Nederlandse Vereniging van Banken, NVВ , нидерландская банковская ассоциация опубликовала данные за прошедший год. По ее подсчетам ущерб от интернет-мошенничества обошелся местным банкам в 35 млн. евро.

Из-за фрода убытки в сфере банковского обслуживания достигли 92 млн. евро.  Более чем втреть увеличились потери  в системах онлайн-банкинга и вдвое- в  платежных терминалах.

Хотя несколько десятков миллионов, которые похитили мошенники, и незначительны по сравнению с денежным оборотом в этой отрасли, банкиры Голландии стали серьезнее задумываться об обеспечении защиты своих клиентов от интернет-мошенничества. Они вкладывают огромные суммы на приобретение современных средств обеспечения безопасности платежей,  сотрудничают с органами правопорядка при расследованиях, оповещают клиентов о возможных вариантах мошенничества и как можно себя защитить в таком случае. Также банки ведут активную спонсорскую деятельность по финансированию телепроектов, которые посвящены различным способам выуживания финансовой информации. NVB сумели значительно сократить сроки реакции на кибератаки и в 2012 году ввели новый стандарт для банковских карт с чипами в целях повышения уровня безопасности -EMV,  который разработали MasterCard, Visa и Europay.

В переводе с испанского chupa cabra буквально означает «сосущий козу». Бразильские кардеры стали называть чупакаброй скиммеры, которые злоумышленники устанавливают на банкоматах. Название отражает суть: чупакабра «высасывает» информацию с кредиток своих жертв.
Так как устанавливать скиммеры на банкоматы довольно рискованно, бразильские кардеры обратились за помощью к хакерам для поиска более безопасного способа кражи данных с кредитных карт.
Как это работает? Чтобы не попасться со скиммером в руках, преступники инсталлируют вредоносный код в компьютеры на базе Windows. Так они перехватывают данные, которые вводятся с помощью цифровых клавиатур -пинпадов, которые рядовой покупатель использует на заправках, в супермаркетах и т.д., там, где оплата производится банковской картой.
Первый случай чупакабры был отмечен в Бразилии в конце 2010 года. Ему дали имя Trojan-Spy.Win32.SPSniffer (А,В,С и D модификации). Данные троянцы – узкой направленности и предназначены для распространения с определенной целью.
Конечно же, пинпады защищены и программно и аппаратно. В случае, когда совершается попытка подобраться к устройству, секретный код стирается. Шифрование такого кода осуществляется непосредственно при его введении в устройство на базе целой системы шифрования и симметричных ключей. Также взлом пинпада усложняется использованием тройного DES-шифратора.
Однако есть проблема: устройство присоединяется к компьютеру с помощью USB или последовательного порта для связи с ПО EFT, который осуществляет денежные переводы. Пинпады, которые используются в Бразилии морально и технически устарели и сильно уязвимы.
На старых пинпадах данные 1-й дорожки и открытые данные, размещенные на чипе карты, не зашифровываются : №карты и ее срок, сервис-код, все, что необходимо мошеннику. Так как информация не шифруется, она поступает в компьютер в текстовом формате. По этим данным преступники легко делают копию кредитки.
После того, как проблема была обнаружена, компании, занимающиеся кредитными картами, заменили пинпады на новые модели, не боящиеся этой угрозы.

Многие пользователи не раз получали уведомления о выигрыше лотереи. Мошеннические письма работают по одному и тому же сценарию: в письме сообщается, что пользователь выиграл в лотерею внушительную сумму денег и ему нужно связаться со своим координатором или менеджером, чтобы получить выигрыш.

Получить «выигрыш» можно, перечислив на указанный счет несколько тысяч или сотен долларов, объясняя это комиссией за перевод суммы, платой за открытие счета и т.п. Такие затраты могут показаться « везунчику» не такими уж большими в сравнении с призом. Получив же денежный перевод, мошенники умолкают и исчезают. Разыскать их крайне сложно, почти невозможно.
Нужно быть осторожными и не попадаться на удочку!
Как определить «лотерейное» мошенничество?
Уведомление о выигрыше в лотерею, где пользователь не участвовал – фальшивое. Если же пользователь участвовал в определенной лотерее и ожидает кругленькой суммы? Когда проводится официальный розыгрыш призов, к участвовавшему в нем обратятся по № лотерейного билета или по имени. Письмо обязательно укажет свой адрес и название компании, организовавшей розыгрыш.
Фальшивые уведомления выглядят по-разному. Многие содержат грубые ошибки. В серьезных же компаниях, проводящих лотереи, работают специалисты-редакторы. Могут быть подделки, написанные без ошибок и хорошо оформленные, но они отправляются с почтового публичного сервера типа yahoo.com, hotmail.com, gmail.com. Сообщение от надежной компании содержит корпоративный адрес. Иногда пользователю предлагают отослать ответ по адресу, отличному от того, с которого было прислано письмо, на адрес какого-нибудь менеджера. Проще говоря, в фальшивом уведомлении всегда можно обнаружить какую-то странную нестыковку.

Часто писатели вирусов в одной программе сочетают различные методы инфицирования компьютера  вредоносным ПО и его закрепления в ОС. В то же время они ищут новые места для автозагрузки вредоносных программ. В наши дни создатели троянских программ используют уже подзабытые, но известные раннее идеи и воплощают их в конечном продукте. Подтверждение тому – раскопанные из архивов 16-битные технологии.

Троянец сохраняет при заражении оригинальный MBR в 7-м секторе диска и использует его для  получения таблицы разделов ( после завершения основной работы использует его и для передачи ему управления).

Код, исполняемый на данном этапе, содержит несложный разборщик форматов систем файлов  NTFS и FAT32.Его цель – найти на диске сектора, соответствующие системным файлам winlogon.exe или wininit.exe, компонентам, отвечающим за вход пользователя в систему.

При нахождении требуемых секторов вредонос заражает исполняемый файл winlogon.exe или wininit.exe ( использование технологии файловых вирусов), делая прямые записи в секторах диска, где он расположен. В 8-м секторе находится шаблон для заражения.

В виду своих малых размеров код выполняет 2 задачи :

1. Загрузка из сети определенного файла по ссылке и его запуск;
2. Запуск  руткит-драйвера (my.sys, расположенного на диске C:), предназначенный для защиты зараженных секторов диска.

После старта из BIOS вредоносный объект контролирует все этапы работы компьютера и ОС. Модуль, добавляемый в BIOS, обладает функцией с дополнительной информацией , умещающейся в 1 сектор – 512 байт.  MBR  и дополнительные  сектора занимают 0x1C00 байт,  ISA ROM – 0x1E00 байт.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.

Драйвер  my.sys используется для сокрытия информации по заражению. Руткит-драйвер  уводит функции IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL у драйвера, который обслуживает \Device\Harddisk0\DR0. При перехвате подменяется CompletionRoutine в случае чтения, пустой буфер возвращается при попытке чтения охраняемых секторов. Перехват IRP_MJ_WRITE препятствует записи данных в охраняемые сектора. Перехват IRP_MJ_DEVICE_CONTROL следит за вызовами IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX, IOCTL_DISK_GET_DRIVE_GEOMETRY_EX и посылает назад ошибку.