Мошенничество в ДБО: презентация

помощь  в расследовании и анализе инцидентов

аутсорсинг процессов ИБ

выполнение работ по построению защищенной инфраструктуры ЛВС

разработка схем подключения эквайрингового оборудования через открытые каналы связи

- мошенникам с банковских счетов в 2011 году

450 – 500 млн. рублей ежемесячный ущерб от атак на ДБО.

Илья Сачков, генеральный директор Group-IB:

Источник: www.banki.ru, новость от 21.02.2012

Борис Шаров, генеральный директор «Доктор Веб»:

Источник: www.izvestia.ru, новость от 16.01.2012

Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк»

Средняя сумма покушения – 400 т.р.
Средний «улов» специальных банковских бот-сетей – 20-40 тыс. аккаунтов
Средняя стоимость «атаки» – 30 т.р.

Из выступления на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012

на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012
Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк»

результат деятельности специализированных банковских троянов:

 Win32/Shiz
 Win32/Hodprot
 Win32/Sheldor
 Win32/RDPdoor
 Win32/Carberp

угрозы:
Вредоносное ПО Carberp наиболее распространено в России и странах СНГ Направлено на пользователей платежных систем и клиентов банков.

компании ESET, на конференции ZeroNights

 либо:

до активного раздела, в случае, если есть достаточно места
в конце жесткого диска, в противном случае

Банковский троянец Carberp приобрел буткит-функционал:

различных государственных служб.

Надо просто погулять по интернету!

Результаты одного расследования, заражены оказались:

- сайты хостинг-провайдера Infobox - сайта ОАО «РЖД», Free-lance.ru, несколько сайтов ИД «Комсомольская правда»  - сайт группы «Интерфакс», сайт ИД «Свободная пресса», сайт ЗАО «Экспресс газета»  - сайт пермского лицея милиции - несколько сайтов главного управления МЧС России - несколько сайтов Роскомнадзора

По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

управления содержимым веб-сайтами. Их объединяет только то, что они были заражены одними и теми же людьми.

Из интересного:
в названии вредоносных доменов,присутствовали названия зараженных ресурсов. Злоумышленники специально регистрировали доменные имена, сходные с именами заражаемых ресурсов.
- для того чтобы сделать заражения более незаметными для администраторов, днем вредоносный код убирался, а вечером снова вставлялся.

По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

доклад Владимира Кропотова (ТБИнформ),
доклад
«Эволюция атаки Drive–By–Download до и после публикации уязвимостей глазами аналитика ИБ»

svpressa.ru - 276 тыс посетителей в день

eg.ru - 263 тыс. посетителей в день

kp.ru - 587 тыс. посетителей в день

rzd.ru - 180 тыс. посетителей в день

В этом же докладе перечисляются конечная цель, атакуемые банки: Сбербанк, Альфа-банк

и продолжает развиваться
(поток инвестиций налажен)

в группе риска любой пользователь интернета

количество инцидентов будет только расти

Текущая ситуация

пытающимся вернуть свои деньги.

официальное заявление
Составить письмо в банк-получатель с просьбой о блокировке/возврате платежа, при этом важно запросить блокировку ДБО и платежных карт
Оперативно связаться со службами банка –получателя, направить письмо клиента и письмо банка в банк-получатель, продублировав последнее сообщение по системе SWIFT
Если платеж еще не был зачислен на счет получателя, то тогда банк-получатель имеет право вернуть платеж, то есть в этом случае вероятность возврата средств достаточно высока.
Если платеж зачислен на счет получателя, остается два варианта действий:
Поиск получателя и истребование от него заявления об отказе от полученного платежа,
Обращение клиента в суд и возврат средств по решению суда

В случае обращения в суд клиенту необходимо обратиться в правоохранительные органы

И это не гарантирует возврат денег!

Практический опыт совершенствования систем ДБО. Янсон И.А.

а не их хищения. Это дает возможность следственным органам перекидывать дела между собой.
расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.
в 9-ой статье ФЗ-161 говорится о том, что по заявлению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент.

Алексей Лукацкий, эксперт в области информационной безопасности
http://lukatsky.blogspot.com/2012/02/3.html

Взаимодействие с гос. органами не всегда эффективно:

Банки сталкиваются с мошенничеством

клиент –
будем решать проблему на стороне клиента!

ДБО, три главные угрозы

Кража ключей электронной подписи
Выполнение операций без ведома пользователя (удаленное управление компьютером)
Подмена платежной информации

устройство
Подтверждение операции по доверенному каналу связи
Комбинированные решения

IV Межбанковская конференция «УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

среды

Программная «песочница»
Чистая виртуальная машина
Чистая операционная система

Доверенные устройства

Компьютер только для ДБО
на базе обычной рабочей станции или нетбука
на основе технологии «тонкий клиент»
Устройства для доверенного просмотра и подписи платежных документов

технологии противодействия мошенничеству

на стороне клиента не исключает проверку на стороне Банка

Платеж легче остановить в Банке источнике, нежели вернуть из Банка получателя

Эффективные технологии противодействия мошенничеству

мошеннических платежей

контроль свыше 50 параметров

выявление мошеннических платежей, созданных даже на ПК клиента

интеграция с ДБО BS-Client v.3 компании “BSS"

Эффективные технологии противодействия мошенничеству

текущей ситуации

своевременное реагирование со стороны компании разработчика и постоянное обновление логики системы


консалтинговые услуги по расследованию инцидентов.

Решение FRAUDWALL – современный «антивирус» для систем ДБО.

Эффективные технологии противодействия мошенничеству

обнаружение мошеннических платежей
защита сервера ДБО от атак из сети Интернет
получение аналитических и статистических отчетов по платежам и получателям

формирование собственного адаптивного профиля каждого клиента банка

многокритериальный контроль свыше 50 параметров, соответствующих работе клиента в сессии ДБО.

непрерывная корректировка профиля с учетом текущих особенностей ведения бизнеса клиентом банка.

Каждое платежное поручение, поступившее в банк от имени клиента, проверяется на соответствие профилю - если платеж не характерен для клиента, он будет считаться подозрительным.

Принципы обнаружения мошеннических платежей

С ростом числа клиентов банка, можно развернуть дополнительные сервера системы, распараллелив нагрузку между ними.

Эффективные технологии противодействия мошенничеству

системы
повышает скорость работы клиента в системе для филиалов, доступ в Интернет которых организован через единый канал

кластерное использование серверов системы (при необходимости)

Недостатки:
закупка отдельного сервера под систему

Эффективные технологии противодействия мошенничеству

подтверждение платежа клиентом

система находится на территории и под защитой Банка

система постоянно обновляется и модернизирует логику обнаружения (автоматизированный обмен односторонний, только в Банк)

в случае, обнаружения прохождения мошеннической операции, детальная техническая информация может быть передана в ручном режиме сотрудниками Банка в тех. поддержку компании, для дальнейшей модификации системы.

В итоге:

Эффективные технологии противодействия мошенничеству

на оценочный период до 3-4 месяцев. (Период обучения системы не менее одного месяца.)

Наша цель:

развитие специализированного сервиса для повышения безопасности клиентов банков в качестве экономически эффективного и практически значимого решения

Система FRAUDWALL создана экспертами в области информационной безопасности, имеющими практический опыт в борьбе с мошенничеством в системах ДБО.

Эффективные технологии противодействия мошенничеству