В Интернете распространяется вирус для «Сбербанк ОнЛ@йн»

[Rafail]

Обращаем Ваше внимание, что в предпраздничные и праздничные дни мошенники усиливают свою активность. В настоящее время в сети Интернет распространяется вирусное программное обеспечение для «Сбербанк-бизнес ОнЛ@йн» и «Сбербанк ОнЛ@йн»
Внешним проявлением работы вирусного программного обеспечения является появление нового окна c требование ввести номер мобильного телефона перед входом в систему:

При появлении указанного сообщения НЕ ВВОДИТЕ НОМЕР ТЕЛЕФОНА в предлагаемое окно и НЕ ЗАГРУЖАЙТЕ ПРИЛОЖЕНИЕ на Ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы по тел. 8(800)555-5550 и +7(495)500-55550.

Если Вы ввели номер телефона в предлагаемое окно и установили на Ваш телефон предлагаемое приложение, необходимо немедленно его удалить с телефона и срочно запросить банковскую выписку по счетам. Если Вы не можете удалить приложение, необходимо (при наличии возможности связи с банком с другого телефона) выключить мобильный телефон, на который поступают разовые СМС-пароли для подтверждения операций.
Осторожно: мошенники!

• Только мошенники могут запрашивать Ваш номер мобильного телефона и другую дополнительную информацию, помимо идентификатора, постоянного и одноразового паролей.

• Только мошенники могут запрашивать пароли для отмены операций или шаблонов в Сбербанк ОнЛ@йн. Если Вам предлагается ввести пароль для отмены или подтверждения операций, которые Вы НЕ совершали, то прекратите сеанс использования услуги и срочно обратитесь в Банк.

• Только при мошеннических операциях реквизиты Вашей операции не совпадают с реквизитами в полученном SMS-сообщении.

• Только на мошеннических сайтах контактный телефон не соответствует официальным. На мошеннических сайтах в адресной строке браузера отображаются цифры ip-адреса или любые домены кроме зарегистрированных доменных имен системы Сбербанк-Онлайн.
Система Сбербанк ОнЛ@йн

• Сбербанк ОнЛ@йн не просит устанавливать дополнительные приложения на Ваш мобильный телефон для входа в систему.

• Сбербанк ОнЛ@йн никогда не запрашивает номер мобильного телефона и другую дополнительную информацию при входе в личный кабинет, кроме идентификатора, постоянного и одноразового паролей.

• в Сбербанк ОнЛ@йн никогда не запрашиваются пароли для отмены операций или шаблонов. Сотрудники Сбербанка никогда не просят Вас сообщить пароль или подойти к банкомату и выполнить операцию.

• Реквизиты исполняемых операций в Сбербанк ОнЛ@йн всегда совпадают с реквизитами в отправленном Вам SMS-сообщении. Поэтому подтверждайте операцию только если ее реквизиты указаны правильно и Вы согласны с ее исполнением.

• На сайте Сбербанк ОнЛ@йн всегда указаны официальные контактные телефоны: +7 (495) 500 5550 и 8 (800) 555 5550

• При работе с системой Сбербанк ОнЛ@йн в адресной строке Вашего браузера отображаются правильные домены системы Сбербанк-Онлайн: (

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

или

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

)

• При работе с системой Сбербанк ОнЛ@йн в адресной строке Вашего браузера высвечивается значок безопасного соединения.
(информация была взята из источника comss.ru)

 

[0eck]

ХАКЕРЫ АТАКОВАЛИ КЛИЕНТОВ СБЕРБАНКА

Спам-кампания была развернута неизвестными хакерами против Сбербанка. Множество клиентов банка получили по электронной почте сообщения о том, что у них якобы образовалась крупная кредитная задолженность. В послании также утверждалось, что Сбербанк уже составил против заемщика иск и направил его в суд; к письму были прикреплены два файла — «Договор_займa.zip» и «Судебный_иск.zip». Вирус, содержащийся в архивах, блокирует доступ к личным файлам пользователя и требует выкуп за разблокировку.

Одним из первых о письме с вирусом на своей странице в Facebook написал Алексей Комаров. Пользователь отмечает, что в архивах содержится троянская программа Trojan-Ransom.Win32.Snocry.wi, а также добавляет, что, по всей вероятности, база реальных заемщиков Сбербанка была украдена задолго до атаки – письмо ему пришло на адрес, который давно не использовался.

Троянская программа выполняет шифрование данных на жестком диске. Чтобы провести дешифровку, необходим ключ, за который хакеры и вымогают деньги. Если же вовремя не разблокировать данные, троянская программа угрожает удалить их.

Ретвит, если являетесь клиентом Сбербанка. Произошла атака хакеров:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

— Hi-Tech.Mail.Ru (@ht_mail_ru) 24 июля 2015
Другой пользователь Facebook, Альберт Абдуллаев, отмечает, что на днях также получил два аналогичных письма. Суммы займа и долга в них были указаны те же, что и у Комарова; пользователь подчеркивает, что давно не пользовался услугами Сбербанка, поэтому архивы не распаковывал, а послания сразу отправил в корзину. Пользователи также рассказали, что ФИО в электронных письмах были указаны реальные, однако в ряде случаев в их написании были допущены ошибки.

Вскоре после появления сообщений от пользователей в официальном Facebook-аккаунте Сбербанка появилось предупреждение. Представители банка рекомендуют удалять письма и не открывать прикрепленные файлы. В Сбербанке пока не сообщают, кто именно является организатором и исполнителем хакерской атаки, а также не комментируют, каким образом имена клиентов банка попали к злоумышленникам.

 

[KILLER-S]

ESET: кибергруппа Carbanak вернулась в Россию...

Специалисты международной антивирусной компании ESET предупреждают о возвращении кибергруппировки Carbanak, ответственной за кражи сотен миллионов долларов, данных кредитных карт и интеллектуальной собственности.

Эксперты ESET обнаружили новые образцы вредоносного ПО, с помощью которого кибергруппировка осуществляет таргетированные атаки на финансовые учреждения. Carbanak специализируется на компрометации крупных организаций, в числе жертв – банки и Forex-трейдеры из России, США, Германии, Объединенных Арабских Эмиратов, Великобритании и некоторых других стран.

Группа Carbanak не ограничивается одним семейством вредоносных программ и сочетает несколько инструментов. Атакующие используют троян Win32/Spy.Agent.ORM (также известный как Win32/Toshliph), бэкдор Win32/Wemosis для кражи конфиденциальных данных карт с PoS-терминалов (PoS RAM Scraper backdoor), а также Win32/Spy.Sekur – хорошо известное вредоносное ПО, которое регулярно встречается в киберкампаниях Carbanak.

Все эти вредоносные программы основаны на разных кодовых базах, однако содержат некоторые общие черты, например, подписи на основе одного цифрового сертификата.

Кроме того, атакующие пополнили арсенал последними эксплойтами для таких уязвимостей Microsoft Office как RCE CVE-2015-1770 и CVE-2015-2426, который размещался в утекших данных кибергруппы Hacking Team.

Вектором заражения может выступать фишинговое сообщение с вредоносным вложением в виде RTF-файла с различными эксплойтами или файла в формате SCR. Специалисты ESET наблюдали, в частности, образцы фишинговой рассылки на русском языке, адресованные сотрудникам компаний по обработке электронных платежей, Forex-трейдеров и других финансовых организаций.

Среди названий вложенных вредоносных файлов из этих писем «АО «АЛЬФА-БАНК» ДОГОВОР.scr», «Перечень материалов для блокировки от 04.08.2015г.scr», «Postanovlene_ob_ustranenii_18.08.2015.pdf %много_пробелов% ..scr», «Правила Банка России от 06.08.2015.pdf %много_пробелов% .scr», prikaz-451.doc и др.

Эксперты вирусной лаборатории ESET продолжают отслеживать активность вредоносных программ группировки Carbanak.

 

[KILLER-S]

ESET раскрыла приемы карточных шулеров

Специалисты международной антивирусной компании ESET обнаружили шпионское ПО, ориентированное на игроков в онлайн-покер – Win32/Spy.Odlanor.

В статистике заражений преобладают пользователи из России и Украины, играющие на сайтах PokerStars и Full Tilt Poker. Программа Odlanor позволяет злоумышленникам получить доступ к информации об игроке и его картах, что обеспечивает неоспоримое преимущество в игре.

Эксперты ESET обнаружили несколько версий трояна, наиболее ранняя из которых датирована мартом 2015 года. По данным облачной технологии ESET LiveGrid, большинство заражений приходится на страны Восточной Европы, тем не менее, Odlanor представляет угрозу для каждого игрока в онлайн-покер.

Вектор распространения Odlanor типичен для большинства троянов. Пользователь загружает вредоносную программу под видом легального ПО из недостоверных источников. В частности, злоумышленники маскируют Odlanor под инсталляторы Daemon Tools или µTorrent, а также специализированные программы для покера Tournament Shark, Poker Calculator Pro, Smart Buddy и Poker Office.

На зараженном устройстве Odlanor пытается делать снимки экрана в том случае, если у пользователя запущены клиенты покер-румов PokerStars или Full Tilt Poker. Скриншоты вместе с идентификатором игрока отправляются на удаленный сервер атакующим. Указанные сайты для игры в покер поддерживают функцию поиска пользователей по идентификаторам, так что злоумышленник легко сможет подключиться к турнирным таблицам.

В наиболее новых версиях вредоносной программы в тело трояна Odlanor добавлены функционал кражи паролей пользователя – модуль WebBrowserPassView. Он специализируется на извлечении паролей из браузеров. Данный инструмент является нежелательным ПО и детектируется антивирусными продуктами ESET NOD32 как Win32/PSWTool.WebBrowserPassView.B. Odlanor взаимодействует со своим управляющим сервером через простой НТТР-протокол, адрес которого зашит в теле трояна.

Часть сведений, идентифицирующих жертву, включая версию вредоносной программы и информацию о компьютере, отправляется в виде параметров URL. Другие данные, в том числе архив со скриншотами или украденными паролями, передается злоумышленникам в теле запроса POST HTTP-протокола.