1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Банковские троянцы

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 29 янв 2014.

  1. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 29 янв 2014
    Статья подготовлена с помощью официального сайта компании © «Доктор Веб» http://antifraud.drweb.com/bank_trojs/?lng=ru

    Банковские троянцы — это исключительно вредоносные программы, которые могут:

    • похищать пароли для доступа к банковским и платежным системам, денежные средства с банковских счетов компаний любого масштаба;
    • загружать другие вредоносные программы, в том числе свои дополнительные модули;
    • по удаленной команде злоумышленника полностью парализовать работу компьютера.
    История развития преступной «отрасли» создания банковских троянцев


    Первые банковские троянцы — вредоносные программы, предназначенные для хищения учетных данных и файлов, необходимых для организации доступа к системам дистанционного банковского обслуживания — появились еще в 2005–2006 годах. Так, в 2006 году в вирусные базы Dr.Web была внесена информация о семействе вредоносных программ Trojan.PWS.GoldSpy. Эти троянцы являлись своего рода прообразом наиболее широко распространенных сегодня троянских программ семейства Zeus (Trojan.PWS.Panda). Изначально вредоносные программы Trojan.PWS.GoldSpy предназначались для кражи электронной валюты E-Gold, однако позже они стали использоваться в целях хищения средств с использованием других платежных систем. В те времена злоумышленники еще не обладали технологиями, позволяющими выполнять так называемые веб-инжекты, то есть встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Тем не менее, первые банковские троянцы обладали весьма разнообразными функциональными возможностями: в частности, они могли отслеживать различные ключевые слова в адресах открываемых пользователем сайтов и записывать данные заполняемых им форм на этих сайтах в файл журнала, делать и сохранять снимки экрана, перенаправлять пользователя на мошеннические веб-страницы. Чуть позже, в 2007 году, на свет появились троянцы семейства Trojan.PWS.Banker. Эти вредоносные программы запускали на инфицированном компьютере поддельный браузер Microsoft Internet Explorer, в окне которого открывалась созданная злоумышленниками веб-страница, копирующая сайты системы «Банк-Клиент» некоторых зарубежных банков. Основное предназначение Trojan.PWS.Banker — сбор вводимых пользователем в окне фальшивого браузера логинов и паролей.
    К 2008 году уже несколько российских банков предоставляли своим клиентам возможности управления счетом в режиме онлайн. Совершенствовались и используемые злоумышленниками технологии: появились новые модификации троянцев Trojan.PWS.GoldSpy и Trojan.PWS.Egold, позволявшие киберпреступникам похищать учетные данные для доступа к системам «Банк-Клиент», а также перехватывать идентификационные TAN-коды при осуществлении транзакций. Также 2008 году было зафиксировано распространение одной из модификаций троянца Backdoor.Haxdoor, которая позволяла злоумышленникам не только красть учетные данные и цифровые сертификаты для доступа к отдельным системам ДБО, но также получить несанкционированный доступ к одной из процессинговых систем, оказывавших услуги онлайн-банкинга для 134 банков России. Масштабы ущерба, который могла причинить данная вредоносная программа, трудно переоценить.
    Пик распространения банковских троянцев пришелся на 2011 год. К категории наиболее опасных можно отнести несколько банковских троянцев — это Trojan.Carberp,Trojan.PWS.Ibank, Trojan.PWS.Panda (также известный под именами Zeus и Zbot) иTrojan.PWS.SpySweep (также известный под именем SpyEye).


    Кто создает и распространяет банковские троянские программы?

