Теги → кибератаки
Быстрый переход

Перехват данных платёжной карты возможен во всех банкоматах

Компания Positive Technologies продолжает делиться результатами комплексного исследования, в ходе которого изучалась безопасность распространённых банкоматов.

На прошлой неделе, напомним, сообщалось, что практически все банкоматы таких производителей, как NCR, Diebold Nixdorf и GRGBanking, уязвимы для атак того или иного типа. Киберпреступники, в частности, могут обойти защиту автоматов и похитить денежные средства.

Как теперь отмечается, пострадать от действий злоумышленников могут не только банки, использующие уязвимые устройства, но и рядовые клиенты. Дело в том, что во всех изученных банкоматах теоретически возможен перехват данных платёжной карты.

На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. Долгое время преступники использовали физические накладки на картридер — скиммеры, которые считывали данные непосредственно с магнитной полосы. Однако банки научились защищаться от подобных атак, и киберпреступники начали брать на вооружение новые методы кражи информации с банковских карт.

Так, перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платёжных карт.

Ещё один метод — установка специализированной вредоносной программы на банкомат. На проведение подобной атаки преступнику понадобится в среднем 15 минут. Правда, в этом случае требуется доступ в сервисную зону банкомата. 

Практически все банкоматы уязвимы для атак

Компания Positive Technologies обнародовала неутешительные результаты исследования, в ходе которого изучалась безопасность широко распространённых банкоматов.

Эксперты оценили защищённость устройств производства NCR, Diebold Nixdorf и GRGBanking. Оказалось, что практически все банкоматы уязвимы для атак того или иного типа.

Отмечается, что каждый исследованный банкомат имел уникальную конфигурацию: спектр атак на одну и ту же модель различался в зависимости от типа подключения к процессинговому центру, набора установленного ПО, используемых мер защиты и других специфических параметров.

Девять из десяти банкоматов — 92 % — уязвимы для атак, связанных с отсутствием шифрования жёсткого диска. Это позволяет киберпреступникам напрямую подключиться к накопителю, записать на него вредоносную программу и отключить любые средства защиты.

85 % устройств недостаточно защищены от атак на сетевом уровне, в частности от подмены процессингового центра, которая позволяет вмешаться в процесс подтверждения транзакции и подделать ответ от центра — одобрить любой запрос на снятие наличных или увеличить количество выдаваемых купюр.

Три четверти банкоматов (76 %) теоретически допускают проведение атаки типа «Выход из режима киоска»: злоумышленник может обойти клиентские ограничения и выполнить команды непосредственно в ОС автомата.

Наконец, 69 % изученных банкоматов допускают подключение к диспенсеру особого устройства, запрограммированного на отправку команд для выдачи купюр.

Более подробно с результатами исследования можно ознакомиться здесь

Количество банковских зловредов подскочило почти в полтора раза

«Лаборатория Касперского» рассказала о развитии киберугроз и о ситуации с информационной безопасностью в третьем квартале текущего года.

Сообщается, что в период с июля по сентябрь включительно приблизительно каждый пятый компьютер в мире подвергся как минимум одной атаке через Интернет. Такие нападения осуществлялись с веб-ресурсов, размещённых более чем в 200 странах по всему миру.

Значительную опасность представляют и  локальные угрозы, распространяемые не через Интернет, а с помощью съёмных устройств, например, USB-носителей. В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы были зафиксированы на 22,5 % компьютеров пользователей. Показатель России в этом рейтинге составил 26,6 %.

Очень быстро растёт количество банковских зловредов, предназначенных для кражи денег через онлайн-доступ к счетам пользователей. По итогам третьего квартала количество попыток запуска подобных вредоносных программ на цифровых устройствах увеличилось почти в полтора раза — на 41,5 % — по сравнению с предыдущим трёхмесячным периодом.

Специалисты указывают на стремительное увеличение числа мобильных банковских троянов: их доля среди всех мобильных угроз составляет почти 4,5 %, при этом в начале года данный показатель был в три раза меньше.

По-прежнему большой популярностью у киберпреступников пользуются программы-шифровальщики. С помощью таких инструментов злоумышленники вымогают у жертв деньги за восстановление доступа к закодированным файлам. 

