Банковские трояны: как избежать ограбления


Банковские трояны становятся все более разнообразными и изощренными. Как они работают и как пользователям защитить себя от онлайн-ограбления?
Банковские трояны: как избежать ограбления
Фото: Reuters

Идеальное преступление

 

Банковские трояны помогают киберпреступникам совершать идеальные преступления — похищать средства со счетов ничего не подозревающих жертв, не оставляя практически никаких следов и с минимальным для себя риском. Поэтому неудивительно, что в период с июня по декабрь 2016 года банковские трояны лишь немного отставали от программ-вымогателей в списке самого распространенного вредоносного ПО. А в странах Азиатско-Тихоокеанского региона они далеко обогнали ransomware (от англ. ransom — «выкуп» и software — «программное обеспечение», вредоносное программное обеспечение, предназначенное для вымогательства. — Прим. Банки.ру) по числу атак. Итак, как работают банковские трояны и как пользователям защитить себя от онлайн-ограбления?

 

Кейлоггинг с мулами

 

Во-первых, эти зловреды представляют собой один из самых скрытных типов вредоносного ПО. После того как троян инфицирует устройство, он не будет проявлять никакой активности, пока пользователь не зайдет на сайт онлайн-банка. Дождавшись этого момента, троян активизируется и использует кейлоггинг (фиксацию действий пользователя — например, нажатий клавиш), чтобы похитить имя пользователя и пароль, а затем тайно отправляет эти данные преступникам, осуществляющим атаку. После этого хакеры могут войти в банковскую учетную запись пользователя и переводить деньги на свои счета — обычно через сложную последовательность трансакций с использованием аккаунтов-«мулов» (посредников, которые получают деньги за пособничество), чтобы замести следы.

 

Вор в браузере

 

Многие трояны умеют применять продвинутые тактики атак типа «человек-в-браузере». Например, веб-инъекции или механизмы перенаправления, которые маскируют действия троянов в реальном времени: они незаметно подменяют картинку, которую пользователь видит в браузере. Трансакции как будто бы происходят в обычном режиме, и жертва не замечает кражи. Другие тактики включают отображение подложных страниц с предупреждениями, которые просят пользователя ввести свои учетные данные, а также страниц выхода из учетной записи, когда на самом деле пользователь остается в системе. Цель этих тактик — как можно дольше скрывать действия трояна от пользователей, чтобы киберпреступники могли продолжать похищать средства с их счетов.

 

По данным отчета Check Point 2016 H2 Global Threat Intelligence Trends, самыми распространенными банковскими троянами в мире во втором полугодии 2016 года стали:

 

1. Zeus, атакующий устройства на платформе Windows и часто используемый для кражи банковской информации с помощью технологий типа «человек-в-браузере» — записи нажатий клавиш клавиатуры и фиксации данных, вводимых в формы.

 

2. Tinba, похищающий данные учетных записей пользователя с помощью веб-инъекций. Он активизируется, когда пользователь пытается зайти на сайт своего банка.

 

3. Ramnit, похищающий данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.

 

В действительности в течение всего 2016 года Zeus, Tinba и Ramnit оставались в топ-20 вредоносного ПО и часто оказывались в топ-10 по всему миру, согласно Check Point.

 

Согласно отчету Banking Trojans: from Stone Age to Space Era, помимо давно существующих Zeus, Tinba и Ramnit, набор банковских троянов продолжает пополняться новыми семействами. Так, в 2016 году появились Panda, который использовался во вредоносной атаке на бразильские банки накануне Олимпийских игр — 2016, а также Goznym и Trickbot. Последний получил распространение в основном в Австралии, Великобритании, Индии, Сингапуре и Малайзии.

 

Интересно, что изначально трояны для банков распространялись прежде всего в англоговорящих странах. Это упрощало хакерам работу с кодом и вектором атаки. Однако сейчас эксперты отмечают все больше и больше таргетированных хакерских кампаний в конкретных странах и на разных языках.

 

Мобильный банк: движущаяся мишень

 

Мы также наблюдаем эволюцию мобильных банковских троянов. Зловреды обычно выводят на экране мобильного устройства поддельные уведомления и экраны, когда пользователь пытается работать с приложением. Эти экраны выглядят так же, как страницы входа в банковские приложения. Через них злоумышленники могут похищать учетные данные или перехватывать СМС-сообщения из банка пользователя с кодами доступа, собирая данные, необходимые для одобрения мобильных трансакций.

 

Как защититься

 

Понятно, что, помимо использования специальных решений для защиты от вредоносного программного обеспечения, пользователям нужно быть бдительными в Сети. Это самое слабое место в вопросе сетевой безопасности, так как люди часто не воспринимают и не замечают даже явных признаков мошенничества в Интернете.

 

Вот несколько классических советов, которые сделают использования онлайн- и мобильного банка хоть немного безопаснее.

 

Будьте бдительны, открывая сообщения электронной почты, даже если они по виду пришли из доверенных источников, — не переходите по ссылкам, не открывайте вложения и не включайте макросы в файлах Microsoft Office.

 

Установите комплексное современное решение по безопасности. Высококачественные решения и программы по безопасности (антивирус, антибот, продвинутое предотвращение угроз) защитят вас от разнообразных типов вредоносного ПО и векторов атак.

 

Будьте внимательны к «странностям» поведения сайтов, через которые вы получаете доступ к банковским услугам. Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные. Выдать вредоносную страницу также могут дополнительные поля на страницах входа, которые вы не видели ранее (особенно если в них просят ввести персональные данные или информацию, которую банк спрашивать не должен), изменения дизайна страниц входа и мелкие недостатки и неточности отображения веб-сайта.

 

Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные.

 

Устанавливайте мобильные приложения и особенно банковские приложения только из известных и доверенных источников, таких как Google Play и Apple Store. Это не дает полной гарантии от скачивания вредоносных приложений, но защитит вас от большинства угроз.

 

Создавайте резервные копии самых важных файлов. Держите копию ваших файлов на внешнем устройстве, не подключенном к вашему компьютеру, и в онлайн-хранилище в облаке. Самые распространенные банковские трояны сегодня вслед за фазой хищения информации осуществляют внедрение другого вредоносного программного обеспечения, включая программы-вымогатели, которые могут заблокировать ваши файлы и удерживать до тех пор, пока вы не заплатите выкуп.