Мошенники атакуют банки через контрагентов. Информационная безопасность
Авторы Наши партнёры Наши проекты: IT Worldall CIOIT Contact
IT-News
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Мошенники атакуют банки через контрагентов

Лента новостейНовости рынкаБезопасность

БизнесIT-рынок

Мошенники атакуют банки через контрагентов

| 04.08.2017

Фишинговые письма по-прежнему остаются популярным методом проникновения злоумышленников в информационную инфраструктуру банков. Но если раньше злоумышленники использовали письма с поддельным адресом отправителя, то теперь активно атакуют поставщиков и партнеров, чтобы использовать взломанные учетные записи реальных сотрудников для развития атаки на финансовые организации. Кроме того, злоумышленники присылают вредоносные файлы под видом предупреждений Центробанка, и атакуют личные почтовые ящики сотрудников банков, а не только их рабочие адреса.

Такие наблюдения содержатся в новом отчете компании Positive Technologies, посвященном деятельности преступной группы Cobalt. Группа известна с 2016 года, когда она атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем атака распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег.

Деятельность группы была разоблачена в 2016 году благодаря расследованиям, в которых принимали участие в том числе и эксперты Positive Technologies. По их результатам FinCERT России начал активно предупреждать кредитно-финансовые организации об активности группы Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Вот некоторые особенности деятельности Cobalt, выявленные экспертами Positive Technologies в 2017 году:

·         Поддельные домены. Когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах, сняты с делегирования;

·         Атаки через контрагентов. В 2017 году группа Cobalt стала активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 года 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами;

·         Расширение географии атак. В 2017 году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и др). Очевидно, их атакуют, чтобы использовать в качестве промежуточного звена;

·         Рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе от лица платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан;

·         Рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время получателей. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер;

·         Использование последней версии Microsoft Word Intruder 8 для создания документов, эксплуатирующих уязвимость CVE-2017-0199. Группа Cobalt в числе первых получила доступ к ограниченной версии экплойт-билдера MWI, что позволяет предположить связь между злоумышленниками и разработчиком данного экплойт-билдера.

Авторы исследования отмечают, что на данный момент нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 году ― однако, исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем. 

Источник: Пресс-служба компании Positive Technologies

Теги: информационная безопасность, кибербезопасность, фишинг, банковские системы, интернет-банкинг, банки, хакеры

Еженедельник IT Weekly № 31/2017 (08.08)    [ PDF ]    [ Подписка на журнал ]

Компания: Positive Technologies


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

мероприятия

| 06.09.2017 — 08.09.2017
MERLION IT Solutions Summit

Москва, Sheraton Moscow Sheremetyevo Airport Hotel

| 08.09.2017
III Форум Промышленной автоматизации "Industrial IT Forum"

Санкт-Петербург, Культурно-деловой центр «Club House»

| 24.09.2017 — 26.09.2017
XI ежегодный ИТ-Конгресс "Подмосковные вечера"

Москва, Атлас-Парк Отель

| 26.09.2017
Blockchain Life 2017

Санкт-Петербург, Петроконгресс

Также смотрите

Мировая телевещательная индустрия находится на пороге очередного технологического преображения: на смену HD и Full HD приходит телевидение сверхвысоко...
Системные интеграторы отвечают на вопросы о вендорах, основных трендах, сервисе и облаках на BI-рынке.

Еженедельник IT Weekly: № 32/2017 (15.08)

Последние новости

Фоторепортажи

Календарь мероприятий

<<<Август, 2017>>>
Пн7142128
Вт18152229
Ср29162330
Чт310172431
Пт4111825
Сб5121926
Вс6132027

Прошедшие мероприятия
Текущие мероприятия
Будущие мероприятия