Екип на ПИБ обезвреди зараза по компютрите на хиляди, не само свои клиенти.“Точките”, от които плъзва тя, вече са докладвани като киберпрестъпления

Компютърен вирус със звучното име Gozi Trojan заразява компютрите на клиенти на банки и институции, докато сърфират в интернет. Вирусът е бил засечен у нас през януари т.г.

Още през август 2016 г. анализаторите на IBM Security X-Force обявиха, че стигнали до версия на Gozi, създадена специално за атака на потребители в България.

След като порази компютрите клиенти на банки и други институции, зловредният “бацил” атакува главно

профилите им

за онлайн

банкиране

Така киберпрестъпниците получават достъп до информация за банкови преводи, пароли и всякакви други лични данни. При това, предадени им съвсем доброволно от собственика.

Анализаторите дори смятат, че последната версия на Gozi е била подобрена с добавянето в нея точно на инструменти за преодоляване защитата на българските банки.

Оказа се обаче, че точно тя не е преодоляна. Екип на ПИБ - една от атакуваните от вируса банки, за да защити клиентите си, успява да установи “точките”, в които той се подвизава и да го обезсили.

Така, дори и

да има заразени

клиенти,

инфекцията

вече не е опасна,

защото вирусът не е активен. А това означава, че той не може да “докладва” на киберпрестъпниците “оперативно интересна информация”.

Gozi Trojan, познат и като ISFB или Ursnif, е един от най-дълго задържалите се вируси в интернет пространството.

За първи път е засечен през 2007 г., като в началото се фокусира към англоезични държави. През 2010 г. са регистрирани атаки и към европейски и американски банки.

Оттогава до сега, възможностите му са нараснали многократно, като наличието на различни версии ясно показва, че по него все още се работи много активно.

Gozi Trojan се модифицира постоянно, за да заобикаля защитите на онлайн банковите платформи, но вече включва дори социален инженеринг на личните данни”, обясняват анализаторите на от IBM.

“Имаше атака, базирана на троянски вирус”, разказа за “24 часа” изпълнителният директор на ПИБ Светослав Молдовански.

Опасното при този вирус е, че той светкавично поема пълен контрол над браузъра на клиента, на компютъра, на който той работи.

А това означава, че всеки натиснат от него клавиш се логва от специален кийлогър - т.е. всички сайтове, които посещава потребителят, веднага се

предават на

този, който

вече го следи

И най-страшното е, че в компютъра могат да се инжектират скриптове.

Всеки сайт си има сертификат. Когато браузърът види, че името на домейна отговаря на сертификата, всичко е в зелено и човек си работи спокойно. При несъответствие браузърът го установява и предупреждава.

При инжектирани скриптове обаче потребителят си работи, всичко е в зелено, но го въвежда в заблуждение да предоставя пароли и други конфиденциални данни. Точно това се получава при тази атака”, разказва Молдовански.

Основното съдържание се маскира и на сайта

се появява

прозорец, в който

от потребителя

се иска да

предостави име, парола, еднократна парола, плюс ПИН-а си за тези устройства.

Резултатът е, че престъпникът вече има пълен достъп до акаунта на потребителя и така може да извърши

трансакция от

негово име и за

негова сметка

Това е накратко технологията на атаката, обяснява Молдовански.

Най-фрапиращото е, че потребителят сам и доброволно предоставя конфиденциална информация, която трябва да се дава само на определени места и никъде по никакъв повод другаде.

Реакцията е мигновена - след като тази информация вече е при злонемереното лице, светкавично следат злонамерени действия, предупреждава Молдовански.

Това, което екипът от специалисти на Първа инвестиционна банка постига след серия напрегнати дни и нощи, е следното: Успявахме да имитираме и да проследим поведението на “инфекцията” във всеки един етап,

успяхме да

видим към кои

точки в мрежата

се обръща,

било за да свали основния вирус, било за да рапортува действията на потребителя.

Всички тези точки са свалени, вече са докладвани на съответните органи като извършващи престъпления и те вече не са активни.

Така, независимо от това дали компютрите на хората са били заразени при атаката, или не са, вече няма как да бъдат поразени, защото не могат да са атакувани.

Така, за да опазим клиентите си, направихме добро на всички останали атакувани от вируса хора и смятам, че това е правилното поведение, обобщават от ПИБ.

Големият

масмейлинг

се е случил

последните

две седмици

Тъкмо заради него Националната агенция за приходите излезе с предупреждение към клиентите си. (За какво предупредиха от приходната агенция - виж най-отдолу.)

Експертите на НАП подчертаха, че те не общуват с данъкоплатците по начина, по който е описан в получения на компютрите им мейл.

Всички тези хора в момента, които са отворили прикаченото съобщение и са били под директна заплаха, докато успяхме да свалим сайтовете, към които се обръща тази версия на вируса, вече не са под заплаха, казва изпълнителният директор на ПИБ.

Естествено е да има нови фишинг атаки, за това препоръките за защита стават особено важни.

Светослав Молдовански, изпълнителен директор на ПИБ: Не използвайте за игри компютри, от които управлявате имуществото и парите си!

Няма банка или институция, която да ви иска лични данни под път и над път. Започне ли, веднага телефонирайте на доставчика на услугата

- Какво трябва да прави и какво да не прави човек, за да не зарази компютъра си, г-н Молдовански?

- Най-напред да знае, че когато дадена институция изиска идентификация, трябва да бъде нащрек. Просто защото тя се изисква в конкретни точки на процеса, той е добре установен и никой няма да го измени без някакво предварително предупреждение. Хората трябва да са особено предпазливи, когато системата започва да изисква под път и над път: “дай си паролата, дай си ПИН-кода”.

- Само предпазливост едва ли е достатъчна...

- Не е, разбира се. Трябва веднага да спре да работи и да се обади на доставчика на услугата. Ако позволите една аналогия- всеки вече се научи, че ПИН-кодът не се дава на никого и по никакъв повод. Той се иска, когато теглиш пари, но от самата машина, от която ще го правиш. Ние пък искаме парола, само когато се логваш, или когато подписваш трансакция. По никакъв друг повод. За това, ако някой го поиска хей така, веднага трява да се спре да се работи и да се свържете с доставчика на услугата.

- А ако човек вече е сгрешил и ги е дал?

- Най-доброто е веднага, без никакво забавяне да се обади на телефоните на доставчика на услугата - т.е. банка, институция, каквото и да е. В нашия случай ние можем веднага да блокираме регистрацията, клиентът да смени паролите, и по този начин да го защитим от атаката. Нека да повторим- ние никога няма да поискаме парола или потребителско име. Ако нещо искаме, то е да се идентифицира с имена и ЕГН, а не със средствата за машинна идентификация. Това е равнозначно на ПИН-кода, който не се дава никъде другаде, а само през клавиатурата на машината (банкомата), за да е сигурно, че никой няма да го разчете.

- Какви съвети могат да са полезни и за други вируси, този сигурно няма да е последният?

- Живеем във време, в което най-лесното престъпление киберпрестъплението. Затова, да не се грижиш за компютъра си, с който извършваш действия, с които си управляваш парите и имуществото е все едно не просто да оставиш отворената вратата на жилището си, а направо да изкъртиш част от стените или дори да го свалиш долу на тротоара за по - лесно.

- Говорихме за ситуация, в която човек хваща подозрителни сигнали от компютъра си. Какво да направи, за да се защити преди появата им?

- Ако клиентите бяха свалили безплатните антивирусни програми, те щяха да го неутрализират и нямаше да пострадат. Но хората смятат, че кибератаките се случват на някой друг, че техният компюктър е защитен. Съветвам всеки - направете най-простото, сложете безплатна антивирусна програма. По-добре ще е, отколкото нищо. А също - не използвайте компютъра, през който работите за нищо друго - игри, сайтове, фейсбук. Не знам как ще ви прозвучи, но е вярно - хора управляват милиони през компютъра си и си създават проблем, като сърфират и го използват и за забавление. А понякога отиването до една статия в някакъв блог може да значи заразяване с вирус.

- Излиза, че заразяването става вече лесно, също като с истинските вируси- някой кихне срещу теб и си готов...

- Да. Ако хората не искат да си слагат антивирус, поне може да си сложат защитна стена (firewall), която следи изходящия трафик. В този случай, дори да си инфектиран, когато данни започнат да излизат от компютъра ти към широкия свят, можеш да се предпазиш. Много хора наивно смятат, че след като нещо е безплатно, някой ще ги гледа какво правят на компютъра си. Реално хората, които стоят зад софтуерните проекти с отворен код, работят при най-висока публичност, затова те са най-добрата защита.

- Освен да неутрализирате успешно вируси, предприемате ли още нещо като банка?

- В процес сме на преминаване към нова система за електронно банкиране. А технологията се развива с огромни скокове. Реално старата система, която заменихме с нова, е на повече от 10 години, следователно е разработена с технологии, които са били защитени, но за момента. Затова те са много по-податливи за атаки от направеното преди една година. На практика имаме успешни атаки само срещу старата ни система, а срещу новите нямаме никакъв проблем. Техните концепции са много сложни за преодоляване, затова престъпниците се насочват към старите, като към най-лесната плячка. Затова е добре клиентите ни максимално бързо да мигрират към новата услуга. Не само за да ползват по-добрата им функционалност, а за да повишат нивото на сигурността си, предоставяно от новата система. А самите изводи от “обеззаразяването” на вируса ние ще превърнем в допълнителни средства, които ще опишем на блога ни.

- От разговора ни разбирам, че всеки е уязвим. Как да бъде по-малко такъв?

- Става по-малко уязвим, ако знае, че при зараза всяко негово действие се предава на атакуващия го. И че не трябва веднага да бърза да въвежда каквито и да било данни на клавиатурата - потребителски имена, пароли, номера на кредитни карти, изобщо всякакви лични данни.

НАП два пъти предупреди хората, че подател [email protected]

ги мами да отварят прикачени файлове

Вирус “предупреждава” от името на Националната агенция за приходите за промени “в регламента и периодите за подаване на декларации в приходната агенция”.

Този предупредителен имейл бе получен в редакционната поща на “24 часа” през нощта преди седмица. Той е бил разпратен и до всички данъкоплатци, с които приходната агенция поддържа електронна кореспонденция.

Подвеждащото съобщение гласи: “Уважаеми госпожи и господа, Национална агенция по приходите (НАП) напомня за промени в регламента и периодите за подаване на декларации в НАП. Необходимо е да се запознаете с нововъведенията с цел спазване на всички срокове. Напомняме, че в случай на данъчно задължено лице, което не подаде декларация по този Закон, не я подаде в срок, не посочи или невярно посочи данни или обстоятелства, водещи до определяне на дължимия данък в по-малък размер или до неоснователно намаляване, преотстъпване или освобождаване от данък, се наказва с имуществена санкция в размер от 500 до 3000 лв. При повторно нарушение имуществената санкция е в размер от 1000 до 6000. Внимание! Всички подробности касаещи изменения на регламента и сроковете ще намерите в прикачения файл.

Национална агенция за приходите". Подателят е [email protected].

Фалшивото съобщение се разпространява не за първи път по електронен път. Подобно нещо се случи и през октомври 2016 г., припомнят от приходната агенция. Те посъветваха данъкоплатците да не отварят прикачения файл. Оказа се, че опасният вирус е точно Gozi Trojan. 

Компютърен вирус, който порази хиляди потребители по света, успешно бе обезвреден у нас.
Компютърен вирус, който порази хиляди потребители по света, успешно бе обезвреден у нас.
Светослав Молдовански, изпълнителен директор на ПИБ
Светослав Молдовански, изпълнителен директор на ПИБ