Na semana passada, a Kaspersky Lab realizou a próxima conferência Security Analyst Summit. Tradicionalmente, o evento revela informações sobre o estudo dos ataques cibernéticos mais complexos descobertos por especialistas do Laboratório e de outras empresas. Hoje, temos uma breve visão geral das apresentações e começaremos não com o APT, mas com a fraude financeira no ciberespaço.
O relatório da equipe GReAT mostra que o roubo de dinheiro na rede atinge um novo nível, e os atacantes estão tentando burlar até os sistemas antifraude avançados.
Para bloquear uma operação suspeita quando um invasor já tem acesso a um sistema de pagamento, informações bancárias on-line ou cartão de crédito, se houver um modelo de comportamento normal do cliente na rede: onde ele chega à rede, de qual computador, qual navegador usa e assim por diante No total, mais de cem recursos indiretos diferentes ajudam a distinguir o verdadeiro proprietário de uma conta bancária de um cibercriminoso, mesmo que os detalhes corretos de pagamento sejam inseridos. Uma conseqüência lógica da introdução de tais sistemas foi a aparição no mercado negro de números de cartões de crédito, mas cópias da identidade digital das vítimas.
O estudo mostra um exemplo da troca subterrânea Genesis Store. No momento da publicação, mais de 60 mil personalidades digitais foram colocadas à venda lá. Exemplos de lotes na captura de tela abaixo:
O valor do lote é calculado automaticamente; se o kit contiver uma senha para serviços bancários on-line, o preço será mais caro. O preço médio é de 5 a 200 dólares. Depois de comprada, sua identidade digital pode ser baixada pelo plug-in do Chrome. Se você receber o endereço IP na região de origem da vítima, os pagamentos ao banco não parecerão suspeitos. Para quem deseja salvar, o mesmo recurso oferece o download de um conjunto artificial de identificadores. A tecnologia é bastante simples, mas parece impressionante: não é um roubo de senha, é, de fato, clonar pessoas - até agora apenas online e apenas em termos de sistemas para combater fraudes financeiras.
Vamos para o APT. Uma tendência clara nos ataques direcionados modernos é a redução no raio de destruição. Um bom exemplo é o ataque do
ShadowHammer , teoricamente capaz de atingir dezenas de milhares de laptops e computadores com hardware da Asus, mas na verdade estava ativo apenas em uma lista limitada de várias centenas de endereços MAC.
A campanha TajMahal (
notícias ,
pesquisas ) opera mais de 80 módulos maliciosos, mas foi extremamente difícil de detectar. Os pesquisadores encontraram apenas uma vítima confirmada - uma missão diplomática em um dos países da Ásia Central. Entre os recursos do ataque está a capacidade de roubar dados de mídia removível, mas apenas de acordo com a lista de arquivos de interesse costurados no código. Quanto mais preciso o ataque e menor a lista de vítimas, mais tempo a caixa de ferramentas consegue sobreviver - antes de ser detectada e bloqueada por decisões defensivas.
Especialistas em vigias disseram (
notícias , um
post no blog da empresa) na conferência Kaspersky SAS sobre o spyware Exodus. No início de abril, o grupo Security Without Borders
falou sobre esse Trojan: eles encontraram 25 versões de um utilitário spyware na loja de aplicativos do Google Play. A Lookout descobriu a versão do Exodus para iOS, assinada pelo certificado oficial de desenvolvedor.
O programa (ambos na versão para Android e iOS) foi distribuído em sites de phishing que imitam as páginas das operadoras móveis na Itália e no Turquemenistão. Os usuários foram informados de que o software era supostamente necessário para se conectar aos pontos de acesso Wi-Fi. De fato, o Trojan pode enviar informações pessoais do telefone para o servidor remoto: contatos, fotos, vídeo, dados de GPS. Havia até a possibilidade de ligar remotamente o microfone.
Um
estudo interessante fala sobre os problemas (de conhecidos na Rússia) com a substituição de um cartão SIM para acesso subseqüente a serviços de rede e roubo de dinheiro através de serviços bancários online. Para o Brasil, existem até cotações no mercado negro para a emissão de um novo cartão SIM - de 10 a 40 dólares, dependendo da operadora (os telefones de pessoas famosas custarão mais). Em Moçambique, a substituição de cartões geralmente é feita com o objetivo de acessar o sistema de pagamento eletrônico M-Pesa, muito popular (US $ 5 bilhões por ano), além do tradicional banco on-line. Eles estão lutando contra um cibercriminoso lá de uma maneira bastante original: todas as operadoras de telefonia móvel trocam dados em tempo real com os bancos. Isso permite bloquear automaticamente todos os pagamentos usando o número de telefone pelo qual o cartão SIM foi substituído recentemente. O período de bloqueio é curto - até dois dias, mas suficiente para a vítima detectar um problema e restaurar o acesso.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.