Комикс о социальной инженерии и киберпреступниках
Корпорация Symantec сообщает о серии атак с активным использованием методов социальной инженерии. Рассказ Symantec наглядно иллюстрирует комикс и другие графические изображения.
Корпорация Symantec сообщает о серии атак с активным использованием методов социальной инженерии. Рассказ Symantec наглядно иллюстрирует комикс и другие графические изображения.
В действительности инвойс являлся троянской программой удалённого доступа (remote access Trojan, далее — RAT), сконфигурированной для взаимодействия с сервером управления, находившемся на территории Украины. Используя RAT, злоумышленник мгновенно получал контроль над заражённым компьютером секретаря-референта: осуществлял перехват и запись ввода с клавиатуры, вёл наблюдение за рабочим столом, просматривал и незаметно скачивал файлы.
Подобная тактика — электронное письмо, за которым следует звонок человека, выдающего себя за кого-то ещё, — крайне необычный случай и пример агрессивного социального инжиниринга. В мае 2013 года сотрудники группы Symantec Security Response в подробностях описали ход первой подобной атаки, целью которой являлись европейские компании. Дальнейшее расследование позволило выяснить дополнительные подробности об этих финансово мотивированных атаках, продолжающихся и поныне. В одном из случаев злоумышленники, дабы обойти системы защиты от неавторизованного перевода денежных средств, предприняли следующее:
- на первом этапе злоумышленники заразили RAT-вирусом компьютеры организации-жертвы;
- затем они похитили идентификационные данные, включая учётные записи и контактную информацию ответственных за взаимодействие лиц банка и компаний-операторов телекоммуникационных услуг, а также завладели планом восстановления в случае аварий;
- используя украденную информацию, мошенник от имени компании-жертвы звонил в телекоммуникационную компанию, сообщал о якобы произошедшей аварии и просил перенаправить все звонки, идущие на номера компании, на номера, принадлежащие злоумышленнику;
- сразу же вслед за этим злоумышленник направлял по факсу в банк компании-жертвы запрос на перевод крупных денежных сумм на офшорные счета;
- поскольку подобный запрос выглядел необычно, представитель банка запрашивал по телефону подтверждение на перевод согласно стандартной процедуре, однако его звонок перенаправлялся на телефон злоумышленника, который, разумеется, подтверждал транзакцию;
- средства таким образом успешно переводились на офшорные счета и затем отмывались с помощью специальных финансовых приёмов и других счетов.
В другом случае для перевода средств злоумышленникам потребовалось использовать внутреннюю систему компании, в которой защита транзакций строилась на аппаратных ключах с двухфакторной аутентификацией. Здесь злоумышленник действовал иначе:
- выдавая себя за сотрудника IT-отдела, он звонил выбранной жертве — одному из сотрудников компании — и сообщал о том, что для проведения работ по IT-обслуживанию требуется доступ к системе осуществления переводов;
- затем убеждал сотрудника в необходимости отключить монитор его компьютера на время проведения работ, аргументируя это конфиденциальностью данных;
- и пока экран компьютера был выключен, злоумышленник переводил крупные суммы денег на офшорные счета, используя легитимный авторизованный доступ официального сотрудника.
В ещё одной ситуации злоумышленник вообще не использовал вредоносные программы:
- выдавая себя за работника банка, мошенник отправлял настоящему сотруднику электронное письмо, в котором сообщал о грядущей модернизации компьютерных систем банка;
- на следующий день он звонил адресату и, представившись сотрудником того же банка, просил осуществить «тестовый» денежный перевод;
- далее, следуя инструкциям злоумышленника, сотрудник банка переводил средства на офшорный счёт.
Согласно результатам расследования от этих атак пострадали несколько организаций, расположенных во Франции. В большинстве случаев первой жертвой становился секретарь-референт или бухгалтер компании. В случаях, когда намеченная жертва не имела полномочий для перевода средств, злоумышленники использовали её идентификационную информацию для выявления сотрудника, обладающего такими правами, после чего с помощью приёмов социальной инженерии злоумышленники получали контроль над его компьютером.
Атака в движении
Проанализировав электронные письма, а также трафик серверов управления, эксперты компании Symantec смогли определить, что злоумышленники находятся в Израиле или же осуществляют свои атаки через эту страну. К тому же установленные IP-адреса оказались адресами мобильных устройств клиентов одной израильской телекоммуникационной компании. Более того, произведя анализ трафика, специалисты выяснили, что злоумышленники осуществляют атаки из мобильных сетей и используют MiFi-маршрутизаторы.
Проведенный экспертами Symantec анализ трафика показал, что во время осуществления атак злоумышленник перемещался. Такие меры предосторожности крайне усложняют процесс его отслеживания, так как для определения местоположения передвигающегося MiFi-маршрутизатора, требуется работа местной оперативной группы, снабжённой специализированным оборудованием, а также поддержка провайдера мобильной связи для осуществления триангуляции.
Данная серия атак иллюстрирует развитие и усложнение используемых злоумышленниками изощрённых методов, включая и агрессивность социальной инженерии. И в будущем эта тенденция сохранится.
Компания Symantec выражает благодарность команде специалистов Департамента безопасности информационно-телекоммуникационных систем Администрации Государственной службы специальной связи и защиты информации Украины (CERT-UA) за содействие в проведении расследования