Не, на атаките към онлайн-банкирането

4 August 2011

Кажи не, на атаките към онлайн-банкирането: Предотвратяваме кражби в системата за дистанционно банкиране

// Antivirusni.BG // Идеята да напиша такава статия се зароди у мен достатъчно отдавна. Решаващ тласък за нейното написване послужи кражбата в размер на 400 млн рубли, с които специалистите от GroupIB се наложи да се сблъскат през декември 2010 година. Престъплението е било планирано и реализирано точно така, както и стотици други подобни инциденти, случващи се ежедневно по цяла Русия. Но още нито едно хакване на системи за банкиране (ДБО - дистанционно банково обслужване), на които сме били свидетели, не бе достигало такива огромни суми.

В тази статия искам да разкажа за схемите на кражби с използване на системата «Интернет-банк» или «Банк-Клиент», както и за начините за борба с тях. При това няма да разглеждаме случаи, когато зад организирането на кражбата има вътрешен сътрудник: това е тема, която заслужава отделен анализ. Мошеничества в системите за дистанционно банково обслужване започнахме да фиксираме през първата половина на 2008 година.

От тогава злоумишлениците усъвършенстваха схемите за кражби на банкови ключове и данни за авторизация, а също и методите за изпиране на парите, което им даде възможност да се канализират тези престъпления и да се сложат на промишлена масова основа. За ноември 2010 година фиксирахме 76 факта на мошеничество в системите ДБО, 46 от тях засягаха юридически лица. Благодарение на оперативната реакция на пострадалите клиенти и банки успяхме да спрем 35 инцидента още до момента на изтегляне на парите в кеш, което позволи връщането им на пострадалата страна.

Разбиране на методите на извършване на престъплението

При пресъздаването на обстоятелствата на инцидентите в хода на криминалните изследвания работните станции, на които бе работено с ДБО, на щателен анализ се подлагаха логовете от междумрежовите защитни стени и прокситата, а също и други източници на информация. Нашите експерти определяха причините за инцидента, методите и средствата, които са ползвали злоумишлениците, хронологията на техните действия. Най-често сценария на извършване на престъплението се състои от три основни етапа: получаване на информация за достъп в системата ДБО, извършване на мошеническа операция, изтегляне на парите в кеш.

Да разгледаме всеки един етап.

1. Получаване на информация за достъпа до системата ДБО.

Както вече споменах, в тази статия ние разглеждаме случаи, когато мошеника е външно лице по отношение на организацията или човека, тоест няма физически достъп до авторизационните данни за системата ДБО. В такива случаи кражбата на данни за авторизация (логин/парола и ключ за УЕП (универсален електронен подпис)) става с помощта на вредоносен софтуер. Най-често това са вариации на добре известния троянски кон Zeus, доработени с подходящата функционалност.

Като правило, заразяването става при посещаване на компрометиран уеб-сайт, на който злоумишлениците са внедрили различен род iframe- или Java-скриптове, експлоатиращи незакрити уязвимости в браузерите или техните модули (Adobe Flash, Adobe Reader, Java и други). В хода на експлоатацията на уязвимостите на работния компютър на ползващия се зарежда вредоносен софтуер, който детектира, с какви приложения работи ползващия. При откриване на следи от работа със системи ДБО или системи да електронни пари, на компютъра се докачват вредоносни модули, предназначени за кражба на авторизационни данни.

Съвременните троянци имат широк функционал и са способни да работят едновременно с няколко системи ДБО, осигурявайки възможност да отдалечен достъп на злоумишленика и скриване на следите от престъплението.

Веднага щом троянеца събере необходимата информация, той я предава на контрольора на ботнета, където тя се обработва от злоумишлениците. На ботнет-контрольора се предават следните данни: двойки логин/парола, ключове УЕП, информация за носителя на ключовете УЕП (токен, флашка, дискета).

2. Извършване на мошеническата операция.

При получаване на данни от троянеца, мошениците проверяват получените сведения и тяхната достатъчност за извършване на престъплението. Тук особено важна роля имат средствата за защита, прилагани от банката и нейния клиент. Контрол на IP-адреси, наличие на токени или еднократни пароли сменят подхода на престъпниците при бъдещото осъществяване на измамата. Ако се съхраняват ключове за УЕП на незащитен носител (хард диск на компютъра, флашка, дискета, регистър на операционната система) и на ДБО-сървъра на банката липсва контрол на IP-адресите на клиентите престъпника може да изпрати фалшиво платежно от всеки външен IP-адрес, това значително опростява задачата му.

