Бухгалтерия

Ловушка для главбуха: как взламывают сайты, чтобы красть деньги со счетов

Криминалисты Group-IB рассказывают о результатах своего расследования о кибепреступниках, которые пытаются украсть деньги со счетов пользователей популярных сайтов.
Ловушка для главбуха: как взламывают сайты, чтобы красть деньги со счетов

Криминалисты Group-IB рассказывают о результатах своего расследования о кибепреступниках, которые пытаются украсть деньги со счетов пользователей популярных сайтов. 

В июне 2017 года у одной из столичных компаний похитили со счета деньги. Криминалисты Group-IB приехали в офис фирмы, взяли жесткий диск на экспертизу и провели криминалистическое исследование. Мы узнали, что в тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос — "НДФЛ с доходов получаемых с иностранных компаний когда платить".

Одна из ссылок вела на сайт www.glavbukh.ru. По хронологии видно, что в 03:16 пользователь открыл браузер, через какое-то время зашел на сайт glavbukh.ru, после чего, буквально через считанные секунды, в 03:29, уже сработал вредоносный скрипт, который в итоге загрузил на компьютер пользователя банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги. 

Троян Buhtrap — нам был уже хорошо известен. Долгие годы он использовался разными преступными группами для кражи денег у компаний, банков. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.

В начале 2016 года исходные коды Buhtrap были опубликованы в открытом доступе на хакерском форуме, после чего программа стала использоваться в атаках на юридических лиц уже другими преступниками.

Схема была похожа на ту, что мы наблюдали в случае с www.glavbukh.ru: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов — и, если удавалось найти уязвимости в веб-браузере происходило исполнение PowerShell скрипта, который в свою очередь загружал уникальный загрузчик, который впоследствии загружал банковский троян.

Но сначала он действовал по алгоритму: проверял, что зараженная машина интересна для дальнейшей эксплуатации – в частности, что с нее осуществляется работа с системами дистанционного банковского обслуживания (ДБО). Он осуществлял поиск исполняемых файлов ДБО, проверку директорий и истории веб-браузера. И только если хотя бы один из пунктов срабатывал, загружался Buhtrap. 

Что произошло с Главбухом?

Расследуя июньский кейс, мы поняли, что при посещении сайта www.glavbukh.ru некоторым пользователям загружался банковский троян. Наши специалисты стали выяснять, откуда производилась загрузка вредоносного PowerShell-скрипта и довольно быстро нашли источник — ресурсы virtual-earth.de и tsitu.be. Фактически это сайты-пустышки, которые использовались преступниками.

Используя специальные техники, мы выяснили, откуда еще шел трафик на эти ресурсы и установили 16 сайтов в России и на Украине. Этот список, конечно, неполный, но и он впечатляет: здесь и федеральные общественно-политические издания, и профильные сайты для бухгалтеров, юристов, директоров. 

Трафик, то есть посетителей, с популярных сайтов на вредоносные ресурсы перенаправляют специальные люди — трафферы. Они могут зарабатывать и на серых схемах, когда направляют трафик на рекламные сайты (как было в случае с авиакомпаниями), и черных схемах, когда "льют траф" на вредоносные ресурсы, с которых загружаются трояны, ворующие деньги.

Бизнес-трафик ценится дороже, так что если преступники хотят распространять банковский троян, им не нужен трафик с порно-сайтов, а нужны состоятельные посетители банковского ресурса — бухгалтера и юристы. А троян Buhtrap ориентирован именно на корпоративный сектор.

Пример объявления на подпольном хакерском форуме о продаже доступа к сайту Glavbukh в 2012 году.

Мы, как Threat Intelligence компания, наблюдаем, как уже многие годы киберпрестпуники используют для заражения одни и те же ресурсы. Например, еще в 2012 году на хакерских форумах продавали доступ к ресурсу Главбух за $5000. Продавец отмечал, что это качественный бизнес трафик — «50 000 пользователей и все бухгалтера».

В 2014 году на форумах продавали доступ ко взломанному ресурсу Клерк.ру (мы предупреждали администрацию ресурса об этой опасности). В 2015 году ресурсы forum.glavbukh.ru и glavbukh.ru фигурировали в расследовании инцидентов — преступники заражали компании трояном Lurk. Разумеется, мы предупреждаем об этой опасности наших клиентов - банки, крупные компании, госорганы. 

