Алексей Короткин, Дмитрий Бевза

© Газета.Ru

Интернет и ИТРоссия

4353

10.05.2015, 08:42

Ограбление по-хакерски

Известие о дерзком ограблении банковских счетов российских пользователей Android-смартфонов программой «5 рейх» взволновало интернет и разлетелось по социальным сетям. Называются астрономические для этого вида мошенничества суммы похищенного и огромное количество пострадавших, однако в истории много странных моментов.

В субботу МВД на своем официальном сайте сообщило о задержании жителя Челябинской области, который, по данным следствия, разработал банковский троян, предназначенный для хищения денег через программы мобильного банкинга, установленные на смартфонах под управлением Android. Кроме него в состав преступной группы входили еще четыре человека. В сообщении также говорится о «предотвращенном ущербе» – более 50 млн руб. В результате обысков у членов преступной группы изъяли компьютеры со следами распространения вируса, мобильные телефоны, SIM-карты, серверы и банковские карты, на которые производилось зачисление похищенных денежных средств.

Одновременно с пресс-релизом МВД появилось сообщение информационного агентства FlashNord со ссылкой на неназванные источники в МВД о том, что в регионах жертвами мошенников стали от 20 тыс. до 30 тыс. клиентов Сбербанка.

Со ссылками на региональные СМИ и источники в полиции было названо число пострадавших в отдельных регионах: в Калининградской области – около 250 человек, в Мурманской области – около 200, в Санкт-Петербурге и Ленинградской области – около 300, в Приморском крае – 400, в Оренбурге – почти 150.

В Сбербанке «Газете.Ru» не подтвердили информацию о массовых хищениях денег со счетов клиентов. «В настоящее время Сбербанк не отмечает повышенного фона обращений со стороны клиентов, информация, опубликованная в СМИ, проверяется», – говорится в сообщении.Также в банке напомнили о необходимости устанавливать антивирусное ПО, а также о том, что недавно вышла обновленная версия приложения мобильного банка для Android со встроенным антивирусом.

В компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений и мошенничества с использованием высоких технологий, подтвердили «Газете.Ru», что речь идет об одном и том же инциденте, и рассказали о деталях.

Злоумышленники организовывали вирусные атаки на мобильные устройства клиентов российских банков, работающих на платформе Android. Троянская программа, которую они использовали, после установки на мобильное устройство запрашивала баланс привязанной к номеру банковской карточки, скрывала поступающие SMS-уведомления и осуществляла переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.

Сами хакеры назвали свою программу «5 рейх», а в системе управления использовали нацистскую символику (запрещена в России), из-за чего данная преступная группа получила кодовое название «Фашисты», сообщили «Газете.Ru» в Group-IB.

Первые сведения об используемой преступниками вредоносной программе появились в июле 2013 года. Троян сделан именно для того, чтобы совершать хищения с банковских счетов. Со временем программа эволюционировала, и новые функции позволяли совершать хищения более эффективно. Одним из первых способов совершения хищений было использование SMS-банкинга – процедуры перевода денег при помощи отправки специально сформированного SMS на номер банка.

Позже злоумышленники начали собирать данные пластиковых карточек, для чего использовали фишинговые (фальшивые) страницы в сети. Вредоносная программа показывала поверх окна Google Play свое окно с предложением ввести данные банковской карточки.

После того как пользователь ввел данные карточки, они немедленно передавались на сервер злоумышленника.

В дальнейшем хакеры сделали фишинговые страницы и для некоторых российских и украинских банков, но в этот раз они получали не данные карточек, а логины и пароли от интернет-банкинга. Когда пользователь запускал банковское приложение, троянская программа подменяла оригинальное окно на фишинговое, где пользователь сам вводил необходимые данные, которые немедленно отправлялись на сервер злоумышленника.

Обладая логином, паролем, а также доступом ко всем SMS, в том числе от банков с SMS-кодами, злоумышленник мог успешно совершать банковские переводы.

Распространяли вредоносную программу через SMS-рассылки, в которых была ссылка на загрузку вредоносной программы под видом Adobe Flash Player, во время установки которой запрашивались права администратора.

