Банкеръ Weekly

атака

IBM плаши с вирус банките, на тях не им пука

S 250 e07db1c7 6039 460b bd4b fb7bdd62598d

Компютърен вирус от вида “троянски кон” заплашва български банки. Това предупредиха в началото на септември експерти от IBM Security X-Force. Вирусът се казва Gozi/ISFB, а от IBM твърдят, че атакува девет големи банки у нас, но не посочват имена.

България става цел за вируса от началото на август тази година, казват от IBM. От компанията предполагат, че Gozi се насочва към страната, защото у нас нивото на киберпрестъпност било сравнително ниско и не се обръщало голямо внимание на тази тема. Това правело страната ни добро място за изпробване на нови тактики, които след това да се приложат в по-голям мащаб в други държави.

На искането ни за коментар по темата някои български банкери отвърнаха с присмех на тези твърдения. Те твърдят, че до тях не е достигнала информация банките им да са под обстрел на Gozi/ISFB. Любомир Каримански, изпълнителен директор на Инвестбанк, изказа становището, че най-вероятно „заразата“ е в системата на IBM и само банки, които работят с техни сървъри, са обект на атаки. Специално неговата банка била с Oracle и не са засечени опити за пробив.

Потърсихме и Любомир Цеков - главен изпълнителен директор на националния картов оператор БОРИКА - БАНКСЕРВИЗ, за коментар. „Следим 24 часа сървъра, трафика и работните станции - обект сме на непрекъснати атаки, но антивирусната ни защита непрекъснато се обновява“, успокои ни той.

Директорът на IT инфраструктурата в националния оператор Керам Манукян беше по-словоохотлив. Той призна, че редовно хващат споменатия вирус, но не биха коментирали дали има някакви застрашаващи модификации. „Единствената опасност за системите представлява т.нар. zero day - денят „нула“- ситуация, при която антивирусните програми не са се актуализирали, а е влязъл вирус. Въпреки че и това не е късмет за хакерите, защото антивирусните ни програми са каскадно свързани и по тази причина за критичен пробив не съм чувал“, каза още Манукян.

Експертът обясни също, че обикновено пробивите в България стават не отвън директно, а от вътрешни за организацията или компанията източници. Става дума за служител, който е заразил компютъра си през "Фейсбук" или "Скайп" и оттам е заразил вътрешната система. Но при нас, а и в банките тези системи са забранени, а важната информация е изцяло offline. Това я прави на практика недосегаема, защото, за да се стигне до нея, трябва да се премине през страшно много нива на защита. Освен това при всички банки и при нас е въведен световният стандарт за защита на сигурността на информацията 270001, което е сигурна защита от хакерски атаки“, вдъхна оптимизъм Манукян. 

Според повечето експерти информацията за пускането на вируса у нас е преувеличена, но банките все пак са засилили мерките за сигурност при онлайн банкирането и били готови да защитят данните на клиентите си.

Как действа вирусът? Той “заразява” официалния сайт на съответната банка, като създава скриптове. Чрез тях антивирусната система не засича Gozi. След като истински клиент влезе в профила си в официалния сайт, вирусът създава HTML и това съдържание се появява на екрана на потребителя. Изпраща се документ, който изисква попълване на лични данни - обикновено чрез pop-up прозорец. Данните обаче отиват при този, който е пуснал вируса. След това той може да ги използва за източване на кредитни и дебитни карти.

Експертите по банкова сигурност съветват потребителите да не попълват повторно лични данни, тъй като системите на банките не изискват това, след като веднъж са били въведени. Ако клиент засече искане за ново попълване на данни, трябва веднага да се обърне към банката си с питане дали тя наистина изисква това.

 

Кой е той?

Gozi е открит за пръв път през 2007 година. През 2010 г. оригиналният код на Gozi случайно е разпространен от един от разработчиците на IBM. Тогава се появяват и механизми за атаки срещу банки. Обикновено Gozi първоначално пробва сигурността на една банка в дадена държава, а след това се разпространява и към други. Такъв бил случаят със Саудитска Арабия, където след атака срещу една банка вирусът се насочил към други 15 банки.

 

Създателят

Gozi е създаден от руски хакер - Никита Кузмин. Помагали са му латвиецът Денис Каловскис и румънецът Михай Паунеску, известен с прякора Вируса. И тримата са арестувани - Кузмин през 2010 г., Каловскис преди две години, а малко след това и Паунеску. Но руснакът е създал специална мрежа за разпространение на вируса на име 76 Service.

 

"Троянец" краде пароли за онлайн банкиране

 

Компанията Eset предупреди за нарастваща активност на нова модификация на троянския вирус Win32/Emotet. Сред пострадалите преобладават потребители от Германия, има жертви от Източна Европа и други региони. Вирусът се разпространява чрез спам съобщения, имитиращи официални писма от мобилни оператори, или от PayPal (една от най-големите системи за разплащания). Писмата съдържат препратка към заразена страница или фалшив PDF документ - когато потребителят се опита да ги отвори, всъщност инсталира троянеца. Такива писма не е лесно да бъдат филтрирани от антиспам системата на пощенската услуга.

 

След като се инсталира, Emotet се свързва с отдалечен сървър и прехвърля данни за вход и паролата за онлайн банкиране на жертвата.

Освен че крадат данни за онлайн банкиране вирусите от семейството Win32/Emotet могат да компрометират потребителски профили в услуги за електронна поща и незабавни текстови съобщения, включително и Google Talk, Windows Live Messenger, различни версии на Outlook и други.

Данните на потребителя се предават към отдалечен сървър и разбитите акаунти се ползват за по-нататъшно разпространение на вируса.

Facebook logo
Бъдете с нас и във