Для того, чтобы применение автозалива стало возможным, хакерам нужно прежде всего внедрить на устройства пользователей особую разновидность троянских программ – таких как GameOver, Zeus, Chthonic и им подобные. Создаются автозаливы, как правило, под конкретную платежную систему или онлайн-банкинг и представляют из себя веб-инъекцию с административной панелью. Распространение вируса обычно происходит при помощи вызывающих доверие посланий, часто имитирующих в оформлении фирменный стиль целевого ресурса. Если человек действительно является клиентом данной компании и не ожидает подвоха, то он вполне может перейти по ссылке в письме - и, как результат, заполучить на свой компьютер троян автозалив.
Эта группа вредоносного ПО плохо распознается антивирусными программами. В пассивном состоянии инжект ничем себя не проявляет: не блокирует экран вымогательскими сообщениями, не вредит работе компьютера каким-либо иным способом. Он терпеливо ждет того момента, когда будет осуществлен вход в банковский или другой платежный аккаунт, и только тогда показывает себя во всей красе.
Сначала веб-инъекция в автоматическом режиме проводит анализ счетов жертвы, а потом, незаметно для пользователя и финансового ресурса, подменяет данные транзакции и выводит средства на счета мошенников. В случае применения в системе двухфакторной аутентификации пользователей, троян посылает сообщение, в котором под ложным предлогом просит указать одноразовый пароль (OTP). Полученный код двухфакторной аутентификации используется инжектом для продолжения операции от имени пользователя.
Для платежной системы или банка действия автозалива выглядят как легальные транзакции, совершенные клиентом. И только гневные обращения пострадавших в службу поддержки впоследствии раскрывают всю правду.
Можно ли предотвратить столь печальное развитие событий? Прежде всего, каждому пользователю, который осуществляет финансовые расчеты в интернете, стоит помнить об элементарных правилах компьютерной “гигиены”, о которых все знают, но мало кто придерживается:
- постоянно обновлять антивирусное ПО;
- не скачивать файлы с сомнительных сайтов;
- избегать перехода по ссылкам в письмах, пришедших с незнакомого адреса.
Провайдеры 2FA ответили на вызов хакеров включением в свои решения такой дополнительной функции как подпись данных с контролем ключевых данных транзакции (Confirm What You See). Суть ее заключается в том, что при генерации и проверке одноразового пароля учитывается не только время или количество процедур прохождения аутентификации (счетчик), а весь комплекс данных конкретной транзакции: сумма перевода, получатель, используемая валюта. В этом случае, даже перехватив ОТР, злоумышленник не сможет его использовать для своих целей, так как параметры проводимой им транзакции будут совершенно другими, чем те, на основе которых создавался пароль.
Очередная атака на безопасность данных была отражена. Но прогресс не стоит на месте, а хакеры следуют за ним по пятам. Какой вызов будет следующим?