Позже в сети появилась информация, что вредоносной программой было заражено около 340 тыс. смартфонов и пострадали клиенты разных банков.

Если учесть известные проблемы с безопасностью у операционной системы Android и низкий уровень компьютерной грамотности у населения, происшедшее выглядит закономерным, однако многие моменты вызывают вопросы.

В первую очередь это масштабы преступной деятельности, которых сумела достичь группа из пяти человек. Если данные анонимных источников из МВД верны, то для достижения числа 20–30 тыс. пострадавших, с учетом того что озвученные данные о потерпевших в разных регионах составляют от 150 до 400 человек, преступники должны были осуществлять хищения практически во всех 85 субъектах РФ.

Во-вторых, это затраты на подготовительный этап. Пользователь не попадет на нужный порносайт сам по себе, а рекламные SMS не рассылаются бесплатно. Если речь идет о 20–30 тыс. успешных установок вредоносной программы, то попыток установки, в ходе которых пользователи начинали что-то подозревать и отказывались либо от установки, либо от предоставления администраторских прав, в несколько раз больше.

При этом рекламная сеть, даже если это сеть обмена порнотрафиком, взимает деньги за каждую попытку установки. То есть речь идет о миллионах рублей, что является существенным и довольно рискованным вложением для группки региональных преступников.

Если же допустить, что информация о 340 тыс. зараженных смартфонов соответствует действительности, то затраты на «продвижение» вредоносного ПО уже достигают порядка миллионов долларов.

Разработка мобильного трояна также задача непростая и отнюдь не дешевая. С учетом существующего разделения труда среди киберпреступников – одни группы специализируются на разработке вредоносного ПО, другие на заражении пользователей, третьи на поддержании сетевой инфраструктуры, четвертые на выводе и легализации украденных денег – базовый код для модификации был либо куплен на черном рынке, либо предоставлен.

В-третьих, это объемы подозрительного сетевого трафика и денежных транзакций. Надо понимать, что службы безопасности банков имеют дело с кардерами – преступниками, специализирующимися на хищении денег с банковских карточек, – далеко не первый год, а сотовые операторы часто сталкиваются с SMS-мошенничествами.

Стандартная вредоносная программа скрывает свою работу неидеально: пользователь получает SMS об отказе в списании денег, а система мобильного банкинга получает множество неудачных запросов и даже блокирует клиента. Все это приводит к обращениям клиентов и попадает в поле зрения службы безопасности банка. Таким образом, можно отследить подобные запросы на списание денег по суммам, номерам счетов, куда переводятся деньги.

В случае постепенного хищения денег через зараженные смартфоны невозможно достичь подобного масштаба преступной деятельности. Если же перевод денег на счета преступников производится одновременно с множества счетов пользователей, то эти транзакции не могут остаться незамеченными. Если взять минимальный размер списания 1 тыс. руб. и предполагаемое количество пострадавших 20 тыс. пользователей, получаем сумму 20 млн руб. Таким образом, при использовании 100 SIM-карт через каждый телефонный номер потребуется обналичить 200 тыс. руб., а при 1 тыс. SIM-карт каждый член преступной группы должен был успеть снять деньги с 200 мобильных номеров.

Артем Баранов, ведущий вирусный аналитик ESET Russia, считает, что в этой истории достаточно много темных пятен, однако главное, по его мнению, что проведены следственные мероприятия, члены преступной группы задержаны, предполагаемый ущерб подсчитан, а вредоносное ПО идентифицировано.

«Кстати, если принять во внимание заявленный ущерб по стране, группа может быть значительно больше. Не исключено, что следственными органами раскрыты не все детали деятельности преступной группы, и, возможно, мы увидим новые аресты в будущем», – считает Баранов.

По мнению эксперта, пока без ответа остался главный вопрос: каким механизмом воспользовались злоумышленники для похищения средств? С вредоносным ПО или без него, невозможно просто взять и перевести денежные средства с одного счета на другой – нужно подтверждать операцию. Но если сервис банка позволяет переводить средства без подтверждения, отправкой простого SMS-сообщения, эта услуга может обернуться катастрофой для владельцев зараженных устройств. Инфицированный Android-смартфон будет бесконтрольно рассылать SMS, переводя средства, а злоумышленникам не потребуется даже доступ к аккаунту онлайн-банкинга.

