FinCERT (подразделение ЦБ по кибербезопасности) 19 ноября предупредил рынок о рассылке фишинговых писем с вложением вредоносного программного обеспечения от имени банка «Юнистрим» другим кредитным организациям.
Хакеры выводили средства в систему денежных переводов UNIStream, просто подменяя получателя средств, размер ущерба оценивается как существенный, но не раскрывается, пишет «Коммерсант».
FinCERT подчеркнул, что адрес отправителя вредоносов [email protected] является легальным почтовым адресом банка.
Письма по кредитным организациям рассылались с заголовком «Попытки хищений».
Регулятор настоятельно рекомендует банкам удалять всю входящую корреспонденцию от кредитной организации, обновить антивирусные базы, контролировать соединения с приведенными в рассылке IP-адресами и т. д.
Как сообщили газете в «Лаборатории Касперского», в рассылке содержался файл *.scr, который после загрузки обращается в Интернет для последующего скачивания еще одного вредоноса.
В данном случае имела место не мимикрия под действующую организацию, а реальный взлом банка, причем уже второй раз в этом году.
По информации издания, в начале октября хакерам, предположительно из группировки «Кобальт», удалось вывести средства из банка через платежные системы. Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку, с помощью которой хакерам удалось похитить средства (сумма неизвестна).
Повторное заражение банка побудило FinCERT предупредить об атаках не только банки, но и платежные системы, через которые при данном типе атак выводятся деньги. Дело в том, что, взломав систему, хакеры просто подменяют данные получателя перевода и спокойно забирают средства. Такая схема — редкость. «Нам сообщили, что «Кобальт» занялся системами переводов по новой схеме, — рассказывает собеседник издания на платежном рынке. — Хакеры дважды взломали базу «Юнистрим», причем сделали следующее: прямо в базе по реальным переводам меняли реальное Ф. И. О. на подставное и получали перевод на нужное лицо». Так как переводы крупные, то это более эффективно, чем с картами или платежами, подытожил он.
В самом банке подтвердили первый взлом (октябрьский). «Хакерские атаки иногда происходят, но каких-либо существенных потерь в результате них «Юнистрим» не понес, — сообщил изданию предправления КБ «Юнистрим» Кирилл Пальчун. — Наличие атаки никто не отрицает, но это не значит, что она была успешной». Что же касается ноябрьской истории, то глава банка уверен — проникнуть в банк хакерам не удалось.
Эксперты по информационной безопасности отмечают, что с большой долей вероятности вчерашняя рассылка с почты банка — это результат недостаточно качественного расследования предыдущего случая.
В то же время вчерашний случай несет колоссальные риски не только самому банку, но и другим участникам рынка.
Это не значит, что если заблочили *.scr и спите спокойно.
Будьте бдительны и контролируйте весь входящий поток корреспонденции.
В скором времени выпустим обзорчик бесплатного почтового шлюза, который верой и правдой пашет как первичный шлюз и спасает от 89% пакостей почтового трафика…