    Наивное представление о злодеях-одиночках, создающих и распространяющих в Интернете вирусы, ошибочно. На подпольном рынке действуют отдельные обособленные группы злоумышленников, каждая из которых специализируется на собственной сфере киберпреступлений. Есть вирусописатели, которые создают и модифицируют вредоносный код. Нередко на подпольных форумах появляются объявления о продаже созданных ими троянских программ, при этом в зависимости от сложности изделия цена может колебаться от нескольких тысяч до нескольких десятков тысяч долларов. Есть специалисты по криптованию — каждый вредоносный файл шифруется при помощи специальных алгоритмов с целью усложнить его детектирование антивирусным ПО, иногда — в несколько «слоев». Успешно распространяемые троянцы периодически требуют повторного криптования, по мере того как отдельные образцы попадают в вирусные базы и антивирусы «учатся» распознавать угрозу — вот почему услуги криптологов всегда востребованны. И конечно же, есть распространители вредоносного ПО, продающие услуги по «раздаче» троянцев пользователям. Для этих целей используются различные ухищрения: и уязвимости клиентского ПО, и социальная инженерия, кроме того, большинство распространителей владеет обычно собственной сетью уже установленных на компьютеры жертв троянцев-даунлоадеров — вредоносных программ, основное предназначение которых — загрузка и запуск на инфицированной машине других вредоносных приложений. Например, известно, что Trojan.Carberp распространяется с использованием набора эксплойтов Black Hole Exploit Kit — коллекции уязвимостей, эксплуатирующих ошибки и недокументированные возможности современного ПО, в частности браузеров и операционных систем. В большинстве случаев жертве Black Hole не нужно предпринимать вообще никаких действий для того, чтобы «получить троянца»: заражение происходит автоматически при просмотре инфицированных веб-сайтов.
    По нашим оценкам, вирусописатели нанесли значительный ущерб частным лицам и финансовым организациям:
    • Trojan.Carberp — более 50 000 000 евро
    • Trojan.PWS.Panda — более 36 000 000 евро
    • Trojan.PWS.SpySweep — более 3 000 000 евро
    Какие системы подвержены опасности заражения?
    • ДБО, в которых клиент использует браузер для доступа к системе;
    • ДБО, использующие приложения на языке Java;
    • ДБО, реализованные в виде самостоятельных приложений.
    Чем опасны «банковские троянцы»


    Вирусописатели постоянно разрабатывают новые способы хищения денежных средств у пользователей, придумывают методы обхода современных средств защиты. Наиболее распространенные векторы атак:
    • получение несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
    • кража конфиденциальной информации с использованием вредоносных программ;
    • кража средств со счетов электронных платежных систем;
    • перехват данных (в том числе используемых для аутентификации пользователя) при помощи троянцев-шпионов;
    • использование троянцев-шифровальщиков, способных уничтожить ценные файлы.
    Во многих случаях после успешно проведенной атаки злоумышленники выводят из строя файловую систему на жестком диске компьютера в попытке замести следы.
    Наиболее опасные и широко распространенные банковские угрозы (число записей в вирусных базах по данным на 2013 год):
    • Trojan.Carberp — 13 400
    • Trojan.PWS.Panda — 144 423
    • Trojan.PWS.Ibank — 3 904
    • Trojan.PWS.SpySweep — 14 514
    • BackDoor.Termuser — 522
    • Trojan.Hottrend — 2 677
    • Trojan.Bayanker — 38
    • Trojan.PWS.Turist — 781
    Нередко злоумышленники совместно с угрозами для ОС Microsoft Windows используют троянские программы для мобильных платформ, прежде всего для ОС Android.
    Ниже приведены краткие сведения о банковских троянцах, представляющих наибольшую опасность для пользователей.
    Trojan.Carberp

    Вредоносная программа для похищения паролей от программ ДБО и торговых платформ. Обладает следующим функционалом:
    • похищение паролей для доступа к системам дистанционного банковского обслуживания и торговым платформам;
    • выполнение команд, поступающих от удаленного командного центра;
    • организация на инфицированном компьютере прокси-сервера;
    • отправка злоумышленникам хранящихся на зараженном компьютере файлов;
    • организация удаленного управления компьютером-жертвой;
    • уничтожение операционной системы.
    Обладает функциями для обхода средств контроля и наблюдения, деактивации антивирусов. Зараженные компьютеры способны объединяться в ботнеты.
    Trojan.PWS.Ibank

