Τραπεζική απάτη εναντίον μεγάλης τράπεζας

48

Οι ειδικοί της Ομάδας Παγκόσμιας Έρευνας και Ανάλυσης της KasperskyLabανακάλυψαν στοιχεία που υποδεικνύουν μία στοχευμένη επίθεση ενάντια στους πελάτες μεγάλης Ευρωπαϊκής τράπεζας. Σύμφωνα με τα logsπου εντοπίστηκαν στον serverπου χρησιμοποίησαν οι επιτιθέμενοι, σε διάστημα μόλις μίας εβδομάδας, οι ψηφιακοί εγκληματίες έκλεψαν πάνω από μισό εκατομμύριο Ευρώ από λογαριασμούς της τράπεζας. Τα πρώτα σημάδια αυτής της εκστρατείας ανακαλύφθηκαν στις 20 Ιανουαρίου, όταν οι ειδικοί της KasperskyLabεντόπισαν έναν command & control (C&C) serverστο Διαδίκτυο. Ο πίνακας ελέγχου του serverυπέδειξε τα ίχνη ενός προγράμματος Trojanπου χρησιμοποιούνταν για την κλοπή χρημάτων από τους τραπεζικούς λογαριασμούς των πελατών.

 

Οι ειδικοί εντόπισαν ακόμα αρχεία καταγραφής συναλλαγών στον server, τα οποία περιλάμβαναν πληροφορίες σχετικά με τα χρηματικά ποσά που αποσπάστηκαν από συγκεκριμένους λογαριασμούς. Συνολικά, οι ειδικοί της εταιρείας κατάφεραν να εντοπίσουν περισσότερα από 190 θύματα, τα περισσότερα από τα οποία βρίσκονταν στην Ιταλία και στην Τουρκία. Τα ποσά που κλάπηκαν από κάθε τραπεζικό λογαριασμό, σύμφωνα με τα αρχεία καταγραφής, κυμαίνονταν μεταξύ €1.700 και €39.000.

 

Η εκστρατεία υλοποιούταν για τουλάχιστον μια εβδομάδα όταν ανακαλύφθηκε ο C&Cserver, με ημερομηνία έναρξης τις 13 Ιανουαρίου 2014. Μέσα σε αυτό το χρονικό διάστημα, οι ψηφιακοί εγκληματίες κατάφεραν να κλέψουν περισσότερα από €500.000. Δύο μέρες αφότου η Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της KasperskyLab ανακάλυψε τον C&Cserver, οι εγκληματίες εφαίρεσαν κάθε ίχνος των αποδεικτικών στοιχείων που θα μπορούσαν να χρησιμοποιηθούν για τον εντοπισμό τους. Ωστόσο, οι ειδικοί της εταιρείας πιστεύουν ότι αυτό συνδέεται πιθανώς με αλλαγές στην τεχνική υποδομή που χρησιμοποιείται για την κακόβουλη εκστρατεία και όχι με τον τερματισμό της εκστρατείας Luuuk.

 

«Λίγο αφότου εντοπίσαμε αυτόν τον C&Cserver, επικοινωνήσαμε με την υπηρεσία ασφαλείας της τράπεζας και τις αρχές και υποβάλαμε όλα τα στοιχεία που είχαμε συλλέξει», δήλωσε ο VicenteDiaz, PrincipalSecurityResearcher στην KasperskyLab.

 

Τα κακόβουλα εργαλεία που χρησιμοποιήθηκαν

 

Στην περίπτωση του Luuuk, οι ειδικοί έχουν λόγους να πιστεύουν ότι σημαντικά χρηματοοικονομικά δεδομένα αναχαιτίστηκαν αυτόματα και ότι οι δόλιες συναλλαγές πραγματοποιήθηκαν τη στιγμή που τα θύματα συνδέονταν στους onlineτραπεζικούς λογαριασμούς τους.

 

«Στον C&Cserver που εντοπίσαμε, δεν υπήρχαν πληροφορίες σχετικά με κάποιο συγκεκριμένο πρόγραμμα malwareπου χρησιμοποιήθηκε σε αυτή την εκστρατεία. Ωστόσο, πολλές από τις υπάρχουσες παραλλαγές του Zeus(Citadel, SpyEye, IceIX, κ.ά.) διαθέτουν αυτή την απαραίτητη ικανότητα. Πιστεύουμε ότι το malwareπου χρησιμοποιήθηκε σε αυτή την εκστρατεία θα μπορούσε να είναι μια παραλλαγή του Zeusπου χρησιμοποιεί webinjects στα θύματα», πρόσθεσε ο VicenteDiaz.

 

Σχήματα εκποίησης χρημάτων

 

Τα κλεμμένα χρήματα περνούσαν στους λογαριασμούς των απατεώνων με έναν ενδιαφέροντα και ασυνήθιστο τρόπο. Οι ειδικοί μας κατέγραψαν μια χαρακτηριστική ιδιορρυθμία στην οργάνωση των αποκαλούμενων «διακινητών», όπου όσοι συμμετείχαν στην απάτη συγκέντρωναν μέρος των κλεμμένων χρημάτων σε ειδικά διαμορφωμένους τραπεζικούς λογαριασμούς και αντλούσαν ρευστό μέσω ATM. Υπήρχαν αποδείξεις για αρκετές και διαφορετικές ομάδες «διακινητών», καθεμία από τις οποίες είχε την ευθύνη για διαφορετικά ποσά. Μια ομάδα ήταν υπεύθυνη για τη διακίνηση ποσών μεταξύ €40.000 και 50.000, άλλη ομάδα για πόσα από €15.000 έως €20.000 και μια τρίτη για ποσά που δεν υπερέβαιναν τα €2.000.

 

«Οι διαφορές στα ποσά των χρημάτων που διακινούνταν μέσω των διαφορετικών ομάδων μπορεί να είναι ενδεικτικές των διάφορων επιπέδων εμπιστοσύνης για κάθε τύπο «διακινητή». Γνωρίζουμε ότι τα μέλη αυτών των οργανώσεων συχνά εξαπατούν τους συνεργάτες τους και διαφεύγουν με τα χρήματα τα οποία υποτίθεται ότι θα ρευστοποιούσαν. Τα «αφεντικά» του Luuuk μπορεί να προσπαθούν να προστατευτούν απέναντι σε αυτές τις απώλειες, δημιουργώντας διαφορετικές ομάδες με πολλά επίπεδα εμπιστοσύνης: όσο πιο αξιόπιστός είναι ένας «διακινητής», τόσα περισσότερα χρήματα του ζητούν να διαχειριστεί», σημείωσε ο VicenteDiaz.

 

Ο C&Cserverπου σχετιζόνταν με το Luuukέκλεισε λίγο μετά την έναρξη της έρευνας. Ωστόσο, το επίπεδο πολυπλοκότητας αυτής της Man-in-the-Browserεπιχείρησης υποδεικνύει ότι οι απατεώνες θα συνεχίσουν να ψάχνουν για νέα θύματα. Οι ειδικοί της KasperskyLabσυνεχίζουν την έρευνα γύρω από τις δραστηριότητες του Luuuk.

 

Λύσεις ασφαλείας για το Luuuk

 

Τα στοιχεία που αποκάλυψαν οι ειδικοί της KasperskyLabυποδεικνύουν ότι η εκστρατεία πιθανότατα οργανώθηκε από επαγγελματίες εγκληματίες. Ωστόσο, τα κακόβουλα εργαλεία που χρησιμοποίησαν για να κλέψουν χρήματα, μπορούν να αντιμετωπιστούν αποτελεσματικά από τις τεχνολογίες ασφάλειας. Για παράδειγμα, η KasperskyLabέχει αναπτύξει το KasperskyFraudPrevention, μία πολυεπίπεδη πλατφόρμα που βοηθά τους χρηματοοικονομικούς οργανισμούς να προστατεύουν τους πελάτες τους από τις διαδικτυακές οικονομικές απάτες. Η πλατφόρμα περιλαμβάνει λειτουργίες που προστατεύουν τις συσκευές των πελατών από πολλές κατηγορίες επιθέσεων, συμπεριλαμβανομένων των επιθέσεων Man-in-the-Browser, καθώς και εργαλεία που μπορούν να βοηθήσουν τις εταιρείες να εντοπίζουν και να αποκλείουν τις κακόβουλες συναλλαγές.

 

Περισσότερες πληροφορίες για την εκστρατεία “TheLuuuk”, είναι διαθέσιμες στο blogτης KasperskyLab, στο Securelist.com.

 

Για να μάθετε περισσότερα για τη λύση ασφαλείας της KasperskyLabπου απευθύνεται σε χρηματοοικονομικούς οργανισμούς, μπορείτε να επισκεφθείτε την επίσημη σελίδα του KasperskyFraudPrevention.