3. Хакеры удвоили количество атак на банковские счета
украинских предприятий. Под их прицел попали системы
"клиент-банк", при помощи которых бухгалтера проводят
платежи своих компаний. За январь–август 2012 г. в
подразделение по борьбе с киберпреступностью МВД
поступило 40 заявлений от субъектов предпринимательской
деятельности, жаловавшихся на взлом систем "клиент-банк"
Правоохранителям удалось предупредить 15 фактов
завладения средствами компаний на сумму 30 млн грн.
http://www.depo.ua
3
4. Опубликованное – вершина айсберга, топящего бизнес и
лишающего надежды
Сколько случаев осталось известно только жертвам? Никто
не хочет сознаваться и терять репутацию…
http://www.depo.ua
4
5. Характер жалоб клиентов кредитных организаций на
несанкционированное списание средств со счета
Физические лица Юридические
лица
Количество жалоб в
2011 г. 7 4
Похищено со счетов
клиентов кредитных 428 тыс. руб 10,3 млн. руб
организаций
Характер хищений • кража пароля при использовании компрометация
системы «Интернет-банкинга»; ключей ЭЦП
• кража контрольного номера перевода при
переводе денежных средств по системе
Western Union;
• при совершении операции получения
наличных средств в банкомате
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
5 из 32
6. млн. руб. 2010г.:
- 2 из 6 попыток успешные (33%);
12
2010 год - посягательств на 4,8 млн.руб.,
10 2011 год - похищено 175 тыс.руб. (4%)
8 - средняя сумма хищения 90 тыс. руб.
6
2011г.:
4 - 9 из 23 попыток успешные (~40%);
2
- посягательств на 12 млн.руб.
- похищено 8,5 млн.руб. (70%)
0 - средняя сумма хищения 450 тыс. руб.
Попытки Хищения
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
6 из 32
7. В Украине ситуация аналогична, но в меньших масштабах
Пока в меньших масштабах…
7
8. Еще год назад службам безопасности удавалось перехватить
деньги клиентов: несанкционированный платеж
блокировался в момент его совершения в "клиент-банке"
либо после поступления на транзитный счет преступника в
другом финучреждении, но в 2012 г. мошенники научились
заметать следы
Эрсте Банк – из 19 взломов: в 12 случаях хищения денег
остановлены еще в нашем банке, в трех — средства вернули
из других банков, в четырех — деньги разыскать и вернуть не
удалось
http://www.depo.ua
8
9. Как преступники получают доступ к деньгам?
Антивирус купили, админ тоже не зря свой хлеб ест,
системы обновляются… А деньги пропали!
Кто виноват?
9
10. Современные вредоносные программы:
• Создаются профессионалами и на момент создания не
обнаруживаются антивирусами - и более того
предпринимают попытки удаления антивируса
• Используют самые последние разработки в области
создания вредоносного ПО.
Таким образом имеется возможность выполнения
банковских проводок с использованием удаленного
доступа – в уже имеющейся или параллельной сессии
10 из 32
11. Trojan.Carberp для перехвата связанной с работой ДБО
информации использует различные методы:
логирование нажатий пользователем клавиш,
вклинивание в HTTP-трафик в поисках учетных данных и
передаваемых значений экранных форм,
встраивание в процессы программ системы банк-клиент,
создание скриншотов в моменты ввода важной информации,
перехваты отдельных функций, которые могут участвовать в
передаче данных,
поиск и похищение сертификатов и ключей.
Все варианты троянцев зашифрованы вирусными
упаковщиками.
Среди команд, которые способен выполнять
Trojan.Carberp, имеются директивы запуска произвольных
файлов на инфицированном компьютере, команда установки
сеанса «удаленного рабочего стола» по протоколу RDP, и
даже удаления на зараженном ПК операционной системы.
11 из 32
12. Современные вредоносные программы:
• Отлично маскируются в системе. Trojan.Carberp запускаясь на
инфицированной машине, предпринимает целый ряд действий
для того, чтобы уйти от средств контроля и наблюдения. После
успешного запуска троянец внедряется в другие работающие
приложения, а свой основной процесс завершает, таким
образом, вся его дальнейшая работа происходит частями
внутри сторонних процессов, что является его характерным
свойством. Миф о том, что появление любого вируса можно
заметить визуально отжил себя окончательно
• конкурируют между собой - в Trojan.Carberp имеется
возможность уничтожения «конкурирующих» банковских
троянцев
• действуют в составе ботнетов, управляемых из одного (или
нескольких) командных центров. Таким образом зараженная
машина или сеть служит еще и источником заражения
• благодаря возможности удаленного управления и возможности
использования плагинов имеется возможность организации
атаки на конкретную компанию по заказу извне. На данный
момент имеются версии плагинов под большинство
известных банковских систем!
12 из 32
14. Дистанционное банковское обслуживание –
предоставление платежных и информационных услуг
удаленным клиентам кредитной организации посредством
телекоммуникационных средств и сетей передачи данных.
тыс. ед.
1800
1657
1600
1400
1200
1000
800
605
600
396
341
400
200
0
2008 2009 2010 2011
Счета ДБО в т.ч. через И нтернет и мобильные телефоны
Количество счетов клиентов КО в РБ, доступ к
которым предоставлен дистанционным
способом
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
14 из 32
15. Дистанционное банковское обслуживание реализуется по
разному – как правило через системы:
• Банк-клиент (с использованием специально
разработанного ПО, работающего на стороне клиента)
• Мобильный клиент с работой через специальное ПО,
плагин к браузеру или СМС
• Обслуживание через банкомат или терминал (АТМ
клиент)
При этом работа возможна и с рабочего места, и с
мобильного устройства и из дома. Банк априори не знает
откуда должно прийти указание на перевод средств
15 из 32
16. Виды атаки:
• Атака на каналы передачи данных
• Вирусная атака на сервер
• Атака на компьютер через Интернет с целью кражи
секретного ключа ЭЦП, паролей
• Атака на компьютер через Интернет с целью захвата
удаленного управления ресурсами компьютера
• Атака с целью подмены документа при передаче его на
подпись
• Атака с целью подмены части или всего использующегося
ПО
• Внедрение программных закладок или троянских программ
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
16
17. Вывод средств производится на:
1. банковские карты для обналичивания,
2. счета мобильных телефонов, в основном «Билайн»
(услуга «МОБИ.Деньги»)
3. электронные кошельки виртуальных платежных систем, в
основном Яндекс.Деньги, Qiwi.
От момента совершения мошеннической операции и до
вывода средств проходит 1-3 минуты!
17
18. Для защиты непосредственно систем ДБО используются:
• Виртуальные клавиатуры
• Аутентификация в системе ДБО
• Запрет входящих каналов на время работы ДБО
• Подтверждение платежей с помощью криптокалькуляторов
(потенциально с использованием ключевых параметров
платежа) или SMS
• Организация доверенной среды (загрузка доверенной
операционной системы) - изоляция рабочего места ДБО от
внешнего мира (LiveCD) или использование защищенного
терминального режима доступа
• Защита платежных данных при передаче – шифрование
данных
• Защищенное хранение ключей ЭЦП. Неизвлекаемое хранение
на USB-токенах и смарт-картах
• Ввод платежной информации на внешних устройствах
(гарантия совпадения показываемой и формируемой
платежки)
Что из этих средств уже скомпрометировано?
18 из 32
19. • Виртуальные клавиатуры обходятся снятием экрана
• Запрет входящих каналов на время работы обходится
внедрением вируса до начала работы системы
• Аутентификация в системе — зависит от пользователей
— социальная инженерия использовалась и
используется
• Организация доверенной среды — изоляция рабочего
места от внешнего мира через LiveCD обходится с
помощью буткитов
• Виртуальные среды (в том числе на Java) взламываются
путем подмены базовых компонентов
• Использование внешних систем подразумевает
использование программных компонентов, что
позволяет компрометировать и эти устройства,
считавшиеся панацеей
• Подтверждение по СМС не подходит для большинства
организаций — в силу количества операций
19
20. Что было не так давно (да и сейчас есть повсеместно)?
Лень двигатель человечества. Хакеры сообразили, что всего
проще распространять вирусы силами их жертв. В итоге до
70 процентов вирусов проникают на компьютеры (в том
числе терминалы банковских систем) через флешки самих
же пользователей/обслуживающего персонала.
При чем зачастую по причине отсутствия на этих
компьютерах обновлений безопасности, работе под
администратором и мало-мальски серьезных паролей
Мелисса, Конфикер…
22. Можно по старинке – фишингом - выудив у жертвы базу
данных e-mail адресов корпоративных клиентов
Можно ограбить жертву…
Но люди ленивы, а чем преступники хуже всех?
22
23. Для проникновения/внедрения вирусов в защищаемую
систему используются:
Методы социальной инженерии (вирус Стихнет)
Взлом сайтов и ресурсов сети Интернет, наиболее часто
посещаемых целевой группой (семейство Carberp)
Также целью криминальных структур являются личные
устройства и домашние компьютеры сотрудников и клиентов
компании-цели. Целью их взлома и заражения является как
хищение и подмена данных, так и проникновение с их
помощью в защищаемую сеть.
От момента совершения мошеннической
операции и до вывода средств проходит 1–3
минуты!
23
24. Как ни защищай сеть, а по работе нужно выходить в Интернет,
чтобы быть в курсе законотворчества, новостей бизнеса…
Нужно быть в курсе!
24
25. Учтем что:
Все люди одной специальности ходят на одни и те же сайты.
Большинство все также работает под Windows с правами
администратора
Большинство выходит в Интернет с рабочего компьютера
У почти всех стоят Adobe Acrobat и Adobe Flash.
26. Все это значит, что вы сами назначаете место встречи с
хакерами.
Априори зная ваши предпочтения они легко могут
организовать на вас атаку – и делают это
26 из 32
27. Для заражения ВСЕЙ целевой группы жертв нужно
просто взломать сайт, на которые заходит целевая
группа!
Карбер – о нем надо знать всем, чтобы не увидеть его в
лицо!
29. На данный момент ситуация я Trojan.Carberp напоминает
ситуацию с всем известным WinLock’ом — новые
модификации, протестированные заранее на последних
версиях антивирусов, выходили ежедневно — и,
естественно, антивирусам требовалось время, чтобы начать
удалять новый для них вид угрозы. Но Carberp гораздо
опаснее — если WinLock просто не давал работать и
требовал отправки СМС, то Trojan.Carberp направлен на
длительную работу в системе.
29
30. Троянцы семейства Trojan.Carberp нацелены на хищение денежных
средств компаний и частных лиц. Распространяется Trojan.Carberp с
использованием набора эксплоитов Black Hole Exploit Kit —
коллекции уязвимостей, эксплуатирующих ошибки и
недокументированные возможности современного ПО, в частности,
браузеров и операционных систем. В большинстве случаев жертве
Black Hole не нужно предпринимать вообще никаких действий для
того, чтобы «получить троянца»: заражение происходит
автоматически при просмотре инфицированных веб-сайтов
Разработкой и “продвижением” Trojan.Carberp занимается
организованная группа: разработчики находятся в одной стране,
сервера, с которых непосредственно распространяется троян – в
другой, организаторы – в третьей
30 из 32
31. Carberp контролирует работу пользователей и собирает логи для:
• Windows Live Messenger • Vypress Auvis
• Google talk • Group Mail
• Paltalk • Incredi Mail
• QIP Online • Mail.Ru
• JAJC • Eudora
• Miranda ICQ • The Bat!
• Yahoo Messenger • Becky! Internet Mail
• Outlook • Windows Mail
• Jabber • MRA
• AOL Instant Messenger • Internet Explorer
• Camfrog • Safari
• POP Peeper • Firefox
• PocoMail • Chrome
• Opera
Carberp собирает пароли от Windows Commander, Total Commander,
FileZilla, FTP Commander, CuteFTP, CoffeeCup, Frigate3, WinSCP, Free
FTP, LeapFTP, Cryper Web Site Publisher, Far Manager FTP
31
32. Carberp пытается внедриться на страницы с именами
• esk.sbrf.ru
• online.sberbank.ru
• *.alfabank.*
• sbi.sberbank.ru
• ibank.prbb.ru
• *telebank.ru
Carberp пытается перехватить платежи через PayPal, IBank,
Cyberplat и PSB
32
33. Что может противопоставить этому системный
администратор, имея в наличии антивирус?
Если он использует только антивирус (или точнее —
файловый монитор, отслеживающий файловую активность),
то ничего - перед выпуском вредоносные программы
тестируются на антивирусах и в момент выпуска не
обнаруживаются ими. Через некоторое время новая зараза
будет найдена, но на весь этот промежуток защиты не будет.
33
35. Проблема в том, что Просто Антивирус сам по
себе уже не панацея
35
36. Если компания использует только антивирус (или точнее —
файловый монитор, отслеживающий файловую активность),
то она открыта всем ветрам - перед выпуском вредоносные
программы тестируются на антивирусах и в момент выпуска
не обнаруживаются ими. Через некоторое время новая зараза
будет найдена, но на весь этот промежуток защиты не будет.
Отказываясь от современных средств защиты компания
оставляет себя в прошлом
36
37. Современный антивирус не равен файловому антивирусу!
С помощью входящей в его состав системы ограничения
доступа можно разрешить доступ сотрудникам только к
избранным сайтам.
Антивирус имеет функцию проверки ссылок — это тоже
нужно использовать.
Антивирус может не позволять сотрудникам изменять
настройки самостоятельно по причине, что «все тормозит»,
руководствуясь правилами, внесенными через систему
централизованного управления.
37
38. Проблема два
Как происходят кражи?
