Cardurile blocate in ATM si PIN-ul furat, din cauza unui nou virus care opereaza prin intermediul sistemului de citire al bancomatelor.

Virusul denumit Backdoor.ATM.Suceful a fost creat in Rusia si poate citi datele de pe banda magnetica si cipul cardurilor bancare. Pe scurt, iti fura codul PIN si poate “convinge” bancomatul sa ti-l blocheze inauntru, raporteaza portalul Gizmodo. Desigur, virusul opereaza fara a fi detectat de sistem, scrie business24.ro.

Backdoor.ATM.Suceful a fost descoperit de specialistii in sisteme de securitate informatica de la FireEye si se dovedeste capabil sa opereze pe diferite tipuri de ATM-uri.

In clipa de fata circula o versiune a virusului din data de 25 august 2015, fapt care ii face pe specialisti sa creada ca acesta este inca in faza de dezvoltare.

Tehnicienii de la FireEye spun ca un astfel de pericol de securitate nu a mai fost intalnit pana acum la bancomate, iar o eventuala evolutie a virusului poate sa duca la raspandirea acestuia dincolo de granitele Rusiei, tara unde a fost creat.

Specialistii in securitate sustin ca nu poti depista un ATM infectat cu Backdoor.ATM.Suceful, ca simplu utilizator. Singurul sfat util ar fi sa-ti pastrezi in telefon numarul de urgenta al bancii emitene si sa suni imediat, daca ti-a ramas cardul in ATM.

Marile organizații criminale se orientează spre infracțiuni cibernetice, deoarece sunt mai profitabile decât traficul de droguri, afirmă experții.

“Şi spionajul cibernetic şi alte feluri de atacuri mă aştept să crească. Sunt îngrijorat de creşterea în intensitate a criminalităţii informatice. E noul business pe care organizaţiile de crimă organizată îl identifică ca fiind profitabil. Este mai profitabil decât traficul de droguri“, a afirmat Iulian Fota, consilier prezidenţial pe probleme de securitate, la un seminar pe tema securităţii cibernetice organizat de grupul UTI.

El a adăugat că a văzut recent nişte cifre, care arată o rată de profitabilitate a criminalităţii informatice halucinantă.

“Vorbim de cifre de genul 500-600%, ceea ce nici traficul de droguri nu produce, în cele mai bune condiţii ale lui, adică în ţările slabe, unde nu există un control eficient al statului”, a mai spus Fota.

La rândul său, Teodor Cimpoeşu, director la compania de securitate cibernetică certSIGN din cadrul UTI, a arătat că, în România, atacurile cibernetice nu sunt făcute doar de români, ci şi de către străini.

“Este o ameninţare, pe de o parte, pentru utilizatorul individual, care stă pe internet, de la simplul fapt că îi sunt furate datele de login şi conturile de reţele sociale, până la a-i fi furate datele bancare sau chiar banii din cont. La companii este mai grav, pentru că le pot fi afectate structurile informatice cu care îşi desfăşoară activitatea”, a mai spus Cimpoeşu.

Cercetătorii de securitate de la ESET®, în colaborare cu CERT-Bund, Infastructura Națională Suedeză pentru Tehnică de Calcul, precum şi alte agenţii, au demascat recent o campanie de infracţiuni cibernetice la scară largă, prin care atacatorii au preluat controlul a peste 25.000 de servere Unix, în întreaga lume.

Atacul, care a fost numit de către experții în securitate “Operațiunea Windigo”, a facut ca serverele infectate să trimită milioane de emailuri spam. Arhitectura complexă de componente malware foarte sofisticate a fost concepută pentru a deturna servere, a infecta calculatoarele care le vizitează și pentru a fura informații.

Printre victimele “Operațiunii Windigo” se numără cPanel și kernel.org.

Echipele de cercetare în domeniul securităţii din cadrul ESET care au descoperit Windigo, au publicat un document tehnic ce prezintă rezultatele investigațiilor și analiza malware în detaliu. Documentul oferă, de asemenea, îndrumări cu privire la modul în care se poate  verifica dacă anumite sisteme sunt sau nu afectate și instrucțiuni pentru îndepărtarea codului maliţios.