    Банковский троянец, способный передавать злоумышленником информацию, которую жертва вводит в браузере или программе «Банк-Клиент». Основные функции:
    • похищение и передача злоумышленникам вводимых пользователем паролей;
    • воспрепятствование доступу к сайтам антивирусных компаний;
    • выполнение команд, поступающих от удаленного командного сервера;
    • организация на инфицированном компьютере прокси-сервера и VNC-сервера;
    • уничтожение по команде операционной системы и загрузочных областей диска.
    Trojan.PWS.Panda

    Вредоносная программа, также известная под именами Zeus и Zbot. Основной функционал заключается в краже пользовательских паролей. Возможности троянца:
    • кража паролей от приложений «Банк-Клиент», FTP-клиентов, других программ;
    • выполнение команд, поступающих от удаленного командного центра;
    • перехват информации, вводимой пользователем в браузерах;
    • способность устанавливать и удалять в инфицированной системе цифровые сертификаты, файлы cookies;
    • подмена домашней страницы в браузерах;
    • блокировка доступа к различным сайтам;
    • загрузка и запуск различных приложений;
    • удаление файлов на жестком диске инфицированного компьютера.
    Trojan.PWS.SpySweep

    Троянец, также известный под именем SpyEye. Обладает следующими возможностями:
    • внедрение в другие запущенные процессы;
    • встраивание постороннего содержимого в просматриваемые пользователем веб-страницы;
    • выполнение команд, поступающих от удаленного командного центра;
    • перехват информации, вводимой пользователем в браузерах;
    • загрузка и запуск различных приложений;
    • удаление файлов на жестком диске инфицированного компьютера.
    BackDoor.Termuser

    Семейство вредоносных программ, открывающих злоумышленникам доступ к инфицированному компьютеру. Возможности троянца:
    • способен нарушать работу и блокировать запуск антивирусных программ;
    • может выполнять поступающие с управляющего сервера команды;
    • позволяет злоумышленникам управлять инфицированным компьютером при помощи протокола RDP («Удаленный Рабочий стол»), для чего регистрирует в системе нового пользователя с правами администратора компьютера.
    Trojan.Hottrend

    Самый маленький из известных банковских троянцев — объем исполняемого файла составляет 20 КБ, также известен под именем Tinba (Tiny Banker). Основная функция: отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам. Функциональные возможности:
    • отключает функцию восстановления системы;
    • препятствует работе антивирусных программ;
    • вклинивается в трафик, перехватывает конфиденциальную информацию и отправляет ее злоумышленникам.
    Trojan.Bayanker

    Многокомпонентная вредоносная программа, способная похищать конфиденциальную информацию пользователя, в том числе необходимую для авторизации в системах ДБО, красть средства со счетов электронных платежных систем, уничтожать файловую систему на инфицированном компьютере. Позволяет выполнять поступающие от злоумышленников команды.
    Trojan.PWS.Turist

    Троянская программа, предназначенная для хищения паролей, другой конфиденциальной информации, прежде всего необходимой для доступа к системам ДБО (в том числе использующим механизм авторизации с применением смарт-карт). Функциональные возможности:
    • похищение паролей для доступа к системам ДБО;
    • демонстрация поддельной информации в окне системы «Банк-Клиент» (например, недостоверных сведений о балансе, что позволяет скрыть факт хищения денег со счета);
    • выполнение поступающих от злоумышленников команд;
    • уничтожение операционной системы.
    Существуют банковские троянцы, работающие на мобильных устройствах под управлением операционной системы Google Android. Первый банковский троянец для Android, получивший наименование Android.SpyEye.1, появился в 2011 году. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.
    После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.
    Современные банковские троянцы также обладают чрезвычайно широкими функциональными возможностями.
    Пример: Android.FakeSber.1.origin
    Полноценный банковский троянец для мобильной платформы Android. Предназначен для перехвата информации из СМС-сообщений, поступающих от системы онлайн-банкинга Сбербанка России.
    Троянец способен перехватывать и пересылать злоумышленникам все входящие СМС-сообщения, а также скрывать их на телефоне жертвы. Троянец устанавливался на телефоны жертв, чьи компьютеры инфицированы банковским троянцем семейства Trojan.Carberp (при попытке воспользоваться услугами банка через веб-браузер, жертва получала созданное Trojan.Carberp уведомление о необходимости авторизации по номеру мобильного телефона, для чего на мобильное устройство предлагалось установить специальное приложение).
    Как банковские троянцы похищают информацию?

