Letzte Woche veranstaltete Kaspersky Lab die nächste Konferenz zum Security Analyst Summit. Die Veranstaltung enthüllt traditionell Informationen über die Untersuchung der komplexesten Cyber-Angriffe, die von Spezialisten des Labors und anderen Unternehmen entdeckt wurden. Heute haben wir einen kurzen Überblick über die Präsentationen und werden nicht mit APT beginnen, sondern mit Finanzbetrug im Cyberspace.
Der Bericht des GReAT-Teams zeigt, dass der Diebstahl von Geld im Netzwerk ein neues Niveau erreicht und Angreifer versuchen, selbst die fortschrittlichen Betrugsbekämpfungssysteme zu umgehen.
So blockieren Sie einen verdächtigen Vorgang, wenn ein Angreifer bereits Zugriff auf ein Zahlungssystem, Online-Banking oder Kreditkarteninformationen hat, wenn es ein Modell für das normale Verhalten des Clients im Netzwerk gibt: Wo gelangt er zum Netzwerk, von welchem Computer, von welchem Browser und usw. Insgesamt helfen mehr als hundert verschiedene indirekte Merkmale dabei, den tatsächlichen Eigentümer eines Bankkontos von einem Cyberkriminellen zu unterscheiden, selbst wenn die korrekten Zahlungsdetails eingegeben werden. Eine logische Folge der Einführung solcher Systeme war das Auftreten von nicht Kreditkartennummern, sondern Kopien der digitalen Identität der Opfer auf dem Schwarzmarkt.
Die Studie zeigt ein Beispiel für den unterirdischen Austausch Genesis Store. Zum Zeitpunkt der Veröffentlichung wurden dort über 60.000 digitale Persönlichkeiten zum Verkauf angeboten. Beispiele für Lose im folgenden Screenshot:
Der Loswert wird automatisch berechnet. Wenn das Kit ein Passwort für das Online-Banking enthält, ist der Preis teurer. Der durchschnittliche Preis liegt zwischen 5 und 200 Dollar. Nach dem Kauf kann Ihre digitale Identität über das Chrome-Plugin heruntergeladen werden. Wenn Sie die IP-Adresse in der Heimatregion des Opfers erhalten, erscheint es nicht verdächtig, Zahlungen an die Bank zu leisten. Für diejenigen, die speichern möchten, bietet dieselbe Ressource das Herunterladen eines künstlichen Satzes von Kennungen. Die Technologie ist recht einfach, aber sie klingt beeindruckend: Es handelt sich nicht um einen Passwortdiebstahl, sondern um das Klonen von Personen - bisher nur online und nur in Bezug auf Systeme zur Bekämpfung von Finanzbetrug.
Fahren wir mit APT fort. Ein klarer Trend bei modernen gezielten Angriffen ist die Verringerung des Zerstörungsradius. Ein gutes Beispiel ist der
ShadowHammer- Angriff, der theoretisch Zehntausende von Laptops und Computern mit Asus-Hardware treffen kann, aber tatsächlich nur auf einer begrenzten Liste von mehreren hundert MAC-Adressen aktiv war.
Die TajMahal-Kampagne (
Nachrichten ,
Forschung ) betreibt mehr als 80 bösartige Module, war jedoch äußerst schwer zu erkennen. Die Forscher fanden nur ein bestätigtes Opfer - eine diplomatische Mission in einem der zentralasiatischen Länder. Zu den Merkmalen des Angriffs gehört die Möglichkeit, Daten von Wechselmedien zu stehlen, jedoch nur gemäß der Liste der in den Code eingenähten Dateien von Interesse. Je genauer der Angriff und je kleiner die Liste der Opfer ist, desto länger kann die Toolbox überleben - bevor sie durch Verteidigungsentscheidungen erkannt und blockiert wird.
Lookout-Experten berichteten (
Nachrichten , ein
Beitrag im Blog des Unternehmens) auf der Kaspersky SAS-Konferenz über die Exodus-Spyware. Anfang April
sprach die Gruppe "Sicherheit ohne Grenzen" über diesen Trojaner: Sie fanden 25 Versionen eines Spyware-Dienstprogramms im Google Play App Store. Lookout entdeckte die Version von Exodus für iOS, die vom offiziellen Entwicklerzertifikat signiert wurde.
Das Programm (sowohl in der Version für Android als auch für iOS) wurde auf Phishing-Sites verbreitet, die die Seiten von Mobilfunkbetreibern in Italien und Turkmenistan nachahmen. Die Benutzer wurden darüber informiert, dass die Software angeblich erforderlich ist, um eine Verbindung zu Wi-Fi-Zugangspunkten herzustellen. Tatsächlich könnte der Trojaner persönliche Informationen vom Telefon an den Remote-Server senden: Kontakte, Fotos, Videos, GPS-Daten. Es bestand sogar die Möglichkeit, das Mikrofon aus der Ferne einzuschalten.
Eine interessante
Studie befasst sich mit den Problemen (von Bekannten in Russland) beim Ersetzen einer SIM-Karte für den späteren Zugriff auf Netzwerkdienste und beim Diebstahl von Geld über Online-Banking. Für Brasilien gibt es sogar Angebote auf dem Schwarzmarkt für die Ausgabe einer neuen SIM-Karte - von 10 bis 40 Dollar, je nach Telekommunikationsbetreiber (Telefone berühmter Persönlichkeiten kosten mehr). In Mosambik erfolgt die Kartenersetzung normalerweise mit dem Ziel, zusätzlich zum traditionellen Online-Banking auf das sehr beliebte elektronische Zahlungssystem M-Pesa (5 Milliarden US-Dollar Umsatz pro Jahr) zuzugreifen. Dort kämpfen sie auf ziemlich originelle Weise gegen einen solchen Cyberkriminellen: Alle Mobilfunkbetreiber tauschen in Echtzeit Daten mit Banken aus. Auf diese Weise können Sie alle Zahlungen automatisch unter Verwendung der Telefonnummer sperren, für die die SIM-Karte kürzlich ersetzt wurde. Die Sperrfrist beträgt bis zu zwei Tage, reicht jedoch aus, damit das Opfer ein Problem erkennt und den Zugriff wiederherstellt.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.