Если кратко — то вирус (или троян, не знаю) изменяет файл hosts, добавляя в него такие строки:
77.78.239.138 www.telebank.ru
77.78.239.138 telebank.ru
77.78.239.138 www.alfabank.ru
77.78.239.138 alfabank.ru
77.78.239.138 click.alfabank.ru
77.78.239.138 www.click.alfabank.ru
Пользователь, пытаясь зайти в систему Телебанк, попадает на сайт злоумышленников. Там ему показывается страничка с входом на сайт, очень похожая на основную (почти идентичная). Пользователь вводит логин и пароль, а так же переменный код с карточки. Ему показывается сообщение об ошибке на сервере, и просьба попробовать через несколько минут снова. Таким образом мошенники узнают логин и пароль, а так же несколько переменных кодов, с их помощью они заходят в систему, переводят деньги на другой аккаунт и потом на пластиковую карту, затем быстро обналичивают в банкомате. Если человек сомневается, вводить ли повторно пароль, то через некоторое время ему звонит «сотрудник банка», и говорит что проблема с системой решена и можно попробовать зайти снова. Так же приходят смски, что работа системы восстановлена, пробуйте снова. В итоге мошенники получили 5 переменных кодов, и украли 150 тыс рублей.
На компьютере, с которого пытались зайти, стоял лицензионный антивирус DrWeb, автоматически обновлялся всегда когда надо.
История эта в конце концов со счастливым концом — деньги банк вернул.
Хотя странно, уже множество случаев подобного рода мошенничества, а банк в системе безопасности так ничего не предпринял.
А мораль такая:
1. Будьте внимательны, лучше сами проверяйте hosts, если увидите подобные симптомы — «сбой в системе, повторите снова» — не делайте так, даже если «саппорт» говорит что можно попробовать снова.
2. Заходите только с проверенных компьютеров и по протоколу https.
3. Закройте на карточке овердрафт. А то если всё таки каким-то образом у вас украдут деньги и банк всё таки решит их не возвращать, то можно залезть в такие минуса, что после кражи ещё будет должны вернуть банку овердрафт, причём в ограниченные сроки.
Вот и всё, предупреждён — значит вооружён. Кто хочет прочитать историю мошенничества подробнее: www.banki.ru/services/responses/bank/?responseID=2410229
Источник http://habrahabr.ru/blogs/eCommerce/108720/