| WildeJagd | Дата: Пятница, 21.12.2012, 05:37 | Сообщение # 1 |
|
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
| 
Мошенничество в ДБО: эволюция глазами экспертов
13.12.12, Чт, 11:57, Мск
Примерно за 6 лет рынок мошенничества в системах дистанционного банковского обслуживания (ДБО) прошел путь от единичных случаев краж до криминального бизнеса с оборотом примерно в $100 млн в год.
Первые массовые случаи кражи средств через системы ДБО в РФ были зафиксированы в 2006–2007 гг. Жертвами мошенников в то время были клиенты – физические лица. Выбор был не случаен – заботясь об удобстве работы клиентов, для подтверждения платежа в большинстве случаев банки требовали от клиентов ввода обычного "секретного" пароля. Скретч-карты, ключи ЭЦП, и тем более отправка одноразовых паролей на мобильный телефон широкого распространения не имели – поддержка таких средств защиты была реализована в ДБО ограниченного числа банков.
Уровень защиты, который обеспечивал обычный пароль, не выдерживал никакой критики. Даже школьник мог установить и настроить кейлоггер (мошенническое ПО, идентифицирующее набор символов с клавиатуры), чтобы узнать "секретный" пароль потенциальной жертвы.
Следует отметить, что использование небезопасных средств подтверждения платежа компенсировалось ограниченным функционалом системы ДБО. В большинстве случаев клиенту предоставлялась возможность посмотреть остаток на своих счетах, оплатить коммунальные услуги или пополнить счет мобильного телефона.
Последний функционал (оплата услуг сотовых операторов) и использовался злоумышленниками для кражи средств со счета клиента: изначально они направлялись на счет мобильного телефона (SIM-карта которого, как правило, покупалась в подземном переходе), затем средства выводились на другие счета через специализированные шлюзы. После кражи SIM-карта выбрасывалась, и найти злоумышленников было почти невозможно.
Небольшая сумма платежа, которую могли украсть злоумышленники у одного клиента, была связана с лимитами на сумму платежа, которые устанавливали сотовый оператор и банк.
Отличительной особенностью мошеннических платежей того времени было то, что злоумышленники всячески перестраховывались, и поэтому работали в системе ДБО через анонимные proxy-серверы, находящиеся в других странах. Такой поход являлся своеобразным организационным барьером, затрудняющим работу правоохранительных органов для проведения оперативно-розыскных мероприятий и поиска злоумышленника.
Однако эта особенность позволяла антифрод-системам просто и эффективно обнаруживать факт работы злоумышленника, а соответственно, предотвращать хищения средств.
Развитие мошенничества: воровство у юрлиц
Ограниченность функционала ДБО физических лиц не позволяла злоумышленникам воспользоваться всеми преимуществами дистанционного обслуживания, а именно, осуществлять платежи на большие суммы непосредственно на банковские карты. Поэтому, функционал специализированного программного обеспечения, с помощью которых похищались данные для аутентификации в ДБО, расширился новой возможностью – помимо логина и пароля, злоумышленники могли копировать файлы, содержащие ключи ЭЦП.
Как следствие этого, на рубеже 2007–2008 гг. начался взрывной рост мошенничества в ДБО юридических лиц.
Первые случаи хищения средств со счетов юридических лиц мало чем отличались от кражи в ДБО физических лиц – мошеннический платеж пополнял средства на мобильном телефоне, либо счета виртуальных кошельков электронных платежных систем (в основном "Яндекс.Деньги" и WebMoney). Первоначальные суммы, которые злоумышленники похищали со счетов юридических лиц, были незначительно больше аналогичных мошеннических платежей со счетов физических лиц.
В большинстве случаев злоумышленники, как и раньше, совершали мошеннический платеж с одного и того же компьютера, продолжая подключаться к ДБО через IP-адреса других стран, используя анонимные proxy-серверы.
Такие мошеннические платежи эффективно обнаруживались антифрод-системами: как правило, юридические лица редко осуществляют платеж в пользу электронных платежных систем либо пополняют счет на мобильном телефоне.
