Тэйлгейтинг и пиггибэкинг
31 декабря, 2021
4 способа хищения денег с корпоративного счёта
31 декабря, 2021
По общим оценкам в период с 2013 по 2014 гг. было похищено около миллиарда долларов, а в число потерпевших вошли банки по всему миру, прежде всего европейские, американские и китайские.
Как всё происходило?
В начале каждой атаки производилась тщательно подготовленная адресная фишинговая рассылка с заражённым вложением, которое устанавливало лазейку-бэкдор в системе жертвы. С её помощью злоумышленники получали доступ ко всей целевой сети (в данном случае – банковской). С этого момента киберпреступники при помощи ряда побочных действий выявляли и получали доступ к «наиболее важным точкам» в сети, то есть к машинам, с помощью которых можно осуществлять перевод денежных средств.
Далее злоумышленники устанавливали на заражённых терминалах инструменты удалённого доступа, способные получать видеоматериалы, скриншоты и всё то, что набирается на клавиатуре. Им нужно было изучить рутинные действия каждого сотрудника и собрать необходимые данные для имитации поведения персонала и выполнения денежных переводов, замаскированных под рутинные повседневные операции. Таким образом начинался этап мониторинга. В каждом банке имеются свои установленные механизмы и внутренние процедуры, так что данный этап варьировался от банка к банку и мог составлять от 2 до 4 месяцев. Обучившись в достаточной мере, преступники приступали к ограблениям. Основных методов было два:
- Виртуальные переводы средств с «раздутых» счетов: один из злоумышленников, отвечавший за базы данных, «раздувал» счета малоактивных клиентов банка, изменяя сальдо, а другой злоумышленник, отвечавший за перевод денежных средств, тотчас же переводил сформированные фонды в другие банки, а затем на их собственные счета.
- Контроль над банкоматами: преступник, отвечавший за специальное ИТ-оборудование банка, по сговору с местным персоналом, так называемыми «денежными мулами», осуществлял ряд краж из банкоматов. Первый настраивал систему таким образом, чтобы она выдавала из банкомата наличные в определённые дни и часы, а «денежные мулы» приходили в заданное место и снимали деньги. Посмотрите видеозаписьодной из банкоматных краж.
Сложная сеть, стоящая за организацией этих атак, аналогична организованной преступности. Во главе стоят киберпреступники, возможно, русскоязычные, которые придумали и разработали метод атаки. В их подчинении находятся многочисленные технические или банковские специалисты, обладающие надлежащей квалификацией, которых можно натренировать для быстрого освоения конкретных банковских процессов выбранных жертв. И наконец, ещё ниже размещаются разнорабочие, выполняющие снятие и перемещение физических денег, а также те, кто открывает счета для транзита финансовых средств или используются в качестве приманки.
На сегодняшний день киберограбление Carbanack является самым крупномасштабным за всю историю.
Как защититься?
Прежде всего, очень важно отдавать себе отчёт в возможных видах опасности, которые могут поджидать вас на рабочем месте. Надлежащее решение для обеспечения кибербезопасности вроде Sababa Awareness, несомненно смогла бы снизить эффективность атак на этапе внедрения в пострадавшую сеть, а пользователи в ходе обучения и специальных тренингов смогли бы узнать, как нужно действовать при возникновении ситуации такого рода для оперативного выявления хакерской атаки.
Использование антиспамового и антифишингового решения обеспечило бы защиту от любых заражённых писем, в корне решив проблему.
И наконец, углублённый анализ данных, поступающих из внутренней сети, с помощью ситуационного центра информационной безопасности (Security Operations Center) или такого решения, как Sababa 360, позволил бы выявить все боковые перемещения и аномальные сделки, неизбежно генерируемые злоумышленниками, что обеспечило бы возможность оперативного реагирования на любое вторжение, ограничив ущерб.