• 67% способствовали значительные ошибки
• 64% способствовала хакерская активность
• 38% использовали malware
• 22% имели в составе злоупотребление привилегиями
• 9% произошли путем физических атак
91% всех компрометаций связаны с работой ОПГ
“2010 Data Breach Investigations Report”, Verizon Business
39. Проблема три
Достаточно ли защитить только организацию? Или данные
и деньги ее работников тоже требуют защиты?
Совместимы ли выгода компании, лояльность ее клиентов и
сотрудников?
39
40. 60 процентов компьютеров в компании принадлежат ее
сотрудникам – и их безопасность никак не контролируется.
Домашние компьютеры персонала, обслуживающего сети
банкоматов – основной источник вирусов
“На андроиде вирусов нет! их нужно самому
ставить, а я не дурак!”
41. 60 процентов компьютеров не имеют никакой
защиты!
Статистика антивирусных проверок показывает, что в
среднем незащищенный компьютер поражен десятью
вредоносными программами!
42. • Вне офиса люди никак не защищены от атак хакеров.
• Используемые приложения могут как иметь
уязвимости, так и содержать в своем составе
троянцев.
Являясь отличными специалистами в своей области,
сотрудники компании не являются отличными
специалистами по безопасности – либо находятся в плену
мифов.
Отсутствие защиты не просто снижает эффективность
работы — это создает возможность утечки, подмены или
компрометации важных материалов.
42
43. Проблема четыре
Рабочие станции защищены, а мобильные устройства нет?
Уже существует первый банковский троянец для платформы
Android - Android.SpyEye.1.
При обращении к различным банковским сайтам, адреса которых
присутствуют в конфигурационном файле троянца, в просматриваемую
пользователем веб-страницу осуществляется инъекция постороннего
содержимого, которое может включать различный текст или веб-формы.
Таким образом, ничего не подозревающая жертва загружает в браузере
настольного компьютера или ноутбука веб-страницу банка, в котором у нее
открыт счет, и обнаруживает сообщение о том, что банком введены в действие
новые меры безопасности, без соблюдения которых пользователь не сможет
получить доступ к системе «Банк-Клиент», а также предложение загрузить на
мобильный телефон специальное приложение, содержащее троянскую
программу.
43 из 32
45. Почему Dr.Web Комплексная Защита?
Использование Офисного контроля дает возможность исключить
проникновение вирусов через сменные носители, и исключить риск
внедрения вирусов с заведомо вредоносных сайтов
46. Почему Dr.Web Комплексная Защита?
Все помнят количество дыр в Adobe flash/acrobat, через которые
потоком шли вирусы? Использование SpIDer Gate и SpIDer Maild
позволяет исключить проникновение вредоносных объектов из-за
уязвимости программ (таких как браузеры, adobe flash и adobe
acrobat, почтовые клиенты), поскольку весь трафик проверяется до
его поступления в соответствующую программу! Проверен будет
даже шифрованный трафик
Наличие в старшей версии Dr.Web (в отличии от более дешевого
решения Dr.Web Антивирус) дополнительных модулей позволяет
обеспечить комплексную антивирусную защиту, поскольку основная
масса вредоносных программ (в том числе нацеленных на кражу
денежных средств и контроль за своими жертвами) попадает в
компьютеры пользователей из сети Интернет
47. Итого
• Современные информационные технологии принципиально не
защищены от заражения новыми вирусами в условиях свободного
использования ресурсов Интернет
• Низкий уровень понимания рисков и угроз информационной
безопасности приводит к игнорированию ими элементарных требований
информационной безопасности
• Применение любых средств защиты упирается в человека, как самое
слабое звено в системе защиты
• В условиях масштабных заражений всегда найдутся люди, которые что-
либо нарушают и в первую очередь становятся жертвами мошенников
• Недостатки законодательства, интернациональность и распределенность
членов криминальных сообществ осложняют взаимодействие и
координацию работы правоохранительных органов.
48. Факторы, способствующие мошенничеству:
1. Клиентами не обеспечивается:
- надежное хранение секретных ключей;
- защита компьютера от НСД;
- эффективная антивирусная защита.
2. В договорах о предоставлении услуг ДБО не отражены
обязанности и ответственность клиента по выполнению
требований информационной безопасности, риски.
4. В договорах не регламентированы механизмы
реагирования на инцидент.
5. Квалификация сотрудников клиента не позволяет
обеспечить требования информационной безопасности,
изложенные в договоре.
51. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.ua
Номер службы технической поддержки
(044) 279-77-70
Запомнить просто! – возникла проблема – набери DRWEB!
(044) 238-24-35