Заражения тем не менее продолжались. Почему так сложно детектировать и остановить траферов? Имея доступ к взломанному ресурсу, злоумышленники внедряют кусочек кода-скрипта, который перенаправляет пользователей на вредоносный сайт. Трафик льют не постоянно, а включают эту функцию на 1-3 часа в пиковые часы — это позволяет злоумышленникам оставаться незамеченными долгое время. 

Но справиться с этим, разумеется, можно, регулярно проводя аудит всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов. 86% из них содержат как минимум одну критическую уязвимость. Наша позиция в этом вопросе довольно жесткая. Мы считаем, что пора вводить ответственность за безрассудное отношение к информационно безопасности. Ведь именно эти сайты способствовали распространению банковских троянов и хищению денег у их посетителей. 

Хищения в ДБО

Первые масштабные хищения в системах ДБО начались в России в 2007 году. Когда суммы хищений стали достигать миллионов долларов, участники группировок, которые занимались "обналичкой", привлекли внимание оргпреступности — процент за вывод денежных средств мог достигать 50%. В прошлом году ежедневно происходило до 8 успешных атак, в результате которых в среднем злоумышленники похищали 3,8 млн рублей. 

Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа. 

Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России. 

Кто виноват и что делать?

Понять, что его сайт скомпрометирован зачастую не сможет даже опытный администратор, не говоря уже о простом пользователе. Безусловно, если владельцы ресурса уделяют достаточное внимание вопросам безопасности, своевременно обновляют CMS и плагины, то риск компрометации значительно снижается. Но полностью исключить ее проведением простых профилактических мероприятий, к сожалению, нельзя. Это специальная и достаточно специфическая область знаний информационной безопасности, которая постоянно видоизменяется, ведь преступники не стоят на месте, постоянно придумывая новые способы проведения атак. 

Для того, чтобы минимизировать риски компрометации веб-сайта мы предлагаем следующий комплекс мероприятий: 

1

Проводить регулярное «техническое обслуживание» ресурса – своевременно устанавливать обновления, отслеживать корректность работы, регулярно проводить аудит информационной безопасности собственными силами или с привлечением сторонних специалистов. 

2

Если у администратора нет базовых знаний по информационной безопасности, провести для него дополнительное обучение.

Это позволит если не справиться с возникшей проблемой самостоятельно, то по крайней мере своевременно выявить ее наличие и начать принимать меры.

3

Если собственных знаний для решения проблемы недостаточно, то лучшим вариантом станет обращение к профессионалам – это может быть как консультация, так и заказ определенной услуги «под ключ».

Чего категорически НЕ стоит делать, так это надеяться на то, что проблема «рассосётся» сама. Наша практика показывает, что вероятность такого исхода стремится к 0.

4

Для того, чтобы знать о готовящихся атаках заранее, необходимо выходить за пределы собственного периметра и получать информацию об угрозах, преступных группах, их тактике и используемых инструментах. В нашей терминологии это называется киберразведка (Threat Intelligence).

Помните, что от того, насколько внимательно и профессионально вы относитесь к подобным вопросам, зависит безопасность тех, кто вам доверяет: ваших клиентов, пользователей, читателей.

Комментарии

11
  • Марина Снеговская

    Аноним, Вы писали:

    Чет падазрительна... Похоже на то, что клерк очерняет главбух в своих каких-то коммерческих и конкурентных целях. А иначе почему только о нем идет речь, если выявили аж 16 сайтов таких? Все бы и писали их в статье.

    Обратите внимание, что статья из источника. С сайта компании, которая проводила свое исследование.

  • Борис Мальцев
    Аноним, да про клерк тоже есть в статье. Я думаю, статья даже скорее несет репутационные потери для Клерка. Со многими фактами мы не согласны. Но для бухгалтеров эта статья будет полезна. Поэтому мы ее опубликовали.

  • Victoria в
    для бухгалтеров эта статья будет полезна

    Без сомнений полезна.

    Спасибо за информирование.

    А ресурс Главбух, который так рьяно защищает Аноним, пусть поменьше себя навязывает.

Мошенничество

Раскрыта мошенническая схема с бесплатным Wi-Fi

Посетители московских аэропортов столкнулись c одной из мошеннических схем: попытались подключиться к Wi-Fi и лишились телеграм-аккаунта.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора
Банки

Банки будут платить повышенную ставку в фонд страхования вкладов

Размер повышенной дополнительной ставки составит 300% от базовой. С первого квартала 2022 года дополнительная ставка была нулевой.

Регулятор Гонконга сообщил, что банки региона не обязаны следовать антироссийским санкциям

Первый официальный дебош против вторичных санкций США.

