О троечниках, или нужно ли быть великим хакером, что бы воровать миллионы?…

  • 03 октября 2016 11:49:24
  • Отзывы : 0
  • Просмотров: 414
  • Автор: Администратор Сайта
  • 0
Я всегда говорил, что прикладное ИБ, как и любое противостояние добра со злом, это не какая то эпичная битва титанов, технологий, или денежных магнатов, а что то вроде матчей дворовых команд, когда победа зависит не от стоимости игроков и от качества травы на газоне, а от того что и сколько пил вратарь вчера вечером, и поехал ли главный нападающий к бабушке на картошку, или все таки выйдет на поле. Это не то что бы воля случая повезет\не повезет, а воля случая кто с кем встретиться в информационном поле…

В пределах одной недели столкнулся с двумя инцидентами, наглядно показывающие соотношение противоборствующих сторон и как результат зависит не от профессионализма команды в целом, а от того с кем играть и от того как «карта ляжет»…

В офисе одной компании «А» ничего не предвещало беды. Все работали в обычном порядке. Раздался звонок, и сотрудник банка, где компания «А» держала свои счета, сообщил о том что была предпринята попытка хищения 6-тизначной суммы денег, но попытка успехом не увенчалась, транзакция заблокирована СБ банка, а бухгалтеру нужно будет зайти к ним в отделение, что бы получить новые ключи для клиент-банка...
В офисе другой компании «Б» беды начались, когда бухгалтер недосчитался 6-тизначной суммы на счету компании. Через несколько дней счет опустел уже на 7-значную сумму… Никто, в том числе и банк, тревогу не забил…
Так что же, получается, что хакеры, атаковавшие компанию «Б», были намного искуснее своих коллег, напавших на компанию «А», раз у них получилось? Отнють… Давайте посмотрим поближе на эти два случая…

В первом случае у компании «А» имеется своя инфраструктура, парк ПК пользователей, несколько серверов приложений, сервер с фаерволом для выхода в интернет, AD, сервер бэкапов, лицензионный антивирус, и админ на все это дело. Однако оказалось, что на ПК бухгалтера был установлен троян с функцией удаленного управления. Точно установить способ инфицирования не удалось, однако известно, что заражение произошло не менее чем полтора месяца назад. Возможно, это было письмо на почту бухгалтера, возможно атака на канальный сервер, и через него уже был получен доступ в AD и на ПК бухгалтера, или заражена одна из ПК пользователей, а потом уже получен доступ на бухгалтерский компьютер. Однако, с его помощью были получены ключи подписи клиент-банка, а так же логин и пароль к ним. После чего злоумышленники некоторое время наблюдали за счетом, и как только там накопилась достаточная сумма, попытались перевести её на свои счета. Они сформировали платежку, подписали её украденными ключами, и успешно отправили в банк. Банк принял её, обработал, но в самый последний момент заблокировал. На чем же прокололись хакеры? На IP адресе… Банк обратил внимание, что платежи приходили всегда с одного и того же IP, но в этот раз IP адрес был другой. Злоумышленники, достаточно высокого уровня, что бы пробыть в сети так долго незамеченными, просто поленились поднять на той же бухгалтерской машине банальный прокси-сервер, что бы отправить платежку непосредственно с компьютера бухгалтера. Этой мелочи стало вполне достаточно, что бы их планы провалились!

В компании «Б» все проще… На почту бухгалтера пришло письмо с прикрепленным файлом и просьбой открыть его, ибо это важно… Бухгалтер его открыла, антивируса на компьютере не было, система попросила административные права, их, естественно, предоставили, после чего компьютер еще немного поработал и заглючил. Системный блок был передан знакомому починяйкину\эникейщику, который просто переформатировал диски, и поставил новую винду. В момент, когда компьютер гарантированно стоял в выключенном и разобранном состоянии, со счета ушла первая 6-тизначная сумма. То есть, на  почту пришел какой то банальный банковский троян, который не имеет необходимых эксплоитов для установки себя без админских прав. Такие можно скачать из интернета совершенно свободно, «без регистрации и SMS» как говорится. Но был установлен беспечным пользователем, и не смог долго прожить на ПК, без того что бы не убить его окончательно, хотя в предсмертных муках всё-таки успел получить логин\пароль клиентбанка и отправить их своему хозяину. Злоумышленники, со своего ПК, сформировали платеж и отправили в банк. На IP адрес никто не обратил внимание, потому как у фирмы «Б» был динамический IP от провайдера. После первого инцидента бухгалтер получает свой ПК обратно, с чистой операционкой, и ей на почту приходит очередное письмо, с очередным вложением, с такой же просьбой открыть его, ибо это важно… Бухгалтер открывает его, и ПК повторно заражается. Повторяется все то же самое что и неделю назад, вот только сумма уже 7-мизначная...

Так что же получается? Получается, что злоумышленники более высокого уровня прокололись из-за человеческого фактора, банальной лени, а злоумышленники более низкого уровня смогли озолотиться из-за того же человеческого фактора, но уже со стороны жертвы.

Поэтому помните, не бывает супер-хакеров или супер-безопасников. Есть люди, которым было суждено столкнуться по разные стороны баррикады на этой войне, и кто выйдет победителем – зависит только от Вас!
Похожие статьи
 
Оставить отзыв ↓
 
Ещё никто не оставил отзывов.
 
Оставить отзыв ↓
 
Ещё никто не оставил отзывов.