Черная весть в «Черную пятницу»

Основная цель банковских троянцев — пользователи сервисов интернет-банкинга. Зловреды либо крадут финансовые данные, либо создают ботнеты из взломанных устройств для будущих атак. Но времена меняются, и вот уже несколько семейств банковских троянцев разжились новыми версиями с более широкими возможностями. Теперь отдельные зловреды могут получать root-доступ к зараженным устройствам, проводить транзакции, внедрять сторонний вредоносный код, записывать видео и т.д. Их жертвами могут стать не только люди, которые переводят деньги через систему электронных платежей, но и любые покупатели интернет-магазинов.

По данным «Лаборатории Касперского», представители уже 14 вредоносных семейств стремятся нажиться на любителях онлайн-шопинга. Самые распространенные — Betabot, Panda, Gozi, Zeus, Chthonic, TinyNuke, Gootkit2, IcedID и SpyEye — как раз банкеры. Последние несколько лет неуклонно растет число нападений этих троянцев на сервисы электронной коммерции. В 2015 году мы зафиксировали 6,6 млн таких случаев, и предполагаем, что к 2018 г. их станет 12,3 млн (так мы экстраполируем результаты конца III квартала 2018 года — 9,2 млн атак). При этом в 2017 году количество атак возросло на 12% по сравнению с 2016 годом, а в 2018 — еще на 10%.

Общее количество нападений банковских троянцев на клиентов онлайн-сервисов с поддержкой платежей в 2015–2018 гг. Источник: KSN

Способ атаки

Троянцы используют интернет-магазины как приманку, охотясь на данные пользователей (их интересуют логин и пароль, номер карты или телефона и многое другое). Зловред может перехватить данные, которые жертва вводит на целевых сайтах, изменить содержимое онлайн-страницы или даже перенаправить на фишинговый ресурс.

Троянец дает своему владельцу возможность следить за онлайн-активностью на зараженном устройстве, например, следить за темы, какие сайты посещает пользователь. Если жертва заходит на подходящий ресурс, зловред перехватывает данные, которые пользователь вводит в веб-формы на сайте. Захват формы — это техника, с помощью которой киберпреступник может сохранить всю информацию, которую пользователь вводит в формы на определенном сайте. На любом ресурсе, который позволяет проводить электронные платежи, почти наверняка есть формы не только для ввода логина и пароля, но и для данных карты: номера, даты окончания срока действия и CVV-кода. При отсутствии двухфакторной аутентификации преступники, заполучившие такую информацию, могут спокойно ее для кражи денег.

Целевые площадки

Мы нашли 14 семейств троянцев, которые охотятся на данные пользователей 67 сайтов, использующихся для интернет-торговли. Среди потенциальных жертв — 33 магазина товаров широкого потребления (одежды, обуви, подарков, игрушек, украшений и бытовых товаров), восемь сайтов по продаже электроники, восемь сайтов развлекательной и игровой направленности, три популярных сервиса телекоммуникационных услуг, два сайта онлайн-платежей и три платформы розничной торговли. И на этом список не заканчивается.

Betabot перехватывает информацию на сайтах 46 разных брендов — рекордный показатель. К тому же это единственный троянец, который работает с развлекательными и игровыми сайтами. Gozi способен красть пароли с 36 ресурсов, а Panda — с 35.

Доли категорий ресурсов с поддержкой электронных платежей, используемых зловредами, за 2018 г.

Зачем банковским троянцам красть данные из интернет-магазинов?

Учетные данные можно продавать: наши исследователи обнаружили на различных торговых площадках более трех миллионов наборов логинов и паролей, которые были собраны с сайтов онлайн-магазинов. Такие предложения можно легко найти в Google. Дороже всего стоят те учетные данные, которые, вероятнее всего, относятся к торговым или эквайринговым счетам.

Преступники могут извлечь финансовую выгоду из добычи и другими способами: например, украденные счета можно использовать для отмывания денег. Злоумышленник покупает товар на сайте с помощью учетных данных жертвы, не вызывая подозрений у антимошеннических механизмов (ведь он действует от лица пользователя, который известен сайту), а затем снова продает его.

География целей

В 2018 году атаки вредоносных программ на интернет-магазины были особенно распространены в европейских странах, в том числе в Италии, Германии и Франции. Под ударом оказались также Северная Америка, Россия и рынки развивающихся стран.

Betabot поразил наибольшее количество целей через сайты с поддержкой электронных платежей в Италии (троянец виновен в 14,13% всех кибератак, совершенных в этой стране в первые восемь месяцев 2018 года), Германии (6,04%), России (5,5%) и Индии (4,87%). У Gozi похожая статистика: в Италии из-за него пострадало больше всего (19,57%) жертв вредоносного ПО. На втором месте оказалась Россия (13,89%), за ней — Бразилия (11,96%) и Франция (5,91%).

Советы и рекомендации

Чтобы не стать жертвой банкера, «Лаборатория Касперского» рекомендует принять некоторые меры безопасности во время хлопотного предпраздничного сезона.

Потребителям:

• Обязательно установите мощное защитное решение на всех устройствах, с которых делаете покупки. ПО должно регулярно обновляться. Не покупайте ничего на веб-сайтах, которые выглядят потенциально опасными или напоминают недоделанную копию магазина популярного бренда.
• Не кликайте на незнакомые ссылки в почте или сообщениях в социальных сетях, даже если их вам прислали знакомые (конечно, за исключением случаев, когда вы знаете, что вам должны прислать ссылку).

Брендам, торгующим онлайн, или представителям интернет-магазинов:

• Используйте платежный агрегатор с хорошей репутацией и регулярно обновляйте программное обеспечение онлайн-платформы. Каждое обновление может содержать критически важные патчи, которые сделают вашу систему менее уязвимой для кибератак.
• Применяйте специализированное защитное решение, настроенное c учетом особенностей вашего бизнеса, чтобы данные компании и клиентов были в безопасности.
• Обратите внимание на личную информацию, которую клиенты оставляют на вашей платформе, чтобы оформить покупку, — эти данные тоже нуждаются в защите. Используйте профессиональную защиту от мошенничества, которую можно настроить в соответствии с потребностями вашей компании и клиентов.
• Подумайте, сколько денег вы хотели бы регулярно оставлять на счету для онлайн-расчетов. Чем больше баланс на счету, тем выше его ценность для хакеров.
• Ограничьте число попыток проведения транзакций и всегда используйте двухфакторную аутентификацию (сервисы Verified by Visa, MasterCard SecureCode и др.)

Это исследование основано на данных, полученных с согласия пользователей и обработанных при помощи Kaspersky Security Network (KSN). Защитные решения «Лаборатории Касперского» выявляют и блокируют все виды банковских троянцев, описанные выше.

Полный отчет «Buyer beware: cyberthreats targeting e-commerce, 2018» (Англ. язык, PDF)