Финансовые вредоносные программы отражают общие тенденции вредоносного ПО в выборе векторов заражения. Подавляющее большинство вредоносных программ, нацеленных на банки, заражают компьютеры через интернет. И хотя некоторое количество подобных программ по-прежнему доставляется на компьютер жертвы по электронной почте, у злоумышленников, атакующих финансовые организации, есть веские причины, чтобы предпочесть интернет.

Прежде всего, у вредоносных программ, доставляемых по электронной почте, больше шансов привлечь к себе внимание антивирусных компаний и финансовых организаций, не говоря уже о средствах массовой информации и конечных пользователях. Однако залогом успеха атак на финансовые организации является способность вредоносных программ к скрытным действиям, следовательно, загрузка их через интернет с использованием эксплойтов оказывается весьма привлекательным методом. Если пользователь не замечает ничего странного в работе своего компьютера, он будет продолжать работать в обычном режиме, а значит, будет вводить конфиденциальные данные, которые злоумышленники затем похитят и будут использовать в криминальных целях.

Во-вторых, при заражении через интернет быстрому обнаружению антивирусными решениями вредоносных программ препятствует то, что они размещаются на веб-сервере. Следовательно, киберпреступники, которые используют эти программы для проведения атак, могут легко модифицировать вредоносные файлы с помощью автоматических инструментов. Этот метод известен как "серверный полиморфизм". В отличие от обычного полиморфизма, где алгоритм, используемый для модификации кода, содержится в теле самой вредоносной программы, "серверный полиморфизм" не позволяет создателям антивирусов проанализировать алгоритм, изменяющий вредоносный код, поскольку он расположен на удаленном сервере. И хотя существует возможность разработки процедуры generic-обнаружения (обнаружения вредоносного кода по общим признакам, объединяющим вредоносные программы данного типа, а не по сигнатурам каждой конкретной программы) для программ, использующих "серверный полиморфизм", на это уходит больше времени.

Кроме того, некоторые "продвинутые" троянские программы-загрузчики, используемые для доставки вредоносного финансового ПО к месту назначения, самоуничтожаются (или "тают") после удачно или неудачно выполненной загрузки вредоносной финансовой программы. Естественно, это серьезно осложняет проведение антивирусными специалистами аналитических исследований.

Начиная разговор о фишинге, необходимо, прежде всего, дать ему точное определение. Под фишингом мы понимаем следующее: это электронные письма, присланные якобы от имени какой-либо (финансовой) организации и составленные таким образом, чтобы получатель, попавшись на удочку, сообщил свои конфиденциальные данные. Фишинг основан исключительно на методах социальной инженерии, и как только в дело вступают вредоносные программы, атака уже не может более считаться фишингом.

Нескончаемый поток фишинговых писем и появление наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя "поделиться" своими конфиденциальными данными. И причин тому несколько. Во-первых, попытки "просветить" пользователей не дают пока желаемого результата: люди упорно продолжают проходить по ссылкам, содержащимся в фишинговых рассылках. Создается впечатление, что пользователи либо не подозревают о существовании механизмов защиты (таких как https), либо не придают этому вопросу серьезного значения, либо просто игнорируют предупреждения о недействительных или недостоверных сертификатах безопасности веб-сайтов. Кроме того, в попытке максимально увеличить денежный оборот киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть пользователя, достаточно сведущего в вопросах безопасности.

Вторая причина эффективности фишинга в том, что система защиты большинства финансовых учреждений может быть легко взломана с помощью самой простой фишинг-атаки. Даже беглый взгляд на меры безопасности, принимаемые во многих банках США, Великобритании и других стран, показал, что для получения доступа в систему интернет-банкинга используются самые обычные статические логины и пароли. Все, что требуется от киберпреступников, - получить эти имена и пароли, после чего они могут свободно проводить практически любые транзакции. Еще одним минусом использования статического имени пользователя и пароля является то, что их можно сохранять в памяти компьютера, что означает, что злоумышленнику нет необходимости обрабатывать данные в режиме реального времени, эту работу можно сделать позднее.

Банки, которые более ответственно относятся к своим системам защиты, используют как минимум один динамический пароль – одноразовый пароль, который действителен только для одной сессии. Такая аутентификация может применяться как при входе в систему, так и при подтверждении транзакции, а лучше в обоих случаях. Это сделает невозможным подтверждение транзакции с помощью устаревшего пароля, а в идеале – остановит злоумышленника уже при попытке несанкционированного входа в систему.

Для того чтобы киберпреступники могли с помощью фишинга произвести транзакцию в обход установленных динамических паролей, они должны применить атаку Man-in-the-Middle (MitM). Этот тип атаки мы рассмотрим чуть ниже. Подготовить атаку Man-in-the-Middle существенно сложнее, чем запустить работу стандартного фишингового сайта. Однако сейчас появилась возможность приобрести наборы утилит для проведения атак Man-in-the-Middle, поэтому злоумышленники могут атаковать популярные банки, прилагая для этого минимум усилий.

Судя по тому что фишинг остается очень распространенным видом интернет-мошенничества, атаки с его использованиемчасто бывают вполне успешны. Однако, с точки зрения киберпреступников, у фишинга имеется один серьезный недостаток: пройти или не пройти по ссылке, содержащейся в сообщении, вводить или не вводить данные зависит только от пользователя.

Этот момент выбора присутствует всегда, когда речь идет о методах социальной инженерии. Технический подход, предусматривающий использование вредоносного программного обеспечения, исключает возможность выбора: его можно применять в отношении тех пользователей, которые не попались на удочку фишинг-мошенников.

Увеличение потока вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Кража данных (номеров кредитных карт, кодов доступа к банковским счетам) - это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы. Очевидно, что они не могут перевести украденные деньги на собственные счета, поскольку это существенно увеличивает риск быть обнаруженными и наказанными.

Банки ответили на увеличение количества атак дополнительным вложением средств, времени и сил в создание механизмов обнаружения мошенничества и нелегальной деятельности злоумышленников. Одной из таких мер безопасности является отслеживание транзакций, при которых крупные суммы переводятся в "подозрительные" регионы.

Для того чтобы обойти ловушки, расставленные банками, злоумышленники прибегают к услугам "денежных мулов", которых на языке киберкриминала называют дропами. Их находят, размещая объявления с предложениями о работе (например, "Требуется финансовый менеджер"), при этом на первый взгляд, предлагаемая работа выглядит вполне легальной. Если соискатель принимает предложение, он получает документы, которые выглядят вполне официально и которые потенциальный "денежный мул" должен подписать для придания законности сделке. После этого его банковский счет начинают поступать деньги, из которых 85-90% "мул" переводит далее через системы электронных платежей MoneyGram или E-Gold. Этот метод гарантирует преступникам анонимность, что, безусловно, снижает вероятность быть пойманными. Деньги, оставшиеся на счету "денежного мула", являются его "комиссией", но по сути это деньги, заработанные незаконным путем с использованием фишинга или вредоносного финансового ПО.

Объявление с предложением работы для "денежных мулов"

Работа "денежного мула" может показаться легким способом зарабатывания денег, некоторые "сотрудники" даже уверены, что занимаются абсолютно легитимной деятельностью. Однако закон рассматривает их как соучастников преступления, а не как жертв, попавшихся на удочку злоумышленников. "Мулы" рискуют: их могут выследить и арестовать, особенно если они живут в той же стране, что и жертва.

Привлекать "денежных мулов" выгодно. Во-первых, если и они, и сами злоумышленники действуют в одной стране, то шансы на то, что автоматизированные банковские системы сочтут транзакции подозрительными, весьма незначительны. Во-вторых, преступники могут пользоваться услугами сразу нескольких "мулов" и переводить, например, $50 000 не одной суммой, а разбить ее на десять переводов по $5000. Это снижает вероятность вызвать подозрения и уменьшает потери в случае, если одна или две транзакции все же будут заблокированы.

Естественно, вербуя "мулов", киберпреступники рискуют – они должны быть уверены в своих помощниках. Ведь почти не существует гарантии того, что "мул" не исчезнет вместе с деньгами, переведенными на его счет.

Потери финансовых организаций в результате деятельности киберпреступников растут во всем мире. Установка более надежных систем защиты стоит больших денег, но очевидно, что банкам придется пойти на эти траты. Рассказанное в этой статье наглядно демонстрирует, что однофакторная аутентификация легко преодолевается злоумышленниками: все, что для этого требуется, – это простая программа-кейлоггер для перехвата вводимой с клавиатуры информации. Обнадеживает то, что многие банки, в которых еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать.

Однако сегодня наметилась четкая тенденция: рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению количества вредоносного ПО, способного обойти и этот способ защиты. Это значит, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для писателей вредоносного финансового ПО.

С другой стороны, следует отметить, что большинство банков, использующих в настоящее время двухфакторную систему аутентификации, до сих пор не настроили ее так, чтобы она обеспечивала максимальную степень защиты. Это значит, что создатели систем IT-безопасности могут повысить уровень защиты финансовых организаций, оптимизируя настройки установленной системы.

Тем не менее, у двухфакторной аутентификации существует серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или SMS-сообщений (которые уже применяются некоторыми финансовыми организациями). С помощью SMS-сообщений можно устанавливать ограничение на срок действия кодов авторизации, на доступные для совершения транзакции номера счетов, на максимально допустимую сумму транзакции.

Очевидно, что у последнего метода есть потенциальные недостатки – его широкое использование приведет к тому, что вирусописатели будут создавать вредоносные программы для устройств, которые принимают SMS-сообщения. И в этом случае криптографическое устройство доступа – хорошее решение, поскольку установить какое-либо дополнительное программное обеспечение на него невозможно. В идеале такое устройство должно иметь отдельные алгоритмы для входа на сайт и для подтверждения транзакции.

В настоящее время при подтверждении транзакции от пользователей требуется криптографическая верификация. Но проблема в том, что коды верификации не несут для пользователя никакой смысловой нагрузки. Поэтому для каждой транзакции нужно проводить дополнительную верификацию. Использование для этого суммы транзакции –не самый безопасный способ, поскольку некоторые троянские программы уже "справляются" с этим механизмом, изменяя номер счета вместо проведения дополнительных транзакций.

Верификация, обеспечивающая должный уровень безопасности, могла бы включать в себя требование к пользователю ввести реквизиты счета, на который он хочет перевести деньги, т.е. ту информацию, которой нет у вредоносных программ и у киберпреступников. Преимущество такого сценария в том, что пользователь самостоятельно вводит номер счета. Теоретически это означает, что у него больше шансов обнаружить подложную транзакцию, чем в том случае, если бы он просто вводил данные, присланные в SMS-сообщении.

Кроме того, подобный механизм можно сделать более удобным для пользователя, предусмотрев возможность создания белого списка номеров счетов, для доступа к которым не требуется дополнительная аутентификация. Однакоэто потребует защиты как самого белого списка, так и для процедуры доступа к нему.

Очевидно, что многое зависит от самих финансовых организаций и банков, от их желания принимать надлежащие меры защиты. Обеспечение безопасности интернет-банкинга – сравнительно новая проблема, и на создателей антивирусного ПО в этой связи ложится дополнительная ответственность: способны ли решения для защиты от информационных угроз обнаруживать последние варианты современных вредоносных финансовых программ, в состоянии ли они заблокировать фишинг-атаки?

И последнее, но не менее важное: любая система или процедура безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В данном случае это пользователь. Станет ли он проходить по ссылке или запускать приложение? Установлены ли в его системе все необходимые обновления? Часть финансовых организаций уже учитывают эти факторы, а некоторые (например, в Новой Зеландии) даже отказываются возмещать убытки, если в системе, подвергшейся атаке, не были установлены все необходимые обновления.

К сожалению, опыт показывает, что попытки обучения пользователей не слишком продуктивны и что меры безопасности, принимаемые организациями, часто бывают бессистемными. Следовательно, когда дело доходит до атак на банки, антивирусная индустрия вновь оказывается на передовой, защищая как пользователей, так и финансовые организации.

Общая информация. Важно знать.
Что же это такое фаерволл и зачем он нужен. Фаерволл (англ. - FireWall) - это программа предназначенная для защиты вашего компьютера от несанкционированного вторжения какого-нибудь хакера Пупкина из сети\интернета, от просто от гуляющих вредоносных пакетов замедляющих работу в интернете, червей, некоторых типов вирусов пользующихся дырами в системе безопасности ОС(операционной системы).

В общем то, что не дает получить доступ к вашему компьютеру без вашего ведома, а соответственно не позволяет нанести вред Вашему железному другу и Вам самим.

Зачем это нужно?
Помимо защиты от внешних вторжений весьма важен аспект контроля за программами. Поставили Вы скажем какую-то малоизвестную(новую) Вам программу, а тут фаерволл вам сообщает, что мол так и так, она пытается соединиться с таким-то сайтом и что-то там скачать или с сайта пытаются соединиться с ней и что-то с помощью неё сделать на Вашем компьютере. И вот благодаря всё тому же фаерволлу Вы сможете сразу это дело остановить или наоборот разрешить, если уверены в собственной безопасности. Без фаерволла же кто знает что может случиться: например, в описанной Выше ситуации в самом безобидном случае будет впустую потрачен Ваш трафик(причем очень может быть весьма огромный, т.к. Ваш компьютер могут использовать с целью рассылки вирусов, спама и тд и тп), а в случае пострашнее были украдены Ваши пароли от сайтов, кошельков и всего остального.
Вообще самое главное, что делает фаерволл - это защищает открытые порты от сканирования и доступа к ним, в противном случае злоумышленник может легко получить доступ к Вашему компьютеру и делать на нём всё что угодно получая доступ к любой информации. Читая эти строки вот процентов 80%-90% пользователей спросят: “а кому нафих сдался мой компьютер, зачем получать к нему доступ, качать с него информацию, рассылать спам, замедлять мою работу и вообще вредить, если они меня даже не знают?” Ответ прост: затем же, зачем некоторые люди пишут и распространяют вирусы, а именно просто, чтобы навредить, или проверить свой навык в данной области. Такие уж они люди.

Чем и как защитить себя?
Ну вообще в ОС семейства Windows есть встроенный брандмауер(что-то вроде фаерволла), но толку от него, откровенно говоря, не очень много.
Вообще рынок фаерволлов довольно развит и существует их огромное множество, но я советую Вам пользоваться неплохим фаерволлом ZoneAlarm о котором, собственно и пойдет речь в этой сатье. Платная его версия умеет удалять вирусы, spyware и ряд других гадостей, но на мой взгляд она довольно громоздка и тормозит систему, да и на каждое дело должна быть отдельная программа. А вот бесплатная его версия, которая представляет собой только фаерволл - это, на мой взгляд, чудесное сильное решение и отличный выбор.