Основные угрозы для пользователей банкоматов, платёжных терминалов, банков и ДБО

Тема в разделе "Новости информационной безопасности", создана пользователем Rashevskiy, 29 окт 2011.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Двадцать килограмм денежных суррогатов

    Правоохранительные органы при содействии Московского Кредитного Банка и Сбербанка после поимки мошенников обнаружили денежные суррогаты, общий вес которых составил 20 кг. Эти денежные имитации использовались преступной группировкой уроженцев среднеазиатских республик для получения реальных наличных в банкоматах других банков. Преступники были задержаны и арестованы, против них возбудили уголовные дела по шести статьям УК РФ.

    Указанные суррогаты внешне не похожи на деньги, но хорошо имитируют те элементы, которые используют автоматические устройства для идентификации денежных знаков.

    Участники группы вносили фальшивые купюры в терминалы крупнейших банков Москвы и Подмосковья, а потом обналичивали эти средства в банкоматах. Они действовали с начала 2015 года и совершили ряд операций по зачислению денег через терминалы МКБ и Сбербанка, используя имитации купюр номиналом 500, 1 тыс. и 5 тыс. рублей.

    При инкассации одного из устройств самообслуживания Сбербанка были обнаружены денежные суррогаты, внесенные для зачисления средств на банковские карты с целью последующего снятия со счетов банковских карт реальных денежных средств.

    Сумма ущерба для МКБ составила 3 млн рублей, в Сбербанке отказались уточнить размер ущерба.
    По данным источников портала Банки.ру, он исчисляется десятками миллионов рублей.
     
    lilia-5-0 и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Центробанк озвучил 3 причины финансовых проблем банков

    1-я причина — это системные проблемы, возникающие «из внешней среды», к которым ни менеджмент, ни собственник банка не имеют отношения.

    2-я причина — ошибки менеджмента, не связанные со злым умыслом, но тщательно скрываемые топ-менеджерами.

    3-я причина — намеренные действия собственника или руководства банка, направленные на личное обогащение.

    В результате недобросовестных действий владельцев и топ-менеджмента банков утрачено 1,8 трлн рублей: менеджеры скрывали ситуацию, закрывали глаза на очевидные финансовые трудности и скрывали пирамиды.

    ЦБ направил письма в правоохранительные органы по 146 банкам, это больше половины от всего количества организаций, по которым принимается решение об отзыве или финансовом оздоровлении.
     
    lilia-5-0 и Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Банковский троянец Lurk: Пример атаки на банки

    Банковский троянец Lurk предназначен для хищения денежных средств у клиентов банков, потому он:
    - действует избирательно только на тех компьютерах, где реально может украсть деньги;
    - похищает деньги из системы «iBank 2» и интернет-систем ДБО крупных российских банков;
    - активно противодействует обнаружению себя антивирусным программным обеспечением;
    - использует в основном таргетированные атаки, чем затрудняет получение новых образцов;
    - над проектом работает команда профессиональных разработчиков и тестировщиков.

    Злоумышленников, стоящих за Lurk, интересуют:
    - IT-организации в сфере телеком;
    - СМИ и новостные агрегаторы;
    - банки и финансовые организации.

    Для распространения Lurk применяются:
    - техника drive-by download и эксплойты;
    - взломанные сайты легитимного ПО;
    - утилита PsExec для внутренних сетей организаций.

    Пример атаки на банк

    В рамках исследования обнаружена атака Lurk на один из крупных российских банков с использованием модуля w3bank, делающего веб-инжекты. Файлы скрипта инжектов имеют одинаковые имена для различных систем онлайн-ДБО (content.min.js), но разный GUID, т.к. последний генерируется случайным образом.

    Данный скрипт осуществляет перехват аутентификационной информации, вводимой в систему ДБО банка. При аутентификации пользователя в системе ДБО происходит перехват его логина и пароля. После успешной аутентификации создается скрытая от пользователя параллельная сессия, в ходе которой Lurk переходит по банковским страницам и ищет имя держателя карты и номер телефона, связанный с картой. Т.е. вредоносный скрипт собирает всю информацию, необходимую для совершения платежа в данной системе ДБО. В дальнейшем эта информация отправляется на управляющий сервер, адрес которого совпадает с сетевым адресом сервера, взаимодействующего с модулем core.

    Управляющий сервер в ответ может прислать скрипт, который будет исполнен в контексте браузера. В рамках нашего исследования получить такой скрипт не удалось. Также управляющий сервер может зарегистрировать автоматический платеж, который будет выполнен после следующей аутентификации пользователя в системе ДБО.

     
    lilia-5-0 и Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    В мире возросло число жертв мошенничества с платежными картами

    За последние пять лет 30% потребителей в мире стали жертвами мошенничества с банковскими картами (кредитными, дебетовыми и предоплаченными). Это данные из совместного исследования компаний ACI Worldwide и Aite Group. Опрос 6 тыс. владельцев банковских карт из 20 стран показал, что во всем мире уровень данного вида мошенничества значительно вырос за период с 2014-го по 2016-й годы.

    карт1.jpg

    По данным на 2016 год, лидером по количеству инцидентов стала Мексика (56%), на втором месте оказалась Бразилия (49%), на третьем - США (47%).

    Два года назад лидировали ОАЭ, Китай, Индия и США. Причем, США — единственная страна, которая попадает в список 2 года подряд. Это связано с промедлением в переходе на применение платежных EMV-карт, а также ростом числа утечек данных и активизацией скиммеров.

    Наиболее неосмотрительно ведут себя жители Таиланда – 36% пользователей оставляют свои смартфоны незаблокированными, если не используют их. Среди населения Испании таких пользователей 29%, в Бразилии – 27%.

    В европейских странах значительно меньше случаев мошенничества с платежными картами. Эксперты объясняют данный факт более ранним переходом на использование EMV-карт и реализацией надежных средств защиты.

    40% потребителей, которые заменили карту вследствие утечки данных или мошеннической активности, стараются использовать ее значительно реже по сравнению с предыдущей. Такое поведение чаще всего характерно для пользователей из стран Азиатско-Тихоокеанского региона. В частности, 69% владельцев платежных карт в Индонезии предпочитают расплачиваться наличными средствами или использовать альтернативные методы оплаты.

    Эксперты отмечают рост доверия к финансовым организациям. Если два года назад мнения, что финучреждения не могут защитить от мошенничества придерживалось 20% клиентов банков, то в 2016 году их число снизилось до 14%.

     
    lilia-5-0 и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Центры банковских мошенников есть и в тюрьмах

    Часть центров банковских мошенников базируется в закрытых пенитенциарных учреждениях. Об этом сообщил зампред правления Сбербанка Станислав Кузнецов.

    «По нашим данным, многие центры находятся в зонах. А туда так просто не войдешь», — сказал он. Представитель банка также отметил, что в некоторых тюрьмах находятся целые колл-центры. «Я не говорю, что они там все создаются, я говорю о том, что есть такие случаи, нам о них известно», — пояснил он.

    Кроме того, банк намерен лоббировать внесение поправок в Уголовный кодекс, которые дополнят его статьями о кибермошенничестве. «Мы хотим, чтобы в нашем законодательстве появилась эта дефиниция — киберпреступления», — сказал Кузнецов.

    По его словам, сейчас поправки проходят активную фазу обсуждения в МВД и профильных ведомствах. «Мне кажется, что у нас есть все шансы ускорить эту работу. Я думаю, что в этом году могут появиться изменения», — сказал зампред Сбербанка.

    Держатели банковских карт, в том числе клиенты Сбербанка, часто становятся жертвами мошенников. В большинстве случаев они сами раскрывают данные, необходимые мошенникам: номер карты, фамилия и последние три цифры на обороте карты (код CVV2 или CVC2). В связи с необходимостью усилить защиту средств клиентов Сбербанк намерен через два-три года ввести идентификацию по голосу и внешности.
     
    lilia-5-0, Охотник и orderman нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Ограбили банк на квадроцикле

    В Московской области злоумышленники ограбили банк на 100 тыс. рублей с помощью букета цветов и строительной каски.

    «Установлено, что двое злоумышленников в дневное время в медицинских масках и темных очках, один прикрывая лицо букетом цветов, а второй — строительной каской, ворвались в помещение кассы банка города Чехова и, угрожая кассиру оружием, похитили из кассы более 100 тысяч рублей. В это время третий правонарушитель ждал нападавших за углом здания банка на квадроцикле, на котором все трое потом скрылись», — пояснила начальник пресс-службы ГУ МВД России по Московской области Татьяна Петрова.

    Видео с камер наблюдения >>>

    Позже подозреваемые были задержаны. По данному факту возбуждено уголовное дело. Злоумышленникам избрана мера пресечения в виде заключения под стражу.

    PS. Они б еще не тракторе приехали. :Rofl:
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере

    Согласно отчету FinCERT в период с июня 2015 года по май 2016 года было зафиксировано более 20 крупных кибератак на платежные системы кредитных организаций Российской Федерации,3 в ходе которых преступники пытались похитить 2,87 млрд рублей.

    FinCERT при содействии банков и правоохранительных органов предотвратили хищение более 1,5 млрд рублей. По фактам хищений возбуждено 12 уголовных дел и удалось обезвредить несколько преступных групп.

    Для обмана физических лиц злоумышленники использовали фишинговые сайты, где пользователям предлагаются продукты или услуги от лица различных организаций и госорганов, например, проверка штрафов ГИБДД и оформление кредита. За год FinCERT удалось заблокировать порядка 120 фишинговых доменов в зоне RU.

    Злоумышленники также использовали поддельные SMS-рассылки якобы от имени ЦБ или кредитных организаций (популярны рассылки с номерами 8-800). При звонке по указанному в сообщении номеру отвечают мошенники, собирающие персональные данные пользователей, включая фамилию, имя, отчество, адрес, номер банковской карты, PIN-код и CVV-код.

    Во второй половине 2015 года и первой половине 2016 года в атаках злоумышленники часто использовали банкоматы и POS-терминалы. С помощью данных устройств самообслуживания за последние 8 месяцев было похищено около 100 млн. рублей. Целью кибератак часто становятся также системы дистанционного банковского обслуживания (ДБО).

    Важно отметить, что многие сотрудники финансовых учреждений сами открывали письма из непроверенных источников. С помощью инфицированных сообщений злоумышленники загружали в систему вредоносные программы.

    Отчет FinCERT во вложении.
     

    Вложения:

    lilia-5-0, Охотник и Theriollaria нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Выходцы из России осуждены лондонским судом за киберпреступления

    Лондонским судом осуждены два киберпреступника, родом из Кабардино-Балкарии. Они похитили с помощью вредоносного ПО £1 млн (€1,18 млн) со счетов нескольких банков. Другие их подельники были осуждены ранее или еще ожидают решения суда.

    Согласно материалам следствия, в ноябре 2014 года преступная группировка под руководством Аслана Абазова и Аслана Гергова, использовала вредоносное ПО для вывода средств со счетов. Похищенные деньги злоумышленники перевели на 166 подставных счетов, с которых средства снимались небольшими суммами. В октябре прошлого года Абазов и Гергов были отслежены с помощью камер наружного наблюдения и задержаны лондонской полицией при попытке обменять крупную сумму в фунтах стерлингов на евро.

    На похищенные деньги преступники приобретали ювелирные украшения и переправляли их в Россию для последующей реализации. По данным следствия, часть денег Абазов и Гергов потратили на финансирование строительства некоего объекта в Нальчике. Подобные махинации преступники проворчивали в Великобритании, Германии, Австрии и Польше. Британским правоохранителям удалось вернуть только £190,731,68 из похищенных средств. По решению суда Абазов получил 7 лет и 6 месяцев лишения свободы, а Гергов — 7 лет и 3 месяца.
     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Грабители банкоматов в Пермском крае задержаны

    В Пермском крае задержаны пять подозреваемых в серии хищений из банкоматов. Пока установлена причастность группы к 10 преступлениям. Задержанные занимались хищениями из банкоматов на протяжении 2015—2016 годов, проникали в торговые помещения и банковские учреждения, где взламывали банкоматы, в том числе путем подрыва, и похищали денежные средства. По всем фактам были возбуждены уголовные дела.

    В ходе проведенных в рамках уголовных дел обысков по месту жительства подозреваемых полицейские изъяли вещи и приспособления, указывающие на противоправную деятельность задержанных.

    взлом.jpg

    В сообщении МВД пострадавшие банки не названы, но в понедельник о раскрытии полицией Пермского края «серии преступных посягательств на банкоматы» и задержании пяти человек сообщил Сбербанк. Судя по ряду приводимых обстоятельств, речь идет об одном и том же уголовном деле. В сообщении Западно-Уральского банка Сбербанка указано, что преступления были раскрыты при содействии службы безопасности этого кредитного учреждения.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Киберкриминал активно вербует инсайдеров в банках

    Эксперты Центробанка РФ фиксируют участившиеся попытки вербовки киберпреступниками банковских специалистов. Наибольший интерес для злоумышленников представляют связанные с экономическим блоком лица, обладающие должностными полномочиями для принятия (или влияния на принятие) в банке тех или иных решений, включая те, что касаются вопросов информационной безопасности.

    По мнению эксперта ЦБ, в настоящее время нет поводов рассматривать инсайд как одну из ключевых угроз информационной безопасности банков. С точки зрения финансового ущерба инсайд более актуален в плане угроз экономической безопасности. Речь идет о неправомерной выдаче кредитов, мошенничестве в области возврата финучреждению заемных средств и пр.

    Недавно, Центробанк России разработал обязательный для всех банков регламент по кибербезопасности, обязывающий их сообщать в FinCERT о кибератаках в течение 3-х часов с момента их обнаружения.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Атаки на российские банки через SWIFT уже не миф

    Хакеры начали атаковать российские банки через систему межбанковских коммуникаций SWIFT. Кибермошенники увели из пострадавших банков около €2 млн. Эксперты уверены, что это лишь пробный шар и вскоре ущерб от краж денег через SWIFT может возрасти.

    Технически схема кибератаки на систему Society for Worldwide Interbank Financial Telecommunications (SWIFT) не отличается от атаки на корсчета банков. Мошенники запускают вредоносное ПО для взлома информационной системы кредитной организации. Чаще всего это делается через рассылку фишинговых писем. Достаточно, чтобы один сотрудник открыл зараженное письмо, и хакерам дорога открыта.

    После этого идет захват информационной инфраструктуры банка — фактически злоумышленники начинают управлять сетью, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету. Хакеры «сидят» в сети банка неделю, максимум две. Затем готовится бригада для вывода (обналичивания) похищенных средств, формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это легальный платежный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.

    По логике SWIFT — следующая возможная цель атак хакеров в России, так же в свое время случилось с АРМ КБР (автоматизированное рабочее место клиента Банка России). Сегодня после атак на западные банки, SWIFT перестал быть для злоумышленников «черным ящиком». Технология атак на SWIFT уже достаточно отлажена, а значит, вполне вероятно, что российские киберпреступники смогут воспользоваться западным опытом.

    Самый первый шаг для защиты от хакеров — повышение уровня осведомленности сотрудников банков в области угроз атак на внутреннюю сеть. Второй — проведение тестовых, согласованных с банком фишинговых рассылок и эмуляция хакерской атаки, Опыт проведения таких «проверок» показывает, что в большинстве банков уровень осведомленности персонала в целом невысок. Тогда как достаточно, чтобы всего лишь один сотрудник открыл вредоносное письмо.

    Но в целом, задача хакера не ограничивается заражением одного рабочего места: нужно повысить свои привилегии в сети, проникнуть в защищенный сегмент, обрабатывающий платежные поручения и отсылающий запросы в системы Банка России и SWIFT.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Румынский бизнес

    Гражданин Румынии Сорин Кондраче был приговорен в США Окружным судом Флориды к 70 месяцам тюремного заключения и 3-м годам ограничения свободы за участие в мошеннических кампаниях с использованием ATM-скимминга. Он признал себя виновным в заговоре с целью обмана финансовых учреждений и во владении оборудованием для изготовления специальных инструментов.

    Кондраче и его сообщники устанавливали скиммеры на банкоматах банка SunTrust Bank во Флориде, штат Джорджия, в Мэриленде, Теннесси и Северной Каролине. Скиммеры включали в себе механизм для записи данных о картах и пинхол-камеру для перехвата PIN-кодов. Все полученные данные помогали в создании поддельных банковских карт. С помощью фальсифицированных карт мошенникам удалось вывести с банковских счетов более $905,901 тысяч, скиммеры были использованы 35 раз.

    Это не первый случай, когда румыны обвиняются в подобных махинациях. В 2006 году трое граждан Румынии были приговорены к четырем годам лишения свободы в Ирландии. Злоумышленники также были пойманы при установке скимминг-устройств на ATM.

    Более того, как минимум два вируса-шифровальщика (NoobCrypt и El-Polocker) сделаны гражданами Румынии или выходцами из неё.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Спуфер для взлома POS-систем и электронных гостиничных замков

    На предстоящей конференции DEF CON в Лас-Вегасе ИБ-исследователь из Rapid7 Уэстон Хекер продемонстрирует устройство, которое может взломать множество POS-систем и цифровых гостиничных замков.

    На создание устройства Хекера вдохновило другое устройство, под названием MagSpoof, созданное известным ИБ-экспертом Сэми Камкаром. MagSpoof способен прогнозировать и хранить сотни данных кредитных карт, а также с его помощью можно «заставить» PoS-систему считать чипованную карту как карту с магнитной полосой.

    spoofer_rapid7.jpeg spoofer-dfc83cc.jpg

    Хекер обнаружил, что множество POS-систем определяют картридеры, как стандартное USB-устройство для взаимодействия с человеком, следовательно, подключиться к POS-системе можно через клавиатуру. Изобретение Хекера, установленное рядом с картридером, будет отправлять вредоносные команды с клавиатуры, которые будут выполняться на POS-системе. С помощью этого устройства злоумышленник может получить удаленный доступ к командной строке на системе, а затем использовать ее для установки вредоносного ПО через команды с клавиатуры.

    Устройство также можно использовать для взлома гостиничных замков, считывающих магнитные карты. Данные такой пользовательской карты не шифруются и состоят из ID-номера, сгенерированного, например, из номера комнаты и даты приезда постояльца. По словам эксперта, взлом от 50 до 100 гостиничных номеров займет всего 18 минут.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Троян Kasidet — улучшенный троян для POS-терминалов

    Этот вредонос является усовершенствованной версией трояна Trojan.MWZLesson. Распространяется в виде ZIP-архива, внутри которого находится файл с SCR-расширением (по сути SFX-RAR-архив). Этот файл извлекает и запускает вредоносное приложение entroentry.exe.

    Trojan.Kasidet.1 способен обнаруживать на ПК виртуальные машины, эмуляторы и отладчики, после чего прекращает свою работу. В ином случае троян пытается запуститься на инфицированном устройстве с правами администратора. Предупреждение UAC сообщает, что издателем запускаемого приложения wmic.exe является Microsoft, что может усыпить бдительность жертвы. При полученном разрешении на запуск утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1.

    Trojan.Kasidet.1 выполняет на инфицированных устройствах следующие функции:
    - сканирует оперативную память на наличие треков банковских карт, полученных POS-устройством, и передаёт их на сервер злоумышленников;
    - похищает пароли от почтовых программ Outlook, Foxmail или Thunderbird;
    - внедряется в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов;
    - ищет на дисках и передаёт злоумышленникам заданный файл, либо сообщает им список работающих на компьютере процессов;
    - самообновляется: с заданного URL загружает exe-файл, сохраняет в свою папку со случайным именем и запускает, затем удаляет из реестра данные своего автозапуска и исходный файл;
    - по команде с C2-сервера загружает и запускает исполняемый файл или DLL, которую загружает в память с помощью regsvr32 /s <имя файла>;
    - выполняет заданные команды в командном интерпретаторе CMD.

    Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным ресурсам обычные браузеры доступа не имеют, но Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    За использование вредоносного ПО для банкоматов — в тюрьму

    Кировоградский суд вынес приговор Вадиму Шарапову и Евгению Томилову, которые с ноября 2014 по март 2015 года похитили со счетов банков в Республике Тыва, Хакасии и Татарстане 2,6 млн рублей.

    Шарапов приговорен к 2,6 годам лишения свободы с отбыванием наказания в колонии-поселении, Томилин получил 2 года исправительных работ с выплатой 15% от дохода в пользу государства. Осужденные также обязаны выплатить компенсацию в более чем 2 млн рублей за причиненный банкам ущерб.

    Шарапов использовал вредоносное ПО для обхода компьютерной защиты банков и, получив доступ к банковским данным, переводил деньги на банковские карты. Далее Томилов снимал деньги с карт в банкоматах Екатеринбурга и Кировграда.

    Правоохранители изъяли у осужденных компьютерную технику, 200 SIM-карт, использовавшиеся в хищении денежных средств, устройства связи, носители информации и более 600 тыс. рублей.

