с 1992

Слепой не боится змеи

Внимание, угроза: банковские троянцы!

Слепой не боится змеи

Защити созданное

2

Слепой не боится змеи

1. Бухгалтерсрабочегокомпьютера,накоторомустановленасистемаДБО,читаетвИнтернетестатьинасайтеоздоровье.

2. Браузерзависает,появляетсяокошкоспредупреждениемонекорректнойработепрограммы.

3. Бухгалтермашинальножметнаоднуизкнопококошка,чтобыейничегонемешалочитатьважнуюстатью.

4. Нобраузервсетакжевиснет,ибухгалтерзоветсистемногоадми-нистратора.

5. СистемныйадминистраторзаходитнакомпьютербухгалтераподсвоимадминистраторскимДОМЕННЫМпаролемирешаетпроблемусбраузером—можнодальшечитатьважнуюстатью.Троянец,которыйНЕЗАМЕТНОпроникнакомпьютербухгалтерассайтаоздоровьеибылактивировансамимбухгалтером(онанажаланакнопкувокошкебраузера—см.п.3),толькоэтогоиждет—парольковсейсетибанкаужеврукахмошенников,равнокакипарольксистемеДБО.

6. БухгалтернесколькоднейнезаходитвсистемуДБО,авместестемзаэтиднисовершенынесколькомошенническихпроводокнамиллионырублей.

Один из сценариев заражения компьютера банковским троянцем

Реальныйслучай,которыйпроизошелвдекабре2012годаводнойизмосковскихкомпаний.

Что такое банковские троянцы?

Банковскомутроянцу,например,Trojan.Carberp,необходимовсего1–3минуты,чтобыпохититьпаролииденежныесредствасосчетажертвы.

Уэтоготроянцаимеютсяверсиимодулейдлякражиденегизвсехсамыхраспространенныхсистемдистанционногобанковскогообслуживания(ДБО).

Внимание!Всвязисособенностямисхемы,применяемойзлоумышленни-камидлязаражения,наибольшейопасностиподвергаютсякомпаниималогоисреднегобизнеса.

Что крадет банковский троянец?

Деньги.

Другоееговладельцевнеинтересует.

Этоисключительновредоносныепрограммы,которыемогут:

похищатьпаролидлядоступакбанковскимиплатежнымсистемам,денежныесредствасбанковскихсчетовкомпанийлюбогомасштаба;

загружатьдругиевредоносныепрограммы,втомчислесвоидополнительныемодули;

поудаленнойкомандезлоумышленникаполностьюпарали-зоватьработукомпьютера.

Самыйопасныйизнихнасегодняшнийдень—Trojan.Carberp.

Преждечемприступитькхищениям,владельцытроянцасобираютинформациюожертве:онизнаютсостояниебалансакомпаниидокопейкивлюбоймоментвремени,суммыиформулировкиосно-ванийперечислений(этижеформулировкипотомиспользуютсявмошенническихплатежках),мгновеннополучаютинформациюобоВСЕХсовершаемыхбухгалтеромкомпанииплатежах—зажертвойведетсякруглосуточноенаблюдениепередтемкакбудетопустошенсчет.Мошенникиполучаюттакиеданные:

3

Слепой не боится змеи

Владелецтроянцаобладаетполнойинформациейосчетежертвыиимеетдоступклюбойинформацииназараженномкомпьютере.

ЕслипохищенпаролькДБО Банковскийсчет

Баланссчета

Суммаперевода(«залива»)

Основаниеплатежа

СкомпрометированнаясистемаДБО(название)

WWW-адрессистемыДБО

IP-адрескомпьютеражертвы

Используемыйбраузер

Еслискомпрометированабанковскаякарта BINбанка

Счетклиента-жертвы

Адрессистемыэлектронныхплатежей,вкоторойбыласком-прометированакарта

Номеркарты

Датаокончаниясрокадействиякарты

Имяифамилиядержателякарты

CVV2/CVC2

Кому это нужно? Современныевредоносныепрограммыразрабатываютсявирусо-писателями-профессионалами,иэто—хорошоорганизованныйкриминальныйбизнес,вовлекающийвсвоюдеятельностьвысоко-квалифицированныхсистемныхиприкладныхразработчиковПО.

Разработкойи«продвижением»банковскихтроянцевзанима-ютсяорганизованныепреступныегруппы:разработчикинаходятсяводнойстране,серверы,скоторыхраспространяетсятроянец,—вдругой,организаторы—втретьей,«партнеры»—преступники,которыепокупаютуслугивладельцевтроянцевиобслуживающихихбот-сетейдлясовершенияхищений,—внесколькихстранах.

Программыпостоянносовершенствуютсяихавторами,процессвыпускановыхверсийтроянцевпоставленнапоток.ЕжедневноввирусныебазыDr.Webдобавляетсянесколькодесятковразновид-ностейTrojan.Carberp!!!!! А ведь это только один троянец...

