Тренд смещения интересов хакеров с банков на их клиентов порождает новые идеи для поиска жертв. Group-IB сообщила о выявлении группы из пяти полноценных бухгалтерских сайтов, созданных специально для хищения средств через систему «банк—клиент». По оценкам экспертов, подобный профильный «контент» потенциально может приносить злоумышленникам до 1,2 млн руб. в день. И пока банки с трудом могут защитить клиентов.
Group-IB сообщила о выявлении и блокировке сети из пяти бухгалтерских сайтов, целью создания которых было заражение посетителей банковскими троянами Buhtrap и RTM. Жертвами атак стали бухгалтеры, юристы и другие специалисты, работающие с системами дистанционного банковского обслуживания (ДБО). По оценке Group-IB, три ресурса, появившиеся в апреле, уже посетило не менее 200 тыс. человек.
Схема была раскрыта после попытки загрузки вредоноса в одном из российских банков. В ходе расследования установили, что троян загружался с профильного бухгалтерского ресурса buh-docum.ru, содержащего сотни специализированных документов для бухгалтеров. Ресурс регулярно появлялся в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).
По оценке Group-IB, каждая успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.
Эксперты отмечают, что в данном случае злоумышленники отошли от прежних схем — взлом легального бухгалтерского сайта или создание его клона. Дело в том, что при заражении легально работающего сайта вредонос может выявить его владелец. В результате теперь были созданы полноценные ресурсы с сотнями полезных документов. А как отмечает партнер Energy Consulting Юлия Гладышева, «если бухгалтеру нужен конкретный документ, которого нигде нет, он зайдет на любой сайт, любой форум для получения информации». При этом, по словам главного редактора «Клерк.ру» Марины Снеговской, попасть в топ запросов поисковика довольно просто, зная механизмы поисковой оптимизации.
По данным Positive Technologies, использование вредоносного программного обеспечения входит в число самых распространенных методов атак (63% всех атак, по статистике за первый квартал 2018 года), причем до 31% всех заражений вредоносным ПО происходит во время посещения зараженного сайта. При этом защищаться от вредоноса в подобных ситуациях должна в первую очередь сама организация.
Банкам же в данном случае крайне сложно защитить своего клиента от хищений. «Мы не можем проконтролировать, посещает ли бухгалтер, на компьютере которого стоит ДБО, сомнительные сайты, скачивал ли он файлы с незнакомых ресурсов, есть ли у него антивирус»,— отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Как заявили в Сбербанке, продукты банка изначально были спроектированы с учетом данной угрозы. Таким образом, даже если на ПК бухгалтера будет установлен вирус, в том числе данного типа, средства клиентов будут защищены.
Вероника Горячева
SIA.RU: Главное
