Документ был найден на одном из форумов, которые используются киберпреступниками для обсуждения новейших инструментов и технологий, позволяющих преодолевать защиту систем обеспечения безопасности.

В руководстве описаны технологии идентификации устройств, обращающихся к сайту. С их помощью системы обнаружения мошенничества отслеживают действия смартфонов, планшетных компьютеров и ПК, проверяя транзакции на использование характерных для хакеров методов.

Документ показывает, каким образом киберпреступники осуществляют взаимодействие и распространяют технологии, помогающие им обойти системы безопасности. Проведенный анализ еще раз подтвердил необходимость постоянного обновления систем безопасности и использования многоуровневого подхода, который создает дополнительные препятствия на пути проникновения хакеров в корпоративные сети.

«То, что считалось эффективным два-три года тому назад, может оказаться гораздо менее эффективным сегодня», – указал технический директор Trusteer Амит Кляйн.

Обнаруженное руководство было написано на английском языке, хотя и находилось в той части секретного форума, где большая часть документов представлена на русском. В нем рассказывается, каким образом можно обмануть системы слежения, контролирующие появление необычных транзакций. Хакеры, у которых имеется список похищенных номеров кредитных и дебетовых карт, могут попытаться, манипулируя ими, получить товары или наличные деньги на сайтах электронной коммерции и дистанционного банковского обслуживания.

«Ключевым условием эффективной работы систем обнаружения является их способность распознавать каждое из подключенных устройств и регистрировать выполняемые ими транзакции, – отметил Кляйн. – Идентификационная информация включает IP-адрес устройства, а также версию установленных на нем операционной системы и браузера».

Операционная система и браузер формируют биты так называемого «заголовка пользовательского агента», с помощью которого производится идентификация браузера, направившего запрос веб-сайту. Поскольку один и тот же IP-адрес могут иметь сразу несколько устройств, информация, содержащаяся в заголовке пользовательского агента, используется для идентификации устройств многими системами обнаружения.

В руководстве для хакеров рекомендуется скрывать реальные IP-адреса путем обращения к коммерческим виртуальным частным сетям и прокси-серверам. Даны инструкции по применению специального модуля расширения браузера, с помощью которого заголовок пользовательского агента модифицируется всякий раз, когда устройство инициирует очередную транзакцию.

Организациям, которые используют системы обнаружения мошенничества, необходимо проанализировать предлагаемую хакерами методологию. Системы, собирающие сведения о заголовках пользовательских агентов, следует заменить средствами, обладающими более высокой устойчивостью к хакерским уловкам.

«Организациям нужно понимать, что хакеры не дремлют, – подчеркнул Кляйн. – В свете растущих сегодня угроз необходимо постоянно модернизировать и совершенствовать технологии, стоящие на защите пользовательских транзакций».