OPERAŢIUNEA Windigo:  îşi întăreşte structura de peste trei ani

Deşi unii experți au identificat elemente ale campaniei  de infracţionalitate cibernetică Windigo, mărimea absolută și complexitatea operațiunii a rămas în mare parte nedepistată de către comunitatea de securitate.

“Windigo a acumulat din ce în ce mai multă putere, rămânând neobservat de către comunitatea de securitate  vreme de doi ani și jumătate, și are în prezent sub controlul său 10.000 de servere”, a spus cercetatorul de securitate ESET Marc-Étienne Léveillé.” Peste 35 de milioane de mesaje spam sunt livrate în fiecare zi către conturile unor utilizatori neimplicaţi, aglomerând cutiile poștale electronice şi supunând unor riscuri suplimentare sistemele informatice în cauză. În plus, în fiecare zi, peste o jumătate de milion de calculatoare sunt supuse riscurilor de infectare, pentru că vizitează site-uri care sunt infectate de malware-ul specific pentru servere web plantat în cadrul operaţiunii Windigo, malware ce redirecționează către kit-uri exploit şi reclame insidios plasate.”

Un aspect interesant, deși site-urile afectate de către Windigo încearcă să infecteze cu malware sistemele bazate pe Windows care le vizitează, prin intermediul unui kit de exploit, utilizatorilor de Mac le sunt servite reclame cu portaluri matrimoniale în vreme ce de deţinătorii de iPhone sunt redirecționaţi de codul malware către site-uri care au conținut pornografic.

Un apel către administratorii de sistem pentru a lua măsuri împotriva Windigo

Peste 60% din site-urile din lume se execută pe servere Linux iar cercetătorii ESET fac apel la webmasterii și administratorii de sistem să îşi verifice sistemele pentru a vedea dacă au fost compromise.

“Webmasterii și personalul IT au deja în agenda zilnică o mulțime probleme şi lucruri generatoare de bătăi de cap, așa încât  ne displace să le sugerăm să ia în calcul o nouă sarcină, dar acest lucru este important. Toată lumea vrea să fie un cetățean bun pe net și aceasta este șansa  individuală a fiecăruia de a îşi  juca rolul personal pentru a ajuta la protejarea altor utilizatori de internet”, spune Léveillé.” Ultimul lucru pe şi l-ar dori oricine ar fi să vrea să fie o parte a problemei, contribuind la răspândirea de malware și spam. Câteva minute pot face aşadar diferența, și vă asigură că sunteţi parte a soluției.”

Cum afli dacă serverul tău a căzut victimă reţelei Windigo

Cercetatorii ESET, care au numit Windigo după o creatura mitica din folclorul nativ American, fac apel la administratorii de sisteme Unix și webmasteri să ruleze comanda de mai jos, care le va comunica dacă serverul gestionat de către ei este compromis sau nu :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Recuperare extrem de dificilă pentru victimele Windigo

“Backdoor-ul Ebury implicat de către operațiunea de criminalitate informatică Windigo nu exploatează o vulnerabilitate în Linux sau OpenSSH,” a continuat Léveillé. ” În schimb, el este instalat manual de către un atacator. Faptul că au reușit să facă acest lucru pe zeci de mii de servere diferite este cu adevărat îngrijorător. În timp ce software-ul antivirus și autentificarea bazată pe doi factori reprezintă ceva comun pe sistemele desktop, aceste metode sunt foarte rar folosite pentru a proteja servere, ceea ce le face vulnerabile în faţa furtului de credenţiale şi permite ușor implementarea de cod malware.”

În cazul în care administratorii de sistem descoperă că sistemele lor sunt infectate, ei sunt sfătuiți să ștergă complet datele de pe computerele afectate și să reinstaleze sistemului de operare și software-ulde pe ele. Este esențial să fie folosite parole şi chei private noi, credenţialele existente putând fi considerate compromise.

De asemenea, pentru un nivel superior de protecție, ar trebui să fie luată în considerare o tehnologie de autentificare bazată pe doi factori.

“Ne dăm seama că ștergerea sistemului de operare de pe serverul dumneavoastră și reinstalarea aplicaţiilor de la zero este un remediu dificil de aplicat, dar în cazul în care hackerii au furat sau spart credenţialele de administrator și au avut acces de la distanță la serverele dvs. nu puteți să vă asumaţi riscuri suplimentare”, explică Léveillé.” Din păcate, unii dintre cei afectaţi, cu care am intrat în contact, şicare au aflat că sistemele lor sunt infectate, nu au făcut nimic până acum pentru curățarea sistemelor – expunând în continuare şi mai mulți utilizatori de internet la aceste riscuri.”

Cu acest prilej, toți utilizatorii de computere ar fi util să îşi reamintească, că nu trebuie să reutilizeze parole sau să aleagă parole ușor de spart.

Un bărbat din Craiova, căutat de autorităţile americane pentru fraudă cu cărţi de credit şi furt de identitate, a fost prins de poliţişti în judeţul Dolj, urmând ca procurorii să ceară instanţei punerea în executare a mandatului european de arestare emis pe numele lui de către un tribunal din SUA.

Bărbatul, în vârstă de 30 de ani, a fost prins luni, de poliţiştii de investigaţii criminale din IPJ Dolj, acesta fiind urmărit internaţional în baza unui mandat european de arestare emis de Tribunalul Districtual al SUA – Districtul Nevada, se arată într-un comunicat de presă al Poliţiei Române.

Acesta este suspectat de fraudă cu cărţi de credit şi furt de identitate, fapte pe care le-ar fi comis în perioada 2005-2011.

Parchetul Curţii de Apel Craiova a dispus reţinerea acestuia pentru 24 de ore, iar marţi va cere instanţei punerea în aplicare a mandatului de arestare preventivă a acestuia.

Până la definitivarea procedurilor de extrădare către autorităţile din SUA, suspectul a fost încarcerat în Centrul de Reţinere şi Arestare Preventivă al IPJ Dolj.

Poliţiştii au primit date şi informaţii suplimentare despre bărbatul căutat de autorităţile americane prin intermediul Biroului Naţional Interpol.

Poliţiştii şi procurorii DIICOT au destructurat o grupare infracţională, specializată în infracţiuni informatice, formată din 4 membri.

În urma percheziţiilor efectuate la locuinţele suspecţilor, din Satu Mare, au fost ridicate unităţi de memorie, peste 60.000 de euro si au fost instituite mai multor sechestre asiguratorii asupra unor bunuri mobile şi imobile.

La data de 24 ianuarie a.c., poliţiştii Direcţiei de Combatere a Criminalităţii Organizate – Serviciul de Combatere a Criminalităţii Informatice din cadrul I.G.P.R. şi procurorii DIICOT – Structura Centrală au efectuat 4 percheziţii înSatu Mare, la locuinţele membrilor unei grupări specializate în comiterea de infracţiuni informatice.

În urma percheziţiilor efectuate, au fost ridicate mai multe dispozitive de stocare a datelor (hard-disk-uri, stick-uri de memorie), precum şi peste 60.000 de euro.

De asemenea, au fost instituite sechestre asiguratorii asupra autoturismelor utilizate de suspecţi şi pe imobilele acestora.

Din cercetări a reieşit că, în perioada 2011-2013, suspecţii ar fi postat pe diferite site-uri de internet mesaje prin care ar fi afirmat că, în schimbul unor sume de bani, pot accesa fără drept diferite sisteme informatice sau căsuţe de corespondenţă electronică.

Suspecţii ar fi primit solicitări de la diferite persoane, în care erau precizate adresele de email ale victimelor, unde aceştia doreau să obţină acces. Suspecţii ar fi accesat în mod ilegal adresele de email, după care ar fi trimis solicitanţilor parolele de acces, în schimbul unor sume de bani, cuprinse între 50 şi 200 de USD.

Astfel, aceştia ar fi obţinut acces, în mod ilegal, la aproximativ 1.050 de conturi de e-mail, dintre care 250 ar aparţine unor cetăţeni români.

Din cercetări, a rezultat că suspecţii ar fi obţinut acces inclusiv la conturi de email aparţinând unor instituţii şi companii din Statele Unite ale Americii şi România.

În cauză s-a colaborat cu autorităţile din S.U.A..

La acţiune au participat şi poliţişti din cadrul Serviciului de Combatere a Criminalităţii Organizate Satu Mare şi din cadrul I.P.J. Satu Mare.

Suspecţii sunt cercetaţi pentru accesul fără drept la un sistem informatic şi transferul neautorizat de date dintr-un sistem informatic. Cercetările continuă pentru stabilirea întregii activităţi infracţionale.

Hackeri din România în investigaţia declanşată după accesarea ilegală a datelor bancare a aproximativ 110 milioane de clienţi ai reţelei de hypermarketuri Target.

Potrivit USA Today, hackerii au accesat sistemul caselor de marcat ale reţelei americane de hypermarketuri Target, cu ocazia Zilei Recunoştinţei, furând datele cardurilor a 110 de milioane de clienţi, au stabilit autorităţile americane. Target a confirmat că o grupare infracţională a accesat informaţiile clienţilor pe 27 noiembrie, cu o zi înainte de Ziua Recunoştinţei, în cea mai intensă perioadă de cumpărături a anului. Hackerii au menţinut accesul la datele bancare până pe 15 decembrie. Iniţial, s-a crezut că au fost compromise datele bancare a aproximativ 40 de milioane de clienţi, dar, treptat, cifra a ajuns la 110 milioane de persoane, transmite Mediafax.

Agenţia Reuters a relatat că şi grupul de retail Neiman Marcus a fost victima unor atacuri pentru sustragerea datelor clienţilor.

“Firmele de securitate informatică cred că furturile au originea în Europa de Est, unde România a fost un punct esenţial spre care s-a îndreptat atenţia anchetatorilor în cazuri de fraude electronice în ultimii ani”, notează USA Today într-un articol cu titlul “Atenţia se îndreaptă asupra României după furturile de date din SUA“.

Fraudele vizează americani care oferă date financiare şi personale unor persoane despre care cred că sunt vânzători legitimi ai unor produse. Printre metodele cele mai utilizate se numără vânzarea unor autoturisme sau computere fictive sau “skimming-ul” – obţinerea codurilor personale de identificare utilizate pentru accesarea conturilor bancare, explică USA Today, avertizând că problemele de securitate care au vizat reţeaua de hypermarketuri Target de sărbători ar putea fi doar începutul seriei de fraude care ar viza industria de retail din Statele Unite.

Procurorii  Direcţiei de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism – Serviciul Teritorial Galaţi împreună cu ofiţeri de poliţie judiciară din cadrul Brigăzilor de Combatere a Criminalităţii Organizate Galaţi, Braşov, Serviciului de Combatere a Criminalităţii Organizate  Buzău,  Inspectoratului de Poliţie al Judeţului Galaţi şi Inspectoratului de Jandarmi Judeţean Galaţi, în data de 17.12.2013, au efectuat un număr de 24 de percheziţii domiciliare în cadrul unei acţiuni vizând destructurarea unei grupări  infracţionale organizate formată din 20 de persoane, specializată în săvârşirea de infracţiuni din sfera criminalităţii informatice.

În cauză există suspiciunea rezonabilă că membrii grupării au desfăşurat  în perioada 2011 – 2013 mai multe activităţi vizând compromiterea terminalelor P.O.S. prin metoda skimming (copierea întregului conţinut al uneia sau mai multor înregistrări, inclusiv codul CVV/CVC, de pe banda magnetică a unor carduri autentice) şi ulterior, efectuarea de retrageri frauduloase de numerar.

Astfel, s-a reţinut faptul că membrii grupării după ce în prealabil au  achiziţionat elementele componente ale dispozitivelor electronice folosite în activitatea infracţională din mai multe ţări, printre care China şi Mexic, au procedat la  asamblarea acestora în România şi folosirea lor, ulterioară, în operaţiuni tip skimming, pe teritoriul mai multor state din cadrul Uniunii Europene, printre care Italia, Germania, Estonia sau Franţa.

Datele astfel obţinute erau folosite pentru retrageri neautorizate de numerar, cu ajutorul unor carduri  clonate, în ţări din Orientul Îndepărtat (Vietnam, Indonezia etc.)

Cu ocazia percheziţiilor domiciliare au fost ridicate mai multe dispozitive electronice folosite în cadrul activităţii infracţionale precum şi sume de bani rezultate din această activitate.

