Можно вложить большие деньги в защиту собственной ИТ-инфраструктуры. Но уязвимости у компаний-партнеров могут стать причиной весьма серьезных потерь.
Традиционная модель взлома банков или банковских счетов, по большому счету, мало отличается от старого доброго грабежа. Воры входят, получают то, что им нужно, и уходят. Такой «вход» и «выход» могут быть виртуальными. Тем не менее, злоумышленники должны попасть «внутрь» банковской системы или банковского счета, чтобы украсть деньги.
Недавно специалисты «Лаборатории Касперского» обнаружили новый способ мошенничества, назвав его уникальным на сегодняшний день. Группа хакеров придумала и реализовала более коварный подход к взлому данных. Хакеры не трогали инфраструктуру банка, а пошли другим путем: обнаружили и использовали уязвимости у регистратора доменных имен, принадлежавших банку. В результате на пять часов представители банка лишились доступа ко всем своим онлайн-проектам, а хакеры получили данные миллионов клиентов банков.
Как за пять часов украсть все
В час ночи 22 октября 2016 года (это была суббота) хакеры изменили данные DNS для всех 36 онлайн-представительств банка. DNS-сервера были заменены для главных десктопного и мобильного сайта, а также для всех поддоменов и дополнительных ресурсов.
Посетители, которые пытались зайти на сайт банка, перенаправлялись на фишинговые сайты. Во время посещения поддельных сайтов хакеры могли украсть учетные данные клиентов, необходимые для входа на сайты-оригиналы. Эксперты из «Лаборатории Касперского» не исключают, что перенаправление на поддельные сайты могло вестись и при проведении операций в банкоматах или POS-терминалах в субботу во второй половине дня. В целом атака длилась около 5-6 часов.
DNS под угрозой
В «Лаборатории Касперского» не обнародовали название пострадавшего банка. Речь идет только о крупном бразильском банке с сотнями филиалов, в том числе в США и Каймановых островах. Банком, который может похвастаться 5 млн клиентов и активами, общий размер которых превышает $27 млрд.
Комментируя инцидент, в «Лаборатории Касперского» отмечают, что эта атака должна служить предупреждением для банков во всем мире. Банки должны понять, как незащищенность их DNS может привести к кошмарной потере контроля над их основными цифровыми активами.
Это не первый случай использования DNS для организации атаки. Еще в 2013 году хакеры из Syrian Electronic Army изменили данные DNS-сервера для The New York Times, чтобы перенаправлять посетителей сайта онлайн-медиа на свою страницу. В конце минувшего года DDoS-атака ботнета Mirai на DNS-провайдера Dyn вызвала сбои в работе множества сайтов, в том числе Amazon, Twitter и Reddit.
Однако описываемая атака на бразильский банк отличается от всех, имевших место ранее. Впервые хакеры эксплуатировали DNS своей жертвы для получения собственной выгоды через уязвимость регистратора. Эксперты считают, что хакеры взломали акаунт жертвы у регистратора доменов Registro.br и смогли внести нужные им изменения в данные DNS. Именно это позволило им перенаправить посетителей всех сайтов банка на свои поддельные ресурсы.
Идеальная копия
Еще один примечательный момент: у посетителей сайта банка не было возможности распознать сайт-подделку. Во-первых, его URL был таким же, как и адрес сайта банка. Во-вторых, у сайтов-подделок были действительные HTTPS-сертификаты, выданные на имя банка. Соответственно, браузеры посетителей демонстрировали пометку “надежный”, что не оставляло сомнений в нелегитимности сайта. В «Лаборатории Касперского» обнаружили, что сертификаты были выданы шестью месяцами ранее компанией Let’s Encrypt, авторитетной некоммерческой организацией, которая упростила процедуру получения сертификата HTTPS в надежде на расширение использования безопасного протокола.
Атака была настолько всеобъемлющей, что представители банка даже не смогли уведомить клиентов о проблеме по электронной почте. «Если ваш DNS находится под контролем киберпреступников, вы лишены практически всего», — комментирует Дмитрий Бестужев, эксперт из «Лаборатории Касперского».
Хакеры не ограничились только фишингом. Поддельные сайты-обманки, на которые попадали клиенты банка, были заражены опасным malware, маскировавшим себя под обновление браузерного плагина Trusteer. Этот плагин банк рекомендовал для установки своим клиентам. Это вредоносное ПО собирало не только банковские логины и пароли этого банка, но еще и данные доступа к электронной почте, FTP и списки контактов из Outlook и Exchange. Все полученные таким образом данные передавались на сервера, физически расположенные в Канаде.
Мир спасет круговая порука в борьбе с хакерами
Через пять часов банк восстановил контроль над своими доменами, вероятно, обратившись напрямую к администратору бразильского домена и исправив данные DNS. Однако сложно сказать, какое количество клиентов банков стали жертвами атаки, и даже приблизительное их число не назвали. В «Лаборатории Касперского» считают, что их количество может составлять миллионы. Все эти люди пострадали не только от фишинга и вредоносных программ, а также и от атак на банкоматы и POS-терминалы. Причем сложно сказать, какая из ветвей атаки была опаснее и результативнее: вредоносное ПО, фишинг, банкоматы или POS-терминалы.
В описании этой атаки вызывает вопрос тот факт, каким образом регистратор и администратор бразильского домена потеряли контроль над доменами банка. В блоге администратора домена, компании NIC.br, упоминается факт наличия уязвимости веб-сайта, которая могла бы позволить менять настройки клиентов. Однако доказательств того, что эксплуатировалась именно эта уязвимость, у компании нет.
Один из руководителей NIC.br опровергал факт взлома всех 36 доменов и заявлял, что в «Лаборатории Касперского» сделали несколько предположительные выводы. Но он признал, что аккаунты клиентов могут пострадать в результате фишинга или атаки по электронной почте, подчеркнув, что в наше время любой электронный реестр содержит скомпрометированные аккаунты.
Аналитики «Лаборатории Касперского» утверждают, что этот инцидент для банков должен стать предупреждением и напоминанием проверки безопасности их DNS. Половина крупнейших банков не управляет своими данными DNS. А это означает, что взлом компании-регистратора может стать первым шагом в атаке на их собственную ИТ-инфраструктуру.
Независимо от того, кто контролирует DNS, банк (да и любой другой владелец домена) должен принять специальные меры предосторожности, чтобы защититься от неавторизованного изменения. Тем более, что некоторые регистраторы обеспечивают двухфакторную аутентификацию для таких операций, что усложняет работу хакеров.
Описанная атака на бразильский банк показывает, как легко и просто обычный переключатель в настройках домена может подорвать практически все другие меры безопасности. А главный вывод из истории про «неназываемый бразильский банк” состоит в следующем: защищать только себя в современном мире ИТ-угроз и изобретательных злоумышленников не выйдет. Только коллективная ответственность и круговая порука в организации защиты смогут возыметь эффект.