[FRAUD] Шахрайство в системах клієнт-банк

29/04/2014

Ще наприкінці січня 2014 року фахівці CERT-UA почали фіксувати факти розсилання електронних листів з підроблених електронних адрес:

 

Міністерства доходів і зборів України

Державної реєстраційної служби України

НАК «Нафтогаз України»

 

Окрім підробленості відправника зазначені листи характеризувалися наявністю додатку у вигляді файлу формату .doc (файл міг знаходитись в архіві). Прикладами імен таких файлів могли бути:

 

pax1392646443.doc

rah1392646593.doc

document_1392641135.doc

dogovor1392641051.doc

dogovor.doc

rah1392636419.rtf

schet1392639710.doc

bill1392644692.doc

 

Після проведення комп’ютерно-технічних досліджень та консультацій з іноземними профільними організаціями було з’ясовано, що файли, які надсилалися у додатках, містили експлойти для програмного забезпечення MS Office Word (CVE-2012-0158, CVE-2010-3333, CVE-2004-0210), після запуску яких (у разі наявності відповідної вразливості), відбувалося ураження комп’ютера жертви шкідливим програмним забезпеченням. Зазначене шкідливе ПЗ мало всі ознаки таких відомих шкідливих програм, як «ZeuS» та «Citadel».

 

Разом з тим, незважаючи на, начебто, стандартність ситуації (яка вирізнялася лише масовістю розсилання користувачам шкідливих електронних листів), питання ідентифікації осередка зла (командно-контрольного серверу бот-мережі) було не із легких. Все пояснювалось тим, що для забезпечення функціонування доменів командно-контрольного серверу зазначеної бот-мережі застосовувався механізм «double fast-flux», що майже унеможливлювало процес ідентифікації реального серверу. Приклади доменів наведено нижче:

 

anonymousua.com

bubsportv.su

inproductsport.su

mandarininfo.com

privettebemyfriend.com

supermandarininfo.su

mandarin-infox.su

 

Все ж таки, реальний сервер управління бот-мережею було ідентифіковано… Після його аналізу було з’ясовано, що з моменту створення бот-мережі та, станом на квітень 2014 року, до її складу входило більше 46 000 уражених комп’ютерів. Ретельний аналіз засвідчив наявність на сервері управління більше 7000 профілів які, в цілому, містили близько 39 949 366 звітів зі скомпрометованими даними (логіни, паролі, сертифікати, знімки екрану тощо).

 

За допомогою зазначеної бот-мережі і систем дистанційного банківського обслуговування, що були встановлені на уражених комп’ютерах, лише у 2014 році, починаючи з січня, було викрадено (або здійснено спроби викрадення) значної кількості грошових коштів фізичних та юридичних осіб. Близько 70 % уражених комп’ютерів знаходились (і знаходяться) у межах національного сегменту мережі Інтернет України.

 

Завдяки цій інформації фахівцям CERT-UA вдалося запобігти  викраденню більше ніж 5 млн. грн.

 

На поточний час на переважній більшості комп’ютерів зазначені шкідливі троянські програми продовжують функціонувати, а зловмисники, в свою чергу, вжили заходів зі зміни налаштувань і «місця розташування» серверу управління бот-мережею.

 

З метою сприяння ліквідації загрози, зважаючи на велику кількість скомпрометованої інформації (так званої «DROP DATA»), CERT-UA пропонується наступний механізм взаємодії із зазначеного питання.

 

Для організації та прискорення процесу ідентифікації уражених комп’ютерів та інформування їхніх користувачів пропонуємо фізичним та юридичним особам, які користуються системами клієнт-банк, за бажанням, надіслати до CERT-UA запит із зазначенням таких даних:

 

1. Назва організації:

2. Банк (філія банку):

3. Прізвище бухгалтера (особи, що експлуатує клієнт-банк):

4. Ім’я комп’ютера бухгалтера (hostname):

5. IP-адреса (під якою комп’ютер бухгалтера «виходить» до Інтернет):

6. Контактний телефон:

 

Приклад:

1. ТОВ «МАЙСТЕР»

2. Філія банку Х у Київській області

3. Петрова Анна Сергіївна

4. BUHG-PC

5. 193.23.44.44

6. 0456311111

 

Запит просимо надсилати на електронну адресу cert@cert.gov.ua з офіційної електронної адреси організації, яка звертається. В темі повідомлення просимо зазначати слово «Запит» та назву організації, наприклад:

 

Запит. ТОВ «МАЙСТЕР».

 

Інформація буде додатково перевірятися по зазначеним контактним даним, в т.ч. зі службою безпеки відповідного банку. У разі підтвердження факту наявності скомпрометованої інформації вона, разом із рекомендаціями, буде передана заявнику.

 

Звертаємось до державних органів, ЗМІ та організацій, від імені яких надсилались зазначені шкідливі електронні листи, з проханням сприяти популяризації цієї інформації на Ваших офіційних веб-сайтах.