La sediul D.I.I.C.O.T – Serviciul Teritorial Galaţi vor fi aduse în vederea  audierii    25  de persoane.

Suportul de specialitate a fost asigurat de către Direcţia Operaţiuni Speciale.

Menţionăm că persoanele din prezenta  cauză beneficiază de garanţia legală şi  constituţională a prezumţiei de nevinovăţie.

Falșii angajatori atrag utilizatorii cu job-uri false și îi direcționează către site-uri periculoase ce urmăresc colectarea de informații personale

O cercetare realizată de Bitdefender în rețeaua profesională LinkedIn a detectat o serie de campanii agresive de escrocherii, care atrag victimele cu job-uri bănoase, promovate prin intermediul unor profiluri false. Acestea direcționează utilizatorii către site-uri periculoase și urmăresc colectarea de informații personale și de bani trimiși în avans, în schimbul promisiunii unui serviciu plătit cu mii de dolari pe lună.

Sute de companii caută persoane ce vorbesc două limbi străine! “E suficient să cunoști engleză și încă o limbă străină și poți obține una dintre pozițiile interesante deschise în acest moment”€™, este mesajul transmis de unul dintre falșii specialiști în recrutare.
Alături de escrocherii similare, aceasta vizează inclusiv utilizatorii din România, unde 5 milioane de persoane vorbesc engleza, iar un million folosesc LinkedIn în mod activ. Pentru a păcăli cât mai mulți oameni, escrocii se folosesc de fotografii generice ale unor femei atrăgătoare, pe care le prezintă ca specialiști în recrutare în cadrul unor companii fictive.

Un astfel de profil fals al unui “specialist” în recrutare – Annabella Erica – a fost promovat în numeroase grupuri de LinkedIn, precum Global Jobs Network, care include 167.000 de utilizatori la nivel global.

Membrii rețelei sociale fac schimb de opinii pe mai mult de 2,1 milioane de grupuri, astfel că numărul celor expuși ar putea fi mult mai mare.

Pentru a evita dubiile asupra autenticității lor, site-urile false de angajare sunt înregistrate pe domenii €™.com€™, care le fac să pară legitime. Escrocii colectează adrese de email și parole pe care le pot utiliza pentru furtul de identitate. De obicei, astfel de site-uri frauduloase sunt înregistrate pe perioade mai mari de timp și pot arăta mai bine decât unele site-uri autentice.

Bitdefender le oferă utilizatorilor și câteva sfaturi pentru a se proteja de capcanele acestor escrocherii:

– Verificați mereu profilurile care vă adaugă pe LinkedIn. Indiferent cât de mult vă doriți un job sau să vă extindeți rețeaua profesională, este crucial să faceți o cercetare de bază înainte de a accepta noile invitații.
– Verificați dacă împărtășiți contactele de încredere cu cei care vă adaugă pe LinkedIn.
– Fiți atenți ce informații împărtășiți în post-urile pe diverse grupuri. Escrocii caută orice detalii care i-ar putea ajuta să ajungă mai ușor la utilizatori sau la compania unde lucrează prin spear phishing sau atacuri pe rețele sociale.
– Falșii specialiști în resurse umane cer victimelor plată în avans pentru job-uri atractive care implică lucrul de acasă. Atunci când găsiți un job, asigurați-vă că sunteți cei care câștiga banii, și nu invers.
– Folosiți un motor de căutare pentru a verifica dacă fotografia specialistului HR nu este distribuită și pe alte site-uri. Specialiștii Bitdefender au descoperit că Annabella Erica a scris testimoniale și sub numele de Sara pentru o companie de cercetare și servicii de conținut. De asemenea, aceeași fotografie este folosită și pe un site al unui centru de îngrijire a ochilor, un sistem de înregistrare a studenților și o bancă din Florida.

Aceste escrocherii sunt uneori susținute de site-uri frauduloase precum hoteluri false, care includ și o rubrică de Cariere în meniu. Detalii precum numele, adresa și informațiile bancare obținute pe parcursul procesului de recrutare pot fi folosite în furturi de identitate.

Documente recente dezvăluite de fostul angajat NSA Edward Snowden au arătat că profilurile false de LinkedIn sunt folosite și în acțiuni de spionaj la nivel înalt.

Evoluţia operaţiunilor bancare online a declanşat apariţia unui nou tip de infracţiune cibernetică – furtul informaţiilor bancare. Infractorii dezvoltă continuu noi modalităţi de ocolire a sistemelor de protecţie a datelor financiare.

După analiza mecanismelor de atac asupra sistemelor bancare online, experţii Kaspersky Lab au descoperit cum reuşesc programele de tip malware să fure banii utilizatorilor şi cum se pot proteja aceştia împotriva atacurilor.

Troienii bancari reprezintă cel mai periculos tip de malware specializat. Odată instalat pe computerul victimei, un troian colectează automat toate informaţiile despre plăţi şi, uneori, chiar efectuează tranzacţii financiare în numele victimei. Infractorii folosesc troieni bancari cu ţinte multiple, care pot afecta clienţi ai diferitelor bănci şi sisteme de plată, precum şi troieni programaţi să atace clienţii unei bănci specifice.

Infractorii pot trimite troieni prin intermediul email-urilor de phishing cu ajutorul cărora conving utilizatorul să acceseze un link sau să deschidă un document ataşat care conţine malware. Pentru distribuirea în masă a troienilor bancari, aceştia se folosesc de vulnerabilităţile Windows şi ale altor aplicaţii populare. După ce pătrund în sistem, aceste exploit-uri lansează un troian în computerul infectat. Pentru a ataca mai eficient, infractorii utilizează pachete de exploit-uri adaptate pentru diverse vulnerabilităţi.

Odată ce au pătruns într-un computer infectat, troienii folosesc următoarele tehnici:

• Interceptarea tastelor activate (keylogger). Troienii detectează tastele utilizate de către utilizator, ajutându-i pe infractori să fure datele contului utilizatorilor de online banking.
• Capturi de ecran în timpul afişării formularului cu informaţiile financiare completate.
• Înregistrarea tastaturii virtuale, furnizând infractorilor detalii cu privire la simbolurile tastate pe această tastatură.
• Schimbarea fişierelor gazdă, care redirecţionează utilizatorii către site-uri false, chiar dacă adresa site-ului este introdusă manual.
• Injectarea în operaţiunile browser-ului permite controlul troienilor asupra conexiunii browserului la server. Infractorii pot obţine datele de cont pe care utilizatorul le completează pe site-ul băncii şi modifică pagina de deschidere a sistemului de online banking, adăugând formulare adiţionale (webInject), care cer numărul cardului de credit, numele posesorului, perioada de expirare, codul CVV, parola etc.

În plus, troienii bancari pot trece peste nivelurile de securitate adiţionale, precum autentificarea în doi paşi cu parolă unică (coduri TAN). Una dintre tehnicile folosite de troianul ZeuS funcţionează astfel: de îndată ce victima accesează un sistem de online banking şi introduce parola unică, programul malware afişează o notificare falsă ce transmite mesajul că lista existentă a codurilor TAN este invalidă, invitând utilizatorul să obţină o listă nouă de parole. Pentru a face acest lucru, victima trebuie să introducă toate codurile TAN disponibile în formularele create de ZeuS prin metoda webInject, pentru „blocare suplimentară”. Drept consecinţă, infractorii reuşesc să obţină toate codurile victimei, pe care le pot folosi imediat pentru a transfera banii în conturile proprii. Numai în 2012, Kaspersky Lab a detectat mai mult de 3,5 milioane de tentative de atac asupra a 896.000 de computere din diferite ţări.

Deşi pare o problemă fără rezolvare, există o soluţie – după cum demonstrează tehnologia Kaspersky Lab Safe Money.

„În acest moment, informaţiile financiare sunt protejate de soluţii antivirus şi tehnologii specializate precum Safe Money, care protejează utilizatorii împotriva troienilor bancari cu ajutorul antivirusului, proceselor de securizare a browserului şi a funcţiei de securizare a tastaturii, în timp ce autenticitatea plăţii sau a sistemului de online banking este verificată în comparaţie cu certificatul său digital şi link-ul”, a explicat Nikolay Grebennikov, CTO în cadrul Kaspersly Lab.

Pentru a afla mai multe informaţii despre cum pot fi evitaţi troienii bancari, vizitaţi: securelist.com.