменьшает нанесенный ею вред. Подтвержденный ущерб от этой организации оценивается от 52 миллионов рублей (по другой информации 272 миллиона). С характеристикой ролей Silence от Group-IB можно ознакомиться ниже:
Хронология атак Silence в отчете 2018 года от Group-IB
| Дата | Характеристика атаки |
| 2016 год, июль | Неудачная попытка вывода средств через российскую систему межбанковских переводов. |
| 2016 год, август | Попытка взлома того же банка. Атака предотвращена. |
| 2017 год, октябрь | Атака на сеть банкоматов. За одну ночь Silence похитили порядка 7 миллионов рублей. |
| 2018 год февраль | Атака через карточный процессинг. Через банкоматы злоумышленники сняли порядка 35 миллионов рублей. |
| 2018 год, апрель | Предыдущая схема. За ночь Silence похитили 10 миллионов рублей. |
Крупные атаки
Миллиард. И это не русский фильм
Вы идете по улице и видите, что банкомат начинает выдавать деньги. Просто так. Что тут вообще происходит? Наверное, такой вопрос возникал у людей в декабре 2013 года, когда они лицезрели подобную картину. Ущерб от международной группировки хакеров из России, Китая и стран Европы оценивают приблизительно в один миллиард долларов. С помощью почтовой рассылки хакерами распространялся вирус Carbanak — он затронул порядка 100 финансовых организаций по всему миру. От момента заражения до кражи проходило порядка 2-4 месяцев. Одним из путей кражи денег были банкоматы. В определенный момент хакерами подавалась команда банкомату на выдачу наличных. Похитителям нужно было просто прийти и забрать деньги.
Mt. Gox.
Эх, нужно было закупаться биткоином в 2010 году и жить припеваючи. Интересно, а как поступили хакеры с украденными 850 тысячами биткоинов в 2013 году? Ну, этого мы уже не узнаем. На момент кражи такое количество биткоинов равнялось примерно 480 миллионам долларов. На момент написания статьи столько биткоинов стоят уже 51 миллиард. Почти как пол Марка Цукерберга!
Биткоины со счетов клиентов начали утекать еще с 2011 года: тогда криптовалюта переживала первый бум в своей истории, в июне 2011 года цена на нее росла в геометрической прогрессии, что вызвало интерес хакеров. Мошенники создали фальшивые ордера и вывели несколько десятков тысяч биткоинов.
В определенный момент у Mt.Gox начали возникать проблемы, что привело к оттоку клиентов. Но они начали обнаруживать, что средства со счетов могут выводиться по несколько недель, а то и месяцев. По итогу биржа была закрыта, кто-то успел вывести, а кто-то не успел, как говорится «кто успел, тот и съел». Любопытно, что через некоторое время, владелец биржи внезапно обнаружил на одном из счетов 200 тысяч биткоинов. Дело о краже все ещё ведется.
HP LaserJet 400 — лазерный принтер. Стоит порядка 20 тысяч рублей. Одним прекрасным (как окажется дальше — нет) утром в Центробанке Бангладеша такой принтер в небольшой каморке без окон перестал работать. Но этот принтер был не простой. У него была очень важная задача — он должен был автоматически распечатывать физические записи SWIFT-транзакций банка. Но 5 февраля 2016 года лоток для печати был пуст. Сотрудники банка пытались привести его в чувство, но безуспешно.
Это был не обычный сбой. Этот сбой был кульминацией хакерской атаки Lazarus. Lazarus взломали компьютер в Центробанке и получили доступ к учетной записи банка в системе SWIFT, которая обладала огромными возможностями. В том числе позволяла совершать транзакции. Здесь стоит сделать отступление, и сказать, что Центробанк Бангладеша хранит часть денег в Федеральном резервном банке Нью-Йорка. 4 февраля Центробанк Бангладеша, сам того не желая, инициировал несколько десятков платежей общей суммой 951 миллион долларов. Таким образом, хакеры отправили запрос в Нью-Йорк, о котором в Бангладеше никто и не подозревал. Когда сотрудники банка узнали обо всей серьезности ситуации, было уже поздно. Рабочий день в Нью-Йорке уже завершился, и все сотрудники ушли на выходные.
Понедельник принес несколько новостей: как хороших, так и плохих. Поводом для хороших новостей послужила бдительность коллег из Нью-Йорка: транзакции на 870 миллионов долларов были отменены. Из-за английского языка. Одна из транзакций была направлена к странному получателю — Shalika Fandation в Шри-Ланке. Видимо, хакеры из Lazarus хотели отправить деньги на счет несуществующей организации Shalika Foundation, но грамотность их подвела. Плохой новостью оказалось то, что транзакции на 81 миллион были одобрены и деньги ушли на подставные счета на Филиппинах и в Шри-Ланке. Из возможных 951 миллиона хакеры получили только 81 миллион — 8.5 процентов.
А что в России?
Говорят, у российских хакеров есть свой негласный «кодекс чести». Многим свойственно романтизировать образ киберпреступников, делая из них цифровых Робин Гудов. Одно из правил русскоязычных злоумышленников — «не работать по РУ». Правда непонятно, чего тут больше, патриотизма или страха перед ФСБ. Многие хакерские группировки «забивают» на это правило, действуя исключительно в СНГ. Достаточно вспомнить знаменитую OldGremlin, атакующую исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
12 апреля 2021 года Центральный Банк России сообщил о росте потерь россиян от кибермошенников на 52% в 2020 году, до 9,77 миллиарда рублей. Ответственность за преступления в сфере компьютерной информации описана в 28 главе УК РФ. На данный момент не существует единого подхода к пониманию киберпреступления и информационного пространства, что в свою очередь ведет к разному пониманию однородных преступлений в законодательстве различных стран. Если говорить о России, то ее законодательство в плане киберпреступлений ничем особым не выделяется.
Кто виноват и что делать
Для решение любой проблемы, необходимо понять её причины. Причин, почему банки, несмотря на совершенствование систем безопасности, остаются подверженными хакерским атакам несколько. Первая причина: отсутствие законодательной базы единых стандартов безопасности. Вторая причина: стремление банков экономить на системах безопасности. Третья причина: отсутствие необходимой корпоративной культуры в сфере кибербезопасности. Это три кита, без которых не получится грамотно противостоять атакам хакеров, и устранение этих причин — первый шаг на пути к снижению количества киберпреступлений в банковской сфере. Естественно, что уровень изощренности хакеров будет расти вместе с уровнем систем безопасности. Но если сотрудники банков будут и впредь переходить по подозрительным ссылкам в электронной почте, то и у хакеров будет намного больше возможностей для получения выгоды.
Наши серверы можно использовать для разработки на любых языках программирования.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!