Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru
17 февраля 2017

Опасный вирус угрожает российским компаниям

Специалисты «Лаборатории Касперского» рассказали о новой технологии хакерских атак, которая угрожает, в первую очередь, мелкому и среднему бизнесу. Хакеры изменяли данные в документах, которыми обмениваются банковские и бухгалтерские системы, это позволило украсть около 200 млн рублей.

Как работает мошенническая схема

Хакеры использовали троянскую программу Trojan-Banker.Win32.TwoBee.gen, чтобы редактировать текстовые документы. Эксперты по безопасности обнаружили ее в конце 2016 года и утверждают, что атакам подверглось множество серьезных организаций.

Пример формата текстового документа

Ранее подход уже использовали – данные подменял троян Carberp. С приходом в системы функций шифрования процесс усложнился, однако методика часто срабатывает.

Для файлов обычно задаются стандартные имена, и найти их очень легко, к тому же данные имеют простой формат выгрузки. До того, как деньги отправятся по указанным реквизитам, информация о переводах сохраняется в этих файлах. Троянская программа TwoBee изменяет получателя платежа – это несложно, так как формат не защищен.

TwoBee, как правило, устанавливается с помощью BuhTrap или других программ, а  также с помощью средств удаленного администрирования – LiteManager и пр. Используется три блока: один запускает троян, второй подменяет реквизиты, третий удаляет вредоносное ПО. Для подмены реквизитов уже написаны десятки модулей.

Атаке подверглись преимущественно российские компании:

Эксперты утверждают, что для борьбы с мошеннической схемой необходимо внедрять системы шифрования документов в финансовых программах. Защищенные выгрузки серьезно усложнят процесс подмены реквизитов.

Расскажите о новом способе кражи денег друзьям — нажмите на кнопки ниже
Отписаться от рассылки
Подписаться на рассылку
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
36
S.K.
В ответ на комментарий от Xenos WIGHT История переписки15
Xenos WIGHT
Вы говорите про решение задачи в общем случае, я говорю про конкретный частный случай - текстовый файл определённого формата, для которого нужно определить, изменён он или нет. Ну вот возьмём простой алгоритм MD5, взломостойкость которого, как вы говорите, равна нулю. Теоретически можно подобрать такие входные данные, которые дадут точно такую же контрольную сумму. Например, брутфорсом или перебором по словарю. Для подбора пароля сгодится, но вот незадача - в данном случае нужно получить файл определённого формата, чтоб клиент-банк его проглотил, да ещё с определёнными данными, чтоб и пользователь не заметил явной подмены, и украденные деньги ушли куда надо. И самый цимес - сделать это нужно за те несколько секунд, в течение которых пользователь переключается на другое окно для загрузки файла. Это нереально даже для MD5, не то что для более современных алгоритмов.
СсылкаПожаловаться
Я говорю о том, что у Вас нет теоретической подготовки. Всё, что Вы пишете - это попытки решения задачи методами где-то 12-летней давности. Давно уже написаны и успели наделать шума трояны, которые действуют именно так, как я рассказываю - с подборами хешей, с подменой данных. Причем даже в банковской сфере, где защита всегда на порядки лучше, чем у тётеньки-бухгалтера, которая вообще компьютера боится и универсальная фраза которой "я бухгалтер, а не программист". Давно уже разработаны и широко применяются методики защиты от таких атак - в том числе так, как я пишу, но не исключительно (статья как раз про вариант, где создается доверенная среда в которой нет атак MITM).
СсылкаПожаловаться
Xenos WIGHT
В ответ на комментарий от S.K. История переписки14
S.K.
Вы знаете слова, но не знаете, что они означают. "Контрольная сумма" в пару десятков символов брутфорсится без каких-либо усилий. Почему? Очень просто. Контрольная сумма есть хеш-функция. А у хеш-функций есть понятие коллизий. Взломостойкость коротких хешей равна нулю. Поэтому стойкие хеши имеют длину в несколько сот байт и более. Вот Вам и "глазки пользователя". А теперь попробуем решить эту зажачу еще раз, но с учётом сказанного. Нужно вычислить стойкий хеш и обеспечить его целостность. Вычисляем его длиной хотя бы 512 байт и шифруем на открытом ключе какой-либо асимметричной криптографией, совсем не обязательно сертификатной. Полученное запишем в файл. Вуаля - модификация файла приведет к несовпадению хешей, а шифрование хеша гарантирует, что троян не сможет его использовать для подмены данных, равно как и подменить сам хеш. А знаете, как такое простое и надежное средство защиты данных называется? Электронная подпись. В общем, дальше сами найдете. Как я уже говорил раньше - у меня нет желания читать весь теоретический курс, а Ваша проблема в том, что Вы абсолютно не знаете теоретической базы. Те, кто пишут трояны для атак на финансовые системы, знают их очень хорошо. И да - я знаю, что Вы совершенно некомпетентны. Я не уличаю, я просто констатирую факт.
СсылкаПожаловаться
Вы говорите про решение задачи в общем случае, я говорю про конкретный частный случай - текстовый файл определённого формата, для которого нужно определить, изменён он или нет. Ну вот возьмём простой алгоритм MD5, взломостойкость которого, как вы говорите, равна нулю. Теоретически можно подобрать такие входные данные, которые дадут точно такую же контрольную сумму. Например, брутфорсом или перебором по словарю. Для подбора пароля сгодится, но вот незадача - в данном случае нужно получить файл определённого формата, чтоб клиент-банк его проглотил, да ещё с определёнными данными, чтоб и пользователь не заметил явной подмены, и украденные деньги ушли куда надо. И самый цимес - сделать это нужно за те несколько секунд, в течение которых пользователь переключается на другое окно для загрузки файла. Это нереально даже для MD5, не то что для более современных алгоритмов.
СсылкаПожаловаться
S.K.
Вы знаете слова, но не знаете, что они означают. "Контрольная сумма" в пару десятков символов брутфорсится без каких-либо усилий. Почему? Очень просто. Контрольная сумма есть хеш-функция. А у хеш-функций есть понятие коллизий. Взломостойкость коротких хешей равна нулю. Поэтому стойкие хеши имеют длину в несколько сот байт и более. Вот Вам и "глазки пользователя". А теперь попробуем решить эту зажачу еще раз, но с учётом сказанного. Нужно вычислить стойкий хеш и обеспечить его целостность. Вычисляем его длиной хотя бы 512 байт и шифруем на открытом ключе какой-либо асимметричной криптографией, совсем не обязательно сертификатной. Полученное запишем в файл. Вуаля - модификация файла приведет к несовпадению хешей, а шифрование хеша гарантирует, что троян не сможет его использовать для подмены данных, равно как и подменить сам хеш. А знаете, как такое простое и надежное средство защиты данных называется? Электронная подпись. В общем, дальше сами найдете. Как я уже говорил раньше - у меня нет желания читать весь теоретический курс, а Ваша проблема в том, что Вы абсолютно не знаете теоретической базы. Те, кто пишут трояны для атак на финансовые системы, знают их очень хорошо. И да - я знаю, что Вы совершенно некомпетентны. Я не уличаю, я просто констатирую факт.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru