Идея написать такую статью у меня зародилась уже достаточно давно. Решающим толчком к ее написанию послужило хищение в размере 400 млн рублей, с которым специалистам GroupIB пришлось иметь дело в декабре 2010 года. Преступление было спланировано и реализовано точно так же, как и сотни других подобных инцидентов, случающихся ежедневно по всей России. Однако еще ни одно происшествие с системой ДБО, свидетелями которых мы были, не касалось таких внушительных сумм.

В этой статье я хочу рассказать о схемах совершения хищений с использованием системы «Интернет-банк» или «Банк-Клиент», а также о противоборстве им. При этом мы не будем рассматривать случаи, когда за организацией хищения стоит внутренний сотрудник: это тема, которая заслуживает отдельного рассмотрения. Мошенничества в системах дистанционного банковского обслуживания мы начали фиксировать в первой половине 2008 года.

С тех пор злоумышленники отработали схемы кражи банковских ключей и данных для авторизации, а также методы обналички денежных средств, что дало им возможность поставить эти преступления на поток. За ноябрь 2010 года мы зафиксировали 76 фактов мошенничества в системах ДБО, 46 из них затрагивали юридических лиц. Благодаря оперативной реакции пострадавших клиентов и банков удалось остановить 35 инцидентов еще до момента обналичивания денег, что позволило вернуть их пострадавшей стороне.

 

Понимание методов совершения преступлений

При восстановлении обстоятельств инцидентов в ходе криминалистических исследований рабочих станций, на которых работали с ДБО, тщательному анализу подвергаются журналы межсетевых экранов и прокси, а также другие источники информации. Нашими экспертами определяются причины инцидента, методы и средства, которыми пользовались злоумышленники, хронология их действий. Наиболее частый сценарий совершения преступления состоит из трех основных этапов: получение информации для доступа в систему ДБО, проведение мошеннической операции, обналичка денег.

Рассмотрим каждый из этапов.

1.Получение информации для доступа в систему ДБО.

Как я уже говорил, в данной статье мы рассматриваем случаи, когда мошенник является внешним лицом по отношению к организации или человеку, то есть не имеет физического доступа к авторизационным данным системы ДБО. В таких случаях кража данных для авторизации (логин/пароль и ключи ЭЦП) производится с помощью вредоносного программного обеспечения. Чаще всего это вариации хорошо известного трояна Zeus, доработанные необходимым функционалом.

Как правило, заражение происходит при посещении скомпрометированного веб-сайта, на котором злоумышленниками были внедрены различного рода iframe- или Java-скрипты, эксплуатирующие незакрытые уязвимости в браузерах или их модулях (Adobe Flash, Adobe Reader, Java и других). В ходе эксплуатации уязвимости на рабочий компьютер пользователя загружается вредоносное ПО, которое детектирует, с какими приложениями работает пользователь. При обнаружении следов работ с системами ДБО или системами электронных денег, на компьютер дозагружаются вредоносные модули, предназначенные для кражи авторизационных данных.

Современные трояны имеют широкий функционал и способны работать одновременно с несколькими системами ДБО, обеспечивать возможность удаленного доступа злоумышленника и сокрытие следов преступления.

Как только троян собирает необходимую информацию, он передает ее на контроллер ботнета, где она обрабатывается злоумышленниками. На ботнет-контроллер передается следующие данные: пары логин/пароль, ключи ЭЦП, информация о носителе ключей ЭЦП (токен, флешка, дискета).

2.Проведение мошеннической операции.

При получении данных от трояна, мошенники проверяют полученные сведения и их достаточность для совершения преступления. Здесь особую роль играют средства защиты, применяемые банком и его клиентом. Контроль IP-адресов, наличие токенов или одноразовых паролей меняют подход злоумышленников при дальнейшем осуществлении мошенничества. В случае хранения ключей ЭЦП на незащищенном носителе (жесткий диск компьютера, флешка, дискета, реестр операционной системы) и отсутствия на ДБО-сервере банка контроля IP-адресов клиентов злоумышленник может отправить мошенническое платежное поручение с любого внешнего IP-адреса, что существенно упрощает задачу.

Постепенный переход банков на средства двухфакторной аутентификации заставил злоумышленников искать новые методы совершения преступления. Выход был найден. Сейчас наиболее распространенным способом обхода применения токенов в качестве хранилища ключей ЭЦП служат средства удаленного администрирования, такие как RDP, VNC, Radmin, TeamViewer. Использование средств удаленного администрирования позволяет отправлять платежные поручения непосредственно с компьютера бухгалтера, в который вставлен токен. При этом часто используется служба терминального сервера Windows, что позволяет злоумышленнику работать параллельно с легитимным пользователем. Для организации туннелей до скомпрометированных компьютеров применяются общедоступные VPN-клиенты OpenVPN и Hamachi.

Также активно развивается функционал вредоносного ПО. К нам попадают трояны, которые способны самостоятельно работать со смарт-картами и токенами, используя стандартный API Windows. Кроме того, троянами производится подмена легитимных платежных поручений на мошеннические при отправке их на подпись в токен, при этом пользователь ДБО видит, как его платежное поручение было успешно подписано и отправлено в банк.

Как только мошенническая операция проведена, и платежное поручение отправлено, главная задача злоумышленников — ограничить доступ легитимного пользователя к системе ДБО. Для этой цели могут использоваться различные методы: смена пароля от системы ДБО, вывод из строя компьютера клиента банка, DDoS-атака на ДБО-сервер банка. Чаще всего форматируют жесткий диск пользователя или удаляют один из компонентов операционной системы (например, NT Loader). Тем временем, пока все силы клиента банка брошены на восстановление работоспособности компьютера, деньги покидают его счет и попадают в руки преступников.

3.Обналичка.

Этот этап чаще всего отдается на аутсорсинг специализированным группам лиц, имеющим тесные связи с организованными преступными группировками. Для вывода денег могут использоваться счета подставных фирм либо дебетовые карты физических лиц. Схема обналички начинает разрабатываться еще во время подготовки к краже денег, так как она зависит от суммы денежных средств, которую нужно вывести. В случае небольших сумм (до 2 млн рублей) чаще всего используются пластиковые карты физических лиц, причем предпочтительны те банки, в которых большие лимиты по выдаче наличности в банкоматах. В случае крупных сумм используется цепочка счетов подставных компаний и физических лиц: в ходе переводов сумма дробится для облегчения снятия наличных денег.

 

Противодействие мошенничеству

Итак, пришло время понять, как можно защитить свои деньги и деньги работодателя от неправомерных посягательств третьих лиц. Прежде всего стоит разобраться, какие средства защиты имеются в самой системе ДБО, и как их можно использовать. Часто клиенты банков даже не знают о возможности контроля доступа к системе ДБО по IP-адресам или о об использовании токенов для хранения ключей ЭЦП. Другой проблемой является нежелание клиента платить за дополнительные средства обеспечения безопасности, так как у него нет понимания степени критичности риска мошенничества. При возможности выбора банка стоит отдать предпочтение той кредитной организации, которая предлагает своим клиентам безопасный сервис по работе с системой ДБО: средства надежного хранения ключей, одноразовые пароли, систему противодействия мошенничеству, встроенную в ДБО.

В любом случае, необходимо понимать, что наличие средств защиты на стороне банка не гарантирует абсолютной безопасности. Наш опыт показывает, что в 80% случаев причиной инцидента является несоблюдение требований безопасности на стороне клиента банка.

При организации рабочего места, на котором будут работать с системой «Банк-Клиент» или «Интернет-банк», необходимо предусмотреть возможные пути компрометации данных авторизации и обеспечить их надежную защиту. Идеальным вариантом является выделенная рабочая станция, предназначенная исключительно для работы с банком. На ней необходимо ограничить сетевые взаимодействия списком IP-адресов и доменных имен доверенных узлов: сервер ДБО банка, корпоративный сервер 1С, сайт Центрального банка, сервер налоговой инспекции. Данная машина должна иметь обновленный антивирус и установленные обновления безопасности программного обеспечения. Если нет возможности выделить под цели ДБО физическую машину, то можно использовать виртуальную.

Не забывайте про организационные меры, которые в большинстве случаев являются намного эффективнее технических мер. Необходимо регулярно менять пароли во всех системах, предоставлять пользователю только необходимые для работы права, уделять внимание хранению ключей ЭЦП, иметь отработанные процедуры реагирования на инциденты. Наличие хорошо отлаженных схем своевременной реакции на происшествия позволит снизить ущерб в случае мошенничества и предотвратить хищение. Своевременное выявление факта преступления и оперативное реагирование в течение 4 часов с момента отправки платежного поручения гарантируют возврат денежных средств на счет в 80% случаев.

