(499) 50 44 111 контакты

OnLine мошенничество: современные О.Бендеры Печать

Введение

Мошенничество в виртуальном мире появилось вскоре после его возникновения. Преступный мир всегда использует любые способы «заработать» денег на доверчивости, невнимательности и беспечности обывателей. Современные «Остапы Бендеры» постоянно выдумывают множество таких способов как: давление на жалость, имитация проблем платежных систем, «письма африканских наследников» с предложениями поучаствовать в «отмыве» кровавых алмазов, а также целенаправленные виртуальные атаки на виртуальные кошельки и онлайн счета граждан. Если обыватель рискует собственными средствами, то часто проявляет хотя бы разумную предосторожность, да и объем единичного хищения, как правило, не так велик, как в случае атаки на средства компаний, сотрудники которых часто проявляют поразительную беспечность при обращении с «чужими» финансовыми средствами…

Как это обычно «всплывает»: клиент банка выгружает через Клиент-Банк периодическую выписку и видит платеж, обычно физическому лицу, который он (клиент) не совершал. Далее уже идут звонки в банк, милицию, организация «Группы разбора конфликтных ситуаций» с Банком и т.д. и т.п. Но денег уже нет на счете, а если прошло уже несколько дней с момента платежа, то и сами деньги вернуть уже практически нереально.

Типичный сценарий

Здесь и далее рассмотрим ситуацию, наиболее часто встречающуюся на данный момент, пусть те Банки и их Клиенты, выделяющие для обеспечения информационной безопасности дистанционного банковского обслуживания (ДБО) необходимые ресурсы, не принимают критику на свой счет.

Отталкиваясь от опыта, накопленного при разборе подобных инцидентов, к сожалению, необходимо признать, что вина в создании условий для возможности совершения мошеннического платежа лежит на обоих сторонах:

Клиенты

Сотрудники компаний обычно редко следуют требованиям по информационной безопасности (ИБ), которые выдвигает им Банк, хотя правила являются  приложением к договору ДБО, но. Как правило, в нем предусмотрены все процедуры по защите АРМ: «…актуальная версия антивирусного программного обеспечения (ПО), активированный межсетевой экран, использование данного автоматизированного рабочего места (АРМ) только для работы с Банком, запрет на оставление носителей ключевой информации в устройстве по окончании работы с Клиент-Банком, запрет на передачу их лицу, отличному от владельца ключа…».

Однако, в ходе осмотра у клиента расположения АРМ «Клиент-банка», исследования процедуры работы с ним и изучения содержимого жесткого диска часто можно обнаружить:

  • сам клиент-банк, системное и прикладное ПО, не противоречащее договору с Банком;
  • множество другого ПО: начиная от различных игр (как обычных, так и онлайн), заканчивая клиентами для сайтов знакомств, онлайн игры в покер и т.д. и т.п.;
  • электронные ключи «Клиент-Банка» на жестком диске, чаще всего в директории «Мои документы»;
  • отключенный межсетевой экран, не обновленный или отключенный антивирус;
  • вредоносное ПО, являющееся инструментом атаки;

а так же:

  • что дискеты с ключами, либо лежат на столе, либо уже давно утеряны за неиспользованием;
  • что на АРМ «Клиент-банка» работает несколько бухгалтеров под одной учетной записью, все они отправляют платежи от имени Директора Компании, на которого оформлены ключи;
  •  что есть еще один бухгалтер, работающий «на полставки», который работает из дома и так же совершает платежи от имени Директора…

Самое печальное, что сотрудники Клиента часто считают, что описанный выше способ работы со своими финансовыми средствами «нормальный», по тому, что, «…нам так удобно».

Банки

Все договора с клиентами в банках проходят согласование с Юридическим департаментом, и опытные юристы в договоре стараются переложить ответственность за обеспечение ИБ  на клиента, минимизируя  риски банка, не желая тратиться на средства защиты ДБО. В то время как служба ИБ доказывает необходимость перевода клиентов с использования в качестве ключевых носителей дискет на токены с неизвлекаемой ключевой информацией, введением смс-уведомлений или смс-кодов подтверждения платежа, представители бизнес–подразделений противятся этим начинаниям. В основном множество аргументов с их стороны сводится: «это дорого, Клиенту не будет удобно, он так привык и он от нас уйдет». Системы противодействия ДДоС атакам, антифрод системы, вызывают еще большее неприятие со стороны бизнеса в виду их дороговизны и, как следствие, ухудшения финансового результата.

Известны случаи, что подразделения ДБО некоторых банков даже не занимаются отслеживанием и анализом подозрительных платежей, не перезванивают клиентам для дополнительного подтверждения подозрительной операции…

Кто же они

Злоумышленников по большей части можно разделить на 3 категории (по частоте случаев):

  • достаточно хорошо организованная группа злоумышленников, не связанных ни с банком, ни с пострадавшей компанией;
  • сотрудники компании, имитирующие хищение ;
  • обиженный сотрудник Банка, унесший  с собой клиентскую базу и копии ключей;

 

Мошенники.

Рассмотрим самый распространенный, и, самый опасный, случай. Как правило, их злоумышленники не связаны между собой жесткими связями, а предоставляют друг-другу «услуги». Внутри себя их можно разделить по специализации:

Одни занимаются разработкой вредоносного ПО, как правило  это вирус типа «троянский конь», ориентированный на поиск любой ключевой информации на компьютере «жертвы» и передачу его в центр управления. Более сложные (и дорогие) версии включают в себя не только средства дистанционного управления зараженным АРМ, но и e-mail клиент, клиент для генерации трафика DDoS атак и т.д. для последующей «продажи» данных услуг другим группам злоумышленников.

Другие ответственны за распространение вредоносного ПО как можно более широким спектром. Эти люди занимаются «фишингом», играя на человеческих слабостях, используя методы социальной инженерии. Основной метод – рассылки электронных писем от имени популярных брендов а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, которая будет содержать вирус. Используя уязвимости в ПО на компьютера пользователя, вирус внедряется в систему и далее послушно выполняет все команды мошенников, отправляя владельцу трояна все интересующие его данные пользователя – логины, пароли, номера банковских карт, счетов, электронные ключи.

Ранее был более распространен вариант, когда мошенники пытались на поддельной странице различными психологическими приёмами побудить пользователя ввести на поддельной странице (точной копии настоящей) свои логин и пароль, которые он использует для доступа к банковскому сайту, что позволило бы мошенникам получить доступ к банковским счетам.

Владельцы центра управления, на который «завязаны» распространенные клиенты, продают услуги по использованию сети другим злоумышленникам – как с целью сбора и продажи персональных данных пользователей (логины-пароли от сайтов и систем, номера кредитных карт и счетов, базы данных e-mail и реальных адресов), организации спам-рассылок, DDoS атак, так и с конкретной целью выявления ключевой информации «клиент-банков» для организации вывода денежных средств клиентов. Так же, на продажу выставляются уже готовые базы, составленные на основе информации, собранной сетями: базы e-mail адресов для спам-рассылок, базы номеров пластиковых карт, счетов,  даже домашних адресов.

Используя ресурсы, описанные выше, «организованная группа лиц, действующая по предварительному сговору», организует атаку:

  • получение удаленного доступа к АРМ «клиент-банка»;
  • анализ действий бухгалтера и сумм на счетах для выбора оптимального времени для проведения платежа;
  • в зависимости от размера суммы совершение мошеннического платежа или сразу напрямую физическому лицу, или на подставное юридическое лицо. Далее возможно проведение  нескольких последующих платежей для «дробления» суммы не более мелкие для запутывания следов и облегчения работы следующей группе;

Далее осуществляется снятие наличности через банкоматы, обычно где-нибудь в «глубинке».  Так называемые «дропперы» обычно или входят в традиционные ОПГ, или имеют тесный контакт с их представителями. Они достаточно многочисленны (что бы обеспечить быстрое снятие денег) и, в случае задержания, ничего не могут рассказать об участниках предыдущих этапов, что чрезвычайно затрудняет  поиск организаторов атаки.

Инсайдеры в Компании

Второй по частоте случай – «доверенный» сотрудник ли несколько сотрудников  Компании, имеющих доступ к ключам, совершают перевод с другого компьютера, хотя в ходе расследований выявлялись случаи махинаций и с рабочего АРМ. Данные случаи, поскольку бухгалтерский работник не имеет сопоставимого с первой категорией мошенников уровня подготовки, достаточно быстро выявляются и украденные деньги возвращаются законному владельцу.

Инсайдеры в Банке

Данный тип мошенников очень редко встречается в ходе расследований: сотрудники Банков, имеющие допуск к ключевой информации в системе ДБО, как правило имеют как очень высокий уровень подготовки и знания бизнес-процессов банка, так и высокий уровень лояльности Банку. В ходе расследования подобных инцидентов выявлялись злоупотребления с ключами на этапе передачи их клиенту, но не случаи утечки из самих систем ДБО или удостоверяющих центров банков.

Как бороться

Противодействие подобным атакам должно идти как на стороне клиента, так и на стороне Банка На стороне Банков предлагаются к внедрению средства защиты ДБО, позволяющие снизить сопутствующие риски:

  • системы очистки трафика (как услуга со стороны провайдера или специализированной компании, так и аппаратная платформа в составе системы защиты периметра Банка);
  • системы противодействия мошенничеству (скоринговые системы оценки платежей клиентов), позволяющие автоматизировать обработку транзакций клиентов для выявления подозрительных;
  • Системы вторичного подтверждения платежа (смс сообщения для подтверждения транзакции).

Не смотря на отсутствие в текущей версии Стандарта Банка России по информационной безопасности СТО БР ИББС 1.0-2010 рекомендаций по защите ДБО, в Банковском сообществе ведется активное общение между специалистами и стоит ожидать появления рекомендаций в новых редакциях Стандарта.

Но пока их нет, Клиентам следует соблюдать простейшие правила обеспечения «собственной безопасности». Банки чаще всего выдвигают разумные требования по информационной безопасности для АРМ «Банк-клиента»:

  • своевременно обновлять антивирус, регулярно проверять на наличие вредоносного кода АРМ «Клиент-Банка»;
  • не отключать межсетевой экран, проверять его работоспособность, хранить журналы безопасности АРМ;
  • не использовать АРМ «Клиент-Банка» для исследования просторов Интернет, желательно использовать его ТОЛЬКО для работы с Банком;
  • хранить ключи только на предоставляемом банком носителе в защищенном от доступа месте;
  • использовать ключ только при работе с клиент-банком и только лицом, на имя которого данный ключ сгенерирован;
  • при наличии возможности использовать расширенные средства безопасности, рекомендованные Банком.

Большинство Банков рекомендуют и предлагают к внедрению дополнительные средства безопасности для внедрения на стороне клиента, позволяющие значительно снизить риск удачного проведения мошеннического платежа, такие как использование носителей с неизвлекаемыми ключами или смс-авторизация платежа. Согласно озвученным на III Межбанковской конференции «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» результатам исследований, более 80% атак ориентированы на устаревшие версии клиент-банков, не использующие  современные средства хранения ключевой информации и подтверждения платежа. Внедрение данных средств хоть и снижает удобство использования системы, но значительно снижает риски утери ключевой информации.

Так же, с появлением рекомендаций по защите систем ДБО в рамках развития Стандарта СТО БР ИББС следует ожидать появления сертифицированных решений для Клиентов Банков, созданных на базе этих рекомендаций.