Мошенничества через системы дистанционного банковского обслуживания (ДБО)
В этой статье Group-IB расскажет о схемах мошенничества с системами дистанционного банковского обслуживания и даст рекомендации по снижению количества подобных инцидентов.
Все чаще поступают запросы от пострадавших компаний в результате мошеннических операций, осуществляемых через системы электронного банкинга. Схема, которая используется злоумышленниками, давно хорошо известна и имеет высокую эффективность. Если не вдаваться в детали, то практически все мошеннические махинации с использованием Интернет банк-клиентов выполняются по следующей схеме:
- Хаотичное заражение большого количества ПК вредоносным программным обеспечением, использую незакрытые уязвимости в браузерах или др. прикладном ПО (часто используются незакрытые дыры в ПО Adobe, Microsoft, Mozilla и д.р.).
- Если в список зараженных ПК попадает машина, с которой осуществляются банковские операции, данный факт регистрируется, и на нее закачиваются дополнительные модули, необходимые для кражи электронных ключей и аутентификационной информации. Часто применяются различные кейлоггеры, средства удаленного управления (Teamviewer, VNC, Remote Admin), вредоносные модули, предназначенные специально для извлечения ключей из реестра и внешних носителей.
- Как только необходимая информация собирается, она передается злоумышленникам, которые проверяют возможность авторизации и проведения платежных поручений.
- Как только вся необходимая информация для проведения мошенничества готова, злоумышленники прилагают усилия для того, чтобы скрыть следы преступления от жертвы. Применяются различные методы, начиная от нарушения функционирования ПК, с которого были похищены ключи, заканчивая DDoS-атаками на сервер банк-клиента. Цель данных действий – максимально отсрочить момент обнаружения факта преступления, чтобы деньги успели перевестись на подставные фирмы.
- Деньги выводятся через цепочку счетов подставных компаний или пластиковые карточки физических лиц. Наиболее часто обналичивание производится в районе Урала и Западной Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др.
Проведя расследования целого ряда подобных инцидентов, мы сформировали перечень основных причин, которые позволяют мошенникам эффективно заниматься незаконным бизнесом:
- Недостаточное внимание клиентов банка к информационной безопасности. Недостаточная компьютерная грамотность персонала, работающего с ДБО. Игнорирование рекомендаций и лучших практик по защите информации и организации бизнес-процессов.
- Применение дискет и флеш-накопителей, а также ключей реестра для хранения ключевой информации вместо токенов. Отсутствие процедуры аутентификации по одноразовым паролям. Отсутствие разграничения доступа к счетам по IP-адресу клиента.
- Неэффективная работа anti-fraud систем и процедур в банках. Отсутствие или некорректная работа процедуры валидации получателя платежа, отсутствие мониторинга профиля финансовой активности клиента с целью выявления подозрительных транзакций, отсутствие межбанковского обмена информацией по мошенничествам.
Для эффективного снижения рисков необходимы действия с обеих сторон: банка и его клиента. Но никто не будет заботиться о вашей безопасности, кроме вас самих. Для того, чтобы максимально снизить вероятность подобных нелегитимных действий в ваш адрес, вы в силах сделать следующие простые шаги в сторону повышения безопасности вашего бизнеса:
- Осуществляйте банковские платежи со специально выделенного под эти цели ПК. Можно использовать виртуальную машину.
- Следите за регулярным обновлением программного обеспечения и производите регулярный аудит ИБ.
- Следите за корректным функционированием и обновлением средств антивирусной защиты, межсетевых экранов, систем IPS уровня хоста.
- Используйте принцип минимизации привилегий. Максимально ограничьте доступ к данному ПК со стороны персонала. Ограничьте права пользователей минимально необходимыми для выполнения своих обязанностей, в том числе и по доступу в сеть Интернет с данного ПК и подключением внешних устройств.
- Надежно храните ключи и аутентификационную информацию для системы ДБО. Регулярно меняйте пароли: раз в месяц, при увольнении персонала, работавшего с ДБО, или системного администратора, при обнаружении вредоносного ПО на ПК, с которого ведется работа с ДБО и т.д.
- При выборе банка для обслуживания отдавайте предпочтение тем, которые для хранения ключей используют токены, одноразовые пароли, эффективные системы противодействия мошенничествам.
- При возникновении подозрения в краже ключей или аутентификационных данных оперативно блокируйте доступ к ДБО и проводите аудит транзакций.
Если инцидент произошел, необходимо сохранить как можно больше улик, которые помогут в ходе расследования. Обесточьте ПК, с которого выполнялись операции с ДБО, до момента проведения криминалистической экспертизы. Сохраните все возможные логи с межсетевых экранов, прокси-серверов, шлюзов и т.д., которые могли участвовать в инциденте и способны пролить свет на то, как он протекал.
Обратитесь в МВД с заявлением и приложите к нему собранную информацию. Либо позвоните нам по телефону (495) 661-55-38 и мы поможем вам в данном деле.
Group-IB для SecurityLab.ru
(Голосов: 13, Рейтинг: 3.71) |
И вообще, пора уже давно написать банк-клиента под Linux
В 90% случаев, это небрежное отношение клиентов... не то что они не знают, больше надеятся, "что с ними этого не произойдет"... русский авось, мля...
- пользователь верит что ничего не случиться пока это не случилось
"до момента проведения криминалистической экспертизы" -как это коррелируется с "приложите к нему собранную информацию"
1.После каждой опрации посредством Интернет, прежде чем провести транзакцию, должно идти уведомление клиента по другому каналу, в частности банк направляет ему "эс-эм-эс" -ку.
2.Тразакцию в банке по счету осуществлять только спустя не менее часа, как отпрален эс-эм-эс-ка...
3. Об этих технологических особенностях должен знать клиент...
Но, в действительности, нужно еще посмотреть кто глупее. Вы вот попробуйте предложить такую технологию, чтобы она нивелировала отсутвие мозга у клиентов!
А, если вы пишете договора, в которых клиент всегда виноват, и кроете его в конференциях, это не делает вам чести...
А, если вы пишете договора, в которых клиент виноват в любом случае, что бы ни случилось, и кроете его в конференциях, хотя живете на его же деньги, это не делает вам чести! И умными вы от этого тоже не кажетесь... Скорее - вы сами жулики, просто узаконеные из-за несовершенства государства!
Нет ничего невозможного. Уже были случаи когда по поддельной доверенности получалась Новая симкарта и как результат перехватывались смс с кодами подтверждений.
Что-то ты долго догоняешь, а статья-то совсем небольшая!
09 февраля, 2012
07 февраля, 2012
06 февраля, 2012
03 февраля, 2012

Комментарии: