Хакеры провели «Операцию Эмменталь»

Специалисты Trend Micro опубликовали отчет о разоблаченной ими атаке киберпреступников, получившей название «Операция Эмменталь». Имя, вероятно, связано с тем, что объектом атаки стали клиенты в основном швейцарских банков и их дочерних структур в Австрии, Швеции, Японии и Австралии. Впрочем, возможно, связано оно и дырами, которые, как выясняется присущи не только швейцарскому сыру, но системе безопасности онлайн-банкинга.

Эксперты отдают должное элегантности атаки. На первом ее этапе происходит инфицирование компьютеров жертв через вредоносные вложения и ссылки в фишинговых сообщениях. При этом сам зловред ведет себя нетипичным образом. Он не пытается получить доступ к сохраненным паролям и другой информации пользователей. Вместо этого он устанавливает фальшивый сертификат подлинности SSL и меняет DNS-настройки системы. Таким образом, когда пользователь вводит в браузере адрес своего банка, он переадресуется на поддельную страницу, которая по всем параметрам идентифицируется как подлинная. Причем сам зловред, осуществив перенастройку, полностью удаляет себя из системы, из-за чего антивирусные средства не могут обнаружить атаку.

На втором этапе на фальсифицированной странице банка после ввода имени учетной записи и пароля пользователю предлагается загрузить приложение для смартфонов на платформе Android, якобы необходимое для двухступенчатой идентификации. На деле это приложение перехватывает коды подтверждения и сообщения о движении средств на счете и пересылает их киберпреступникам. После этого хакеры получают полный дистанционный контроль над счетами своих жертв: им известны имена и пароли учетных записей, они получают коды подтверждения от банка и могут снимать со счета любые суммы, блокируя сообщения о транзакциях.

В Trend Micro предполагают, что за атакой стоят хакеры из России, одной из бывших республик СССР либо Румынии.

«Атаки на финансовые институты, как правило, развиваются быстрее всего, так как в случае успеха приносят инициаторам значительный доход. В данном случае возможность получить большие деньги позволила злоумышленникам создать сложную методику, которая использовала сразу несколько несвязанных между собой технических систем и включала элементы социальной инженерии. Это еще одно свидетельство того, что компьютерные атаки давно перестали быть уделом одиночек и превратились в большую самостоятельную индустрию, которая оперирует значительными финансовыми потоками», - сказала заместитель генерального директора Технического центра Интернет Марина Никерова.