.: Навигация :.
Обо всем
Камеральная проверка
Выездной контроль
Прибыль
НДС
НДФЛ и изменения с 2014 года
ЕНВД и новые изменения
УСН
Налоговая выгода
Судебные споры
Новости налогообложения
Трансфертное ценообразование
Налоговику
Бухгалтеру
Nanalog.ru » Финансы и Банки » Банковское интернет мошенничество

Банковское интернет мошенничество



Информационная безопасность - одна из основополагающих тем в банковской деятельности. Во многом именно поэтому такое внимание уделено Закону "О национальной платежной системе". Чтобы осознать ситуацию в сфере ИБ, стоит рассмотреть основные угрозы и инциденты прошлого года.

Прежде всего, в 2012 г. нашли свое развитие тенденции предшествующего ему года. Несмотря на активные попытки со стороны правоохранительных органов пресекать деятельность крупных групп интернет-мошенников, общий рост количества хищений продолжает расти. Хотя к июню вследствие ликвидации нескольких преступных групп удалось зафиксировать определенное снижение количества инцидентов, во второй половине года начался очередной виток хищений. Подводя итоги года, можно смело говорить, что количество похищенных с банковских счетов юридических лиц денежных средств вырастет приблизительно на 40% по сравнению с предыдущим годом. Напомним, что в 2011 г. этот показатель, по оценкам Group-IB, равнялся сумме в 758,5 млн долл. Это значит, что в этом году российским компьютерным злоумышленникам удастся перевалить рубеж в рекордный миллиард долларов.
Другой тенденцией становится ошеломляющий рост количества хищений у физических лиц. До 2010 г. жертвами мошенников преимущественно становились клиенты банков - юридические лица, но уже во второй половине 2011 г. мы стали наблюдать значительный всплеск инцидентов, связанных с физическими лицами. Теперь же можно смело заявлять, что показатели по обеим категориям клиентов почти выровнялись. Посмотрим на статистику, которую приводит Сбербанк. За девять месяцев 2012 г. его службы безопасности пресекли 5500 попыток хищения средств через каналы дистанционного банковского обслуживания на сумму более 1,2 млрд руб. Так вот, из них средства физических лиц - более 500 млн руб., а юридических - более 770 млн руб. Кстати, из этих данных следует, что онлайн-банкинг крупнейшего банка страны подвергается атакам более чем 20 раз в день, и это при том, что учитываются только пресеченные случаи.
Все вышесказанное означает, что существующие на рынке киберпреступности группы уже не делят жертвы на физические и юридические лица. Специализация начинает стираться: атаке может быть подвергнут любой пользователь системы интернет-банкинга. Это стало возможным вследствие появления в 2012 г. абсолютно новых типов вредоносного программного обеспечения - универсальных банковских троянов, направленных против любых клиентов. Универсальность вредоносных программ стала также определяться и тем, что они больше не разрабатываются под конкретную систему дистанционного банковского обслуживания. У каждого трояна теперь существует огромное количество плагинов, которые позволяют злоумышленникам использовать одну и ту же программу почти против любого интернет-банкинга. Это абсолютно новый вызов для разработчиков как банковских IT-решений, так и антивирусных продуктов. Соответственно, описанное новшество позволило мошенникам в 2012 г. перейти от целевых атак на клиентов конкретных банков к веерным хищениям.
Дополнительно стоит отметить еще одну интересную особенность, связанную с развитием вредоносных программ, которая также была зафиксирована нами в этом году. При атаках на так называемые "тонкие клиенты", написанные на языке программирования Java, банковские трояны начали подделывать баланс счета путем пересчета и подмены всей информации в системе "Клиент-банк", в том числе и в выписках. Таким образом, вирусописателям удалось существенно расширить функционал по осуществлению автоматической подмены реквизитов платежного поручения в момент подписания документа и его отправки (на языке компьютерных криминалистов - автоподмена), а также возможностей полностью автоматизированного процесса формирования и отправки мошеннического платежного поручения вредоносной программой (автозалив). Теперь трояны могут не только осуществлять все вышеперечисленное, но и длительное время скрывать истинное состояние баланса на счету, "прописывая" на экране монитора бухгалтера "нужную" сумму. Это, конечно, в значительной мере влияет на время обнаружения несанкционированного списания.
В 2011 г. злоумышленники начали экспериментировать с легитимными средствами удаленного управления для проведения мошеннических операций прямо с компьютеров жертв. В 2012 г. "эксперименты" продолжились и вышли на новый уровень: в ходе криминалистических исследований пришлось столкнуться с использованием программного обеспечения, которое предоставляет доступ к USB-портам компьютера через сеть Интернет. В качестве реального примера можно привести инциденты, в ходе которых эксплуатировались решения FabulaTech, которые позволяли мошенникам получить доступ к токенам или флэшкам с электронной подписью для осуществления несанкционированных операций.
Крайне интересный, с криминалистической точки зрения, инцидент, связанный с использованием удаленного доступа к компьютеру жертвы, произошел в одной московской компании, в которой для подтверждения платежного поручения использовали две электронных подписи. На компьютер бухгалтера при посещении взломанного сайта были загружены вредоносные программы Carberp и RDPdoor. Последняя организовывает абсолютно скрытое от пользователя удаленное управление компьютером в одной или параллельной сессии с пользователем. Киберпреступники удаленно создали учетную запись пользователя и стали выжидать, когда сотрудник установит оба ключа с электронными подписями. Однако подходящего момента все не было. Тогда один из злоумышленников установил на скомпрометированном компьютере джаббер, подключился к веб-камере и прямо с зараженной машины незаметно для пользователя стал следить за тем, когда бухгалтер сядет за свое рабочее место, чтобы сразу же написать об этом подельникам. Из документов на компьютере ему быстро удалось узнать название компании, служебные телефоны и Ф.И.О. бухгалтера. Когда хакер написал своему подельнику, что видит бухгалтера в камеру, тот позвонил ей. Представившись сотрудником техподдержки банка, злоумышленник попросил провести ряд операций: войти в клиент-банк, авторизоваться в нем и вставить по очереди оба ключа. Таким образом его сообщник в это время похитил логин и пароль на доступ, пин-коды к токенам, создал и подписал обеими подписями платежное поручение и отправил его в банк. Вот такая партизанская операция с элементами социальной инженерии.
Часто на различных форумах и конференциях приходится слышать, что различные способы двухфакторной аутентификации помогают эффективно предотвращать хищения. В качестве примеров успешных инструментов приводят одноразовые пароли, направляемые пользователям с помощью SMS-сообщений. В 2011 г. уже описывались схемы хищений с использованием техники веб-инжектов, которая позволяет обходить защиту такого рода. В 2012 г. пришлось столкнуться с совершенно новым способом перехвата одноразовых SMS-паролей. Мошенникам удалось взломать клиентский аккаунт в системе интернет-банкинга одного из крупных зарубежных банков. Однако без одноразовых паролей, которые направлялись клиенту по SMS, проведение каких-либо операций было исключено. При изучении информации, указанной в аккаунте, злоумышленникам удалось обнаружить номер телефона, на который направлялись одноразовые пароли. По поддельной доверенности преступники переоформили sim-карту на другое лицо, что позволило им перехватывать пароли. Дальше, как говорится, дело техники.
Говоря о последних тенденциях в атаках на физлиц, следует обязательно упомянуть о растущем количестве инцидентов, связанных с фишингом. В рамках соглашения с Координационным центром домена RU/РФ центр круглосуточного реагирования CERT-GIB ежемесячно блокирует вредоносные ресурсы, с помощью которых компьютерные мошенники угрожают безопасности пользователей Рунета. Четверть из таких доменных имен-нарушителей составляют именно фишинговые ресурсы. Увеличение количества фишинга, нацеленного на клиентов крупных банков, связано с тем, что даже злоумышленники с небольшой квалификацией и маленьким стартовым капиталом могут развивать свой преступный бизнес до достаточно крупных размеров. Пример осужденных в прошлом году братьев Попелыш, атаковавших клиентов банка ВТБ24, хорошо подтверждает данное утверждение.
При этом злоумышленники проявляют повышенное внимание к фишинговым схемам и вкладывают значительные средства в их развитие и совершенствование. Интересный способ фишинга был обнаружен нами при проведении криминалистического исследования одного из инцидентов. На исследуемом носителе информации была обнаружена вредоносная программа с необычными функциональными возможностями. В отличие от большинства банковских троянов, она не прописывает себя в автозапуск и не осуществляет сетевых взаимодействий. Данная программа прописывает во все установленные на компьютере веб-браузеры принудительное использование прокси-серверов через загрузку специальных файлов автоконфигурации прокси. Такая возможность есть в любом современном браузере. Фактически это изменение нескольких ключей реестра и создание ряда файлов, в который прописывается ссылка, откуда скачивать этот самый файл автоконфигурации. Все остальное делают уже сами браузеры. Кроме того, данный вирус внедряет в хранилища корневых сертификатов веб-браузеров свой сертификат, чем позволяет работать с зашифрованным HTTPS-трафиком. Файл автоконфигурации мошенники могут менять как угодно, постоянно меняя IP-адреса настоящих прокси-серверов. Кроме того, расследование таких инцидентов затрудняет и то, что эти IP-адреса хранятся только в файле автоконфигурации, а не в самом семпле вредоносной программы. Все эти действия позволяют злоумышленникам получать весь трафик зараженного компьютера через браузеры и модифицировать его. Можно внедрять любые элементы в любые веб-страницы, в том числе и в страницы "тонких клиентов", похищать любые данные из этого потока и модифицировать их как угодно. Это, разумеется, открывает огромный простор для последующих хищений.
Однако приведенные тренды и примеры инцидентов, связанных с хищениями с банковских счетов юридических и физических лиц, не означают, что самим банкам нечего бояться. Атаки на клиентов систем дистанционного банковского обслуживания - лишь одна из ключевых угроз информационной безопасности для финансовых институтов. Дополнительно следует выделить атаки на отказ в обслуживании и несанкционированный доступ к подсистемам автоматизированных банковских систем и систем интернет-банкинга.
Показателен пример уголовного дела, которое было возбуждено по факту совершения преступления, предусмотренного по ч. 4 ст. 159 УК РФ (совершение хищения денежных средств путем обмана в особо крупных размерах). В ходе предварительного следствия было установлено, что неизвестные лица с использованием системы "Клиент-банк" незаконно изготовили подложное платежное поручение, на основании которого с расчетного счета компании были перечислены денежные средства в особо крупном размере. Вроде бы стандартный случай, какие для нас стали уже обыденностью, но запомнился он по следующим причинам. Во-первых, суммарно хищение денежных средств составило около 300 млн руб. Во-вторых, компрометация произошла именно на стороне банка, чем и был обусловлен столь крупный размер мошенничества.
В ходе расследования были установлены следующие факты. В банке работал системный администратор, который, как выяснилось, оказался на столь ответственном месте "по знакомству". Данный сотрудник допустил заражение своей машины вредоносным программным обеспечением, и таким образом злоумышленники получили с его компьютера доступ к данным аутентификации клиентов банка. Позже похищенные базы данных активно продавались на закрытых хакерских форумах. Все это выяснили следующим образом. Проводился обычный выезд криминалистов к одному из пострадавших клиентов банка. Проведя все необходимые действия по сбору и оформлению доказательной базы, специалисты пришли к выводу, что доказательной базы-то и нет: нет следов вредоносного программного обеспечения, нет следов формирования и отправки подложного платежного поручения и так далее. Также исключался факт инсайда, что подтвердилось после изучения записей СКУД-систем, систем видеонаблюдения, логов сетевых взаимодействий, DLP-систем и прочего. Со стороны клиента все было абсолютно корректно. Когда же удалось ознакомиться с логами по платежам от банка, которые упорно отказывались вначале предоставлять, появилось предположение, что к инциденту причастен некий сотрудник банка. В процессе работы появились сведения о втором пострадавшем клиенте - картина аналогичная. К тому времени мы уже добились некоторых результатов при анализе информации, предоставленной банком: полученные доказательства полностью подтверждали все наши предположения. Провели совместно с внутренней службой информационной безопасности аудит и выяснили, что причиной инцидентов стала компрометация компьютера одного из системных администраторов, позволявшего себе "лишнее" на рабочем месте. Компьютер был сразу же отправлен на криминалистическое исследование в лабораторию, что помогло установить адрес управляющего сервера и выявить полный список клиентов банка, чьи данные оказались доступны злоумышленникам. Вся информация была оперативно передана в банк, который в срочном порядке заблокировал счета, что позволило предотвратить возможные хищения более чем у 100 компаний.