Лучшие спикеры, новый каждый день

Патентные поверенные из новых регионов могут не оплачивать экзамены

Путин принял закон о льготном периоде аттестации патентных поверенных. Он продлится до 1 января 2026 года.

Социальные предприниматели заработали больше 102 млрд рублей

Выручка индивидуальных предпринимателей, который работают в социальной сфере, составила 17,9 млрд рублей, а юридических лиц — 84,6 млрд.

Президент подписал закон о запрете передавать коллекторам долги по ЖКХ

Коллекторов и других третьих лиц запретят привлекать для взимания с граждан долгов за жилищно-коммунальные услуги.

Опытом делятся эксперты-практики, без воды

Считаем все: просмотры, открытия дочитывания

Коллеги, с 14 часов сегодняшнего дня мы ввели новые метрики: просмотра анонса статьи и открытия статьи.

Считаем все: просмотры, открытия  дочитывания
5
Ипотека

Многодетным продлят выплаты на погашение ипотеки

Многодетные семьи до конца 2030 года будут получать 450 000 рублей на погашение жилищного кредита.

Бесплатно с Социальный вычет

Какие изменения по вычетам произошли в 2024 году и как они влияют на получение вычетов. Мини-курс

В мини-курсе рассказываем, как изменился порядок подтверждения расходов для получения социальных налоговых вычетов по НДФЛ с 1 января 2024.

Какие изменения по вычетам произошли в 2024 году и как они влияют на получение вычетов. Мини-курс
Ведение бизнеса

Для малого бизнеса в сельском хозяйстве введут дополнительные меры поддержки

Президент поручил правительству разработать дополнительные меры поддержки сельскохозяйственных товаропроизводителей.

Налог на прибыль

Переход на авансы по фактической прибыли в 2024 году

Отечественные компании имеют возможность переходить на уплату авансов по налогу на прибыль исходя из фактической прибыли. Кто может это сделать и в каком порядке, рассказывается в нашей статье.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру

Каждый четвертый предприниматель моложе 35 лет

5,2 млн молодых людей зарегистрированы в качестве самозанятых, а предпринимательскую деятельность через ИП ведет 1 млн человек в возрасте до 35 лет.

Миникурсы, текстовые и видеоинструкции для бухгалтеров

Последний рывок перед майскими: проверьте, все ли отчеты вы сдали в СФР и налоговую. 📅«Ночной бухгалтер» № 1669

До длинных выходных придется пережить еще более длинную рабочую неделю. Но перед тем, как отправится на шашлыки, или просто хорошенько отоспаться, нужно закончить важные бухгалтерские дела — проверяйте, все ли отчеты сдали, правильно ли рассчитали и оплатили отпуска сотрудникам в межпраздничные дни. И, конечно, другие новости для бухгалтера за сегодня.

Иллюстрация: Создано при помощи ИИ playground.com / Балаклицкая Елена
Обзоры новостей

⚡️ Итоги дня: кабмин отменил постановление 1933 года, в Курске отказались от ЕГЭ, а россияне готовятся к шестидневной рабочей неделе

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Онлайн-кассы

Какую онлайн-кассу выбрать для бизнеса

С 2021 года практически любой предприниматель обязан рассчитываться с покупателями и клиентами через онлайн-кассу. На рынке сразу появился десяток компаний, которые продают и настраивают устройства. Рассказываем, какое есть оборудование, как предпринимателю сделать выбор и кому все-таки онлайн-касса не нужна.

Иллюстрация: Вера Ревина/Клерк.ру
Пенсии

Может ли военный пенсионер получать гражданскую пенсию

Получать гражданскую пенсию вместе с военной можно, но только если соблюдено несколько условий.

Налоговые споры

Дробление бизнеса: 15 апреля суд вынес решение по делу Блиновской

Арест имущества и помещение под стражу Елены Блиновской всколыхнули мир инфобизнеса. Налоговые претензии к королеве марафонов составили более миллиарда рублей.

Иллюстрация: Вера Ревина/Клерк.ру
Банки

Суд ликвидировал банк «Гефест»

У банка «Гефест» отозвали лицензию 28 февраля 2024 года. Агентство по страхованию вкладов выплатило вкладчикам 93% компенсаций.

Бесплатно с Хранение документов

Сроки хранения электронных документов в 2024 году

Разберем, сколько нужно хранить налоговые, бухгалтерские и кадровые документы в электронном формате.

Сроки хранения электронных документов в 2024 году

Интересные материалы

Экономика России

Для биотехнологий введут налоговые стимулы

Путин поручил правительству принять меры налогового стимулирования для развития биотехнологий.