    Вредоносная программа:
    • встраивается в процессы, которые могут быть связаны с работой ДБО;
    • ищет поля ввода информации в экранных формах программ ДБО и сохраняет вводимую информацию;
    • вклинивается в трафик для поиска определенных подстрок;
    • записывает нажатия клавиш;
    • создает скриншоты в моменты ввода важной информации;
    • перехватывает отдельные функции, которые могут участвовать в передаче важной информации;
    • ищет и отправляет злоумышленникам цифровые сертификаты и ключи.
    Как распространяются банковские троянцы?
    • массовые рассылки по электронной почте;
    • уязвимости прикладного ПО;
    • инфицированные и взломанные веб-сайты;
    • переносные носители информации;
    • нелицензионное ПО, загруженное из сомнительных источников;
    • установка с использованием других вредоносных программ.
    Пример реализации атаки

    [​IMG]
    1. Пользователь заходит на взломанный злоумышленниками сайт.
    2. С использованием уязвимости на его компьютер загружается и устанавливается вредоносная программа.
    3. Троянец устанавливает соединение с удаленным сервером, передает злоумышленникам файлы цифровых сертификатов, логин и пароль для доступа к системе ДБО.
    4. При попытке открытия в браузере веб-страницы системы «Банк-Клиент» троянец встраивает в нее сообщение с требованием установить на мобильный телефон жертвы созданное злоумышленниками приложение (например, под видом «сертификата безопасности»).
    5. Жертва устанавливает на свой телефон или смартфон вредоносное приложение.
    6. Злоумышленники вводят логин и пароль для доступа к системе «Банк-Клиент».
    7. Запущенный на мобильном телефоне троянец перехватывает входящие СМС с кодом подтверждения операции и отправляет их злоумышленникам.
    8. Злоумышленники переводят деньги со счета жертвы на собственный счет.
    9. Чтобы замести следы, троянец получает команду на уничтожение компьютера.
    Как защититься от банковских троянцев?

    Для защиты от банковских троянцев необходимо применять целый комплекс различных средств. Инфицирование вредоносной программой может произойти при помощи различных уязвимостей в процессе просмотра веб-страниц совершенно незаметно для пользователя, а также при подключении переносных накопителей, открытии сообщений электронной почты, содержащих опасные вложения, иными способами.
    На данный момент не существует ни одной полностью неуязвимой операционной системы — уязвимости и вредоносные программы имеются для всех ОС, включая мобильную платформу Android. Хотя многие пользователи заявляют о безопасности некоторых систем, это далеко не так. Даже если система не имеет известных уязвимостей и число вредоносных программ для нее крайне мало, заразить такую систему можно с использованием методов социальной инженерии.
    Для обеспечения защищенности и целостности операционной системы, а также с целью профилактики заражения банковскими троянцами рекомендуется соблюдать следующие правила.
    1. Устанавливайте все исправления безопасности как для операционной системы, так и для прикладных программ. Устанавливайте актуальные версии браузеров по мере их появления. Использование программных уязвимостей для проведения атак на вычислительную систему является одной из основных современных тенденций. Киберпреступники непрерывно находят новые бреши в защите, для устранения которых следует регулярно устанавливать выпускаемые исправления и обновления.
    2. Используйте пароли достаточной сложности и длины, не короче семи символов. Не применяйте в качестве пароля популярные слова, комбинации символов, расположенных рядом на клавиатуре, или легко угадываемые сочетания (например, ваше имя либо дата рождения). Полнозначное слово или цифровая комбинация позволяют злоумышленникам угадать пароль методом перебора (вручную или с помощью специальных программных средств, использующих словарь). Надежный пароль, как правило, является комбинацией цифр, строчных и прописных букв, а также других символов. Для разных учетных записей используйте разные пароли и периодически меняйте их.
    3. Установите надежную антивирусную программу, которая использует эффективные методы обнаружения вредоносных объектов и предоставляет возможность как постоянной защиты, так и периодических проверок системы. Антивирусная программа должна контролировать все протоколы, используемые для доступа в Интернет, сменные диски, локальную почту пользователя. Для обеспечения надежной защиты необходимо устанавливать все выпускаемые обновления антивирусного программного продукта и вирусных баз. Не используйте антивирусные программы, предлагаемые неизвестными производителями: под видом таких приложений нередко распространяется вредоносное ПО.
    4. Используйте комплексную антивирусную защиту, включающую в себя различные функциональные компоненты, в том числе систему контроля доступа, контроля всех обновлений безопасности к ранее установленным программам и межсетевой экран (брандмауэр) — только антивируса уже недостаточно.
    5. Не открывайте подозрительные вложения в сообщениях электронной почты. Вложение, содержащее троянскую программу или зараженный вирусом файл, не представляют угрозы до их запуска на исполнение. Даже проверка сохраненного на диск вложения антивирусным сканером не дает стопроцентной гарантии его безопасности: запись для данной угрозы может еще отсутствовать в вирусных базах. Поэтому не запускайте исполняемые файлы, полученные по электронной почте от незнакомого отправителя. Если у вас имеются сомнения в том, безопасен ли такой файл, проверьте его, загрузив на один из серверов, осуществляющих антивирусное тестирование, например virustotal.com.
    6. Контролируйте доступ к ресурсам сети Интернет. На предприятии пользователи должны иметь доступ только к тем локальным и сетевым ресурсам, которые им необходимы для выполнения рабочих обязанностей. Контроль доступа к интернет-ресурсам позволяет как оградить пользователя от просмотров нежелательных веб-сайтов, так и разрешить ему доступ только к тем интернет-ресурсам, которые определены настройками модуля антивирусной программы.
    Предприятиям, использующим системы «Банк-Клиент», также рекомендуется позаботиться о защите своих серверов. Наиболее оптимальным подходом для предприятий является использование комплексной защиты, которая позволяет:
    • проверить трафик до его поступления на рабочую станцию;
    • блокировать большинство путей распространения вирусов, запретив использование сменных устройств и ограничив доступ к локальным и сетевым устройствам (в том числе к папкам на локальном компьютере и ресурсам сети Интернет);
    • снизить количество спама до минимума.
    Для организации, в которой используются десятки рабочих станций, рекомендуется использование централизованного управления антивирусной защитой сети. Внедрение системы централизованного управления позволяет:
    • централизованно устанавливать и настраивать антивирусные компоненты для конкретной рабочей станции;
    • централизованно обновлять вирусные базы и компоненты антивирусного комплекса;
    • производить мониторинг вирусных событий.
    Для многих организаций оптимальным является использование антивирусных решений, готовых к работе с момента включения, что позволит:
    • снизить время развертывания системы защиты до минимума;
    • упростить процедуру развертывания системы защиты и ее сопровождения благодаря удобному и интуитивно понятному интерфейсу управления.
     
    #1
  2. unbreakable

    unbreakable Модератор

    Репутация:
    49.161.396.348
    unbreakable, 13 фев 2014
    Самым активным банковским трояном в 2013 году стал Zeus Gameover

     
    #2
Загрузка...