PREBYTES usługa - Obsługa incydentów

Obsługa incydentów

Case study

Cyberprzestępcy nieustannie wymyślają nowe schematy ataków, aby wykradać dane uwierzytelniające do bankowości, czy karty płatnicze. Wskutek incydentów bezpieczeństwa wielu klientów bankowych traci wszystkie zgromadzone na koncie środki. W przypadku nieautoryzowanej transakcji banki zobligowane są do zwrotu skradzionych pieniędzy, chyba że zostanie stwierdzone oszustwo ze strony właściciela rachunku, bądź dopuścił się on rażącego niedbalstwa, w wyniku którego taka transakcja została dokonana.

Swoistym rodzajem obsługi incydentów, jaki oferuje PREBYTES, jest badanie SIRT Line przeprowadzane w celu analizy i określenia rodzaju zagrożenia. Poznaj szczegóły incydentu zgłoszonego przez jeden z banków.

Wyzwanie

W sieci Google została wykupiona reklama złośliwej aplikacji FitnessTrainer. Była ona wyświetlana w innych aplikacjach, m.in. kalkulatorze do wyliczania wskaźnika masy ciała (BMI), z którego korzystał klient. Klikając w link reklamowy, został on przeniesiony do sklepu Google Play, skąd pobrał aplikację treningową. Po jej instalacji pojawiło się okno komunikatu z informacją o potrzebie przyznania dodatkowych uprawnień aplikacji. Zezwolenie na nie oznaczało zezwolenie na sterowanie telefonem. W następstwie automatycznie została pobrana i uruchomiona docelowa złośliwa aplikacja o tej samej nazwie FitnessTrainer, która jest złośliwym oprogramowaniem Cerberus. Klient znów musiał jedynie przyznać dodatkowe uprawnienia. Aplikacja działała w tle, a w momencie, gdy klient uruchomił oryginalną aplikację bankową, wówczas malware Cerberus wyświetlił nakładkę imitującą panel logowania do bankowości. Wpisując dane, klient przekazał je cyberprzestępcom, którzy posiadając kontrolę nad telefonem, mogli przechwycić wiadomości SMS z kodami autoryzacyjnymi. Tym samym klient banku został okradziony ze zgromadzonych na koncie środków. Klient wystąpił z roszczeniem do banku, który zlecił ekspertom PREBYTES wykonanie zdalnego badania urządzenia klienta.

Rozwiązanie

Analityk PREBYTES skontaktował się z klientem banku. Przeprowadzając go przez cały proces, pozyskał dane do analizy z urządzenia, którego dotyczył incydent. Dzięki badaniu udało się ustalić, że do nieautoryzowanej transakcji doszło w wyniku pobrania przez klienta złośliwego oprogramowania.
Wykrycie zagrożenia pozwoliło ustalić opisaną powyżej ścieżkę incydentu. Badanie podsumowane zostało raportem opisującym zdarzenie, zawierającym dane urządzenia oraz wyniki analizy.

Zastosowanie w innych branżach: