19 Августа, 2019

Взлом системы Banks’ Integrated Reporting Dictionary European Central Bank

Angara Technologies Group
2ac76d8b11977ba119ce08587d4c20e0.jpg

На днях был скомпрометирован один из web-ресурсов системы Banks’ Integrated Reporting Dictionary (BIRD) European Central Bank (ECB). По сообщению от ECB, на сайт был внедрен фишинговый код, с помощью которого злоумышленникам удалось получить данные о 481 подписчике сервиса.


Инцидент представляет вариант фишинга совмещенного с инъекцией и, возможно, эскалацией привилегий. То есть злоумышленник получает доступ к веб-сайту жертвы через компрометацию сервиса (например, ftp) или через удачную инъекцию в сам веб-сайт. Далее эскалируются права до достаточных для добавления фишингового контента (payload). После чего, встраивается нужный злоумышленнику кусок вредоносного кода: фишинговая страница или окно.

Оперативно детектировать такие взломы достаточно трудно. Среди рабочих способов:
  • обратная связь от пользователей о странных запросах со стороны веб-сайта, например, о вводе данных банковской карты в необычном месте, или сообщения о блокировке ресурса от сканирующих агрегаторов типа Google или Yandex;
  • сообщения от WAF или системные сообщения об эскалации привилегий подозрительной сетевой активности (скачивание payload);
  • систематический аудит кода web-ресурса.

Для аудита исходного кода существует ряд специализированных решений. ГК Angara предлагает следующие: