Цифровой банк — атака на банк — социалочка

В последние несколько лет мировая электронная преступность консолидировалась, укрупнилась и стала более профессиональной. Сегодня это уже не одиночные хакеры и ламеры, а большие хорошо образованные и технические оснащенные преступные группы. Их цели также изменились. Их интересуют не один конкретный пользователь Интернет-Банка, а сам банк и доступ к его элементам финансовой системы, к процессингу, корсчету и системе SWIFT.

Конечно атаки на единичных пользователей тоже остались, но они стали носить оптовый (системный), характер. Организация таких атак поставлена на поток: заражение сети, выявление чем пользуется клиент, подбор нужного вируса, атака. Для этих целей преступные группы агрегируют вокруг атакуемой страны поставщиков популярных контентов (порносайты, казино, пиратский контент), и управляют через них заражением пользователей. При этом заражение носит системный характер, то есть группа изучает один банк, собирает через агрегаторов контента информацию о том, чем пользуется клиент, и заражает пользователей именно этого банка. А потом, в какой-то момент, атакует всех сразу.

Сейчас рассмотрим типичный пример атаки на банк с применением социальных методов. Социальных — означает, что хакер будет вынужден контактировать с жертвой напрямую, по телефону, вовлекать жертву в обиходные действия, в живой диалог. В данном примере будет рассмотрен тонкий сценарий атаки на конкретный банк. В толстых сценариях идет веерная рассылка на банковские мейлы зараженных писем счастья, типа «недоставлена посылка», «я беременна» и т.д.

Выбор жертвы

Первым делом группа выбирает жертву по косвенным признакам слабости. Банк имеет слабозащищенную сеть, либо слабую подготовленность к социальной атаке. На практике представитель хакера выясняет параметры банковской сети и устройство сетевой безопасности. Это можно сделать на любом банковском форуме под видом продавца каких-либо услуг для банков, поговорив с вашим главным айтишником.

Подготовка инъекции

Речь идет не об SQL-инъекции, а о более тонком методе доставки вредоносного ПО внутрь банковской сети. ИП открывает счет в вашем банке и начинает проводить реальные операции связанные с валютным контролем и взаимодействием с валютным отделом. В рамках взаимодействия приходится часто отправлять документы/сканы по почте. Эти документы всегда безупречно чисты от вирусов. Этот период длится 2-3 месяца, пока клиент не сформирует положительную историю сотрудничества и солидный объем реальных сделок, в которых банк конечно зарабатывает свой небольшой комиссионный доход.

Отправка инъекции

В какой-то момент ИП искуственно создает ситуацию, что ему надо отправить напрямую мейл вашей валютчице. Как правило, это личный мейл. Это происходит несколько раз, чтобы для валютчицы это стало нормальной практикой. Эти мейлы также безупречно чисты. Но однажды клиент звонит в банк в рабочее время и сообщает валютчице о необходимости отправить ей мейл прям немедленно и именно на личную почту, аргументируя тем, что его письмо не проходит на банковскую почту.

Валютчица бежит к IT и просит его открыть ей доступ к внешней сети, чтобы войти в личную почту и скачать этот драгоценный документ. IT обычно реагирует следующим образом: просит чтобы ему дал это распоряжение кто-нибудь из зампредов или просто вышестоящий. Валютчица бежит к зампреду и объясняет важностью письма, а также что это реальный клиент, который давно (2-3 месяца), работает с банком и все сделки реальные и банк на них зарабатывает. Обычная реакция зампреда — да, конечно разрешите ей. Далее в зависимости от опытности IT, он или открывает ей доступ с ее компа, или пускает на свой.

Документ скачивается — инъекция доставлена. Отдельно надо отметить, что иногда антивирусы все же обнаруживают что-то подозрительное и мейл блокируется, но документ-то валютчице нужен, и тогда документ пытаются лечить, еще раз лечить и все же его ей оставляют. Все антивирусы устроены примерно одинаково они регистрируют количество подозрительных активностей/элементов в объекте. Если 1-3, то не страшно пропустят, если 4-7, то предложат заблокировать, если 8-10, то заблокируют сами.

Критерии и количество варьируется в зависимости от конкретного антивируса. Но принцип остается. То, что придет к вам в почте, будет завернуто в несколько слоев и, с высокой вероятностью, не вызовет подозрения у антивируса, то есть будет по шкале 1-3 и будет пропущено.

Инкубация

После того, как софтинка вгрузилась в сеть, она засыпает. На практике — засыпает на разное время, от нескольких дней до года, не проявляя никакой активности. Если за этот период она не будет уничтожена при очередной тотальной проверке всех служб и дисков банка, то она проснется в установленный день.

Пробуждение

В день пробуждения, софтинка закачивает уже более крупный софт, который в свою очередь, втягивает еще более крупное ПО по удаленному управлению сетями, например Ammy Admin. И вот с этого момента счет идет на минуты и часы.

Атака

Как правило, к моменту вгрузки ПО для удаленного управления вашей сетью, хакеры уже знают график вашей активности и прочего происходящего в вашем банке. В том числе какие системы установлены и что примерно надо искать и атаковать. Далее происходит быстрая атака ваших финансовых узлов, путем добавления в них несуществующих транзакций. Это может быть пополнение карт дроперов, которые заранее их открыли в вашем банке и находятся в готовности, чтобы снять деньги через банкоматы или списать через терминалы по всему миру, как правило, не менее 40-60 карт для одной атаки. Это может быть строка в SWIFT о переводе всех ваших валютных остатков на Кокосовые Острова или BVI или еще куда угодно. А также иные дистанционные сервисы, где клиентом является сам банк.

Усиление атаки

Если первая атака не была замечена банком или удаленный админ не был отключен, атака усиливается. Здесь, как правило, добавляется перегруз сети (DDos), или проблемы со связью, электричеством и тд. Хакеры понимают, что банк не понял в чем дело, а начинают рушить его коммунальные службы, чтобы продлить свои действия во внутренней сети банка и сделать больше внешних выводов средств.

Выход

После атаки, как правило, все вредоносное ПО, все логи и иные электронные следы уничтожаются при помощи небольшой специально написанной софтинки, которая в конце концов удаляет и саму себя. Все, атака закончена, из хвостов останутся только анонимные numbered bank accounts в Кокосовых банках.

Как противостоять? Ответ прост. Построить самостоятельно или с привлечением экспертов профессиональную работу с сетью банка — все от технических возможностей, до физической и аналитической защиты и соблюдать этот регламент эксплуатации без исключений! Любое малейшее исключение — это потенциальная угроза всем денежным средствам в банке.