Наиболее яркими признаками готовящегося мошенничества являются:

  • нестабильное функционирование ПК, на котором работают с системой ДБО (медленная работа, произвольная перезагрузка, другие неполадки);
  • выход из строя ПК, на котором работают с ДБО;
  • перебои с доступом в систему ДБО;
  • невозможность авторизации в системе ДБО;
  • DDoS-атака на вашу ИТ-инфраструктуру;
  • несоответствие порядковых номеров платежных поручений;
  • попытки авторизации в ДБО с других IP-адресов или в нерабочее время.

В случае обнаружения факта мошенничества необходимо максимально быстро сообщить о происшествии в банк с целью остановки платежа и блокирования доступа к системе ДБО со скомпрометированными ключами и паролем. Также следует немедленно обесточить ПК, с которого предположительно были похищены ключи и данные для авторизации в системе ДБО, и обеспечить неизменность его состояния до приезда правоохранительных органов. Если в компании имеется межсетевой экран или прокси-сервер, на котором ведутся логи, то необходимо произвести их сохранение на неперезаписываемый носитель информации. В случае самостоятельного расследования или привлечения для этих целей консультантов не допускается работа с оригиналами носителей информации, так как это может повредить целостности доказательств, хранящихся на них. Оригиналы носителей необходимо опечатать и поместить в сейф, а также оформить данные действия протоколом изъятия и скрепить его подписями свидетелей и исполнителя.

Обязательно напишите заявление о произошедшем в милицию. По возможности дополните заявление результатами самостоятельного расследования инцидента. Эта информация поможет быстрее принять решение о возбуждении уголовного дела. Даже если мошенничество не было завершено, и вы успели остановить его, инцидент остается уголовным преступлением, которое попадает под ряд статей, начиная от создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере.

Дежурный в отделении милиции обязан принять и зарегистрировать ваше заявление.

 

Заключение

Осознание реальности угрозы является серьезным побуждением к действию. Применение простых, но эффективных мер по снижению рисков мошенничества поможет обезопасить личные сбережения и денежные средства на счету работодателя. Уже один день работы специалиста по информационной безопасности позволит создать защищенную среду для работы с системой ДБО. Учитывая, что средний ущерб от мошенничества составляет порядка 2 млн рублей, то эти минимальные затраты являются отличными инвестициями.

 

Алгоритм действий при наступлении инцидента в ДБО

  1. Ограничить доступ к объектам, задействованным в инциденте.
  2. Написать служебную записку от имени сотрудника пострадавшей компании на имя генерального директора о факте возникновения инцидента.
  3. Привлечь компетентных специалистов для консультации.
  4. Обеспечить сохранность доказательств:
    • отключение от сети питания;
    • снятие энергозависимой информации с работающей системы;
    • сбор информации о протекающем в реальном времени инциденте;
  5. В присутствии третьей независимой стороны произвести изъятие и опечатывание носителей информации с доказательной базой
    • Задокументировать изъятие Актом.
    • Составить детальную опись объектов с информацией и их источников.
    • Задокументировать процесс на видеокамеру.
    • Хранить опечатанные объекты вместе с актом в надежном месте до передачи носителей на исследование или правоохранительным органам.
  6. При проведении исследования обеспечить неизменность доказательств. Работать с копией.
  7. При обращении в правоохранительные органы представить им подробное описание инцидента, описание собранных доказательств и результаты их анализа.

Функционал вредоносного программного обеспечения Win32/Spy.Shiz.NAL

  • Детектирует и обходит все общеизвестные антивирусы и межсетевые экраны;
  • включает и настраивает Terminal Services (RDP);
  • загружает и устанавливает в скрытом режиме OpenSSL;
  • создает учетные записи Windows для своих пользователей;
  • получает доступ к установленным браузерам;
  • крадет пользовательские данные;
  • работает с Crypto API.

Целевые приложения:

  • ДБО «BS-Client»;
  • ДБО «iBank»;
  • СКЗИ «Бикрипт-КСБ-С»/ДБО «Faktura»;
  • ДБО «Инист»;
  • ЭПС WebMoney;
  • ДБО HandyBank;
  • ДБО «РФК»;
  • СКЗИ «Агава»/ДБО «InterBank»;
  • ДБО «Inter-PRO»;
  • ДБО РайффайзенБанк;
  • ДБО Альфабанк;
  • покерные клиенты.

Оставить мнение

Check Also

Заметаем следы. Как уничтожить данные быстро и безвозвратно

Уничтожать улики и заметать следы — удел не самых законопослушных граждан. Мы же сегодня п…