Фейк платежом красен: Максим Буйлов о реальных и мнимых банковских уязвимостях

   В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу "класса А1 по классификации OWASP", отмечая, что "это гарантированный способ взлома сайтов и веб-приложений". Возможность "удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса", одновременно злоумышленник "получает доступ к серверу атакуемого сайта".
   Как пояснил один из экспертов, такие уязвимости обычно используются для целенаправленных атак на банк. Как правило, они нацелены на процессинг, и тогда происходят хищения через специально подготовленные карты - мошенники увеличивают балансы по ним вручную, затем дропперы снимают деньги через банкоматы. Либо атака идет на систему SWIFT, и осуществляется перевод на специально подготовленную компанию. Может быть атаковано автоматизированное рабочее место клиента Банка России, и тогда деньги списываются с корсчета атакуемого банка в ЦБ.
   Серьезность угрозы подтверждают и в "Лаборатории Касперского". По словам ее ведущего эксперта Сергея Голованова, "RCE - это точка входа, которая обеспечивает злоумышленнику доступ к инфраструктуре организации". Однако, отмечает он, "чтобы добраться до денег или персональных данных, атакующими должна быть проделана еще очень большая работа".
   Вместе с тем при всей опасности вскрытой уязвимости, несколько экспертов в области информационной безопасности оценили это объявление как фейк. Они обращают внимание на ее продавца и то, как он описывает свой "товар". "Человек либо английского не знает, либо терминологию. RCE обычно употребляется, когда говорят об уязвимостях в продуктах, а не в сети банка. Про сеть или инфраструктуру говорят "доступ" или Backdoor",- говорит один из экспертов. По словам другого эксперта, для обнаружения такой уязвимости достаточно знать, как работает соответствующий сканер. IP-адреса многих банков легко вычисляются из общедоступных записей. "Запускаем сканер по адресам, сканер находит уязвимость (мнимую или реальную), которую гражданин пытается продать. Но в целом это никому не интересно и говорит о низкой квалификации",- говорит он.
   Кроме того, по мнению эксперта, продать найденную уязвимость именно этому мошеннику будет непросто, поскольку он зарегистрировался на форуме только в конце августа, а значит, репутации у него нет. В такой ситуации платить $20 тыс. за кота в мешке отважатся лишь самые рисковые жулики.

Источник: Коммерсант https://www.kommersant.ru/doc/4467907