Статистика показывает, что процент обнаруживаемого за месяц вредоносного финансового ПО падает, хотя количество самих вредоносных программ, нацеленных на банки, растет. Подавляющее большинство из них распространяется через интернет, поскольку в этом случае у них меньше шансов привлечь к себе внимание антивирусных специалистов, чем при доставке по электронной почте. Кроме того, вредоносное ПО, заражающее компьютеры через интернет, размещается на веб-серверах, а это значит, что код вредоносного файла может быть модифицирован прежде, чем он будет доставлен на компьютер-жертву или систему. Размещение вредоносного кода на удаленном сервере препятствует его анализу и обнаружению антивирусными программами. В прошлом месяце компанией BitDefenderAV был опубликован список из десяти наиболее распространенных вредоносных программ, ознакомится с ним можно по этой ссылке.
Увеличение количества вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Однако кража денег — это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы.
Фишинг. Нескончаемый поток фишинговых писем и распространение наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя «поделиться» своими конфиденциальными данными. Кроме того, киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть беспечного пользователя.
Перенаправление трафика. Технический подход – это модификация специального текстового файла hosts (системный файл Windows) или настроек DNS-сервера для перенаправления трафика на фальшивые сайты, а также размещение троянской программы на компьютере-жертве. Трафик перенаправляется с сайта HTTPS на потенциально незащищенный сайт НТТР. Однако такой трафик нельзя обрабатывать в режиме реального времени. Для того, чтобы это стало возможным, злоумышленники используют атаку Man-in-the-Middle.
Man-in-the-Middle. При подобной атаке используется вредоносный сервер, который перехватывает весь трафик между контрагентами, т.е. между клиентом и финансовой организацией. В более сложном вредоносном финансовом ПО, применяющем эти атаки, также используются HTML-вложения.
Решения. Однофакторная аутентификация легко преодолевается злоумышленниками. Поэтому многие банки, в которых еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать. В любом случае, существует несколько методов, способных усилить современные механизмы защиты или усовершенствовать их.