Вот так тырят ваши денежки через инетбанк
S
SergereAKa 
08:08, 16.07.2008
http://www.bifit.com/ru/company/press/vazhno2.html...
07.07.2008
Обнаружен троян, похищающий файлы с секретными ключами ЭЦП клиентов системы «iBank 2»
Компания «БИФИТ» при участии одного из региональных банков обнаружила специализированную вредоносную программу (троян), которая похищает у пользователей системы «iBank 2» файлы с секретными ключами ЭЦП и пароли, вводимые с клавиатуры.
Троян, проникнув на компьютер клиента через уязвимости в системном ПО, перехватывает управление, подменяет системные динамические библиотеки, после чего начинает отслеживать ввод с клавиатуры, файловый ввод-вывод с поиском файлов с секретными ключами ЭЦП клиента, а также вызовы динамических библиотек.
Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in, после чего с заданной периодичностью обращается к этим сайтам в ожидании команды блокирования компьютера клиента.
При получении с сайта злоумышленника команды блокирования троян перенаправляя сетевой ввод-вывод, не позволяет клиенту соединиться с банковским сервером «iBank 2» и подменяя информационные сообщения, выдает клиенту диалоговое окно со следующим текстом: "System. Ошибка. Технические работы. Окончание xx.xx.xxxx в xx:xx".
Ниже представлен скриншот, снятый на компьютере клиента в момент блокирования трояном доступа к банковскому серверу «iBank 2».
Во время блокирования компьютера клиента злоумышленники, используя похищенный секретный ключ ЭЦП и пароль, подключаются банковскому серверу «iBank 2» и от имени клиента отправляют в банк платежное поручение с корректной ЭЦП клиента.
В дальнейшем при разборе конфликтных ситуаций анализ журналов банковских серверов системы «iBank 2» показывает, что практически все противоправные действия совершаются злоумышленниками с IP-адресов, расположенных вне России — Польша, Индонезия, Пакистан, Новая Зеландия и т.д.
При этом основными направлениями увода денег клиента оказываются:
перевод на счет физического лица (408..., 423... и т.д.), являющегося клиентом в другом российском банке
перевод на "котловой" счет карточного процессинга (30232..., 30233...) в другом банке с указанием в назначении платежа номера специального карточного счета
перевод на расчетный счет организации или частного предпринимателя с указанием в назначении платежа номера электронного кошелька Web-money, PayPal и др.
Детальный анализ работы выявленного трояна показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность некоторых пользователей обеспечивать доверенную среду исполнения на своем компьютере.
Предвидя возникновение специализированных вредоносных программ (троянов) еще более двух лет назад, компания «БИФИТ» начала реализовывать и встраивать в систему «iBank 2» дополнительные механизмы защиты информации, которые сейчас могут и должны эксплуатироваться банками для резкого снижения вероятности успешного использования злоумышленниками похищенных секретных ключей ЭЦП клиентов.
Банкам настоятельно рекомендуется:
использовать встроенный в систему «iBank 2» механизм IP-фильтрации по клиентам
использовать встроенный в систему «iBank 2» механизм выявления подозрительных документов
использовать встроенный в систему «iBank 2» механизм SMS-инфоромирования клиентов о входе в систему, поступлении документов, движении по счетам
начать плановый переход клиентов к использованию USB-токена «iBank 2 Key» (подробнее)
провести обновление системы «iBank 2» до последнего билда версии 2.0.14 — в последних билдах встроены новые дополнительные механизмы защиты информации
Для предотвращения попадания на компьютер троянов пользователям системы «iBank 2» настоятельно рекомендуется:
Соблюдать регламент ограниченного доступа к данному компьютеру.
Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При это необходимо обеспечить целостность получаемых на носителях или загружаемых из Интернета обновлений.
Использовать и оперативно обновлять специализированное ПО для защиты информации — антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.
Соблюдать правила безопасной работы в Интернете.
В качестве действенной меры по борьбе с выявленным трояном пользователям системы «iBank 2» рекомендуется:
На компьютере пользователя в настройках персонального межсетевого экрана запретить весь IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением клиента о попытке соединения по указанным IP-адресам
На корпоративных межсетевых экранах и корпоративных прокси-серверах запретить IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением системного администратора о попытке соединения по указанным IP-адресам
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.
[Сообщение изменено пользователем 16.07.2008 08:10]
07.07.2008
Обнаружен троян, похищающий файлы с секретными ключами ЭЦП клиентов системы «iBank 2»
Компания «БИФИТ» при участии одного из региональных банков обнаружила специализированную вредоносную программу (троян), которая похищает у пользователей системы «iBank 2» файлы с секретными ключами ЭЦП и пароли, вводимые с клавиатуры.
Троян, проникнув на компьютер клиента через уязвимости в системном ПО, перехватывает управление, подменяет системные динамические библиотеки, после чего начинает отслеживать ввод с клавиатуры, файловый ввод-вывод с поиском файлов с секретными ключами ЭЦП клиента, а также вызовы динамических библиотек.
Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in, после чего с заданной периодичностью обращается к этим сайтам в ожидании команды блокирования компьютера клиента.
При получении с сайта злоумышленника команды блокирования троян перенаправляя сетевой ввод-вывод, не позволяет клиенту соединиться с банковским сервером «iBank 2» и подменяя информационные сообщения, выдает клиенту диалоговое окно со следующим текстом: "System. Ошибка. Технические работы. Окончание xx.xx.xxxx в xx:xx".
Ниже представлен скриншот, снятый на компьютере клиента в момент блокирования трояном доступа к банковскому серверу «iBank 2».
Во время блокирования компьютера клиента злоумышленники, используя похищенный секретный ключ ЭЦП и пароль, подключаются банковскому серверу «iBank 2» и от имени клиента отправляют в банк платежное поручение с корректной ЭЦП клиента.
В дальнейшем при разборе конфликтных ситуаций анализ журналов банковских серверов системы «iBank 2» показывает, что практически все противоправные действия совершаются злоумышленниками с IP-адресов, расположенных вне России — Польша, Индонезия, Пакистан, Новая Зеландия и т.д.
При этом основными направлениями увода денег клиента оказываются:
перевод на счет физического лица (408..., 423... и т.д.), являющегося клиентом в другом российском банке
перевод на "котловой" счет карточного процессинга (30232..., 30233...) в другом банке с указанием в назначении платежа номера специального карточного счета
перевод на расчетный счет организации или частного предпринимателя с указанием в назначении платежа номера электронного кошелька Web-money, PayPal и др.
Детальный анализ работы выявленного трояна показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность некоторых пользователей обеспечивать доверенную среду исполнения на своем компьютере.
Предвидя возникновение специализированных вредоносных программ (троянов) еще более двух лет назад, компания «БИФИТ» начала реализовывать и встраивать в систему «iBank 2» дополнительные механизмы защиты информации, которые сейчас могут и должны эксплуатироваться банками для резкого снижения вероятности успешного использования злоумышленниками похищенных секретных ключей ЭЦП клиентов.
Банкам настоятельно рекомендуется:
использовать встроенный в систему «iBank 2» механизм IP-фильтрации по клиентам
использовать встроенный в систему «iBank 2» механизм выявления подозрительных документов
использовать встроенный в систему «iBank 2» механизм SMS-инфоромирования клиентов о входе в систему, поступлении документов, движении по счетам
начать плановый переход клиентов к использованию USB-токена «iBank 2 Key» (подробнее)
провести обновление системы «iBank 2» до последнего билда версии 2.0.14 — в последних билдах встроены новые дополнительные механизмы защиты информации
Для предотвращения попадания на компьютер троянов пользователям системы «iBank 2» настоятельно рекомендуется:
Соблюдать регламент ограниченного доступа к данному компьютеру.
Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При это необходимо обеспечить целостность получаемых на носителях или загружаемых из Интернета обновлений.
Использовать и оперативно обновлять специализированное ПО для защиты информации — антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.
Соблюдать правила безопасной работы в Интернете.
В качестве действенной меры по борьбе с выявленным трояном пользователям системы «iBank 2» рекомендуется:
На компьютере пользователя в настройках персонального межсетевого экрана запретить весь IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением клиента о попытке соединения по указанным IP-адресам
На корпоративных межсетевых экранах и корпоративных прокси-серверах запретить IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением системного администратора о попытке соединения по указанным IP-адресам
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.
[Сообщение изменено пользователем 16.07.2008 08:10]
S
SergereAKa
08:13, 16.07.2008
Может кто пользуется такой системой.
Е
Единомышленник © 
08:31, 16.07.2008
Банк 24.ру рулит
D
D-Nuke
08:34, 16.07.2008
Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in
и почему я не удивлен?
Компания «БИФИТ» при участии одного из региональных банков обнаружила специализированную вредоносную программу
Г
Гoрыныч
08:49, 16.07.2008
Банк 24.ру рулит
Соглашусь! Система одноразовых ключей довольно надежна.
H
Hvost 
08:53, 16.07.2008
Сами написали трояна, а щас отмазки клеят. Типа, это не мы, это всё злодеи - хакеры. Угу, несомненно. Вот только все тонкости работы их протокола и формат кадра должны быть в открытом доступе для этого... :-)
N
NAV1GAT0R
10:22, 16.07.2008
Соглашусь! Система одноразовых ключей довольно надежна.
Каким образом работает эта система?
Л
Лидул Фентут™ 
10:23, 16.07.2008
07.07.2008
Обнаружен боян, похищающий мозг...
Обнаружен боян, похищающий мозг...
D
Darker- 
10:24, 16.07.2008
[Сообщение удалено пользователем 03.08.2016 14:22]
Банк 24.ру рулит
Соглашусь! Система одноразовых ключей довольно надежна.
Господа, вы наивняк.
http://www.e1.ru/talk/forum/read.php?f=72&i=49927&...
И еще: где это вы видели одноразовые ключи в интернет-банке у юр.лиц (а именно о нем идет речь в данном резиле)?
Который тут кстати уже обсуждался
[Сообщение изменено пользователем 16.07.2008 10:30]
Обсуждение этой темы закрыто модератором форума.