La semaine dernière, Kaspersky Lab a organisé la prochaine conférence Security Analyst Summit. L'événement révèle traditionnellement des informations sur l'étude des cyberattaques les plus complexes découvertes par des spécialistes du Laboratoire et d'autres entreprises. Aujourd'hui, nous avons un bref aperçu des présentations, et nous ne commencerons pas avec APT, mais avec la fraude financière dans le cyberespace.
Le rapport de l'équipe GReAT montre que le vol d'argent sur le réseau atteint un nouveau niveau, et les attaquants tentent de contourner même les systèmes antifraude avancés.
Pour bloquer une opération suspecte lorsqu'un attaquant a déjà accès à un système de paiement, à des informations bancaires en ligne ou à des informations de carte de crédit s'il existe un modèle de comportement normal du client sur le réseau: où arrive-t-il sur le réseau, depuis quel ordinateur, quel navigateur utilise et ainsi de suite. Au total, plus d'une centaine de fonctionnalités indirectes différentes aident à distinguer le véritable propriétaire d'un compte bancaire d'un cybercriminel, même si les informations de paiement correctes sont entrées. Une conséquence logique de l'introduction de tels systèmes a été l'apparition sur le marché noir non pas de numéros de cartes de crédit, mais plutôt de copies de l'identité numérique des victimes.
L'étude montre un exemple de l'échange souterrain Genesis Store. Au moment de la publication, plus de 60 000 personnalités numériques y ont été mises en vente. Exemples de lots dans la capture d'écran ci-dessous:
La valeur du lot est calculée automatiquement; si le kit contient un mot de passe pour la banque en ligne, le prix sera plus cher. Le prix moyen est de 5 à 200 dollars. Une fois achetée, votre identité numérique peut être téléchargée via le plugin Chrome. Si vous obtenez l'adresse IP dans la région d'origine de la victime, effectuer des paiements à la banque ne vous semblera pas suspect. Pour ceux qui veulent économiser, la même ressource propose de télécharger un ensemble artificiel d'identifiants. La technologie est assez simple, mais elle semble impressionnante: ce n'est pas un vol de mot de passe, c'est en fait du clonage de personnes - jusqu'à présent uniquement en ligne et uniquement en termes de systèmes de lutte contre la fraude financière.
Passons à APT. Une tendance claire dans les attaques ciblées modernes est la réduction du rayon de destruction. Un bon exemple est l'attaque
ShadowHammer , théoriquement capable de frapper des dizaines de milliers d'ordinateurs portables et d'ordinateurs avec du matériel Asus, mais en fait, elle n'était active que sur une liste limitée de plusieurs centaines d'adresses MAC.
La campagne TajMahal (
actualités ,
recherche ) exploite plus de 80 modules malveillants, mais elle était extrêmement difficile à détecter. Les chercheurs n'ont trouvé qu'une seule victime confirmée - une mission diplomatique dans l'un des pays d'Asie centrale. Parmi les caractéristiques de l'attaque, il y a la possibilité de voler des données à partir de supports amovibles, mais uniquement en fonction de la liste des fichiers d'intérêt cousus dans le code. Plus l'attaque est précise et plus la liste des victimes est petite, plus la boîte à outils est en mesure de survivre - avant d'être détectée et bloquée par des décisions défensives.
Lors de la conférence Kaspersky SAS, des experts de Lookout ont parlé (
nouvelles ,
publication sur le blog de la société) des logiciels espions Exodus. Début avril, le groupe Security Without Borders a
parlé de ce cheval de Troie: il a trouvé 25 versions d'un utilitaire de spyware dans la boutique d'applications Google Play. Lookout a découvert la version d'Exodus pour iOS, signée par le certificat de développeur officiel.
Le programme (à la fois dans la version pour Android et iOS) a été distribué sur des sites de phishing qui imitent les pages des opérateurs mobiles en Italie et au Turkménistan. Les utilisateurs ont été informés que le logiciel était censé être nécessaire pour se connecter aux points d'accès Wi-Fi. En fait, le cheval de Troie pourrait envoyer des informations personnelles du téléphone au serveur distant: contacts, photos, vidéo, données GPS. Il y avait même la possibilité d'allumer le microphone à distance.
Une
étude intéressante parle des problèmes (des connaissances en Russie) avec le remplacement d'une carte SIM pour un accès ultérieur aux services réseau et le vol d'argent via les services bancaires en ligne. Pour le Brésil, il y a même des cotations sur le marché noir pour l'émission d'une nouvelle carte SIM - de 10 à 40 dollars, selon l'opérateur (les téléphones de célébrités coûteront plus cher). Au Mozambique, une carte est généralement échangée dans le but d'accéder au système de paiement électronique très populaire (5 milliards de dollars de chiffre d'affaires par an) M-Pesa, en plus des services bancaires en ligne traditionnels. Ils y luttent contre un tel cybercriminel d'une manière assez originale: tous les opérateurs mobiles en temps réel échangent des données avec les banques. Cela vous permet de bloquer automatiquement tous les paiements en utilisant le numéro de téléphone pour lequel la carte SIM a récemment été remplacée. La période de blocage est courte - jusqu'à deux jours, mais suffisante pour que la victime détecte un problème et rétablisse l'accès.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.