Максим Буйлов о реальных и мнимых банковских уязвимостях
Фейк платежом красен
В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу «класса А1 по классификации OWASP», отмечая, что «это гарантированный способ взлома сайтов и веб-приложений». Возможность «удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса», одновременно злоумышленник «получает доступ к серверу атакуемого сайта».
Как пояснил один из экспертов, такие уязвимости обычно используются для целенаправленных атак на банк. Как правило, они нацелены на процессинг, и тогда происходят хищения через специально подготовленные карты — мошенники увеличивают балансы по ним вручную, затем дропперы снимают деньги через банкоматы. Либо атака идет на систему SWIFT, и осуществляется перевод на специально подготовленную компанию. Может быть атаковано автоматизированное рабочее место клиента Банка России, и тогда деньги списываются с корсчета атакуемого банка в ЦБ.
Серьезность угрозы подтверждают и в «Лаборатории Касперского». По словам ее ведущего эксперта Сергея Голованова, «RCE — это точка входа, которая обеспечивает злоумышленнику доступ к инфраструктуре организации». Однако, отмечает он, «чтобы добраться до денег или персональных данных, атакующими должна быть проделана еще очень большая работа».
Вместе с тем при всей опасности вскрытой уязвимости, несколько экспертов в области информационной безопасности оценили это объявление как фейк. Они обращают внимание на ее продавца и то, как он описывает свой «товар». «Человек либо английского не знает, либо терминологию. RCE обычно употребляется, когда говорят об уязвимостях в продуктах, а не в сети банка. Про сеть или инфраструктуру говорят «доступ» или Backdoor»,— говорит один из экспертов. По словам другого эксперта, для обнаружения такой уязвимости достаточно знать, как работает соответствующий сканер. IP-адреса многих банков легко вычисляются из общедоступных записей. «Запускаем сканер по адресам, сканер находит уязвимость (мнимую или реальную), которую гражданин пытается продать. Но в целом это никому не интересно и говорит о низкой квалификации»,— говорит он.
Кроме того, по мнению эксперта, продать найденную уязвимость именно этому мошеннику будет непросто, поскольку он зарегистрировался на форуме только в конце августа, а значит, репутации у него нет. В такой ситуации платить $20 тыс. за кота в мешке отважатся лишь самые рисковые жулики.