Кроме того, зафиксировав всплеск мошеннических платежей, большинство платежных систем, позволявших пополнить виртуальные кошельки банковским переводом, выставили собственные лимиты. Например, система "Яндекс.Деньги" в настоящий момент позволяет пополнять электронный кошелек платежным поручением на сумму не более 15 тыс. руб., что делает ее неудобной для вывода средств.
Автоматизация криминала
Прогресс развития вредоносного программного обеспечения, используемого злоумышленниками, предоставил возможность автоматизированной кражи секретной информации клиента, требуемой для входа и создания платежа в системе ДБО (т.е. логин, пароль, секретный ключ клиента, а также IP-адрес сервера ДБО, с которым работает клиент).
Вся собранная информация автоматически консолидировалась на центральном сервере, и злоумышленникам достаточно было последовательно заходить под собранными учетными записями клиентов и красть с их счетов средства.
Характерно, что такая автоматизация привела к некоторому "разделению труда": стали формироваться группы, специализирующиеся на получении данных для совершения преступления, и группы, специализирующиеся непосредственно на краже средств со счета клиента (используя данные, купленные на "черном рынке" у первой группы).
Одной из особенностей этого периода было то, что, несмотря на общий "почерк" мошеннических платежей у разных клиентов, в подавляющем числе случаев это была работа с разных "чистых" компьютеров. Можно предположить, что злоумышленники работали с виртуальных машин, каждый раз восстанавливая операционную систему из "чистого" образа (так, например, работает опция "Revert to snapshot when power off" в свойствах виртуальной машины VMWare). Скорее всего, это было сделано не с целью уничтожить какие-либо доказательства противоправной деятельности, а несовместимостью различных версий надстроек для браузеров, которые должны быть установлены для работы в системе ДБО.
Новый функционал вредоносного программного обеспечения позволил не только копировать содержимое секретных ключей, но и информацию о расположении соответствующих файлов на диске. Если ранее злоумышленнику приходилось сохранять файлы с ключами во временную папку на диске и перенастраивать клиентскую часть ДБО на новое местоположение файлов (что было одним из эффективных "сигнализаторов" для антифрод-системы о подозрительных действиях клиента), то теперь эти файлы стали автоматически помещаться в то же самое место на диске, которое использовалось на компьютере клиента. Даже если клиент хранил ключевые файлы на дискете (в операционной системе этот диск был виден как B:), то на компьютере злоумышленника эмулировался диск B:, на котором создавались аналогичные директории, и интерфейс ДБО не замечал подмены компьютера клиента.
Мошенничество в ДБО видоизменяется
20.12.12, Чт, 09:30, Мск
Практически трехкратный прирост ущерба от мошенничества в ДБО в 2009 г. вынудил банковские организации создавать собственные внутренние подразделения по контролю транзакций. Тогда же стали разрабатываться первые автоматизированные системы мониторинга транзакций. Тема обсуждается в рамках цикла материалов, начатого со статьи «Мошенничество в ДБО: эволюция глазами экспертов».
Характерной особенностью мошеннических платежей 2009–2010 гг. была ярко выраженная поведенческая составляющая, которая также позволяла эффективно обнаруживать мошеннические платежи. Чтобы выиграть время и не дать возможности клиенту своевременно зафиксировать факт кражисо своего счета, после отправки мошеннического платежа в банк злоумышленники меняли пароль клиента. За время, которое клиент решал проблему с доступом в ДБО, мошеннический платеж исполнялся на стороне банка, а украденные средства снимались злоумышленником в банкомате.
В редких случаях, особенно когда была украдена значительная сумма, мошенники устраивали DDOS-атаку на сервера ДБО банка. С одной стороны, жертва больше не могла зайти на сервер ДБО и увидеть мошеннический платеж, чтобы предпринять какие-либо действия. С другой стороны, это действие вызывало фактическую недоступность телефонов технической поддержки (все клиенты в этот момент звонили в банк, чтобы узнать, когда заработает ДБО), и жертва, даже если она успела обнаружить мошеннический платеж, не могла дозвониться в банк и сообщить о случившемся.
Впрочем, волна DDOS-атак на российские банки продолжалась недолго. Очень быстро банки поняли, что если на сервер ДБО началась DDOS-атака, то нужно перепроверить все полученные платежи от клиентов и оперативно получить подтверждение у клиента по телефону.