Факты Ежесуточноввируснуюлабораторию«ДокторВеб»посту-

паетвсреднемнеменее60000образцоввредоносныхпрограмм.

28ноября2012годабылпоставленсвоеобразный«рекорд»—наанализпоступилоболее300000образцов.Аужевначаледекабрярекордбылперекрытвдвое!Иэтодалеконевсе,чтосоздаетсявредоносногозасутки!

4

Внимание, угроза: банковские троянцы!

Вирусныеаналитики—неволшебники,имгновеннообработатьмногиетысячиежедневнопоступающихподозрительныхфайловнемогут.Поэтомурискзараженияещенеизвестнымантивирусувирусоместьвсегда.

Троянец подкрался незаметно?

Аонвообщенеподкрадывалсяквам!ВЫСАМИКНЕМУПРИШЛИ.

ТроянцысемействаTrojan.Carberpпроникаютнакомпьютерыпользователейво время просмотра взломанных сайтов.Ненужнопредприниматьвообщеникакихдействийдлятого,чтобы«получитьтроянца»,—заражение происходит автоматически.

Сайты, которые чаще всего являются источниками вредоносного ПО

1. Сайты,посвященныетехнологиямителекоммуникациям.

2. Новостныепорталы,бухгалтерскиесайтыифорумы,интернет-курсы/лекции.

3. Женскиесайты(оздоровье,кулинарии).

Другойоченьраспространенныйспособзаражения—черезсъемныеустройства.

Внимание!

Ксъемнымносителяминформацииотносятсянетолькофлеш-карты,ноивообщелюбые подключаемые к компьютеру через USB-порт устройства!ПередатьвируссодногокомпьютеранадругойможнодажечерезфотоаппаратилиMP3-плеер.

Троянцыумышленнорассчитанынараспространениесамимипользователями,таккаквотличиеотвирусовнеимеютмеханизмовсаморазмножения.Жертвысамипереносяттроянцевскомпью-теранакомпьютернафлешках.Именнотакпроисходитзаражениекомпьютеров—дажеизолированныхотИнтернетаилиотключенныхотлокальнойсети.

МишенямиатакпреступныхкиберсообществдавнопересталибытьтолькоофисныеПК—атакамподвергаютсяиличныеустройствасотрудников,включаямобильные.

Уже существует банковский троянец для платформы Android — Android.SpyEye.1.

Троянцы незаметны?

Досихпорбытуетопаснейшеезаблуждениеотом,чтодействиевредоноснойпрограммынакомпьютеревсегдазаметно,и,есликомпьютербудетзаражен,этобудетпонятносразу.Этосовершеннонетак!

ЗадачейсовременныхвирусописателейявляетсясозданиевредоносногоПО,котороедолжнокакможнодольшеоста-ватьсявсистеменеобнаруженным—каксостороныполь-зователясистемы,такисостороныспециальныхпрограмм(антивирусов).

Например,Trojan.Carberp,запускаясьнаинфицированноймашине,предпринимаетцелыйряддействийдлятого,чтобыобманутьсредстваконтроляинаблюдения.Послеуспешногозапускатроянецвнедряетсявдругиеработающиеприложения.

5

Слепой не боится змеи

Почему это происходит?

Что делать?

1. Всетехнологическисложныеиопасныевредоносныепрограммы,разработанныесцельюкражиденежныхсредств,тестируютсявирусописателяминаобнаружениевсемиантиви-русами.Именнопоэтомудопоступленияобразцоввредоносныхпрограммввируснуюлабораториюнекоторыеизнихнеобнару-живаютсяантивирусом.

2. Троянцы,созданныедлякражисредствуконкретныхкомпаний,могутдостаточнодолгонеобнаруживатьсяантивирусом,еслимошенникиточнознают,какойантивирусустановленнакомпью-терахорганизации.

3. Проникновениетроянцанакомпьютербухгалтерапроизошлоблагодаряэксплуатациитроянцемнесколькихуязвимостейвпрограммах,установленныхнаПК.Нажатиенакнопкувовсплывающемокошкепослужилоспусковымкрючкомдляприве-дениятроянцавдействие.Послеэтоготроянцунесоставлялотрудапохищатьлюбуюинформациюскомпьютеражертвы.

4. Самипользователи—незнающиеосновкомпьютернойбезопас-ности,простоуставшиеилиневнимательные—неумышленноилипохалатностинарушаяполитикибезопасности,способ-ствуютпроникновениювирусоввсетькомпании(используютUSB-устройства,непроверяяихнавирусы,автоматическиоткры-ваютпочтуотнеизвестныхотправителей,бесконтрольнопутеше-ствуютпоИнтернетуврабочеевремяипр.).

