Ataki za pomocą złośliwego oprogramowania wyszły z etapu zabaw pasjonatów-nastolatków i odbywają się na skalę przemysłową. Podziemny biznes kwitnie, korzystając ze wszystkich zdobyczy właściwych dla nowoczesnych organizacji: outsourcingu usług (by skoncentrować się na głównej gałęzi biznesowej), cloud computing (by uzyskać efekt skali przy mniejszych kosztach), rozproszenia infrastruktury w różnych krajach (by uniknąć zamknięcia działalności przez organy ścigania), zwinnego procesu rozwoju oprogramowania oraz marketingu i płatnej reklamy na niektórych forach dyskusyjnych.

Model usługowy wkroczył do podziemia bardzo szybko. Narzędzia, np. ZeuS/SpyEye, i gotowe sieci można kupić na czarnym rynku od 2007 r. W październiku 2012 r. cyberprzestępcy rozpoczęli podziemną kampanię reklamową, w której poszukiwali "partnerów biznesowych" do hostowania złośliwego oprogramowania, by rozpocząć zakrojoną na szeroką skalę kradzież pieniędzy z banków w USA. "Jeśli organizatorzy kampanii odniosą sukces w pozyskiwaniu botnetów do dystrybucji swojego konia trojańskiego - a wszystko na to wskazuje - to jej skutkiem będzie fala zorganizowanych ataków kradzieży pieniędzy z rachunków osób prywatnych i niewielkich firm w amerykańskich bankach" - mówi Rik Ferguson, dyrektor ds. komunikacji i badań nad bezpieczeństwem w firmie Trend Micro.

Prinimałka przyjmuje pieniądze

Do ataku na klientów bankowości elektronicznej ma posłużyć koń trojański o nazwie Gozi Prinimałka (ros. pot. принималка - ta, która pobiera, przyjmuje, także fakt odbierania czegoś), wywodzący się ze znanego od 2007 r. złośliwego oprogramowania Gozi, prawdopodobnie napisanego przez tę samą grupę autorów mieszkających w Rosji i oferujących swoje usługi pod szyldem 76service i sieci RBN (Russian Business Network). Zdaniem Rika Fergusona, "koń trojański krążył w internecie od pewnego czasu. Wykrywaliśmy go za pomocą standardowych narzędzi detekcji i pozyskaliśmy wiele próbek jego kodu. Analiza jego konfiguracji wskazuje, że celem ma być co najmniej 26 różnych banków w USA".

Koń trojański, operując wewnątrz systemu operacyjnego i przeglądarki, wstrzykuje kod do wyświetlanej strony HTML oraz kontroluje poprawnie uwierzytelnioną sesję. Tak może skraść elektroniczną tożsamość ofiary i w jej imieniu wykonać nieautoryzowane transakcje finansowe. Narzędzia potrafią wyświetlać nieprawdziwy stan konta i zamazywać ślady nieautoryzowanych transakcji, by utrudnić ich wykrycie. W niektórych programach wprowadzono obliczanie dokładnej kwoty, którą można ukraść bez wywoływania alarmów lub wyzerowania konta.

Szyfrowanie za pomocą SSL nie jest przeszkodą. To samo dotyczy logowania z użyciem tokena - ofiara podpisuje nie swoją transakcję. Malware przeprowadza transfer pieniędzy na konta rekrutowanych ochotników, zwanych mułami, którzy "przetwarzają transakcję" w zamian za drobną opłatę. Niekiedy skradzione pieniądze są zwracane z ubezpieczenia banków. "Jeśli cyberprzestępcy ukradną pieniądze z rachunku prowadzonego na rzecz osoby prywatnej w amerykańskim banku, odpowiada za to bank. Tymczasem w przypadku przejęcia konta małej firmy w USA wina leży po stronie firmy. Dla małego biznesu może to oznaczać bankructwo i takie przypadki także notowano" - wyjaśnia Rik Ferguson.