Тактика меняется
Поэтому злоумышленники вскоре сменили тактику – после отправки мошеннического платежа, на компьютер клиента посылалась команда уничтожения содержимого жесткого диска. Так как в большинстве случаев клиенты работают с ДБО банка только с определенных компьютеров (особенно это характерно для небольших клиентов – юридических лиц), это позволяло злоумышленнику выиграть один–два дня и успеть обналичить украденные средства.
Большинство случаев массового мошенничества раннего периода совершалось с IP-адресов, принадлежащих либо интернет-провайдерам в другой стране, либо с IP-адресов сотовых операторов московского региона. Как уже было сказано ранее, это делалось с целью усложнить расследование преступления правоохранительными органами.
Довольно быстро большинство российских банков приспособилось ограничивать допустимый диапазон IP-адресов, с которых можно было работать в системе ДБО. Первоначально это делалось средствами межсетевого экрана на стороне банка (создавалось соответствующее правило, разрешающее подключится к серверу ДБО только с IP-адресов местных провайдеров), что могло вызывать определенное неудобство для некоторых "мобильных" клиентов, путешествующих как по РФ, так и за ее пределами. Однако, разработчики систем ДБО довольно быстро отреагировали на ситуацию с мошенничеством, выпустив новые версии, позволяющие банку более гибко ограничивать клиента, устанавливая ограничения по допустимым IP-адресам (а в некоторых случаях и по допустимым MAC-адресам) на уровне конкретного клиента.
Столкнувшись с ограничениями по допустимым IP-адресам, злоумышленники также сменили тактику – функционалвредоносного банковского программного обеспечения дополнился функцией прокси-сервера, позволяющего подключаться к серверу ДБО с IP-адреса зараженного компьютера, минуя какие-либо ограничения. Фильтрацию по MAC-адресу можно легко обойти, выставив вручную на сетевом интерфейсе то же значение MAC-адреса, которое указано в свойствах сетевого интерфейса компьютера клиента-жертвы.
Любопытно, что даже если компьютер клиента был выключен, злоумышленники могли подключиться к серверу ДБО с настроенной защитой. Каким образом? Так как большинство клиентов использует динамические IP-адреса в сети интернет, банки разрешали работу не с определенного IP-адреса, а со всего диапазона IP-адресов провайдера, которым пользуется клиент. Злоумышленникам ничего не оставалось, как искать другие зараженные компьютеры, работающие через того же провайдера, что и компьютер потенциальной жертвы. Как оказалось, это не составило большого труда – большая статистика по таким случаям показывает, что заражение специализированным трояном носило массовый характер.
Нюанс "толстого" клиента
В отличие от online-интерфейса клиента с ДБО (более известного как "интернет-клиент", или "тонкий" клиент), программное обеспечение типа "клиент-банк" позволяет создавать платежные поручения без подключения к серверу банка (такое программное обеспечение еще носит название "толстый" клиент ДБО). Исходя из специфики этого программного обеспечения, полностью создать идентичную конфигурацию компьютера потенциальной жертвы затруднительно – размер файлов, которые необходимо скопировать, довольно большой, и для копирования требуется значительное время.
В тех случаях, когда злоумышленникам все же удавалось скопировать "толстого" клиента, антифрод-системы могли с большой вероятностью обнаружить мошеннический платеж по нарушению сквозной нумерации платежных поручений. В "тонком" клиенте порядковый номер платежного поручения хранится и формируется на стороне сервера ДБО, и любое созданное злоумышленником платежное поручение будет всегда иметь корректный номер. В "толстом" клиенте этот номер хранится в конфигурационных файлах на компьютере клиента. Если злоумышленнику удалось скопировать файлы "толстого" клиента, то в промежуток времени между копированием конфигурационных файлов и созданием мошеннического платежа, клиент мог создать несколько своих документов, тем самым изменив следующий номер платежного поручения, которое ожидает банк.
Остановило ли это злоумышленников? Нет. Наступила… Эра мошеннических платежей, созданных непосредственно на компьютере клиента.
CNews, Евгений Царев, Артем Хафизов
|
| |
| |
