קספרסקי: חצי מיליון יורו נגנבו מהבנק בשבוע

מומחי צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי, חושפים היום עדויות להתקפות ממוקדות על לקוחות של בנק גדול באירופה. על פי לוגים שנמצאו בשרת ששימש את התוקפים, נראה כי במהלך שבוע אחד בלבד, גנבו עברייני הרשת יותר מחצי מיליון יורו מחשבונות הבנק. הסימן הראשון לקמפיין LUUUK נחשף ב- 20 בינואר השנה, כאשר מומחי מעבדת קספרסקי זיהו שרתי פיקוד ושליטה ברשת. לוח הבקרה של השרת הציג עדויות לכך שנעשה דרכו שימוש בתוכנת סוס טרויאני כדי לגנוב כסף מחשבונות של לקוחות הבנק.

המומחים גם זיהו לוגים של פעולות בשרת המכילים מידע אודות סכומי הכסף שנלקחו מכל חשבון. בסך הכל, זוהו יותר מ- 190 קורבנות, שרובם ממוקמים באיטליה ותורכיה. הסכומים שנגנבו מכל חשבון בנק, על פי הלוגים, נעים בין 1,700 ל- 39,000 יורו.

הקמפיין פעל לפחות שבוע אחד  כאשר נחשפו שרתי הפיקוד והשליטה, שהחלו לפעול ב- 13 בינואר 2014. במהלך זמן זה העבריינים גנבו בהצלחה יותר מ- 500,000 יורו. יומיים לאחר שצוות GreAT של קספרסקי חשף את שרתי הפיקוד והשליטה, העבריינים הסירו כל שבריר של עדות שיאפשר לאתר אותם. למרות זאת, המומחים מאמינים כי סביר להניח שמדובר בהעברת התשתית הטכנית של הקמפיין הזדוני, ולאו דווקא מסמנת את קיצו של קמפיין LUUUK.

"זמן קצר לאחר זיהוי שרתי הפיקוד והשליטה, יצרנו קשר עם שירותי האבטחה של הבנק ורשויות אכיפת החוק, והעברנו להם את כל העדויות שלנו", אמר ויסנט דיאז, חוקר אבטחה ראשי במעבדת קספרסקי. 

כלים זדוניים

במקרה של LUUUK, למומחים יש בסיס להאמין כי מידע פיננסי חשוב יורט באופן אוטומטי, וכי בוצעו פעולות גניבה ברגע שהקורבן התחבר לחשבון הבנק המקוון שלו.

 "על שרתי הפיקוד והשליטה שזיהינו לא היה כל מידע על הקוד הזדוני שהיה בשימוש. עם זאת, לגרסאות רבות של Zeus (כגון Citadel, SpyEye, IceIx וכו') יש את היכולות הנדרשות. אנו מאמינים כי הקוד הזדוני בו נעשה שימוש בקמפיין זה, יהיה זן של Zeus המשתמש בהזרקה מתוחכמת אל הקורבן", הוסיף ויסנט דיאז.

 שיטת העברת הכסף

הכסף שנגנב הועבר לחשבונות עבריינים בדרך מעניינת וייחודית. מומחי קספרסקי הבחינו בחריגות בארגונים המשמשים כנקודות 'חילוץ' לכסף (או מעבירי כספים). גורמים אלו קיבלו חלק מהכסף שנגנב דרך חשבונות בנק שנוצרו במיוחד והוצא דרך כספומטים. ישנה עדות לקיומן של מספר קבוצות חילוץ, שלכל אחת מהן הוקצו סכומים שונים מתוך הסכום הכולל של הכסף. קבוצה אחת הייתה אחראית להעברת סכום של 40-50 אלף יורו, אחרת אחראית ל-15-20 אלף והשלישית ללא יותר מ- 2,000 יורו.

 "ההבדלים בהיקפי הכסף שהופקד בידי הקבוצות השונות יכולים להצביע על רמות שונות של אמון. אנו יודעים כי חברים לקבוצות פעולה אלו מרמים לעיתים קרובות את שותפיהם לפשע, ונעלמים עם הכסף שהם היו אומרים לפדות. ראשי קמפיין LUUUK מנסים לגדר סוג זה של הפסד באמצעות העמדת קבוצות שונות עם רמות שונות של אמינות: ככל שההיקף הכספי שקבוצה מתבקשת לטפל בו גבוה יותר, כך היא אמינה יותר", אומר דיאז.

 שרתי הפיקוד והשליטה הקשורים ל- LUUUK נסגרו זמן קצר לאחר שהחלה החקירה. אך רמת המורכבות של הפעילות מצביעה על כך שהתוקפים ימשיכו לחפש אחר קורבנות חדשים. מומחי

מעבדת קספסרסקי מעורבים בחקירה המתמשכת של פעילות LUUUK.

 מניעת הונאות של קספרסקי נגד LUUUK

העדויות שנחשפו על ידי מומחי מעבדת קספרסקי מצביעות על כך שהמבצע אורגן כנראה על ידי עבריינים מקצוענים. אך עדיין, את הכלים הזדוניים שהשתמשו בהם כדי לגנוב כסף ניתן לחסום בצורה יעילה באמצעות טכנולוגיות אבטחת מידע. לדוגמא, מעבדת קספרסקי פיתחה מערכת Kaspersky Fraud Prevention – פלטפורמה מרובת שכבות המסייעת לארגונים פיננסים להגן על הלקוחות שלהם מפני הונאות פיננסיות. הפלטפורמה כוללת רכיבים המגינים על מכשירי הלקוחות מפני סוגים רבים של התקפות, כולל התקפות אדם-בדפדפן (Man-in-the-Browser), וכן כלים אשר יכולים לסייע לחברות לזהות ולחסום פעולות הנובעות מהונאות.