Thefts of funds through RB of Sberbank have become more frequent

[Агентство. PrivacyGuard.]

Bonjour, chers collègues!

Au cours des deux dernières semaines, le nombre de radiations via les comptes bancaires de la Sberbank a fortement augmenté. Le schéma est ancien, infection virale, vol de certificat, etc. Transfert chez un physicien, ils le jettent sur deux ou trois personnes plus loin. Dépend du montant total. parce que Les distributeurs automatiques de billets ont une limite quotidienne de retrait d'espèces. Selon nos observations, Sberbank a attiré l'attention sur le RB après en avoir fait une banque Internet. Auparavant, Sberbank RBS était doté d'un pare-feu matériel, sur une machine dédiée, avec une clé matérielle. Et maintenant, ils ont tout facilité. Travailler via Internet, connexion, mot de passe pour l'entrée. En général, la sécurité est devenue plus faible, les vols sont devenus plus importants. Faites attention. Respectez les mesures de sécurité pendant le travail avec n'importe quel RBS.

 

[Матушкин Андрей Николаевич]

Remercier!

 

[Group-IB]

Bonjour, chers collègues! il y a des cas fréquents de vol de fonds non seulement par le SBE de Sberbank, mais aussi par un certain nombre d'autres banques. Fais attention!

 

[Group-IB]

Les experts ESET et Group-IB ont découvert une nouvelle menace pour les systèmes RBS
ESET, un développeur international de logiciels antivirus et de solutions de sécurité informatique, rapporte que le centre de recherche et d'analystes d'ESET a découvert une nouvelle menace - Win32 / Sheldor.NAD, qui est une modification du programme populaire d'administration à distance d'ordinateurs - TeamViewer.
Ces informations ont été obtenues par les collaborateurs du Centre lors de l'examen dans le cadre de l'enquête du Groupe IB sur l'incident lié à la fraude dans les systèmes de banque à distance (RBS).

Au cours des deux derniers mois seulement, les spécialistes du Groupe IB ont enregistré une augmentation de 30% des incidents liés à la fraude dans les systèmes bancaires à distance. «Une cause courante de tels incidents est la faible politique de sécurité des informations dans les petites et moyennes entreprises», commente Ilya Sachkov, PDG du Groupe IB. - En outre, la tendance des incidents récents dans ce domaine montre une augmentation du professionnalisme des attaquants dans le développement de logiciels malveillants. Par conséquent, une analyse constante de nouveaux types de programmes frauduleux est la clé d'une enquête réussie sur les délits dans le système bancaire. »

Lors de l'enquête sur l'incident survenu dans l'une des banques russes, le malware Win32 / Sheldor.NAD (selon la classification ESET) a été détecté, qui est une version modifiée du logiciel d'administration à distance de l'ordinateur - TeamViewer 5.0. Dans le même temps, l'un des modules du programme juridique a été modifié, qui est utilisé dans le processus d'interaction réseau avec les serveurs TeamViewer. La modification a permis d'envoyer des données d'authentification de la session TeamViewer en cours au serveur des attaquants, qui avaient à tout moment la possibilité d'accéder à la session active de l'utilisateur sur le PC infecté. Cela signifie que les fraudeurs avaient non seulement accès aux données confidentielles de l'utilisateur, mais pouvaient également effectuer un certain nombre d'actions sur l'ordinateur infecté, y compris des transactions dans des systèmes bancaires à distance, ce qui a entraîné une perte financière pour l'utilisateur.

Étant donné que la plupart des composants de la version modifiée de TeamViewer étaient légalement signés numériquement et étaient des composants légaux, à l'exception d'un module, le nombre de produits antivirus qui ont détecté la menace au moment où elle a été détectée était faible. Il convient également de noter qu'une version modifiée de TeamViewer a été installée sur le système de l'utilisateur à l'aide d'un programme d'installation de cheval de Troie spécialement développé qui a créé toutes les clés de registre nécessaires au fonctionnement de Win32 / Sheldor.NAD: il a copié les composants TeamViewer dans le dossier système% WINDIR% et l'a ajouté à l'exécution automatique.

«Ce n'est pas la première fois que nous rencontrons l'utilisation de programmes légaux d'administration à distance pour divers types d'activités malveillantes», a déclaré Alexander Matrosov, directeur du Center for Virus Research and Analytics chez ESET. - Cependant, dans cet incident, nous parlons de modifier la fonctionnalité du programme TeamViewer populaire, ce qui suggère que les attaquants ont clairement poursuivi l'objectif de similitude maximale avec les logiciels légaux. Cela leur a permis de passer inaperçu dans la plupart des solutions antivirus. »
Les solutions antivirus ESET NOD32 protègent de manière fiable les utilisateurs contre les logiciels malveillants Win32 / Sheldor.NAD. Grâce à la technologie de détection précoce ThreatSense.Net, les produits ESET empêchent l'ordinateur d'être infecté par de nouvelles versions de ce logiciel malveillant.

 

[Ева]

Merci pour l'info.

 

[Частный детектив. Ростов-на-Дону.]

Merci, a noté.

 

[Агентство. PrivacyGuard.]

Bonjour, chers collègues!

En fait, les virus étaient capables de contrôler à distance l’ordinateur de la victime. Zeus et SPyEye avaient tous deux des modules backConnect pour contourner le pare-feu et la protection NAT. La communication a été initiée à partir du réseau de la victime et des mesures de sécurité sans entrave ont été adoptées. Cependant, l'utilisation de TeamViewer est une solution intéressante. Et comme pour les antivirus, tout est décidé par la vitesse à laquelle ils mettent à jour la base de données virale. Et il n'y a pas de leaders évidents. Quelqu'un avait déjà trouvé une infection, quelqu'un d'autre. S'il y a des soupçons, il est préférable de vérifier auprès de plusieurs programmes antivirus. Et il est plus correct d’utiliser une protection en couches à l’aide de solutions de plusieurs développeurs.