В этой статье Group-IB расскажет о схемах мошенничества с системами дистанционного банковского обслуживания и даст рекомендации по снижению количества подобных инцидентов.
Все чаще поступают запросы от пострадавших компаний в результате мошеннических операций, осуществляемых через системы электронного банкинга. Схема, которая используется злоумышленниками, давно хорошо известна и имеет высокую эффективность. Если не вдаваться в детали, то практически все мошеннические махинации с использованием Интернет банк-клиентов выполняются по следующей схеме:
- Хаотичное заражение большого количества ПК вредоносным программным обеспечением, использую незакрытые уязвимости в браузерах или др. прикладном ПО (часто используются незакрытые дыры в ПО Adobe, Microsoft, Mozilla и д.р.).
- Если в список зараженных ПК попадает машина, с которой осуществляются банковские операции, данный факт регистрируется, и на нее закачиваются дополнительные модули, необходимые для кражи электронных ключей и аутентификационной информации. Часто применяются различные кейлоггеры, средства удаленного управления (Teamviewer, VNC, Remote Admin), вредоносные модули, предназначенные специально для извлечения ключей из реестра и внешних носителей.
- Как только необходимая информация собирается, она передается злоумышленникам, которые проверяют возможность авторизации и проведения платежных поручений.
- Как только вся необходимая информация для проведения мошенничества готова, злоумышленники прилагают усилия для того, чтобы скрыть следы преступления от жертвы. Применяются различные методы, начиная от нарушения функционирования ПК, с которого были похищены ключи, заканчивая DDoS-атаками на сервер банк-клиента. Цель данных действий – максимально отсрочить момент обнаружения факта преступления, чтобы деньги успели перевестись на подставные фирмы.
- Деньги выводятся через цепочку счетов подставных компаний или пластиковые карточки физических лиц. Наиболее часто обналичивание производится в районе Урала и Западной Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др.
Проведя расследования целого ряда подобных инцидентов, мы сформировали перечень основных причин, которые позволяют мошенникам эффективно заниматься незаконным бизнесом:
- Недостаточное внимание клиентов банка к информационной безопасности. Недостаточная компьютерная грамотность персонала, работающего с ДБО. Игнорирование рекомендаций и лучших практик по защите информации и организации бизнес-процессов.
- Применение дискет и флеш-накопителей, а также ключей реестра для хранения ключевой информации вместо токенов. Отсутствие процедуры аутентификации по одноразовым паролям. Отсутствие разграничения доступа к счетам по IP-адресу клиента.
- Неэффективная работа anti-fraud систем и процедур в банках. Отсутствие или некорректная работа процедуры валидации получателя платежа, отсутствие мониторинга профиля финансовой активности клиента с целью выявления подозрительных транзакций, отсутствие межбанковского обмена информацией по мошенничествам.
Для эффективного снижения рисков необходимы действия с обеих сторон: банка и его клиента. Но никто не будет заботиться о вашей безопасности, кроме вас самих. Для того, чтобы максимально снизить вероятность подобных нелегитимных действий в ваш адрес, вы в силах сделать следующие простые шаги в сторону повышения безопасности вашего бизнеса:
- Осуществляйте банковские платежи со специально выделенного под эти цели ПК. Можно использовать виртуальную машину.
- Следите за регулярным обновлением программного обеспечения и производите регулярный аудит ИБ.
- Следите за корректным функционированием и обновлением средств антивирусной защиты, межсетевых экранов, систем IPS уровня хоста.
- Используйте принцип минимизации привилегий. Максимально ограничьте доступ к данному ПК со стороны персонала. Ограничьте права пользователей минимально необходимыми для выполнения своих обязанностей, в том числе и по доступу в сеть Интернет с данного ПК и подключением внешних устройств.
- Надежно храните ключи и аутентификационную информацию для системы ДБО. Регулярно меняйте пароли: раз в месяц, при увольнении персонала, работавшего с ДБО, или системного администратора, при обнаружении вредоносного ПО на ПК, с которого ведется работа с ДБО и т.д.
- При выборе банка для обслуживания отдавайте предпочтение тем, которые для хранения ключей используют токены, одноразовые пароли, эффективные системы противодействия мошенничествам.
- При возникновении подозрения в краже ключей или аутентификационных данных оперативно блокируйте доступ к ДБО и проводите аудит транзакций.
Если инцидент произошел, необходимо сохранить как можно больше улик, которые помогут в ходе расследования. Обесточьте ПК, с которого выполнялись операции с ДБО, до момента проведения криминалистической экспертизы. Сохраните все возможные логи с межсетевых экранов, прокси-серверов, шлюзов и т.д., которые могли участвовать в инциденте и способны пролить свет на то, как он протекал.
Обратитесь в МВД с заявлением и приложите к нему собранную информацию. Либо позвоните нам по телефону (495) 661-55-38 и мы поможем вам в данном деле.
Group-IB для SecurityLab.ru