Компютърен вирус, насочен към онлайн банкирането, е засечен в България

Компютърен вирус, насочен към онлайн банкирането, е засечен в България

© Pawel Kopczynski, Reuters



Звеното за киберсигурност IBM Security X-Fore на IBM обяви, че е открило следи от троянския кон Gozi на българска територия. Gozi е насочен специално към банковия сектор и според данните на компанията е атакувал девет банки в страната.


Gozi е един от най-устойчивите компютърни вируси, като се появява още през 2007 г. Известен е и с имената ISFB и Ursnif. Първоначално се е използвал за измами чрез онлайн банкиране главно в англоговорящите държави.


През септември 2010 г. един от създателите на Gozi неволно публикува кода на троянския кон в интернет, докато заедно с екипа му работят по неговата нова версия. Дори и това обаче не спира разпространението на зловредния код.




Напротив, започват да се появяват все по-разнообразни модифицирани версии на Gozi. Една от основните му функции е да се внедрява в уебстраниците на банките и да се опитва да прилъгва потребителите да въведат личните си данни. Правят се и други опити за "социално инженерство", като резултатът от тях да бъде кражба на парите в сметката.


Според информацията на IBM Security Gozi се използва и до днес, като обикновено се правят модифицирани версии според системите, които ще атакува. Версията, която е атакувала български банки, е направена специално за България, казват още специалистите.


От компанията предполагат, че Gozi се насочва към страната, защото тук нивото на киберпрестъпност е сравнително ниско, вниманието към темата също не е голямо. Всичко това прави България добро място за изпробване на нови тактики, които след това да се приложат в по-голям мащаб в други държави. Освен това хакерите често избират пътя с най-малко съпротива, така че навлизането в Източна Европа е естествено следствие на подобна стратегия.


Според данните на IBM Security основната мишена на Gozi остава САЩ, където са 85% от атаките на троянския кон. Далеч на второ място е Великобритания със 7%, следвана от Португалия с 2%.


Обикновено Gozi започва с малък брой атаки в дадена държава, докато не придобие представа за нивото на киберсигурността. След няколко месеца проби засилва атаките си. В България активността на троянския кон е засечена за пръв път от началото на месеца. "Дневник" се свърза с няколко банки за коментар, но все още не са получени отговори от тях.

Коментари (36)
  1. Подредба: Сортирай
  1. 1 Профил на Федор Езерский
    Федор Езерский
    Рейтинг: 969 Неутрално

    Дневник, кажете на кои банки сте изпратили запитвания? Най-много ме интересува попитахте ли Корпоративна търговска банка, че тяхното мнение ми е важно

  2. 2 Профил на Храбър
    Храбър
    Рейтинг: 3758 Неутрално

    "..Една от основните му функции е да се внедрява в уебстраниците на банките и да се опитва да прилъгва потребителите да въведат личните си данни.."

    Значи ако изчезнат пари от сметката ми банката трябва да ги възстанови, защото всичко е станало по нейна вина.

    "Безнаказаността на похищенията и произволното разполагане с притежанията на повалените стари имуществени прослойки след 9-ти септември има като пряко следствие създадената и поддържана политическа обстановка за корупция"
  3. 3 Профил на Beyond
    Beyond
    Рейтинг: 1209 Любопитно

    "... IBM обяви, че е открило следи от троянския кон Gozi ..."

    Ама и тези в Троян как си кръщават конете. Гози?! Че го и изтървали този кон и сега IBM намира следи от него. Явно самия кон още не са го открили.

    TAKE THE RED PILL!
  4. 4 Профил на dan1
    dan1
    Рейтинг: 409 Неутрално

    ""Дневник" се свърза с няколко банки за коментар, но все още не са получени отговори от тях."
    Ще получите отговор! От всички банки с които сте се свързали, нито една няма да е от деветте за които информират от IBM. Всъщност и с 30-те банки в страната да се свържете пак няма да има нито една от 9-те.

  5. 5 Профил на Pow
    Pow
    Рейтинг: 891 Неутрално

    Тей тей, тепърва истинското "социално инжинерство" ще се развива у нас Една система е толкова слаба, колкото е слабо най-слабото звено в сигурността и. А от човешка гледна точка, банковите служители ( и не само ) нито са минавали обучение, нито знаят как да се справят със social ingineering атаки.

    Give a man a mask and he’ll tell you the truth
  6. 6 Профил на edin drugii
    edin drugii
    Рейтинг: 2764 Неутрално

    е за това ползваме буркан банк ,да видим с какъв код могат да влязат там и да разбият паролите

  7. 7 Профил на Сатана Ликующий
    Сатана Ликующий
    Рейтинг: 1398 Весело

    Вирусът се казва Цветан Василев, инвестирал мощно средствата от КТБ в Сърбия, където си живее на воля

    Само простите хора си мислят, че има прости неща!
  8. 8 Профил на Сатана Ликующий
    Сатана Ликующий
    Рейтинг: 1398 Весело

    До коментар [#6] от "edin drug":


    [quote#6:"edin drug"]какъв код могат да влязат там и да разбият паролите [/quote]


    Обикновенно се използва така нареченият Кози Крак - лост от дебело арматурно желязо срещу който много малко врати могат да устоят. Преди това се опитват да строшат цилиндъра на патрона на врата, но ако не успят му удрят един Кози Крак

    Само простите хора си мислят, че има прости неща!
  9. 9 Профил на ironhorse
    ironhorse
    Рейтинг: 918 Гневно

    Тази информация е от вчера !!!
    Този вирус е създаден от КГБ и това е установено още през 2007г.
    Има достатъчно инфо в нета.
    А иначе за банките ...
    Дневник, кога ще публикувате статия за извършената измама от Инвестбанк и Петя Славова за 1,23 милиона лева, чрез вписване на неверни данни в ТР на фирма осъдила банката на тази сума.
    Защо не изпратите писмо до БНБ, да ги питате те какво писмо са пратили до ЧСИ, който е запорирал пари на банката ?!
    В България банките крадат пари, както и нейни служители. Всичко обаче се прикрива и то от прокуратурата.
    Последният подобен случаи е за една френска банка и водено дело от адвокат Хаджигенов.
    Служител на банката краде около 55 хияди евро, а за награда банката го освобождава по взаимно съгласие и отказва да възстанови откраднатите пари.
    Това са банките в България.

    Бойко Борисов и ГЕРБ са еманацията на корупцията и мафията в държавата.
  10. 10 Профил на gogo2011
    gogo2011
    Рейтинг: 599 Неутрално

    Явно АйБиЕм искат да налагат софтуера си за интернет банкиране и ще трябва да убедят банките да плащат.

  11. 11 Профил на herbaltea
    herbaltea
    Рейтинг: 528 Неутрално

    В България тези вируси умират от глад, защото преди тях един други вече са изсмукали парите от банките.

  12. 12 Профил на zero_day
    zero_day
    Рейтинг: 530 Неутрално

    До коментар [#5] от "Pow":

    Именно, системата е сигурна точно колко е сигурно най-слабото звено, а най-слабото звено е човека (най-малкото повечето от глупост или с подкупване могат да бъдат накарани да пуснат каквото и да е на компютъра си), съответно това е най-простия attack vector.

  13. 13 Профил на Калник
    Калник
    Рейтинг: 882 Неутрално

    Сайтът на моята банка поддържа SSL/TLS, но не пренасочва заявките по HTTP към HTTPS. Големи тъпаци! Дори HTTPS Everywhere не върши работа. Иначе поне сертификатът им изглежда наред (макар да е валиден само за адреса с www. префикс, нещо което за мен е голяма селяния).

    Съветвам всеки да достъпва важните сайтове по HTTPS, когато това е възможно, като изрично пише https:// преди DNS името.

  14. 14 Профил на Qnyx
    Qnyx
    Рейтинг: 470 Весело

    Троянски кон Gozi? Че Гоце е троянски кон ясно, ама поне правилно да бяха му написали името

    Trust no one.
  15. 15 Профил на Калник
    Калник
    Рейтинг: 882 Неутрално

    [quote#14:"Qnyx"]Че Гоце е троянски кон ясно, ама поне правилно да бяха му написали името[/quote]

    Правилното изписване е Goatse. Моля, не търсете картинки за това "явление", ако сте на работното си място! Макар, че подобен призив почти гарантира, че ще го направите

    Поне, докато не ми изтрият поста.

  16. 16 Профил на xyha
    xyha
    Рейтинг: 533 Весело

    IBM Security X-Fore на IBM ...

    Ще плашат кучетата със салам . Много са го закъсали сините , щом се занимават с троянци

  17. 17 Профил на атанас
    атанас
    Рейтинг: 1050 Неутрално

    До коментар [#13] от "Калник":

    Много се лъжеш, че е сигурно. В статията говорят за вирус, който ти краде паролите извън всякакви схеми за защита, които който и да е инженер в банка може да създаде. Разбира се, банки, които ползват електронен подпис / токън / еднократен код на транзакция, не са застрашени:
    1. електронният подпис е сертификат, който се чете от външно устройство всеки път и не се пази на компютъра, файлът няма как да се ползва на друга машина, няма и какво да го прехвърли в нета, особено ако е на USB.
    2. токънът сменя паролата си на всеки Х минути с нова псевдо-случайна, като само устройството и система в самата институция "знаят" каква е паролата за даден момент във времето.
    3. Еднократни кодове от 6 цифри ще искат brute force атака с десетки хиляди(max 1 000 000) опита, а какво има на листчето ти с 50 кода знаете само ти и банката(ProCredit ползват такива.)

    Иначе вирусът просто хваща свалянето на html от определен хост. Стои на компютъра ти и чака. Когато получи страницата, заменя в нея полетата за име и парола с нови, които пращат нанякъде другаде инфото, или просто през ОС следи за съдържанието на полетата. Банката, каквито и системи свои за сигурност да има, каквито и кодирания и сертификати да ползва, все просто няма контрол над твоето лично РС. За хакване на трафик може да се ползва и трета схема пак на твоето РС- вирусът прихваща трафика към хоста на банката, локално ти пуска за кодирането свой сертификат и отваря за себе си целия ти HTTPS трафик. След това по своя си канал праща заявка за сертификат към банката все едно той е web клиентът, записва го, почва да рутира през себе си трафика с fake сертификата към себе си и да го препраща в правилното кодиране към банката. И в това просто се описват кои пакети трябва да се прихванат и обработят за взимане на username и парола.

    Та... Вирусът е неконтролируем независимо от нивото на защита на мрежите на банките. Но пък разчита на това банки да не са създали система за потвърждение на плащанията с еднократна парола / електронен подпис(е, не такъв от дискета, де... там файлът със сертификата е достъпен в оригинал без апи-та, които да контролират достъпа до него.) / токъни. Ако е до хващане на парола при защитени потвърждения на плащанията, ще се хване само врата да ти гледат движението по сметката, което е гадно, но няма да те завлече с пари.

    И... Троянци има под Windows, под Mac заради bsd ядрото е по-сложно, с Linux няма грам шанс да влезе нещо такова при видим сорс на пакетите, контрол какво и как инсталираш и т.н. Някой да е чул за вирус за Linux?

  18. 18 Профил на briton
    briton
    Рейтинг: 449 Неутрално

    До коментар [#13] от "Калник":

    ае като сте толкова техничен се поправете. "преди DNS името" е нонсенс.
    ще го направя вместо вас - "пред името на домейна"

    Бойко е зависим
  19. 19 Профил на Калник
    Калник
    Рейтинг: 882 Неутрално

    [quote#17:"атанас"]Много се лъжеш, че е сигурно. В статията говорят за вирус, който ти краде паролите извън всякакви схеми за защита, които който и да е инженер в банка може да създаде.[/quote]

    Разбрано. Аз мислех, че се инжектира в Уеб страниците, които по HTTPS е гарантирано, че пристигат от сайта на банката, освен ако не са пробили там или пък са се сдобили с частния ключ на сертификата.

    Целта на поста ми беше по-скоро да информира, че изглежда дори банките не гледат толкова сериозно на сигурността, щом въобще поддържат не-HTTPS достъп.

    Аз ходя на сайта на банката само от виртуална машина с Линукс. Противно на вашето мнение, Линукс също не може да се счита за напълно сигурен и аз съм наясно с това. Най-добре би било виртуалната машина да се връща към снапшот направен преди какъвто и да било достъп до интернет. Но не ми се занимава чак толкова.

  20. 20 Профил на Николай Теллалов
    Николай Теллалов
    Рейтинг: 466 Неутрално

    Не е зле нещо да разруши банковата система, та да се обърнем към алтернативите

    Публикувано през m.dnevnik.bg

    властта ражда паразити
  21. 21 Профил на jelev_jelqzko
    jelev_jelqzko
    Рейтинг: 1097 Неутрално

    Събира данни за потребителите и чрез "социално инженерство" -/боже колко сложно са обяснили действията на ало измамника/ се опитва да приберат парите.На пример ти се обаждат"от банката' назовават ти точната сума на превода който очакваш и искат паролата ти за да приемат "твърде големия превод'Както казва Остап Бендер трудно е да откриеш милионер.После той/О.Бендер/ знае 201легални начина да му пребере парите.Задачата поставена от О.Бендер е решена блестящо от Ц.Василев/виж. списък на кредиторите на КБ./


  22. 22 Профил на Darth Plagueis
    Darth Plagueis
    Рейтинг: 2209 Неутрално

    До коментар [#10] от "gogo2011":

    Кой е тоя софтуер за интернет банкиране и как ще принудят банките да плащат?

    Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕК
  23. 23 Профил на m17
    m17
    Рейтинг: 2160 Неутрално

    До коментар [#17] от "атанас":

    Само да ви допълня че няма такова нещо като "файл" във електронния подпис, въпреки че устройството би могло да прилича на обикновенна флашка.
    Вътре има крипто-процесор и малко памет в която е записан частния ключ. Този ключ е едно голямо число което се генерира ВЪТРЕ в криптопроцесора и няма абсолютно никакъв начин да бъде "изваден" за да може да се копира. И тоя криптопроцесор седи блокиран докато не му вкараш код за отключване след което може да се ползва въпросния частен ключ. Има атаки които опитват да отгатнат частния ключ но това е в домейна на големите момчета.
    Обикновенно всичко става далеч по просто - счетоводителката си държи вкаран и отключен подписа по цял ден и хич и не внимава на какво цъка докато си чати във фейса. Искача попъп и тя цъква и подписва платежно до Нигерия маскирано като фактура за тоалетна хартия примерно.

  24. 24 Профил на Pow
    Pow
    Рейтинг: 891 Неутрално

    [quote#17:"атанас"]с Linux няма грам шанс да влезе нещо такова при видим сорс на пакетите, контрол какво и как инсталираш и т.н. Някой да е чул за вирус за Linux?[/quote]

    Ами повечето рутери си работят на OpenWRT. Има не точно вирус, но доста сериозен Man in the middle хак, който може да показва копие на страницата, която request-ваш. Ако някой си играе да заразява публични рутери и когато хване заявка от сайт на банка да показва копие на сайта, може да събере немалка база от данни с user/pass. Да не говорим, че почти никой не обръща внимание дали свети, че се ползва SSL или не.

    Give a man a mask and he’ll tell you the truth
  25. 25 Профил на Pow
    Pow
    Рейтинг: 891 Неутрално

    [quote#21:"jelev_jelqzko"]боже колко сложно са обяснили действията на ало измамника[/quote]

    В цял свят 'social ingеneering' -а е доста по-сложен от това. Имам няколко книжки и практически опит по темата като пентестер

    Give a man a mask and he’ll tell you the truth
  26. 26 Профил на !D !калпав е новия вид Дневник!
    !D !калпав е новия вид Дневник!
    Рейтинг: 903 Любопитно

    Системата на ОББ просто и ефективно изпраща ти смс с нов код,всеки път.
    Е има неудобство ако в моемнта си без тел. но пък изглежда доста сигурно трябва да се пробият и тел. и банка т.е. трябва да си "залужава" този който го мачкат.

  27. 27 Профил на Fred
    Fred
    Рейтинг: 3910 Неутрално

    [quote#6:"edin drug"]е за това ползваме буркан банк ,да видим с какъв код могат да влязат там[/quote]
    Има едни мургави "хакери" точно в това се специализират

    Юда се продаде за 30 сребърника, ДБ за 8 районни кмета.
  28. 28 Профил на атанас
    атанас
    Рейтинг: 1050 Неутрално

    До коментар [#23] от "m17":

    Да. Затова и писах, че за USB няма проблем поне по това, което аз знам за този тип устройства и апи-та. Но... Има файл при подписи на дискета и поне допреди година се въртеше онлайн банкиране с електронен подпис(сертификат, издаден от банката) от дискета. Там вече файл си има.

  29. 29 Профил на m17
    m17
    Рейтинг: 2160 Неутрално

    До коментар [#28] от "атанас":

    Само дето т.н. "електронен подпис на дискета" не се явява КЕП и съответно няма силата на законен собственоръчно поставен подпис под документ. И ако банката изпълни нареждане подписано с нещо друго освен КЕП могат да бъдат осъдени брутално без никакви проблеми. И затова банките предлагат само пасивни услиги т.е да си гледаш наличности, пристигнали преводи и сие.

  30. 30 Профил на gogo2011
    gogo2011
    Рейтинг: 599 Неутрално

    До коментар [#22] от "Darth Plagueis":

    IBM Security Trusteer Rapport

  31. 31 Профил на gogo2011
    gogo2011
    Рейтинг: 599 Неутрално

    До коментар [#26] от "!D !":

    И като ти клонират СИМ картата?

  32. 32 Профил на OVI
    OVI
    Рейтинг: 8 Неутрално

    [quote#17:"атанас"]За хакване на трафик може да се ползва и трета схема пак на твоето РС- вирусът прихваща трафика към хоста на банката, локално ти пуска за кодирането свой сертификат и отваря за себе си целия ти HTTPS трафик.[/quote]

    За да сработи този конкретно механизъм, преди това трябва по някакъв начин в компютъра ти да е бил зареден RootCA или SubordinateCA сертификат, качен в съответното за типа му хранилище.

    По този начин вируса ще може при всяко отваряне на web страница по https, да генерира фалшив сертификат за конкретната страница, който ще подпише с вече наличния RootCA/SubordinateCA, така че веригата на доверие да е валидна. От там на сетне е по описаната от теб схема.

    Сега, под всяка ОС записа на RootCA/SubordinateCA сертификати е процес, който изрично изисква потвърждение от потребителя, че вярва на съответното CA, чиито сертификат зарежда.

    Т.е. пак опираме до layer 7- човешкият фактор...

  33. 33 Профил на !D !калпав е новия вид Дневник!
    !D !калпав е новия вид Дневник!
    Рейтинг: 903 Весело

    До коментар [#31] от "gogo2011":

    И от къде ще знаят в коя банка съм или от къде ще оперирам със сметката.
    Доста сложно се получва и ми изглежда теоретичен - пробивва.

  34. 34 Профил на gogo2011
    gogo2011
    Рейтинг: 599 Неутрално

    До коментар [#33] от "!D !":

    Май преди това ще са ти взели потребителското име и паролата. Сигурно ще е ясно къде си ги ползвал.

  35. 35 Профил на !D !калпав е новия вид Дневник!
    !D !калпав е новия вид Дневник!
    Рейтинг: 903 Весело

    До коментар [#34] от "gogo2011":

    И ще знаят кой тел ползвам в момента??
    И тоно кой номер оставям за потвърждаване...??
    Да възможно е!
    Както казах в лабораторни условия и по-сложни варианти са осъществими, играта на мислътта не може и не бива да се ограничава...

  36. 36 Профил на gogo2011
    gogo2011
    Рейтинг: 599 Неутрално

    До коментар [#35] от "!D !":

    Само казвам, че вариантът с смс въобще не е най-сигурният. Всеки сам избира с коя банка да работи. А лично мнение, но ОББ точно са все още някъде в 20-ти век.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK