|
07.07.2008
Обнаружен троян, похищающий файлы с секретными ключами ЭЦП клиентов системы «iBank 2»
Компания «БИФИТ» при участии одного из региональных банков обнаружила специализированную вредоносную программу (троян), которая похищает у пользователей системы «iBank 2» файлы с секретными ключами ЭЦП и пароли, вводимые с клавиатуры.
Троян, проникнув на компьютер клиента через уязвимости в системном ПО, перехватывает управление, подменяет системные динамические библиотеки, после чего начинает отслеживать ввод с клавиатуры, файловый ввод-вывод с поиском файлов с секретными ключами ЭЦП клиента, а также вызовы динамических библиотек.
Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in, после чего с заданной периодичностью обращается к этим сайтам в ожидании команды блокирования компьютера клиента.
При получении с сайта злоумышленника команды блокирования троян перенаправляя сетевой ввод-вывод, не позволяет клиенту соединиться с банковским сервером «iBank 2» и подменяя информационные сообщения, выдает клиенту диалоговое окно со следующим текстом: "System. Ошибка. Технические работы. Окончание xx.xx.xxxx в xx:xx".
Ниже представлен скриншот, снятый на компьютере клиента в момент блокирования трояном доступа к банковскому серверу «iBank 2».
Во время блокирования компьютера клиента злоумышленники, используя похищенный секретный ключ ЭЦП и пароль, подключаются банковскому серверу «iBank 2» и от имени клиента отправляют в банк платежное поручение с корректной ЭЦП клиента.
В дальнейшем при разборе конфликтных ситуаций анализ журналов банковских серверов системы «iBank 2» показывает, что практически все противоправные действия совершаются злоумышленниками с IP-адресов, расположенных вне России — Польша, Индонезия, Пакистан, Новая Зеландия и т.д.
При этом основными направлениями увода денег клиента оказываются:
- перевод на счет физического лица (408..., 423... и т.д.), являющегося клиентом в другом российском банке
- перевод на "котловой" счет карточного процессинга (30232..., 30233...) в другом банке с указанием в назначении платежа номера специального карточного счета
- перевод на расчетный счет организации или частного предпринимателя с указанием в назначении платежа номера электронного кошелька Web-money, PayPal и др.
Детальный анализ работы выявленного трояна показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность некоторых пользователей обеспечивать доверенную среду исполнения на своем компьютере.
Предвидя возникновение специализированных вредоносных программ (троянов) еще более двух лет назад, компания «БИФИТ» начала реализовывать и встраивать в систему «iBank 2» дополнительные механизмы защиты информации, которые сейчас могут и должны эксплуатироваться банками для резкого снижения вероятности успешного использования злоумышленниками похищенных секретных ключей ЭЦП клиентов.
Банкам настоятельно рекомендуется:
- использовать встроенный в систему «iBank 2» механизм IP-фильтрации по клиентам
- использовать встроенный в систему «iBank 2» механизм выявления подозрительных документов
- использовать встроенный в систему «iBank 2» механизм SMS-инфоромирования клиентов о входе в систему, поступлении документов, движении по счетам
- начать плановый переход клиентов к использованию USB-токена «iBank 2 Key» (подробнее)
- провести обновление системы «iBank 2» до последнего билда версии 2.0.14 — в последних билдах встроены новые дополнительные механизмы защиты информации
Для предотвращения попадания на компьютер троянов пользователям системы «iBank 2» настоятельно рекомендуется:
- Соблюдать регламент ограниченного доступа к данному компьютеру.
- Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При это необходимо обеспечить целостность получаемых на носителях или загружаемых из Интернета обновлений.
- Использовать и оперативно обновлять специализированное ПО для защиты информации — антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.
- Соблюдать правила безопасной работы в Интернете.
В качестве действенной меры по борьбе с выявленным трояном пользователям системы «iBank 2» рекомендуется:
- На компьютере пользователя в настройках персонального межсетевого экрана запретить весь IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением клиента о попытке соединения по указанным IP-адресам
- На корпоративных межсетевых экранах и корпоративных прокси-серверах запретить IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением системного администратора о попытке соединения по указанным IP-адресам
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.
|