ДляборьбысИT-безграмотностьюкомпания«ДокторВеб»создаетобучающиекурсы,рассчитанныенаширокийкругпользователейПК,ипредлагаетбесплатныеонлайн-тестированияназнаниеосновкомпьютернойбезопасности.Приобретаемыевходеизучениякурсовзнанияпомогаютлучшесправлятьсяскомпьютернымиугро-замиинепопадатьсянауловкизлоумышленников.

Образовательный проект ВебIQметр: http://www.drweb.com/web-iq/Портал системы обучения «Доктор Веб»: http://training.drweb.com

Внимание!

Антивирус—этоединственноенасегодняшнийденьпрограммноеобеспечение,котороеспособноизбавитьсистемуотвредоносногоПО.

Почтивсегдаофактаххищенияжертвыузнают,когдавсеужепрои-зошло.Ноэтонезначит,чтоненадодействовать!Вэтотмоментисключительноважнойстановитсяправильнаяреакциянаинцидент.

Внимание!

Непытайтесьобновитьантивирусилизапуститьскани-рование—таквыуничтожитеследызлоумышленниковвсистеме!

Непытайтесьпереустановитьоперационнуюсистему!

Непытайтесьудалитьсдискакакие-либофайлыилипрограммы!

Непользуйтеськомпьютером,скоторогопредположительнопроизошлаутечкасредстваутентификацииксистемеДБО—дажеесливнеместьострая(производственная)необходимость!

Внимание, угроза: банковские троянцы!

ВРоссиинесуществуетединойстатистикифактовхищенийсредствчерезсистемыдистанционногобанковскогообслуживанияспомощьювредоносныхпрограмм.Частопострадавшиедаженеобращаютсявправоохранительныеорганы,считая,чтосредствавернутьневозможно.Жертвынезнают,счегоначатьдействоватьвкризиснойситуации,имнезнакомапроцедураинициированиярасследованияповозвратусредств,онитеряютдрагоценноевремя.

КражасредствспомощьювредоносногоПОявляетсяпротиво-правнымдействием,присовершениикоторогомогутприсутствоватьпризнакипреступлений,предусмотренныхпост.ст.159,159.6,165,272и273УКРФ.

Длявозбуждениявотношениизлоумышленниковуголовногоделаправоохранительныморганамнеобходимпроцессуальныйповод—вашезаявлениеопреступлении.Помните,чтовыможетебытьдалеконеединственнымпострадавшим,нопервым,обратившимвниманиенадеятельностьпреступников,ивашесвоевременноеобращениевполициюпоможетпрекратитьдеятельностьзлоумыш-ленников.

Каждыйпреступникоставляетзасобойследы.Послекомпью-терныхпреступленийтожеостаютсяследы—т.е.сэтимзломможно и нужно бороться.

Компания«ДокторВеб»оказываетуслугипоэкспертизе вирусозависимых компьютерных инцидентов,атакжепроводитпсихологическуюэкспертизуличностей(персонала)сцельювыявленияфактовпричастностиксовершению/пособничеству/укрывательству/поощрениюпротивоправныхдействийвотношениизаказчика,фактовбездействияилихалатногоотношениякслужебнымобязанностям.

http://antifraud.drweb.com/expertise/

Насайте«ДокторВеб»вразделе«Правовойуголок»http://legal.drweb.com/размещеныобразцызаявленийвправоохранительныеорганыидругиеинстанции,атакжерекомендацииподействиямпослеобнаруженияхищения.Пользуйтесьэтойинформацией!

Помните:компьютердляработысденежнымисредствами(системамидистанционногобанковскогообслуживания)недолжениспользоватьсядляработыскритическиважнымиданными,инаоборот.Никакиедругиеоперациинатакомвыделенномкомпьютерепроизводитьсянедолжны.

Дополнительная информация

Ознакомлениесэтимиинформационнымиматериаламипозволитвамминимизироватьвозможныефинансовыепотериприработессисте-мамидистанционногобанковскогообслуживания.Внихтакжесодер-жатсяполезныесоветыотом,какправильноорганизоватьзащищеннуюработуссистемамиДБО,чтодляэтогонеобходимопредпринятьичегоделатькатегорическинеследует.

Брошюра«Слепойзмеинебоится»(РаспечататьвPDF|ЧитатьвSWF).

Видео«Слепойзмеинебоится».

Информационныйразделнасайте«ДокторВеб»обанковскихтроянцах.

УчебныйкурсDWCERT070-3«Антивируснаясистемазащитыпредприятия».

© ООО «Доктор Веб», 2003 — 2014

125124,Россия,Москва,3-яулицаЯмскогополя,вл.2,корп.12а

Телефон:+7(495)789-45-87(многоканальный)

Факс:+7(495)789-45-97

www.drweb.com|estore.drweb.com|www.drweb-curenet.comwww.av-desk.com|www.freedrweb.com|mobi.drweb.com