Взлом системы Banks’ Integrated Reporting Dictionary European Central Bank

Взлом системы Banks’ Integrated Reporting Dictionary European Central Bank
2ac76d8b11977ba119ce08587d4c20e0.jpg

На днях был скомпрометирован один из web-ресурсов системы Banks’ Integrated Reporting Dictionary (BIRD) European Central Bank (ECB). По сообщению от ECB, на сайт был внедрен фишинговый код, с помощью которого злоумышленникам удалось получить данные о 481 подписчике сервиса.


Инцидент представляет вариант фишинга совмещенного с инъекцией и, возможно, эскалацией привилегий. То есть злоумышленник получает доступ к веб-сайту жертвы через компрометацию сервиса (например, ftp) или через удачную инъекцию в сам веб-сайт. Далее эскалируются права до достаточных для добавления фишингового контента (payload). После чего, встраивается нужный злоумышленнику кусок вредоносного кода: фишинговая страница или окно.

Оперативно детектировать такие взломы достаточно трудно. Среди рабочих способов:
  • обратная связь от пользователей о странных запросах со стороны веб-сайта, например, о вводе данных банковской карты в необычном месте, или сообщения о блокировке ресурса от сканирующих агрегаторов типа Google или Yandex;
  • сообщения от WAF или системные сообщения об эскалации привилегий подозрительной сетевой активности (скачивание payload);
  • систематический аудит кода web-ресурса.

Для аудита исходного кода существует ряд специализированных решений. ГК Angara предлагает следующие:


BIRD EC Fortify Static Code Analyzer HCL AppScan (ex IBM) InfoWatch Attack Killer PT Application Inspector взлом утечка данных фишинг
Alt text

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group