Contacte-nos nos messengers ou por telefone.

whatsapp telegram viber phone email
+79214188555

Thefts of funds through RB of Sberbank have become more frequent

Агентство. PrivacyGuard.

Зарегистрированный
Entrou
Jan 10, 2011
Mensagens
55
Reaction score
1
Pontos
8
Localização
Россия, Москва. +7-915-207-15-17
Website
privacyguard.ru
Good afternoon, colleagues!

Over the past two weeks, the number of write-offs via Sberbank's banking accounts has sharply increased. The scheme is old, virus infection, certificate theft, etc. Transfer to a physicist, they throw him on two or three people further. Depends on the total amount. because ATMs have a daily cash withdrawal limit. According to our observations, the Sberbank banking system was noticed after they made it an Internet bank. Previously, Sberbank RBS was with a hardware firewall, on a dedicated machine, with a hardware key. And now they have made everything easier. Work via the Internet, login, password for entry. In general, security has become lower, thefts have become greater. Be careful. Observe safety measures during the work with any RBS.
 
Original message
Добрый день, коллеги!

За последние две недели резко возросло количество списаний через ДБО Сбербанка. Схема старая, заражение вирусом, кража сертификатов и т.д. Перевод на физика, с него бросают дальше на двух-трех человек. Зависит от общей суммы. т.к. в банкоматах есть лимит суточного снятия наличных. По нашим наблюдениям на ДБО Сбербанка обратили внимание после того, как они сделали его Интернет-банком. Раньше ДБО сбербанка было с аппаратным межсетевым экраном, на выделенной машине, с аппаратным ключом. А сейчас они сделали все проще. Работа через интернет, логин, пароль на вход. В общем безопасность стала ниже, краж стало больше. Будьте внимательны. Соблюдайте меры безопасности при работе с любым ДБО.

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Entrou
Jan 1, 1970
Mensagens
21,932
Reaction score
3,756
Pontos
113
Idade
53
Localização
Россия,
Website
o-d-b.ru
Thank!
 
Original message
Спасибо!

Group-IB

Зарегистрированный
Entrou
Nov 11, 2009
Mensagens
26
Reaction score
0
Pontos
1
Localização
Россия, Москва.
Good afternoon, colleagues! there are frequent cases of theft of funds not only through the SBE of Sberbank, but also a number of other banks. Be carefull!
 
Original message
Добрый день, коллеги! нередки случаи кражи средств не только через ДБО Сбербанка, но и ряда других банков. Будьте бдительны!

Group-IB

Зарегистрированный
Entrou
Nov 11, 2009
Mensagens
26
Reaction score
0
Pontos
1
Localização
Россия, Москва.
ESET and Group-IB experts found a new threat to RBS systems
ESET, an international developer of antivirus software and computer security solutions, reports that ESET's Center for Virus Research and Analysts has discovered a new threat - Win32 / Sheldor.NAD, which is a modification of the popular program for remote computer administration - TeamViewer.
This information was obtained by the Center's employees during the examination as part of the Group-IB investigation into the incident involving fraud in remote banking systems (RBS).

Over the past two months alone, Group-IB specialists recorded a 30% increase in incidents related to fraud in remote banking systems. “A common cause for such incidents is a weak information security policy in small and medium-sized businesses,” comments Ilya Sachkov, Group IB CEO. - Also, the trend of recent incidents in this area shows an increase in the professionalism of attackers in the development of malware. Therefore, a constant analysis of new types of fraudulent programs is the key to successful investigation of crimes in the banking system. ”

During the investigation of the incident that occurred in one of the Russian banks, the Win32 / Sheldor.NAD malware (according to ESET classification) was detected, which is a modified version of the software for remote administration of the computer - TeamViewer 5.0. At the same time, one of the modules of the legal program was modified, which is used in the process of network interaction with TeamViewer servers. The modification allowed sending authentication data of the current TeamViewer session to the attackers' server, who had the opportunity at any time to gain access to the user's active session on the infected PC. This means that fraudsters not only had access to the user's confidential data, but also could perform a number of actions on the infected computer, including transactions in remote banking systems, which led to financial loss for the user.

Since most of the components of the modified version of TeamViewer were legally digitally signed and were legal components, with the exception of one module, the number of antivirus products that detected the threat at the time it was detected was small. It is also worth noting that a modified version of TeamViewer was installed on the user's system using a specially developed Trojan installer that created all the necessary registry keys for Win32 / Sheldor.NAD to work: it copied TeamViewer components to the% WINDIR% system folder and added it to autorun.

“This is not the first time we have encountered the use of legal remote administration programs for various types of malicious activities,” said Alexander Matrosov, director of the Center for Virus Research and Analytics at ESET. - However, in this incident we are talking about modifying the functionality of the popular TeamViewer program, which suggests that the attackers clearly pursued the goal of maximum similarity with legal software. This allowed them to go unnoticed by most anti-virus solutions. ”
ESET NOD32 antivirus solutions reliably protect users from the Win32 / Sheldor.NAD malware. Thanks to ThreatSense.Net early detection technology, ESET products prevent the computer from becoming infected with new versions of this malicious software.
 
Original message
Специалисты ESET и Group-IB обнаружили новую угрозу для систем ДБО
Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о том, что специалисты Центра вирусных исследований и аналитики ESET обнаружили новую угрозу — Win32/Sheldor.NAD, которая является модификацией популярной программы для удаленного администрирования компьютера — TeamViewer.
Данные сведения были получены сотрудниками Центра при проведении экспертизы в рамках расследования компанией Group-IB инцидента, связанного с мошенничеством в системах дистанционного банковского обслуживания (ДБО).

Только за последние два месяца специалисты компании Group-IB зафиксировали 30% рост инцидентов, связанных с мошенничеством в системах ДБО. «Распространенными причинами подобных инцидентов является слабая политика информационной безопасности в малом и среднем бизнесе, — комментирует Илья Сачков, генеральный директор компании Group IB. — Также тенденция последних инцидентов в этой сфере показывает рост профессионализма злоумышленников при разработке вредоносного ПО. Поэтому постоянный анализ новых видов мошеннических программ является залогом успешных расследований преступлений в системах ДБО».

В процессе расследования инцидента, произошедшего в одном из российских банков, была выявлена вредоносная программа Win32/Sheldor.NAD (по классификации ESET), которая представляет собой модифицированную версию программного обеспечения для удаленного администрирования компьютера — TeamViewer 5.0. При этом был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было мало. Стоит также отметить, что модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

«Использование легальных программ удаленного администрирования для различного рода действий злоумышленников мы встречаем уже далеко не первый раз, — отмечает Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. — Однако в данном инциденте речь идет о модификации функционала популярной программы TeamViewer, что говорит о том, что злоумышленники явно преследовали цель максимальной схожести с легальным ПО. Это и позволило им оставаться незамеченными для большинства антивирусных решений».
Антивирусные решения ESET NOD32 надежно защищают пользователей от вредоносной программы Win32/Sheldor.NAD. Благодаря технологии раннего обнаружения ThreatSense.Net продукты ESET предотвращают заражение компьютера от новых версий данного злонамеренного ПО.

Агентство. PrivacyGuard.

Зарегистрированный
Entrou
Jan 10, 2011
Mensagens
55
Reaction score
1
Pontos
8
Localização
Россия, Москва. +7-915-207-15-17
Website
privacyguard.ru
Good afternoon, colleagues!

Actually, viruses used to be able to remotely control the victim’s computer. Both Zeus and SPyEye had backConnect modules to bypass firewall and NAT protection. Communication was initiated from within the victim’s network and unhindered security measures passed. However, using TeamViewer is an interesting solution. And as for antiviruses, everything is decided by the speed with which they update the virus database. And there are no obvious leaders. Someone previously found one infection, someone else. If there are suspicions, it is best to check with several antivirus programs. And it’s more correct to use layered protection using solutions from several developers.
 
Original message
Добрый день, коллеги!

Собственно и раньше вирусы умели удаленно управлять компьютером жертвы. И Zeus и SPyEye имели модули backConnect позволяющие обходить защиту межсетевым экраном и системой NAT. Связь инициировалась изнутри сети жертвы и беспрепятственно проходила средства защиты. Однако использование TeamViewer является интересным решением. А насчет антивирусов, все решает скорость с какой они обновляют базу вирусов. И тут явных лидеров нет. Кто то раньше нашел одну заразу, кто то другую. При наличии подозрений лучше всего проверить несколькими антивирусными программами. А более правильно использовать эшелонированную защиту с использованием решений от нескольких разработчиков.