19.11.2009

Мошенничества через системы дистанционного банковского обслуживания (ДБО)

В этой статье Group-IB расскажет о схемах мошенничества с системами дистанционного банковского обслуживания и даст рекомендации по снижению количества подобных инцидентов.

Все чаще поступают запросы от пострадавших компаний в результате мошеннических операций, осуществляемых через системы электронного банкинга. Схема, которая используется злоумышленниками, давно хорошо известна и имеет высокую эффективность. Если не вдаваться в детали, то практически все мошеннические махинации с использованием Интернет банк-клиентов выполняются по следующей схеме:

  1. Хаотичное заражение большого количества ПК вредоносным программным обеспечением, использую незакрытые уязвимости в браузерах или др. прикладном ПО (часто используются незакрытые дыры в ПО Adobe, Microsoft, Mozilla и д.р.).
  2. Если в список зараженных ПК попадает машина, с которой осуществляются банковские операции, данный факт регистрируется, и на нее закачиваются дополнительные модули, необходимые для кражи электронных ключей и аутентификационной информации. Часто применяются различные кейлоггеры, средства удаленного управления (Teamviewer, VNC, Remote Admin), вредоносные модули, предназначенные специально для извлечения ключей из реестра и внешних носителей.
  3. Как только необходимая информация собирается, она передается злоумышленникам, которые проверяют возможность авторизации и проведения платежных поручений.
  4. Как только вся необходимая информация для проведения мошенничества готова, злоумышленники прилагают усилия для того, чтобы скрыть следы преступления от жертвы. Применяются различные методы, начиная от нарушения функционирования ПК, с которого были похищены ключи, заканчивая DDoS-атаками на сервер банк-клиента. Цель данных действий – максимально отсрочить момент обнаружения факта преступления, чтобы деньги успели перевестись на подставные фирмы.
  5. Деньги выводятся через цепочку счетов подставных компаний или пластиковые карточки физических лиц. Наиболее часто обналичивание производится в районе Урала и Западной Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др.

Проведя расследования целого ряда подобных инцидентов, мы сформировали перечень основных причин, которые позволяют мошенникам эффективно заниматься незаконным  бизнесом:

  1. Недостаточное внимание клиентов банка к информационной безопасности. Недостаточная компьютерная грамотность персонала, работающего с ДБО. Игнорирование рекомендаций и лучших практик по защите информации и организации бизнес-процессов.
  2. Применение дискет и флеш-накопителей, а также ключей реестра для хранения ключевой информации вместо токенов. Отсутствие процедуры аутентификации по одноразовым паролям. Отсутствие разграничения доступа к счетам по IP-адресу клиента.
  3. Неэффективная работа anti-fraud систем и процедур в банках. Отсутствие или некорректная работа процедуры валидации получателя платежа, отсутствие мониторинга профиля финансовой активности клиента с целью выявления подозрительных транзакций, отсутствие межбанковского обмена информацией по мошенничествам.

Для эффективного снижения рисков необходимы действия с обеих сторон: банка и его клиента. Но никто не будет заботиться о вашей безопасности, кроме вас самих. Для того, чтобы максимально снизить вероятность подобных нелегитимных действий в ваш адрес, вы в силах сделать следующие простые шаги в сторону повышения безопасности вашего бизнеса:

  1. Осуществляйте банковские платежи со специально выделенного под эти цели ПК. Можно использовать виртуальную машину.
  2. Следите за регулярным обновлением программного обеспечения и производите регулярный аудит ИБ.
  3. Следите за корректным функционированием и обновлением средств антивирусной защиты, межсетевых экранов, систем IPS уровня хоста.
  4. Используйте принцип минимизации привилегий. Максимально ограничьте доступ к данному ПК со стороны персонала. Ограничьте права  пользователей минимально необходимыми для выполнения своих обязанностей, в том числе и по доступу в сеть Интернет с данного ПК и подключением внешних устройств.
  5. Надежно храните ключи и аутентификационную информацию для системы ДБО. Регулярно меняйте пароли: раз в месяц, при увольнении персонала, работавшего с ДБО, или системного администратора, при обнаружении вредоносного ПО на ПК, с которого ведется работа с ДБО и т.д.
  6. При выборе банка для обслуживания отдавайте предпочтение тем, которые для хранения ключей используют токены, одноразовые пароли, эффективные системы противодействия мошенничествам.
  7. При возникновении подозрения в краже ключей или аутентификационных данных оперативно блокируйте доступ к ДБО и проводите аудит транзакций.

Если инцидент произошел, необходимо сохранить как можно больше улик, которые помогут в ходе расследования. Обесточьте ПК, с которого выполнялись операции с ДБО, до момента проведения криминалистической экспертизы. Сохраните все возможные логи с межсетевых экранов, прокси-серверов, шлюзов и т.д., которые могли участвовать в инциденте и способны пролить свет на то, как он протекал. 

Обратитесь в МВД с заявлением и приложите к нему собранную информацию. Либо позвоните нам по телефону (495) 661-55-38 и мы поможем вам в данном деле.

Group-IB для SecurityLab.ru

или введите имя

CAPTCHA
Страницы: 1  2  3  
Вася
19-11-2009 08:18:55
Ну через Mozilla то вряд-ли сломают. И вообще, пора уже давно написать банк-клиента под Linux
0 |
DES
19-11-2009 08:50:19
Под linux давно уже есть, например Ibank2 (на java). В 90% случаев, это небрежное отношение клиентов... не то что они не знают, больше надеятся, "что с ними этого не произойдет"... русский авось, мля...
0 |
19-11-2009 16:08:06
в основном клиент-банк системы рассчитаны на использование ИЕ, плюс со стороны банков не проработаны адекватные минимальные требования к защите на стороне клиента, и уже только после этого небрежность клиента в использовании ПК
0 |
ilya
23-11-2009 10:17:45
1 закон из незыблемых законов о безопасности - пользователь верит что ничего не случиться пока это не случилось
0 |
Ujcnm
19-11-2009 10:31:19
Ага. Есть системы которые используют только ActivX и посему работают ТОЛЬКО из-под IE. Предлагается из-за этого менять банк?
0 |
20-11-2009 20:13:17
если смена банка обойдётся дешевле повышения безопасности станции, с которой происходит ДБО, то - да, менять банк. Если повышение безопасности обойдётся дороже сумм, которые обрабатываются через ДБО, то - нет, нафиг надо.
0 |
Мое имя
22-11-2009 14:53:19
Mozilla не такая непробиваемая как Вам кажется!
0 |
Вадим
24-09-2010 13:57:48
Ну да, Мозилла, также как и Линукс, а также жена цезаря - вне подозрений.
0 |
Михаил
19-11-2009 10:04:32
ну и бредятину написали обзор одного материала это не реальная статистика дел намного больше и картина совершенно другая
0 |
Ujcnm
19-11-2009 10:32:47
Да нет. Как раз то, что можно дать почитать в бухгалтерии для наведения порядка в их мозгах.
0 |
just lol'd
19-11-2009 10:20:57
это не статья. это жалкая попытка самопиара
0 |
Зашел на шум
19-11-2009 10:54:20
"необходимо сохранить как можно больше улик, которые помогут в ходе расследования" -очень интересная фраза "до момента проведения криминалистической экспертизы" -как это коррелируется с "приложите к нему собранную информацию"
0 |
19-11-2009 14:42:50
автор чего сказать то хотел?
0 |
Страницы: 1  2  3