В этом случае сама вредоносная программа может быть довольно простой, злоумышленникам достаточно написать анализатор входящих SMS и механизм генерации новых по определенному шаблону. Скорее всего, с помощью такой услуги можно переводить небольшие суммы (установлен лимит).

Что касается источников заражения, можно предположить, что ссылки на установку трояна приходили через мессенджеры и личные сообщения в социальных сетях, а также размещались на стенах пользователей соцсетей.

Для того чтобы не стать жертвой киберпреступников, специализирующихся на краже денег через интернет, антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев дал читателям «Газеты.Ru» несколько простых советов.

1. Никогда не переходите непосредственно по ссылкам на сайты банков и других финансовых организаций. Чтобы не стать жертвой злоумышленников, надо обязательно вводить адрес вручную – эта элементарная мера предосторожности позволит вам не оказаться на поддельной странице, которая выглядит точно так же, как и оригинал.

2. Используйте только сложные пароли. Ваш пароль ни в коем случае не должен быть связан с вашей личностью, например, кличка собаки или девичья фамилия матери.

3. При передаче конфиденциальных данных используйте зашифрованное соединение. Понять, что соединение в должной мере защищено, можно, если адрес сайта начинается с https, при этом в адресной строке будет отображаться специальный символ, например иконка открытого замка.

Рекомендации для владельцев Android-смартфонов

1. Оплата через телефон или планшет – это очень удобно, однако существуют реальные угрозы проникновения на устройство поддельного приложения, которое полностью копирует и замещает собой оригинальное. Скрывая настоящее приложение, это вредоносное ПО начинает запрашивать у пользователя учетные данные, пароли и другую конфиденциальную информацию, которая может быть использована для кражи денег и их перевода на счета злоумышленников.

2. Никогда не следует переходить по ссылкам в SMS/е-mail-спам-сообщениях. Если вы хотите установить какое-либо ПО на свое устройство, нужно скачивать его из официальных источников. Не забывайте обновлять ОС и установленные приложения, так как в обновлениях устраняются известные хакерам уязвимости. На сегодняшний день на рынке есть разнообразные защитные решения, которые не только помогают бороться с проникновением на устройство вредоносных программ, но также способны защитить хранящуюся на смартфоне конфиденциальную информацию в случае утери или кражи гаджета. Не стоит забывать о необходимости обновлять ваше защитное решение.

3. Не осуществляйте jailbreak/rooting устройства: при взломе официальной прошивки ваш девайс становится более уязвимым для вредоносных программ. Стоит также использовать программные средства удаленного блокирования (уничтожения) данных в случае утери (кражи) смартфона.

Алексей Короткин, Дмитрий Бевза

© Газета.Ru

Интернет и ИТРоссия

4353

10.05.2015, 08:42

URL: https://babr24.news/msk/?ADE=135589

bytes: 11864 / 11798

Поделиться в соцсетях:

Также читайте эксклюзивную информацию в соцсетях:
- Телеграм
- ВКонтакте

Связаться с редакцией Бабра:
[email protected]

Автор текста: Алексей Короткин, Дмитрий Бевза.

Другие статьи в рубрике "Интернет и ИТ" (Россия)

Провал "Эльбруса". Замена серверов на отечественных процессорах оказалась невозможной

Процесс перехода государственных органов на использование отечественного компьютерного оборудования столкнулся с определёнными трудностями. В частности, Министерство внутренних дел (МВД) столкнулось с проблемами при эксплуатации серверов на базе микропроцессора «Эльбрус», разработанных АО «МЦСТ».

Виктор Горбунов

Интернет и ИТНаука и технологииРоссия

2220

16.11.2024

Минцифры РФ и Роскомнадзор всё-таки решились наступить на грабли "больших групп"

Минцифры РФ и Роскомнадзор, несмотря на жесткую критику, подготовили правила ведения каналов в соцсетях с аудиторией более 10 тысяч человек.

Максим Бакулев

Интернет и ИТОбществоПолитикаРоссия

12663

07.10.2024

T2 обновила подписку MiXX в партнерстве с Яндекс Плюсом

Теперь у пользователей MiXX есть доступ к фильмам и сериалам на Кинопоиске, Яндекс Музыке в lossless-качестве, кешбэку баллами Плюса.

Саша Савельева

Интернет и ИТРоссия

3604

24.09.2024

Блогнот. Казус Дурова. Как это работает

1️⃣ Данных в мире очень много. За 15 лет физическое количество данных (data) выросло в 66 раз. Ежегодный прирост – больше, чем производилось этих самых данных 10 лет назад. И немалую часть этих данных генерируют сами пользователи, размещая контент в соцсетях или реагируя на него.

Глеб Кузнецов

Интернет и ИТРасследованияМир

8323

31.08.2024

Инсайд. Что стоит за законом о "деанонимизации Телеграма"

Закон о "деанонимизации Телеграма", по всем признакам, в ближайшее время будет принят Госдумой. Главный "запретитель" страны, депутат Госдумы Александр Хинштейн, уже говорит об этом как о свершившемся факте. Что именно предполагается сделать. 1.

Василий Чайкин

Интернет и ИТПолитикаРасследованияРоссия

26569

31.07.2024

Новый смартфон или подписка-конструктор: идеи подарков к 8 марта

Современные леди оценят: Tele2 поделился отличными вариантами подарков на 8 марта. Новый смартфон или подписка на любимые сервисы? Зачем выбирать, если можно подарить и то, и другое – ведь у Tele2 хорошие скидки в преддверии праздника.

Саша Савельева

Интернет и ИТРоссия

13733

29.02.2024

Иркутский Телеграм: новое племя. Предпочтения читателей в январе 2024

Скажи, кто твой друг, и я скажу, кто ты. Или в современном прочтении: скажи мне, чьи новости ты читаешь, а я скажу, что ты за человек.

Глеб Севостьянов

Интернет и ИТПолитикаОбществоМир Иркутск

13451

06.02.2024

На что способен мобильный тариф: Tele2 напомнила клиентам о своих уникальных фишках

Многие считают, что тарифы сотовых операторов примерно одинаковы, – различие только в цене и наполнении пакета. На самом деле, это далеко не так. Точнее, не у всех.

Саша Савельева

Интернет и ИТРоссия

14452

25.01.2024

Эксперты рассказали, где россиянам торговать криптовалютой после ввода санкций

В 2022 году из-за обострения геополитической обстановки многие криптоплатформы заблокировали доступ для граждан РФ или ограничили их функционал. Регуляторы из ЕС и США сделали ведение бизнеса невозможным, что вынудило даже наиболее лояльные площадки прекратить обслуживание россиян.

Ярослава Грин

Интернет и ИТЭкономика и бизнесРоссия

54925

21.12.2023

Заморозить цены на тарифы и поговорить с редкими животными: дайджест новостей от Tele2

Компания предлагает клиентам любых операторов бесплатно подключить мультиподписку до 31 декабря, новым пользователям – заморозить цены на тарифы до конца 2025 года, а действующим абонентам – спасти диких животных с помощью звонка.

Ярослава Грин

Интернет и ИТРоссия Иркутск

33045

30.11.2023

На вес золота: о связи в самых удаленных уголках и красивых номерах в подарок

Рассказываем, где появилась мобильная связь Tele2 и как получить телефонный номер с запоминающейся комбинацией цифр бесплатно.

Ярослава Грин

Интернет и ИТИркутск Россия

29328

30.11.2023

Сибирь – заложница «серых» майнеров

Нелегальный майнинг – энергодефицит – рост тарифов для теневых криптодобытчиков. Такая цепочка выстраивается в последнее время из-за серьёзных проблем с энергией в преддверии зимы.

Анна Амгейзер

Интернет и ИТЭкономика и бизнесИркутск Россия

58906

29.11.2023

Лица Сибири

Барсуков Александр

Гайкова Ольга

Григорьев Александр

Манаков Александр

Энхжаргал Жигмэд

Очиров Бато

Орачевский Евгений

Хартаев Валерий

Бенчарова Наталья

Юханов Николай