Иностранный вирус, Trojan.Hosts.1581 в классификации Dr.Web, Trojan.Win32.Qhost в классификации «Лаборатории Касперского» который позволял мошенникам воровать деньги со счетов при пользовании интернет-банкингом, добрался до России. Причем сейчас пришелец атакует клиентов только двух банков с наиболее развитым интернет-сервисом ― Альфа-банка и «ВТБ 24». В отличие от вирусов, которые крадут пароли доступа к клиентским кабинетам, новый «троянец» перенаправляет пользователя на другой сайт, внешне идентичный оригиналу. Пытаясь совершить там операции, клиент сам передает пароли злоумышленникам, после чего его счет опустошается. Представители антивирусных компаний обращались к обоим банкам с предупреждением, но ответа не получили.
Как злоумышленники воруют деньги через интернет-банкинг
Новая вирусная программа, в последнее время активно атакующая клиентов интернет-банкинга, модифицирует системный файл hosts, прописывая переадресацию. Таким образом, когда пользователь набирает в браузере адрес сайта банка, то попадает на вредоносный сайт, где злоумышленники могут получить параметры доступа в сичтему интернет-банкинга. При этом в адресной строке находится адрес настоящего сайта. «В Россию такие программы „мигрировали“. Раньше они писались, причем русскими программистами, в основном для атаки на зарубежные банки, например RBS, Райффайзенбанк, HSBC. Около месяца назад злоумышленники переквалифицировали эти вредоносные программы под российские банки», — рассказывает Сергей Голованов, ведущий вирусный аналитик «Лаборатории Касперского».
«Наши аналитики разобрали код „троянца“, он содержит перенаправление только для Альфа-банка и „ВТБ 24“. Вредоносные сайты зарегистрированы в Латвии на какие-то хакерские организации. Мы обращались в указанные банки, чтобы они попросили провайдера закрыть эти сайты. Но ответа никакого не получили», — говорит Валерий Ледовской, аналитик по вирусной обстановке Dr.Web.
Как вирус уводит деньги
«20 сентября 2010 г. при входе в „Телебанк“ сайт указал, что сервер перегружен и вход в систему невозможен, повторите попытку через 10–15 минут. После нескольких неудачных попыток зайти в систему мне на телефон пришло сообщение от „ВТБ 24“ о том, что средства с моей карты в размере 48 тыс. руб. переведены через систему „Телебанк“», — пишет на одном из банковских форумов Евгений Плиско, клиент «ВТБ 24» из Амурской области. Деньги были переведены на кошелек «Яндекс.Деньги». У Антона Медведева из Саратова мошенники сняли со счета 158 тыс. руб., правда, в его случае деньги были переведены на счет другого клиента «Телебанка», а потом обналичены в Калининграде.
Для совершения всех операций в «Телебанке» требуется вводить переменные коды, без их знания злоумышленникам не удалось бы снять деньги. При каждой попытке войти в систему пользователи набирали новые коды, не подозревая, что находятся на фиктивном сайте. В некоторых случаях мошенники звонили клиентам от имени службы безопасности банка, убеждая продолжать вводить новые пароли.
В такой же ситуации оказалась клиентка Альфа-банка Екатерина: «Представляются службой поддержки и спрашивают, нет ли у меня каких-то претензий к работе Альфа-банка. Отвечаю, что претензий нет, но у меня только что сперли логин-пароль и пытаются перевести деньги со счета. Мне отвечают, что это не пароль украли, а у оператора связи глобальные проблемы. И сейчас мне заблокируют логин, если я в ближайшем времени не введу последний одноразовый пароль (тот, что подтверждает перевод, ага), и надо это сделать быстро-быстро».
Что делают и не делают банки для безопасности
В «ВТБ 24» сообщили, что по каждому случаю принимают решение в индивидуальном порядке. Пока только одна клиентка, пострадавшая от действий мошенников, подтвердила, что банк возместил ей украденные 30 тыс. руб. Другие пользователи «Телебанка» пеняют на слабость системы безопасности. В банке после этих случаев решили повысить безопасность дистанционных каналов. В частности, «все имеющиеся типовые операции переведены в формат персональных операций», также принято решение о снижении максимальной суммы одной операции. Но кражи не прекращаются. В Альфа-банке отказались комментировать безопасность системы интернет-банкинга. Число пострадавших от вирусов может заметно вырасти, учитывая, что «Альфа-клик» и «Телебанк» по числу пользователей опережает только интернет-банкинг Сбербанка. И клиентов этих популярнейших систем, судя по всему, может спасти только их собственная бдительность. Помимо установки антивирусов необходимо с подозрением относиться к ситуации, когда страничка интернет-банка требует раз за разом вводить коды безопасности ― это явный признак действия вируса.