Интенсивность фишинговых атак резко выросла

«Лаборатория Касперского» опубликовала развёрнутый отчёт с результатами анализа активности спамеров и фишеров в третьей четверти текущего года.

Сообщается, что средняя доля спама в мировом почтовом трафике в прошлом квартале составила 52,54 %, что на 2,88 % выше показателя предыдущего отчётного периода (второй квартал 2018 года). Наибольший показатель зафиксирован в августе — 53,54 %.

В российском сегменте Интернета средняя доля мусорной корреспонденции в почтовом трафике в третьем квартале оказалась на уровне 52,96 %. Показатель достиг максимума в сентябре — 54,17 %.

Первая тройка стран — источников спама в третьем квартале осталась такой же, как и во втором квартале 2018 года: на первом месте находится Китай (13,47 %), за ним следуют США (10,89 %) и Германия (10,37 %). Россия находится на шестой позиции с показателем в 4,11 %.

Лаборатория Касперского

Лаборатория Касперского

«Лаборатория Касперского» отмечает резкое ухудшение ситуации в области фишинга. В прошлом квартале интенсивность таких атак подскочила практически на треть — на 30 %.

«Спамеры и фишеры продолжают использовать громкие инфоповоды в своих схемах. В этом квартале, к примеру, был "обыгран" выход нового iPhone. Кроме этого, ими продолжаются поиски каналов распространения мошеннического контента, и наряду с наращиванием активности в Instagram нами были замечены поддельные уведомления от сайтов и вбросы фальшивых новостей с помощью медиаресурсов», — говорят специалисты «Лаборатории Касперского». 

Пользователи AliExpress рискуют оказаться в фальшивом интернет-магазине

«Доктор Веб» предупреждает о том, что сетевые мошенники организовали новую киберкампанию, нацеленную на пользователей популярной торговой площадки AliExpress.

Зафиксирована массовая рассылка электронных писем от имени компании Alibaba Group — владельца платформы AliExpress. В этих сообщениях говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.

При переходе по указанной ссылке пользователь оказывается на сайте, оформленном в стиле интернет-магазина. Однако любые попытки сделать здесь заказ приводят к переадресации на другие сайты, многие из которых ранее были замечены в мошеннических действиях.

Атака нацелена на русскоязычных пользователей. Причём письма содержат обращение к получателю по имени. По мнению экспертов, информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кешбэк-сервисов.

Более подробную информацию о киберсхеме можно найти здесь

Обнаружена первая атака с использованием UEFI-руткита

Компания ESET раскрыла первую известную атаку, в ходе которой задействован руткит для системы Unified Extensible Firmware Interface (UEFI).

UEFI — это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Зловреды для UEFI представляют собой мощный инструмент для кибератак: их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены накопителя.

Как сообщает ESET, в ходе обнаруженной атаки задействован руткит LoJax. В основу зловреда положена переработанная злоумышленниками версия легитимной программы LoJack от разработчика Absolute Software. Задача LoJack заключается в защите компьютера от потери или кражи. Эта программа реализована как модуль UEFI/BIOS, благодаря чему может пережить переустановку ОС или замену накопителя. LoJack при необходимости информирует законного владельца о местонахождении ПК.

Руткит LoJax сохранил «живучесть» легальной версии программы. Его основной задачей является загрузка на компьютер жертвы различных вредоносных компонентов и контроль их выполнения.

«Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу», — отмечает ESET. 

Positive Technologies: все приложения для трейдинга содержат «дыры»

Специалисты компании Positive Technologies изучили защищённость приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы.

В каждом исследованном приложении эксперты обнаружили «дыры». Более того, 72 % изученных программ содержали хотя бы одну критически опасную уязвимость.

В частности, было установлено, что в 61 % приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Понятно, что для жертвы это может обернуться самыми печальными последствиями. Киберпреступники, к примеру, могут торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли и пр.

Треть приложений — 33 % — содержат опасные уязвимости, которые позволяют осуществлять сделки по продаже или покупке акций от имени пользователя без доступа к личному кабинету.

Выявлены также уязвимости, с помощью которых злоумышленник может подменить цены, отображаемые пользователю. Такие «дыры» содержат 17 % исследованных приложений. Подменяя цены, киберпреступники могут вынуждать трейдеров совершать убыточные сделки.

Некоторые ПК-приложения позволяют получить контроль над системой трейдера, например, путём замены файла обновления на вредоносное программное обеспечение.

Более подробно с результатами исследования можно ознакомиться здесь

Российских пользователей Android атакует опасный банковский троян

«Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub.

Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр.

Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке.

Изображения «Лаборатории Касперского»

Изображения «Лаборатории Касперского»

Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате.

В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки. 

Доля целевых атак в Сети превысила 50 процентов

Исследование, проведённое компанией Positive Technologies, говорит о том, что количество киберинцидентов во втором квартале текущего года выросло практически в полтора раза (на 47 %) по сравнению со второй четвертью 2017-го.

В период с апреля по июнь включительно было зафиксировано большое количество целевых атак на различные организации. Доля таких кибернападений превысила долю массовых атак, достигнув 54 %.

Эксперты отмечают, что киберпреступники продолжают изобретать новые методы воздействия на пользователей, которые позволили бы им заразить целевую систему вредоносным ПО, украсть деньги или получить доступ к конфиденциальной информации. В настоящее время примерно каждая четвёртая кибератака нацелена на частных лиц.

Сетевые злоумышленники всё чаще проводят атаки с целью получения конфиденциальной информации. Интерес для преступников представляют прежде всего персональные данные, учётные записи и данные банковских карт.

В прошлом квартале отмечено большое количество атак на криптовалютные сети, такие как Verge, Monacoin, Bitcoin Gold, ZenCash, Litecoin Cash. В результате злоумышленники похитили в общей сложности более 100 млн долларов США.

«Если говорить о прогнозах, то, вероятно, сохранится тенденция к увеличению доли атак, направленных на хищение данных. Многие компании уделяют недостаточно внимания защите обрабатываемой информации, что делает её легкой добычей даже для низкоквалифицированных хакеров», — отмечает Positive Technologies. 

Киберпреступники атакуют пользователей Windows через уязвимость «нулевого дня»

Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows.

Речь идёт об уязвимости «нулевого дня», информация о которой была раскрыта в конце августа нынешнего года. Брешь связана с работой планировщика задач Windows. Злоумышленники могут повысить свои привилегии в системе и выполнить на компьютере жертвы произвольный программный код. Уязвимость затрагивает операционные системы Windows версий с 7 по 10.

Участники кибергруппы PowerPool используют брешь при проведении целевых атак. Нападения уже зафиксированы во многих странах, в том числе в России.

Атака начинается с рассылки вредоносных спам-писем с бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки — она выполняет команды злоумышленников и передаёт собранные данные на удалённый сервер. Если компьютер заинтересовал киберпреступников, на него загружается бэкдор второго этапа: эта вредоносная программа предоставляет постоянный доступ к системе.

Таким образом, злоумышленники получают возможность красть конфиденциальную информацию и выполнять произвольные действия на инфицированном компьютере. 

ФСБ сформировала центр по компьютерным инцидентам

Федеральная служба безопасности Российской Федерации (ФСБ) сформировала Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Как сообщается в документе, опубликованном на Официальном интернет-портале правовой информации, новая структура является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

НКЦКИ предстоит решать довольно широкий спектр задач. В частности, структура будет отвечать за обмен данными о компьютерных инцидентах между субъектами критической информационной инфраструктуры. Кроме того, специалисты центра займутся обнаружением, предупреждением и ликвидацией последствий компьютерных атак.

Новая структура будет отвечать за сбор, хранение и анализ информации о компьютерных инцидентах. Центру также предстоит распространять и публиковать информационные и справочные материалы, участвовать в работе научно-технических конференций, симпозиумов, совещаний и выставок по вопросам, связанным с киберпреступлениями и атаками в сетевом пространстве.

Центр в процессе работы сможет привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в соответствующей области. 

Многофункциональные зловреды всё чаще атакуют пользователей Интернета

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сетевые злоумышленники всё чаще применяют универсальные вредоносные программы, позволяющие реализовывать атаки разного типа.

Эксперты проанализировали активность 60 000 ботнетов — сетей инфицированных устройств. Оказалось, что их владельцы переключают внимание на использование многофункциональных зловредов, которые можно модифицировать под практически неограниченное количество задач. Это может быть, скажем, рассылка спама, организация DDoS-атак или распространение банковских троянов.