    Хакеры осуждены по ч. 2 ст. 272 УК РФ («Неправомерный доступ к компьютерной информации, совершенный из корыстной заинтересованности»), ч. 2 ст. 273 УК РФ («Использование вредоносных компьютерных программ, совершенное из корыстной заинтересованности»), ст. 274 УК РФ («Нарушение правил эксплуатации средств хранения компьютерной информации») и ч. 2 ст. 159.6 УК РФ («Мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору»).

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Отели и курорты США под контролем вредоносного ПО для PoS-терминалов

    Произошла массовая компрометация PoS-терминалов в крупнейших отелях и курортах США. Количество пострадавших клиентов было так велико, что владельцам гостиничного и туристического бизнеса пришлось сообщить об инцидентах на своих сайтах и страницах представления бизнеса.

    "К сожалению, как и многие другие организации, мы недавно узнали, что некоторые из наших клиентов, возможно, стали жертвой инцидента, который мог повлиять на информацию о платежной карты отдельных лиц, которые использовали платежные карты в PoS-терминалах, при покупках в торговых точках продуктов питания и напитков... Мы очень серьезно относимся к своей ответственности, чтобы сохранить информацию наших клиентов в безопасности, и подготовили подробный ответ, обещаем исследовать и разрешить этот инцидент, укрепить нашу безопасность данных и поддержку наших клиентов. Мы рады сообщить о том, что инцидент в настоящее время под контролем и отдельные лица могут безопасно использовать платежные карты на наших терминалах. Мы приносим извинения за беспокойство или разочарование, что этот инцидент имел место".

    СБ гостиничной сети начала расследование инцидента и обнаружила, что вредоносные программы скомпрометировали некоторые из POS-систем.

    Как оказалось, вредонос был активен с 1 марта 2015 года по 21 июня 2016 года, а 14 POS-систем в гостиницах "инфицированны" после 2 декабря 2015 г. В этот период времени около 8000 операций произошло в отеле Hyatt Centric (город Санта-Барбара, штат Калифорния), другие 12800 — в IHG Intercontinental в городе Тампа (штат Флорида). Разумно предположить, что вредоносное ПО контролировало все эти операции за прошедшее время, и получило доступ к информации о всех картах, которые клиенты вставляли в терминалы систем обработки платежей.

    Starwood и Hyatt компрометируются уже не в первых раз. Еще недавно они отчитывались в устранении угрозы безопасности клиентов, пользовавшихся PoS-терминалами этой системы гостиничного и туристического бизнеса. Тогда в ноябре 2015 года стало известно о том , что Starwood нашли вредоносное ПО на своих систем в 50 местах. Спустя месяц Hyatt Hotels сообщали, что нашли вредоносное ПО найти на своих PoS-терминалах.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    А тем временем в старой "доброй" "благополучной" Великобритании...

    Злоумышленники постоянно изобретают новые методы для хищения реквизитов банковских карт и используют для этого порой самые неожиданные "инструменты", например, iPod. :Biggrin:

    [​IMG]

    Так группа лондонских мошенников, действующая по всей стране, незаметно прикрепляет айпод в верхней части банкомата и через его камеру записывает вводимые пользователями PIN-коды. В дополнение они ставят фальшивый считыватель данных карт. При попытке снять деньги с такого банкомата кредитная или дебетовая карта застревает внутри фальшивого устройства. Пользователь уходит в надежде получить карту в банке. Далее приходит злоумышленник, снимает фальшивое устройство, извлекает из него карту и снимает с нее деньги при помощи записанного на камеру PIN-кода.

    Сотрудникам лондонской полиции удалось выяснить личность одного из мошенников. Предпринимаются меры по поимке подозреваемого. А пока правоохранители рекомендуют картовладельцам прикрывать клавиатуру банкомата при вводе PIN-кода.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Новая вредоносная кампания GozNym

    Эксперты buguroo Threat Intelligence Labs зафиксировали новый виток атак с гибридным банковским трояном GozNym, направленных на банки и финансовые сервисы в Испании, Польше, Японии и, реже, Канады, Австралии, Италии. Операторы трояна сегодня используют новые техники, но они пока далекие от совершенства.

    GozNym.png

    В Испании это вредПО распространяется через вредоносные ссылки на скомпрометированные сайты под управлением WordPress. Число жертв в этой стране, оказалось, значительно чем для Польши или Японии. В числе пострадавших от действий GozNym — известные финансовые группы и платежные системы, такие как PayPal, CitiDirect BE, ING Bank, Societe Generale, BNP Paribas, Bank of Tokyo...

    Согласно проведеному анализу, GozNym продолжает эволюционировать, так сейчас он использует сложную технику динамической веб-инъекции, позволяющей избежать обнаружения. Каждый раз, после обнаружения атаки, операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.

    Когда жертва пытается провести транзакцию, GozNym немедленно отсылает сообщение на свой C&C-сервер. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. Жертва вводит свои данные и тем самым отправляет средства на счет так называемого "денежного мула".

    Некоторые пользователи привязываются к определенному "мулу" в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. В то же время другим пользователям назначаются случайные "мулы", а сумма транзакции четко фиксирована. В итоге суммы перевода зависит от "ценности" жертвы. Более масштабные операции привязываются к более надежным "мулам".

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Перископический скимминг

    U.S. Secret Service предупреждает финансовые организации и владельцев банкоматов о новом способе хищения данных банковских карт, получившем название «перископический скимминг» (periscope skimming). Злоумышленники используют специальное устройство, подключающееся непосредственно к внутренней печатной плате банкомата. Пока случаев использования скиммера-перископа на территории США всего два. 19 августа 2016 года в Коннектикуте был первый случай, а 3 сентября в Пенсильвании – второй.

    periscopeskimmer.png

    periscopeskimmer2.png
    Устройство в Коннектикуте

    periscopeskimmer3.png
    Устройство в Пенсильвании

    В обоих случаях злоумышленникам удалось с помощью ключа проникнуть внутрь банкоматов, где они установили два соединенных проводами устройства. Первое из них представляет собой скиммер-перископ, установленный на моторизированном кардридере через уже готовое отверстие. Устройство устанавливается в месте подключения к печатной плате и непосредственно на панели, передающей данные с магнитных полос банковских карт. К рамке кардридера скиммер крепится с помощью быстросохнущего суперклея.

    С помощью проводов перископ соединяется со вторым модулем, так называемым «управляющим устройством», состоящим из аккумулятора и чипа для хранения данных. По своему виду «управляющее устройство» напоминает небольшой внешний жесткий накопитель. Как сообщают эксперты, заряда скиммера хватает на 14 дней, а его память способна вместить данные 32 тыс. банковских карт.

     
    Последнее редактирование: 14 сен 2016
    lilia-5-0, Охотник и Theriollaria нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    И снова о банковском трояне GozNym...

    Про троян GozNym мы уже не раз рассказывали в этой и соседней темах. Так, в апреле нынешнего года, троян GozNym засветился в ряде кампаний, направленных на пользователей в США и Канаде, а затем пошёл на Европу. Специалисты buguroo Threat Intelligence Labs зафиксировали новый виток атак с использованием GozNym, нацеленных на банки и финансовые сервисы в Испании, Польше, Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии.

    При анализе имеющихся данных, Cisco Talos обнаружили четыре различных варианта GozNym, отличающиеся в характеристиках по отношению к генерации алгоритмов доменных имен, используемым в создании списка C2-серверов для подключения. Используемые методы запутывания позволяют ему избежать детекта антивирусным ПО.

    Специалисты Cisco Talos остановили работу одного из ботнетов, организованных гибридным банковским трояном GozNym, вобравшем в себя функционал двух известных вредоносов Gozi и Nymaim. Сейчас команда принимает меры по пресечению деятельности остальных ботнетов GozNym.

    Экспертам удалось остановить работу ботнета, взломав алгоритм генерации доменных имен (DGA), используемый трояном для связи с постоянно меняющимися C&C-серверами злоумышленников. Ботнет включает по меньшей мере 23 062 инфицированных хостов, в основном расположенных в Германии, США, Польше, Канаде и Великобритании.
    image01.jpg

    Исследователи зафиксировали несколько целевых фишинговых кампаний по распространению вредоносного ПО GozNym. В ходе атак злоумышленники рассылали вредоносные документы Microsoft Word с VBA-макросами, догружавшими загрузчик, который потом загружал и выполнял вредоносный исполняемый файл.

    Подробное исследование с деталями и скриншотами в блоге Talos.
     
    Охотник и Theriollaria нравится это.