Постепенния преход на банките към средства с дву факторна авторизация накара престъпниците да търсят нови методи за извършване на измами. И такова решение бе намерено. Сега най-разпространения способ за заобикаляне на използването на токени в качеството на хранилища за УЕП ключове служат средствата за дистанционно администриране, като RDP, VNC, Radmin, TeamViewer. Използването на средства за дистанционно администриране позволяват изпращане на платежни нареждания непосредствено от компютъра на счетоводителя, в който е включен токена. При това често се ползва службата за терминален сървър Windows, което дава възможност на престъпниците да работят паралелно с легитимния потребител. За организиране на тунели до компрометираните компютри се прилагат общодостъпни VPN-клиенти OpenVPN и Hamachi.

Също така активно се развива функционала на вредоносния софтуер. До нас достигат троянци, които са способни самостоятелно да работят със смарт-карти и токени, използвайки стандартни API Windows. Освен това, троянците извършват подмяна на легитимните платежни нареждания на фалшиви при изпращането им за подпис в токена, при това ползващия ДБО вижда, как неговото платежно нареждане е било успешно подписано и изпратено в банката.

Веднага щом мошеническата операция е направена, и платежното нареждане е изпратено, главната задача на престъпниците е да ограничат достъпа до легитимния потребител до системата ДБО. За тази цел могат да използват различни методи: смяна на паролата за системата ДБО, повреда на компютъра на клиента на банката, DDoS-атака към ДБО-сървъра на банката. Най-често форматират хард диска на ползващия или изтриват един от компонентите на операционната система (например, NT Loader). През това време, докато всички сили на клиента на банката са хвърлени към възстановяването на работоспособността на компютъра, порите излизат от неговата сметка и попадат в ръцете на престъпниците.

3. Изтегляне на парите в брой.

Този етап най-често са дава на аутсорсинг на специализирани групи от хора, имащи тесни връзки с организирани престъпни групировки. За изтегляне на парите могат да се използват сметки на кухи фирми или дебитни карти на физически лица. Схемата за кеширане започва да се разработва още по време на подготовката за кражба на парите, тъй като тя зависи от размера на паричните средства, които трябва да се изтеглят. В случай на неголеми суми (до 2 млн рубли (около 100000лв)) най-често се ползват дебитни карти на физически лица, при това предпочитани са банки, в които имат големи лимити за теглене в брой на банкоматите. В случай на големи суми се ползва верига от сметки на подставени фирми и физически лица: в хода на преводите сумата се разделя за да се облекчи тегленето в брой.

Противодействие на измамата

И така, дойде време да разберем, как може да се защитят собствените пари и парите на работодателя от незаконни посегателства от трети лица. Преди всичко си струва да се разбере, какви средства за защита има в самата система ДБО, и как те могат да се използват. Често клиентите на банките даже не знаят за възможностите за контрол на достъпа до системата ДБО по IP-адреси или за използването на токени за съхраняване на ключове УЕП. Друг проблем е нежеланието на клиента да плати за допълнителни средства за осигуряване на безопасност, тъй като се няма понятие от степента на риска от измама. При възможност за избор на банка си струва да се предпочете тази кредитна организация, която предлагат на своите клиенти безопасна услуга за работа със системата ДБО: средства за надеждно съхранение на ключове, еднократни пароли, система за противодействие срещу мошеничество, вградено в ДБО.

Във всеки случай трябва да се разбира, че наличието на средства за защита на страната на банката не гарантира абсолютна безопасност. Нашия опит показва, че в 80% от случаите причина за инцидента е неизпълнение на изискванията за безопасност на страната на клиента на банката.

При организирането на работното място, на което ще работят със системата «Банк-Клиент» или «Интернет-банк», трябва да се предвидят възможните пътища за компрометиране на данните за авторизация и да се осигури тяхната надеждна защита. Идеален вариант е отделена работна станция, предназначена само за работа с банката. На нея трябва да се ограничат мрежовите взаимодействия до списък от IP-адреси и домейни на доверени хостове: сървър за ДБО на банката, корпоративен сървър 1С, сайт на Централната банка, сървър на данъчната служба. Тази машина трябва да има обновен антивирус и инсталирани патчове за безопасност на софтуера. Ако няма възможност да се отдели за тази цел физическа машина, то може да се използва виртуална.

Не забравяйте за организационните мерки, които в повечето случаи са значително по-ефективни от техническите мерки. Трябва периодично да се сменят паролите във всички системи, да се дават на ползващия само необходимите за работа права, да се отделя внимание на съхраняването на ключовете УЕП, да има отработени процедури за реагиране на инциденти. Наличието на добре изгладени схеми за своевременна реакция на произшествия дава възможност да се намалят щетите в случай на мошеничество и да се предотврати евентуална кражба. Своевременното откриване на факта на престъплението и оперативното реагиране в рамките на 4 часа от момента на изпращане на платежното нареждане гарантират връщане на парите по сметка в 80% от случаите.

