Ataki hakerskie a inżynieria społeczna

Przeczytaj także: Trojan atakuje Texas HoldEm Poker na Facebooku

Faktura, o której mowa, w rzeczywistości była koniem trojańskim typu RAT (Remote Access Trojan), skonfigurowanym do komunikowania się z serwerem zlokalizowanym na Ukrainie, pełniącym funkcje sterujące i kontrolne. Za pomocą tego konia trojańskiego haker natychmiast przejął kontrolę nad zainfekowanym komputerem asystentki. Mógł rejestrować sekwencje naciśniętych klawiszy, oglądać zawartość pulpitu oraz przeglądać i kraść pliki.

Taktyka (bardzo rzadko dotąd spotykana) polegająca na wysłaniu maila, po którym następuje rozmowa telefoniczna, jest agresywnym atakiem posługującym się metodami inżynierii społecznej. W maju 2013 r. blog Symantec Security Response opublikował szczegóły pierwszych ataków tego typu wycelowanych w przedsiębiorstwa w Europie. Dalsze badania ujawniły dodatkowe informacje na temat trwających do dziś ataków, za którymi stoi chęć kradzieży pieniędzy.

Agresywna taktyka

Wiele przedsiębiorstw stosuje zabezpieczenia przed nieupoważnionym transferem pieniędzy. Jednak atakujący potrafili zastosować agresywne taktyki posługujące się metodami inżynierii społecznej, pozwalające przełamać każde z tych zabezpieczeń. Jeden z ataków wyglądał następująco:

• Atakujący najpierw zainfekował systemy przedsiębiorstwa koniem trojańskim typu RAT.
• Następnie wydobył informacje identyfikacyjne banku i operatora telekomunikacyjnego, z usług których korzysta przedsiębiorstwo, oraz osób wyznaczonych przez przedsiębiorstwo do kontaktu z nimi, a także dane dotyczące kont bankowych i telekomunikacyjnych, włącznie z informacjami zawartymi w planach odtwarzania po awarii.
• Korzystając z tych danych, atakujący telefonował do operatora telekomunikacyjnego, podszywając się pod przedstawiciela przedsiębiorstwa, uwierzytelnił się wobec operatora i oświadczył, że doszło do zdarzenia (np. zalania budynku), w wyniku którego niezbędne jest przekierowanie numerów telefonicznych przedsiębiorstwa na nowe numery, będące w rzeczywistości pod kontrolą atakującego.
• Po przekierowaniu numerów atakujący wysłał faks do banku zlecający kilka przelewów dużych sum na różne konta zagraniczne.
• Z uwagi na to, że transakcja taka była nietypowa, przedstawiciel banku dzwonił pod numer przedsiębiorstwa zapisany w systemie banku, aby potwierdzić transakcję. Połączenie było przekierowane do atakującego, który zatwierdził transakcję.
• Pieniądze zostały faktycznie przelane na różne konta zagraniczne, a następnie „wyprane” przy użyciu innych kont i instrumentów pieniężnych.

W innym przypadku atakujący wykorzystał niestandardowy, opracowany przez przedsiębiorstwo we własnym zakresie system przelewów, stosujący uwierzytelnienie dwuskładnikowe z tokenem sprzętowym. Podczas tej operacji:

• Atakujący dzwonił do ofiary podszywając się pod pracownika działu informatycznego i informował, że wymagane jest przeprowadzenie czynności serwisowych w systemie przelewów.
• Przekonywał także ofiarę, że z uwagi na konieczność zachowania tajemnicy klientów, podczas wykonywania tej pracy monitor powinien być wyłączony.
• W czasie, gdy monitor był wyłączony, atakujący posługiwał się aktywnym w tym momencie dostępem ofiary do systemu i przelewał duże kwoty na zagraniczne konta.

W jeszcze innym przypadku atakujący nawet nie użył żadnego szkodliwego oprogramowania. Atak przebiegał następująco:

• Atakujący, podszywając się pod pracownika banku, wysłał do prawdziwego pracownika banku mail, informujący o aktualizacji systemów komputerowych banku.
• Następnego dnia atakujący telefonował do odbiorcy maila, podając się za pracownika tego samego banku, i poprosił o wykonanie „testowego” przelewu.
• W wyniku tego „testowego” przelewu pieniądze zostały faktycznie przelane na konto zagraniczne.