Casa Securitywatch L'hacking rapina flummoxes le banche francesi

L'hacking rapina flummoxes le banche francesi

Video: GTA 5 How To Host A Heist (Novembre 2024)

Video: GTA 5 How To Host A Heist (Novembre 2024)
Anonim

La rapina in banca non è più quella di una volta. Fare buchi nei muri, disarmare le telecamere di sicurezza, rompere le casseforti… sono così tanti anni '90. Il ladro moderno ha bisogno di abilità informatiche. Un Trojan di accesso remoto (RAT) è più efficace di una talpa nell'ufficio della banca. E perché rompere la cassaforte quando è possibile trasferire i soldi in modalità wireless? Un gruppo di banche e multinazionali in Francia è stato colpito proprio da questo tipo di rapina ad alta tecnologia e Symantec ha documentato l'intero dramma.

Tutto è iniziato con un semplice messaggio di posta elettronica che indirizzava l'assistente amministrativo di un vicepresidente a gestire una fattura particolare. Dato che la fattura era ospitata all'esterno dell'azienda, in un sito di condivisione file, l'amministratore avrebbe potuto esitare. Tuttavia, pochi minuti dopo quello stesso assistente ricevette una telefonata presumibilmente da un altro vicepresidente che la sollecitava ad accelerare la fattura. Stupita dalla telefonata fraudolenta, la aprì, rilasciando così un RAT all'interno della rete aziendale. La combinazione aggressiva di e-mail di spear-phishing e telefonata fraudolenta ha catturato l'interesse dei ricercatori Symantec; scavarono più a fondo e trovarono altri e, peggio ancora, attacchi contro altre compagnie francesi.

Difese sconfitte

In un post pubblicato oggi, Symantec ha rivelato come gli aggressori sono riusciti a sconfiggere tutte le protezioni di una società contro trasferimenti di denaro non autorizzati. Legge davvero come la sceneggiatura di un film di rapina.

Per cominciare, hanno usato l'attacco di social engineering a doppio filo sopra descritto per caricare un RAT sul PC dell'aiutante di un amministratore. Il RAT ha raccolto informazioni sulla società, inclusi il piano di emergenza della società e i dettagli del suo fornitore di telecomunicazioni. Usando le informazioni rubate, i truffatori hanno invocato il piano di disastro, sostenendo un disastro fisico. Ciò consente loro di reindirizzare tutti i telefoni dell'organizzazione a un nuovo set di telefoni sotto il loro controllo.

Successivamente hanno inviato una richiesta via fax alla banca della società per più trasferimenti di fondi di grandi dimensioni su conti offshore. Naturalmente il rappresentante della banca ha chiamato per confermare; i truffatori intercettarono la chiamata e approvarono la transazione. Non appena il denaro è apparso in quei conti offshore, lo hanno sottratto. Malizia gestita!

Symantec ha scoperto molti altri casi, molti dei quali molto meno elaborati. Ad esempio, un aggressore ha semplicemente chiamato la vittima e ha dichiarato che la manutenzione regolare richiedeva la disabilitazione temporanea dell'autenticazione a due fattori per i trasferimenti di fondi. Un altro ha informato la vittima che gli aggiornamenti del computer richiedevano un trasferimento di fondi "di prova"; il "test" in realtà ha trasferito fondi reali a un conto offshore. Gli esseri umani chiaramente creduloni sono il punto debole in molti sistemi di sicurezza.

Whodunnit?

Sapendo che questo tipo di chicanery stava avvenendo, il team di Symantec è riuscito a ottenere un vantaggio su un'operazione in-process, un cappero che hanno soprannominato "francofono". Sono riusciti a rintracciare il traffico di comando e controllo attraverso l'Ucraina agli indirizzi IP originari di Israele.

Analizzando gli indirizzi IP utilizzati, hanno notato due stranezze. Innanzitutto, gli indirizzi provenivano da un blocco assegnato specificamente alle schede MiFi: radio cellulari GSM che possono essere utilizzate per fornire accesso a Internet tramite la rete cellulare. In secondo luogo, erano in costante cambiamento, nel senso che i cattivi stavano guidando, passando diverse torri cellulari. Le telecomunicazioni non potevano triangolare un bersaglio mobile e le connessioni MiFi erano apparentemente anonime e prepagate, quindi non c'era modo di catturare gli imbroglioni.

Non vedo l'ora che arrivi la versione del film!

L'hacking rapina flummoxes le banche francesi