Хакеры через официальный сайт Московской кольцевой железной дороги воровали данные пользователей. Страница МКЖД была задействована в незаконной схеме. Злоумышленники с ее помощью активировали на устройствах жертв троянский вирус Panda. Он открывает доступ к банковским данным пользователя и позволяет выводить деньги с его счетов. Как работал этот механизм? И почему взломщики прикрывались именно российской компанией? Разбирались Виктория Феофанова и Анна Пестерева.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
В «Лаборатории Касперского», а именно там выявили проблему, отметили изобретательность злоумышленников. Схема с заражением компьютеров троянским вирусом Panda сложная и состоит из нескольких шагов. На сайте МКЖД размещена сама вредоносная программа, а людям рассылаются письма, содержащие вложение для ее загрузки. Если человек по неосторожности открывает его, установка вируса начинается в любой момент по команде хакеров. Не нужно даже заходить на страницу МКЖД в интернете, пояснил антивирусный эксперт «Лаборатории Касперского» Алексей Шульмин. Пользователи просто не знали, что оказались на крючке у мошенников, добавляет эксперт: «Это произошло без их ведома. Компьютеры пользователей, которые были заражены банковским трояном, получили команду на загрузку дополнительного компонента, который был выложен на сайте Московской кольцевой железной дороги. Злоумышленники специально так делали для того, чтобы эта активность осталась незамеченной системами, которые, например, могут мониторить трафик. Потому что сайт проверенный, известный. И, как правило, на такую активность могут не обратить внимание».
Под угрозой заражения оказались несколько тысяч пользователей во всем мире. А четверть взломов пришлась на Россию. Что это значит? Злоумышленники могли получить доступ к банковским данным россиян. Случай с МКЖД не первый, когда хакеры используют сайт с хорошей репутацией в преступных целях, говорит глава представительства компании Check Point Software Technologies Василий Дягилев. Но проблем можно было избежать. В крупных компаниях часто забывают вовремя обновлять программное обеспечение. А страдают от этого обычные пользователи, продолжает Дягилев: «Возможно, использовалось ПО, которое недостаточно обновлено, либо у сайта не было требуемого средства защиты, которое на сегодняшний момент необходимо.
Либо же это просчет службы безопасности, которая архитектурно могла не предусмотреть какой-то вектор атаки, который использовали злоумышленники, чтобы оставить зловредный код на сайте».
Выходит, что никто не может гарантировать безопасность ваших данных. Как говорят юристы, судиться в таком случае с компанией, через сайт которой гаджет был заражен, практически бесполезно. Доказать, что она не обновляла вовремя ПО, а значит, проявила халатность, очень трудно. Так что придется соблюдать несколько простых правил, напомнил руководитель департамента аудита защищенности компании Digital Security Глеб Чербов: «Рекомендации для пользователей довольно-таки типичные: не переходить по подозрительным ссылкам из писем, если речь идет про персональные компьютеры, не запускать файлы, которые скачиваются из непроверенных источников. Если мы говорим про мобильные платформы, по возможности не ставить приложения, опять-таки, из непроверенных источников».
Как на днях отмечал «Коммерсант», сейчас на банковском рынке складывается опасная ситуация: ведущие специалисты по информационной безопасности, недовольные небольшими зарплатами, покидают финансовые организации. Если тренд не изменится, успешных хакерских атак может стать больше.
В «Лаборатории Касперского» заверили, что устранили проблему с сайтом МКЖД. Представители Московской кольцевой железной дороги скандал с заражением устройств пользователей никак не комментировали.