Вероятно, с похожими случаями не раз придется столкнуться и в этом году. Все перечисленные тенденции в условиях низких бюджетов на информационную безопасность и слабой отечественной правоприменительной практики, несомненно, найдут свое отражение. Однако стоит особое внимание уделить тем новым моментам, которые выйдут на первый план.
Во-первых, резко возрастет количество атак на мобильные устройства. Увеличение количества пользователей такого рода заставляет банки активно переходить на мобильные платформы. Распространение мобильного банкинга обязательно привлечет внимание компьютерных мошенников. В 2012 г. число вирусов для мобильных устройств увеличилось почти в 6 раз, по сравнению с количеством, которое было обнаружено за семь предыдущих лет. Злоумышленники уже начали реализовывать многоэтапные атаки с помощью вредоносных программ, загружаемых на компьютер, и вредоносных приложений, устанавливаемых на смартфон. Например, схожий случай с раздачей вредоносного приложения через Google Play, когда жертвами злоумышленников стали несколько сотен пользователей системы "Сбербанк ОнЛ@йн", произошел в конце 2012 г. К сожалению, в России пока нет устоявшейся практики по защите мобильных устройств, что также сыграет на руку мошенникам, которые непременно воспользуются печальным опытом зарубежных коллег.
Во-вторых, злоумышленники начнут активно применять контркриминалистические методы при совершении хищений. Это связано с активизацией специализированных подразделений правоохранительных органов, которые постоянно привлекают к работам по разбору инцидентов независимых компьютерных криминалистов. Регулярные задержания хакеров-одиночек и ликвидации целых преступных групп заставляют злоумышленников отказаться от наглого поведения "налетчика". Теперь они стали тщательнее удалять следы своей активности, идет планомерный переход в так называемый Андернет, который в значительной мере повышает уровень анонимизации, разрабатываются схемы, проследить которые оказывается крайне затруднительным. Пример с новой схемой фишинга, описанный выше, отражает эту тенденцию в полной мере. Поэтому приходится готовиться к противостоянию новым вызовам: проводить обучение специалистов, обмениваться опытом с зарубежными партнерами, изучать новые образцы криминалистического оборудования и программ, разрабатывать собственные.
В заключение хотелось бы вернуться к Закону "О национальной платежной системе". Нововведения, которые должны все-таки рано или поздно вступить в силу, дают клиенту банка законное право на возмещение понесенного ущерба. И хотя неясно, как будет проводиться реализация данного права на практике, наверняка Закон приведет к росту судебных разбирательств по случаям мошенничества в системах интернет-банкинга между банками и клиентами. Это, в свою очередь, обязательно укрепит судебную практику. В глазах судей, которые регулярно будут разбирать такие дела, компьютерный злоумышленник больше не будет являться "запутавшимся мальчиком". Они будут ясно понимать, сколько времени и сил потратил мошенник на совершение своего преступления, увидят, как осознанно он шел на этот проступок, чтобы нагло кутить на похищенные миллионы. Возможно, появление таких судей, которые на основе собственных компетенций смогут отказаться от условных наказаний в пользу реальных сроков, приведет к действительному снижению уровня киберпреступности.

Юридическое общество имени Александра Невского это надежный исполнитель, для которого регистрация интеллектуальной собственности не является сложным или проблемным вопросом так как занимается такой деятельностью уже много лет и имеет огромный положительный опыт.


.: Курс валюты :.
    23/09 26/09
    информер курса валют
    USD
    57,6527  57,5660
    EUR
    69,0737  68,5553
    БВК
    77,0543  76,5749
.: Опрос на сайте :.

    Да, плачу самый минимум
    Да, немного укрываю
    Нет, я честно плачу налоги