Антивирусная компания McAfee опубликовала отчет о проведенном ей исследование под названием "High Roller", в рамках которого были раскрыты механизмы работы одной из крупнейших действующих в Интернет мошеннических схем, использующей трояны SpyEye и ZeuS. На текущий момент, мошенники находятся на свободе в виду хорошо продуманной схемы обналичивания украденных средств и автоматизации процесса кражи. Специалисты McAfee признаются, что сталкиваются с таким уровнем автоматизации впервые. Практически все этапы кражи денег автоматизированы и выполняются лишь компьютерными системами, без участия человека. Первая волна атаки, которую относят к этой мошеннической схеме, была зафиксирована в конце 2011 года и была направлена на клиентов итальянского банка. Основой атаки стали модификации троянов SpyEye и ZeuS, которые распространялись через сообщения электронной почты от лица банка. В письме предлагалось сменить пароль к системе дистанционного банковского обслуживания (ДБО), перейдя на поддельный веб-сайт банка. С помощью установленного на этом веб-сайте набора эксплоитов происходило инфицирование системы пользователя трояном. После установки, троян производил мониторинг действий пользователя в момент использования сервисов онлайн-банкинга. Однако, в отличие от многих подобных случаев, троян не отправлял никакие данные злоумышленникам, а скрытно выполнял переводы денег, зачастую подделывая выводимую информацию на веб-странице банка. Вместе с тем, сохранялись все возможности SpyEye и ZeuS по удаленному выполнению команд на скомпрометированных системах. В дальнейшем, обнаруженная мошенническая схема распространилась по всему миру. Так, в январе 2012 года ее жертвами стали клиенты немецких банков, затем в марте - голландских, вместе с тем, атака начала развиваться на территории США и Латинской Америки. Если первоначально, злоумышленники использовали лишь сервера и домены в странах СНГ (Россия и Украина), то после февраля, к распространению и управлению троянами, подключились сервера в США и Бразилии. Эксперты McAfee выделяют три основных механизма работы троянов, которые зависели от типа используемой системы ДБО. Все используемые алгоритмы, позволяли обойти двухуровневую систему авторизации. В первом варианте, троян сохранял логин и пароль системы ДБО и вводил их автоматически с использованием внедренного JavaScript, на втором этапе пользователь лишь указывал проверочный код, получаемый в виде SMS-сообщения от банка. В дальнейшем, пользователю еще несколько раз предлагалось ввести код из SMS при выполнение простейших действий в клиент-банке. С точки зрения пользователя, это выглядело как усиление защиты банковской системы. Однако, в это время, троян выполнял операции по переводу денег на счета злоумышленников, а пользователь свои вводом лишь подтверждал эти операции. Отображение всех отчетов и даже баланс подменялись трояном так, что пользователь не замечал никаких подозрительных действий. Второй способ кражи денег, был ориентирован на менее защищенные системы, после компрометации реквизитов доступа к системе ДБО, данные передавались на сервер злоумышленников, где автоматизированные скрипты выполняли необходимые действия по переводу денег. В этот момент доступ пользователя к клиент-банку блокировался веб-скриптами трояна. Еще одним простым механизмом перевода денег в этом способе стала подмена данных в платежах, производимых пользователем. В момент отправки данных на сервер банка, скрипты трояна производили сохранение реквизитов пользователя и подменяли их на счета злоумышленников в запросе к банку. Затем, введенные пользователем реквизиты использовались для подмены счетов мошенников при отображение отчетов. Третья разновидность атаки обусловлена действующими в некоторых банковских приложениях ограничениях, требующих ручного подтверждения некоторых операций. Для решения этой проблемы применялась функция удаленного управления трояном, которая позволяла выводить для пользователя ДБО различные сообщения с уточнением данных, подтверждающих платеж. Всего, в атаке было задействовано более 426 модификаций троянов SpyEye и ZeuS. Большинство атак были направлены против организаций и частных лиц, имеющих относительно высокий баланс на лицевом счете. По данным аналитиков, организаторам этой мошеннической схемы удалось украсть более $78 млн. у нескольких десятков тысяч клиентов 60 финансовых организаций по всему миру. Обналичивание денег происходило через дружественные мошенникам организации - Western Union и Liberty Reserve.
Отчет