上周,卡巴斯基实验室举行了下一次安全分析师峰会。 传统上,该事件会揭示有关由实验室和其他公司的专家发现的最复杂的网络攻击的研究信息。 今天,我们对介绍进行了简要概述,我们将不首先从APT开始,而是从网络空间的财务欺诈开始。 GReAT团队的报告显示,网络上的金钱盗窃已达到一个新的水平,攻击者甚至试图规避先进的反欺诈系统。
如果存在客户端在网络上正常行为的模型,则当攻击者已经可以访问支付系统,在线银行或信用卡信息时,阻止可疑操作:他从哪里到达网络,从哪台计算机,哪个浏览器使用以及以此类推。 总计,即使输入了正确的付款详细信息,也有一百多种不同的间接功能有助于区分银行帐户的真实所有者和网络犯罪分子。 引入这种系统的合乎逻辑的结果是,黑市上出现的不是信用卡号,而是受害者的数字身份的副本。
研究显示了地下交换创世纪商店的例子。 在出版时,有超过6万名数字人物在那里出售。 下面的屏幕截图中的很多示例:
手数是自动计算的; 如果该工具包包含用于网上银行的密码,则价格会更高。 平均价格在5到200美元之间。 购买后,您的数字身份可以通过Chrome插件下载。 如果您在受害者的家乡获得IP地址,那么向银行付款似乎就不会令人怀疑。 对于那些想要保存的人,相同的资源提供了下载一组人工标识符的功能。 该技术非常简单,但听起来却令人印象深刻:它不是密码盗窃,它实际上是在克隆人-到目前为止仅在网络上,并且仅在打击财务欺诈的系统方面。
让我们继续进行APT。 现代针对性攻击的一个明显趋势是破坏半径的减小。 一个很好的例子是
ShadowHammer攻击,理论上可以用华硕硬件攻击成千上万的笔记本电脑和计算机,但实际上,它仅在有限的数百个MAC地址列表中有效。
TajMahal战役(
新闻 ,
研究 )运行着80多个恶意模块,但是很难检测到。 研究人员发现只有一名确诊的受害者-在中亚一个国家的外交使团。 攻击的功能之一是能够从可移动媒体中窃取数据,但只能根据缝入代码中的目标文件列表进行。 攻击越准确,受害者人数越少,工具箱生存的时间就越长-在被防御性决策发现并阻止之前。
监视专家在卡巴斯基SAS会议上(有关
新闻 ,该公司博客上的
帖子)告诉我们有关Exodus间谍软件的信息。 4月初,无国界安全组织小组讨论了该木马:他们在Google Play应用商店中发现了25种间谍软件实用程序版本。 Lookout发现了由官方开发人员证书签名的iOS版Exodus版本。
该程序(包括适用于Android和iOS的版本)已在仿冒意大利和土库曼斯坦移动运营商页面的钓鱼网站上分发。 用户被告知,该软件可能是连接Wi-Fi接入点所必需的。 实际上,该木马可以将手机中的个人信息发送到远程服务器:联系人,照片,视频,GPS数据。 甚至有可能远程打开麦克风。
一项有趣的
研究谈论了(在俄罗斯的熟人)更换SIM卡以用于随后的网络服务访问以及通过网上银行偷钱的问题。 对于巴西,甚至在黑市上也有发行新SIM卡的报价-10至40美元,视运营商而定(名人电话将花费更多)。 在莫桑比克,除传统的在线银行业务外,通常以访问非常流行的(每年营业额达50亿美元)电子支付系统M-Pesa来进行卡替换。 他们以一种相当原始的方式与这种网络犯罪分子作斗争:所有移动运营商都与银行实时交换数据。 这样,您可以使用最近更换了SIM卡的电话号码自动阻止所有付款。 阻止时间很短-最多两天,但足以使受害者检测到问题并恢复访问。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。