По сообщениям «Лаборатории Касперского», во вторник, 15 марта, десятки российских банков подверглись массированной атаке, организованной путём рассылки вредоносных писем на электронные адреса сотрудников.
Отмечается, что мошенники впервые выдавали себя за сотрудников FinCERT, специального отдела в структуре Центрального Банка Российской Федерации, задача которого — информирование российских банков об инцидентах информационной безопасности в финансовой сфере. Вредоносная рассылка отправлялась с адреса info@fincert.net — чтобы всё выглядело максимально убедительно, перед атакой злоумышленники зарегистрировали доменное имя fincert.net и заранее собрали специальную базу контактов.
Сами письма представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. При его запуске происходила попытка соединения с удалённым ресурсом с целью загрузки некоего файла. Этот файл был подписан легальной цифровой подписью реально существующей московской компании и позволял киберпреступникам получить доступ к информационной системе банка.
«Мы видим, что киберпреступники не только обладают хорошими навыками и изощрёнными инструментами, но и тщательно продумывают сценарии атак, — заявил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. — Что касается совершенствования техники киберпреступников, то это уже обычная практика — использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. Этот инцидент еще раз подтверждает, что человеческий фактор представляет серьезную угрозу безопасности банков, поэтому мы рекомендуем уделять большое внимание обучению сотрудников правилам информационной безопасности».
Источник: