Промени размера
Аа Аа Аа Аа Аа

IBM предупреждава: Известен компютърен вирус се цели в български банки

19 август 2015, 13:36 часа • 20155 прочитания

Опасен компютърен вирус от вида „Троянски кон” заплашва българските банки. Това твърдят в свой анализ експерти от IBM Security X-Force.

Според анализа компютърният вирус се казва GOZI/ISFB и конфигурацията му е такава, че е насочена специфично към български банки. Специалистите на IBM посочват, че вирусът ще бъде насочен към „девет големи банки в България”.

Този вид вирус е открит за пръв път през 2007 година, като първоначално негови цели са англоезични държави – главно САЩ и Великобритания. През 2010 година оригиналният код на GOZI бива случайно и неумишлено разпространен от един от разработчиците на IBM, който работи по т.нар. проект Gozi v2. Точно тогава в GOZI се появяват механизми, които са специфично направени за кибератаки срещу банки.

Какво представлява GOZI

GOZI е създаден от руски хакер – Никита Кузмин. Помагали са му латвиец на име Денис Каловскис и румънец, известен с прякора си Вируса – Михай Паунеску. И тримата бяха арестувани – Кузмин още през 2010 година, Каловскис преди две години, а малко след това и Паунеску. Арестите обаче стават факт, след като самият Кузмин успява в достатъчно дълъг период да продава свободно творението си по интернет форуми.

Всъщност руснакът е създал и специална мрежа за разпространение на име “76 Service”. В нея клиентите са наясно какво правят – те да ограбват клиенти на точно определени банки, главно с помощта на услугата интернет банкиране. Това става с намеса в официалния сайт на съответната банка от криптограф, който прави скриптове за сайта. Със специалните скриптове антивирусната система не засича GOZI и той се превръща в спяща клетка. Съответно след това „клиентът” на “76 Service” получава „автоматизирана система”, която се задейства след като истински клиент на ударената банка влезе в профила си в официалния банков сайт. Вирусът „инжектира” HTML в сайта на банката и това съдържание се появява на екрана на неподозиращия потребител, който смята, че влиза в безопасния си профил в банковия сайт. При измамата се изпраща уж стандартен документ, който изисква попълване на лични данни – обикновено чрез pop-up прозорец. Данните обаче се виждат от клиента на “76 Service”, който след това ги използва, за да разполага с кредитни и дебитни карти, както и с банковата сметка на жертвата.

Целите

Конкретно България става цел за вируса от началото на август тази година, казват от IBM. От там посочват, че за GOZI е нормална практика първоначално да опита да пробие киберсигурността на само една банка в дадена държава, а след това да разшири списъка към други банки. Такъв е бил случаят със Саудитска Арабия, където след атака срещу една банка обект на кибер нападения са станали общо 15 банки.

Интересен факт е, че в предупреждението на IBM изрично е посочено, че България е по-скоро известна със случаи на организирани престъпни групи, точещи кредитни карти, а не като дестинация, жертва на компютърни престъпления. Цитирано е и изказване на Васил Петков от сектора за борба с киберпрестъпност към ГДБОП: „За щастие, киберпрестъпленията в България не са от световна класа, може би защото престъпниците не виждат достатъчно апетитна цел на българска територия”. Експертите на IBM обаче изказват предположение, че сега GOZI е насочен точно към България по линията на „най-малкото съпротивление”.

От IBM напомнят, че за борба с GOZI съответните експерти на дадена банка трябва да се свържат с тяхната услуга IBM Security Trusteer solutions, ако имат съмнения, че са обект на кибератака.

Ивайло Ачев
Ивайло Ачев Отговорен редактор
Новините днес