Най-ярки признаци за подготвяна кражба са:

  • нестабилно функциониране на компютъра, на който работят със системата за банкиране (бавна работа, случайни рестартирания, други проблеми);
  • повреда на компютъра, на който се работи с ДБО;
  • проблеми с достъпа до системата за банкиране;
  • невъзможност за авторизация в системата ДБО;
  • DDoS-атака към вашата ИТ-инфраструктура;
  • несъответствие на поредните номера на платежните нареждания;
  • опити за авторизация в ДБО от други IP-адреси или в неработно време.

В случай на откриване на измама трябва максимално бързо да се съобщи за станалото в банката с цел спиране на плащането и блокиране на достъпа до системата ДБО с компрометирани ключове и парола. Така също трябва веднага да се изключи работния компютър, от който вероятно са били откраднати ключове и данни за авторизация в системата ДБО, трябва да се осигури неизменност в състоянието му до пристигане на правоохранителните органи. Ако в компанията има защитна стена или прокси-сървър, на който се водят логове, то трябва те да се съхранят на постоянен носител на информация. В случай на самостоятелно разследване или привличане за тези цели на консултанти да не се допуска работа с оригиналните носители на информация, тъй като това може да повреди цялостта на доказателствата, съхранявани на тях. Оригиналните носители трябва да се запечатат и съхранят в сейф, а също така да се оформят тези действия с протокол и да се подпишат от свидетели и изпълнител.

Задължително напишете заявление за станалото в полицията. По възможност допълнете заявлението с резултатите от самостоятелното разследване на инцидента. Тази информация помага по-бързо да се вземе решение за започване на наказателно дело. Даже ако измамата не е била завършена, и вие сте успели да я спрете, инцидента остава криминално престъпление, което попада под удара на закона, от самото създаване и разпространяването на вредоносния софтуер до опита за кражба на пари в големи размери.

Дежурния в полицията е длъжен да приеме и регистрира вашето заявление.

Заключение

Осъзнаването на реалната заплаха е сериозен подтик към действия. Прилагането на прости, но ефективни мерки за снижаване на риска от онлайн кражба помага да се защитят личните спестявания и паричните средства на сметката на работодателя. Дългогодишната ми работа, като специалист по информационна безопасност ми позволи да създам защитена среда за работа със системи за банкиране. Отчитайки, че средния размер на кражбите е около 2 млн. рубли, то тези минимални разходи са отлична инвестиция.

Алгоритъм за действие при настъпване на инцидент в системи за онлайн банкиране

  1. Ограничете достъпа до обектите, задействани в инцидента.
  2. Напишете служебна бележка от името на сътрудника на пострадалата компания до генералния директор за факта на възникване на инцидента.
  3. Привлечете компетентни специалисти за консултации.
  4. Осигурете съхраняването на доказателствата:
    • изключете от електрическата мрежа;
    • свалете енергозависимата информация от работещата система;
    • съберете информация за протичащия в реално време инцидент;
  5. В присъствие на трета независима страна направете изземане запечатване на носителите на информация с доказателствената база
    • Документирайте изземането с документ.
    • Съставете подробен опис на обектите с информация и техните източници.
    • Документирайте процеса на видеокамера.
    • Съхранете запечатаните обекти заедно с акта в надеждно място до предаването им за изследване или на правоохранителните органи.
  6. При провеждане на изследването осигурете неизменност на доказателствата. Работете с копия.
  7. При обръщане към правоохранителните органи представете подробно описание на инцидента, описание на събраните доказателства и резултати от техния анализ.

Функционал на вредоносния софтуер Win32/Spy.Shiz.NAL

  • Детектира и обхожда всички общоизвестни антивируси и защитни стени;
  • включва и настройва Terminal Services (RDP);
  • зарежда и инсталира в скрит режим OpenSSL;
  • създава акаунти в Windows за свои потребители;
  • получават достъп до инсталираните браузери;
  • краде потребителските данни;
  • работи с Crypto API.

Целеви приложения:

  • ДБО «BS-Client»;
  • ДБО «iBank»;
  • СКЗИ «Бикрипт-КСБ-С»/ДБО «Faktura»;
  • ДБО «Инист»;
  • ЭПС WebMoney;
  • ДБО HandyBank;
  • ДБО «РФК»;
  • СКЗИ «Агава»/ДБО «InterBank»;
  • ДБО «Inter-PRO»;
  • ДБО РайффайзенБанк;
  • ДБО Альфабанк;
  • покерни клиенти.

Източник: xakep.ru
Автор: Александр Писемский Group-IB

Сканирай файл онлайн с Metascan!

Премахни антивирус с AppRemover!



Въведи своя e-mail и получавай

свежите намаления и новини!