Главная » Хабрахабр » Security Week 48: взлом «Черной пятницы»

Security Week 48: взлом «Черной пятницы»

Всемирный праздник потребления под названием «Черная пятница», к счастью, закончился. Осталось выяснить, сэкономили ли вы деньги или все же потеряли. И этот вопрос имеет отношение не только к нужности и полезности приобретенных товаров. Иногда вместо покупки выходит утечка данных кредитной карты или учетной записи платежной системы, а затем и прямая кража денег в результате действий киберпреступников. Феномен массовых распродаж вызывает интерес и у тех, кто защищает платежи в онлайне, поэтому исследований по безопасности на прошлой неделе тоже было достаточно. Давайте посмотрим на самые интересные.

Атаки на интернет-магазины с последующей кражей данных кредиток. В сегодняшнем выпуске: атаки на пользователей с помощью вредоносных программ на персональных компьютерах и на мобильных телефонах. А начнем мы с исследованного «Лабораторией Касперского» Android-трояна Rotexy.
Rotexy (краткий обзор в этой новости, полное исследование) — это вредоносная программа для устройств на базе Android, впервые обнаруженная в 2014 году. И просто поддельные веб-сайты, которые ничего не продают, но деньги от населения принимают. Распространяется троян через SMS-сообщения со ссылкой на зараженный APK под именем AvitoPay.apk или подобным. Особенностью этого семейства троянов стало использование сразу трех каналов для общения с командным сервером: через SMS, напрямую через Интернет или с помощью сервиса Google Cloud Messaging. После установки и запроса прав администратора Rotexy отправляет на командный сервер IMEI устройства. Если вы когда-нибудь размещали объявление о продаже и получали странное SMS со ссылкой «готов оплатить, нажмите сюда», вот это оно и было (или что-то подобное, таких программ немало). Выглядят эти правила примерно так: В ответ прилетает набор правил, которые позволяют обрабатывать, например, SMS от онлайн-банкинга.

Изначально общение между зараженным телефоном и командным сервером шло и вовсе открытым текстом, с 2015 года появилось шифрование. В 2016 году к типичному набору для кражи денег (отправка SMS, перехват и удаление ответных SMS от банков) добавился фишинг.

Самая современная версия вредоносной программы после запроса прав администратора показывает заглушку — приложение якобы не удалось установить. На самом деле программа скрывает свою иконку из списка установленных приложений. Если пользователь отклоняет запрос на права администрирования, приложение начинает мигать экраном. После установки, при попытке прекратить работу приложения, телефон принудительно перезагружается. В зависимости от команды, переданной управляющим сервером, троян может разослать себя всем контактам в телефоне, обновиться, передать злоумышленникам список контактов и сообщения, сделать вид, что пользователю пришло SMS, вывести на экран фишинговую страницу либо страницу якобы произошедшей блокировки смартфона с последующим вымоганием денег. Если пользователь введет данные карты, троян может сравнить последние четыре цифры с информацией из банковской SMS и «порекомендовать» ввести правильный номер.

Больше троянских программ для компьютеров и мобильников описывается в отчете «Лаборатории Касперского» к «Черной пятнице» (краткая версия на русском, полная на английском). В исследовании приводится примерное разбиение по сферам интересов киберпреступников: в половине случаев платежные данные жертв перехватываются в ходе покупок в онлайновых ритейлерах (независимых магазинах, продающих, например, одежду и украшения, но не электронику). Онлайновые платформы, такие как eBay или Alibaba, «контролируются» вредоносным ПО гораздо реже. Возможно, потому, что для них ценность имеют уже не номера кредиток, а учетные записи пользователей. На «черном рынке» чаще всего предлагаются учетки PayPal, но нередко встречаются аккаунты Amazon и eBay.

В исследовании компании Group-IB (новость) сообщается об обнаружении минимум 400 клонов одной только площадки AliExpress. Еще одним способом нечестного отъема денег у населения является создание и продвижение поддельных сайтов, мимикрирующих под популярные онлайн-платформы. Наконец, для кражи платежных реквизитов совершенно не обязательно атаковать конечных пользователей. Прошлогоднее «пятничное» исследование «Лаборатории Касперского» показало значительный рост доли покупок с мобильных устройств, где определить, что перед вами поддельный веб-сайт, еще сложнее, чем при просмотре десктопной версии. Например, от их рук этим летом пострадал крупный сервис по продаже билетов Ticketmaster. С 2015 года исследователи в области информационной безопасности отслеживают деятельность группировки MageCart, получившей свое название благодаря атакам на CMS Magento.

На одном из сайтов было обнаружено сразу несколько вредоносных скриптов, отправляющих данные о номерах кредитных карт злоумышленникам. По данным исследователя Виллема де Грота, в ноябре между участниками группировки (или отдельными бандами) началась конкуренция (новость, пост в блоге исследователя). Один из скриптов (более продвинутый) не только собирал номера кредиток — он также вмешивался в работу конкурентов: на их сервер отправлялись номера карт, в которых была подменена одна цифра с помощью вот такого простого рандомайзера.

Таким образом, одна преступная группировка еще и портит репутацию другой. По данным того же эксперта, за прошедшие три месяца вредоносный код, так или иначе относящийся к кампании MageCart, был обнаружен более чем на пяти тысячах сайтов. За три года заражению подверглись 40 тысяч сайтов. Один интернет-магазин атаковался 18 раз подряд. На другом злоумышленники оставили сообщение администраторам: дескать, прекратите удалять скрипты.

Защита устройств от вредоносного ПО, использование для оплаты онлайн отдельных карт с ограниченным бюджетом, использование двухфакторной аутентификации как для учетных записей, так и для проведения платежей. Рекомендации по предотвращению кражи средств с кредитных карт и угона учетных записей платежных систем, несмотря на развитие методов атак, остаются прежними. Ну и, возвращаясь к истории про Android-троян, не стоит кликать на ссылки, даже если вам их присылает вроде бы знакомый человек.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Перенос конфигурации АТС в сервис 3CX PBX Express

В этой статье мы расскажем, как в сервисе 3CX PBX Express восстанавливать резервные копии существующих инсталляций АТС. Возможность восстановления конфигурации позволяет, например, переместить локальный сервер в облако, сменить хостинг или восстановить АТС в облаке после серьезного локального сбоя. Единственное требование ...

Первые штрафы по GDPR: кого уже наказали

GDRP вступил в силу больше шести месяцев назад, но первые «письма счастья» регуляторы начали выписывать лишь недавно. В материале — о тех компаниях, которые их уже получили. / фото Kiefer CC BY-SA «Мягкий запуск» GDPR GDPR вступил в силу 25 ...