Исследование, в частности, показало, что в течение первой половины текущего года доля бэкдоров выросла с 6,6 % до 12,2 % от общего числа циркулируемых в ботнетах зловредов. Бэкдоры не имеют специфического предназначения, но дают возможность удалённо контролировать заражённую систему. Такие программы предоставляют злоумышленникам широкий набор функций — от сохранения скриншотов и нажатий клавиш до непосредственного управления устройством.

Отмечается также, что за первые шесть месяцев этого года доля программ-загрузчиков поднялась с 5 % (во второй половине 2017 года) до 12 %. Популярность таких зловредов связана с тем, что они дают возможность загрузить в заражённую систему любые дополнительные компоненты для реализации той или иной атаки.

Наконец, зафиксировано увеличение популярности майнеров: их доля выросла за полгода с 2,7 % до 5 %. Такие программы активно распространяются из-за того, что ботнет всё чаще рассматривается как инструмент для генерации криптовалют. 

Кибергруппировка Turla организовала атаку через Microsoft Outlook

Компания ESET проанализировала новую кибератаку известной группировки Turla, целью которой стала кража конфиденциальных данных госучреждений в странах Европы.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации и пр.

В ходе очередной атаки злоумышленники используют вредоносную программу с управлением через Microsoft Outlook. Для связи с этим зловредом служат электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. С помощью таких посланий на заражённый компьютер могут оправляться различные команды, в том числе для сбора данных, а также для выполнения других программ и различных запросов.

Вредоносная программа проверяет каждое входящее письмо на наличие PDF-файла с командами. Кроме того, зловред дублирует своим операторам все исходящие письма жертвы. Таким образом, в руках злоумышленников может оказаться конфиденциальная информация.

«Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты — MAPI», — отмечает ESET. Специалисты полагают, что на сегодняшний день Turla — единственная кибергруппа, которая использует подобные инструменты. 

В распространённых в России банкоматах обнаружена опасная «дыра»

Эксперты Positive Technologies выявили опасную уязвимость в распространённых в России банкоматах NCR, которая позволяет злоумышленникам произвести незаконную выемку средств.

О проблеме рассказала газета «Коммерсантъ». Схема атаки сводится к установке на контроллер диспенсера (сейфовой части для выдачи купюр) устаревшего программного обеспечения. Уязвимость связана с недостаточной защитой механизма записи памяти.

Злоумышленники, как отмечается, могут подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных.

Американская компания NCR была поставлена в известность о наличии «дыры» в банкоматах более полугода назад. В феврале нынешнего года было выпущено обновление программного обеспечения, в котором брешь устранена.

Однако российские банки, использующие устройства NCR, апдейт ещё не осуществили. Сложность заключается в том, что обновление необходимо устанавливать вручную на каждый банкомат.

«Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределённость банкоматов», — говорят эксперты.

Добавим, что, по оценкам, только на сервисном обслуживании компании NCR в России находятся более 40 тыс. банкоматов. 

Количество вредоносных майнеров стремительно растёт

Данные, собранные «Лабораторией Касперского», говорят о том, что количество вредоносных программ для скрытой добычи криптовалют быстро растёт.

Злоумышленники отказываются от распространения шифровальщиков, отдавая предпочтение майнерам. Это обеспечивает пусть и небольшой, но постоянный доход, а не потенциально существенный одноразовый выкуп, как в случае с вымогателями.

Основной способ установки майнеров — это инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. Но есть и более изощрённые варианты, например, распространение посредством уязвимостей.

Процесс обнаружения майнеров сопряжён с рядом трудностей, поскольку пользователи зачастую сами устанавливают подобные программы ради добычи криптовалют, не подозревая, что мощности их устройства эксплуатируют киберпреступники.

Сообщается, что во втором квартале текущего года «Лаборатория Касперского» обнаружила приблизительно 14 тыс. новых модификаций майнеров. Эти зловреды атаковали компьютеры более 2,2 млн пользователей по всему миру.

Присутствие майнера в системе может обернуться резким уменьшением производительности компьютера и ростом расходов на электричество. В случае мобильных устройств возможен выход аккумулятора или даже основной платы из строя из-за большой вычислительной нагрузки и перегрева. 

window-new
Soft
Hard
Тренды 🔥