Мошенники атакуют банки через контрагентов. Информационная безопасность
Авторы Наши партнёры Наши проекты: IT Worldall CIOIT Contact
IT-News
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Мошенники атакуют банки через контрагентов

Лента новостейНовости рынкаБезопасность

БизнесIT-рынок

Мошенники атакуют банки через контрагентов

| 04.08.2017

Фишинговые письма по-прежнему остаются популярным методом проникновения злоумышленников в информационную инфраструктуру банков. Но если раньше злоумышленники использовали письма с поддельным адресом отправителя, то теперь активно атакуют поставщиков и партнеров, чтобы использовать взломанные учетные записи реальных сотрудников для развития атаки на финансовые организации. Кроме того, злоумышленники присылают вредоносные файлы под видом предупреждений Центробанка, и атакуют личные почтовые ящики сотрудников банков, а не только их рабочие адреса.

Такие наблюдения содержатся в новом отчете компании Positive Technologies, посвященном деятельности преступной группы Cobalt. Группа известна с 2016 года, когда она атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем атака распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег.

Деятельность группы была разоблачена в 2016 году благодаря расследованиям, в которых принимали участие в том числе и эксперты Positive Technologies. По их результатам FinCERT России начал активно предупреждать кредитно-финансовые организации об активности группы Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Вот некоторые особенности деятельности Cobalt, выявленные экспертами Positive Technologies в 2017 году:

·         Поддельные домены. Когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах, сняты с делегирования;

·         Атаки через контрагентов. В 2017 году группа Cobalt стала активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 года 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами;

·         Расширение географии атак. В 2017 году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и др). Очевидно, их атакуют, чтобы использовать в качестве промежуточного звена;

·         Рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе от лица платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан;

·         Рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время получателей. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер;

·         Использование последней версии Microsoft Word Intruder 8 для создания документов, эксплуатирующих уязвимость CVE-2017-0199. Группа Cobalt в числе первых получила доступ к ограниченной версии экплойт-билдера MWI, что позволяет предположить связь между злоумышленниками и разработчиком данного экплойт-билдера.

Авторы исследования отмечают, что на данный момент нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 году ― однако, исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем. 

Источник: Пресс-служба компании Positive Technologies

Теги: информационная безопасность, кибербезопасность, фишинг, банковские системы, интернет-банкинг, банки, хакеры

Еженедельник IT Weekly № 31/2017 (08.08)    [ PDF ]    [ Подписка на журнал ]

Компания: Positive Technologies


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

мероприятия

| 26.10.2017
«Практика построения современного трейдинга»

Москва, ул. Неглинная, д.4. Отель "Арарат Парк Хаятт", зал Саргсян 1 и 2, 2 этаж

| 27.10.2017
4-й Бизнес-форум 1С:ERP

Центр Международной Торговли (Конгресс-центр ЦМТ) . Москва, Краснопресненская наб., д. 12, подъезд 4.

| 31.10.2017 — 01.11.2017
IV международный форум «Интернет вещей»

КВЦ Сокольники, павильон 7-А

| 31.10.2017 — 02.11.2017
11-АЯ МЕЖДУНАРОДНАЯ ВЫСТАВКА INTEGRATED SYSTEMS RUSSIA 2017

Москва, Экспоцентр, павильон №2

| 10.11.2017
Secure IT World 2017

Санкт-Петербург, Культурно-деловой центр «Club House»

| 07.12.2017
XIII Пиринговый форум

Краснопресненская наб.,12.

Также смотрите

Соцсети и игровые сообщества могут открыть масштабные перспективы для систем корпоративного управления, обеспечить совершенно новый взгляд на вещи, и ...
В эпоху стремительного развития альтернативных каналов связи, таких как социальные сети и интернет-мессенджеры, основным инструментом бизнес-коммуника...

Журнал IT-News: № 09/2017 (18.10)

Последние новости

Фоторепортажи

Мероприятия

<<<< Октябрь >>>>
Пн Вт Ср Чт Пт Сб Вс
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345