Защита систем банк-клиент

Статьи

Подписаться на RSS

Электронное мошенничество – 2015. Взгляд со стороны банка

Какую картину представил нам 2015 год сквозь призму электронного мошенничества?

Во-первых, наблюдается заметное снижение активности мошенников в отношении систем интернет-банкинга и мобильного банка для физических лиц. Если брать по количеству кейсов, то всего 28 процентов из них нацелены на физлиц. Причем эти 28 процентов, если смотреть на объем транзакций, составляют меньше одной сотой процента всех мошеннических операций в 2015 году. Вся масса — 99,99 процентов объема мошеннических операций приходится на платежи юридических лиц и ИП. Это второй тренд.
 
Третий — «таргетирование» — избирательность при подготовке и проведении атаки. Мошенники стали более внимательными и прагматичными. Теперь они тщательно выбирают потенциальную жертву, долго готовятся к нападению. И далеко не все пользователи интернет-банка им интересны.
 
ТРЕВОЖНЫЕ СИМПТОМЫ
 
Еще одно интересное явление — уверенный рост количества зараженных мобильных устройств. При этом не наблюдается никакого явного увеличения атак на мобильный банкинг. Можно предположить, что рост числа «зловредов», которые сейчас пишутся под Android, обеспечивает функциональную площадку для будущего мошенничества.
 
Ну, и конечно, социальная инженерия по-прежнему остается одним из главных инструментов для контакта злоумышленника с жертвой. Цель — последующая компрометация конечного устройства, либо непосредственное выполнение мошеннических транзакций. На илл. 1 приведен скриншот. Это рассылка, которую получили клиенты нашего и еще двух банков. Схема очень простая: человека по телефону заставляют назвать карточные данные, включая CVC/CVV2. После этого сразу проводят транзакцию, клиент называет 3DS код, деньги уходят. Незамысловато, но работает.


 

МОШЕННИК МИМИКРИРУЕТ ПОД КЛИЕНТА
 
Если посмотреть, как распределяются мошеннические платежи по объему, можно увидеть, что наибольшая часть мошеннических транзакций находится в диапазоне от 200 до 500 тысяч рублей.
 
Что делают мошенники? Они наблюдают за клиентом и, в конце концов, подбирают тактику, которая наиболее похожа на «нормальное» поведение клиента. Типичный пример — «зарплатная ведомость» в последний рабочий день месяца. При этом в зарплатной ведомости не все являются сотрудниками компании. Понятно, что в этот день все торопятся, у компании, направляющей ведомость, есть обязательства перед своими сотрудниками, у банка есть обязательство перед компанией как можно быстрее провести платеж… В общем, это отличный момент для проведения мошеннического платежа.



 

ДБО. ОСНОВНЫЕ ВЕКТОРЫ АТАК
 
Несмотря на то, что сейчас действительно много делается для продвижения мобильного банкинга, c точки зрения вектора атак наиболее востребованным каналом по-прежнему остается интернет-банкинг…
 
Что происходит в мобильном банкинге? Такие методы как фишинг, распространение вредоносного ПО через рекламу в мобильных приложениях, возможность установки приложений для Android из любого источника, а не из официального каталога Google Play, — все это используется злоумышленниками для инфицирования и компрометации клиентского мобильного устройства.
 
О социальной инженерии я уже сказал. Добавлю, что довольно редко, но встречаются так называемые не технические методы, которые не связаны с электронным мошенничеством напрямую. Поддельная доверенность с последующим получением SIM карты, привязанной к мобильному номеру телефона жертвы, поддельный паспорт и т. д. и т. п.
 
О ПРАКТИКЕ ПРОТИВОДЕЙСТВИЯ
 
О практике. Какие меры действительно помогают обеспечивать безопасность ДБО?
 
Во-первых, мониторинг транзакций, антифрод. Использование максимально доступного количества параметров платежа — как финансовых, так и технических (user agent, fingerprinting) с регулярным пересмотром и корректировкой действующей модели обнаружения.
 
На форуме говорилось о кроссканальности. Я полностью поддерживаю эту идею. Более того, любой антифрод, который работает даже в одном канале, необходимо необходимо обогащать внешними данными, которых нет в «наблюдаемом» канале. Если вы работаете только с данными, которые доступны в интернет-банкинге или мобильном банке, их явно недостаточно для построения эффективной модели противодействия мошенничеству.
 
Во-вторых, двухфакторная и out-ofband авторизация платежей. Это эффективный механизм, он помогает, но, к сожалению, тоже не всегда. В-третьих, White box penetration test и анализ защищенности кода. Эти методы должны являться неотъемлемой частью процесса разработки, так как тест подразумевает имитацию действий злоумышленников.
 
В-четвертых, анализ рисков функциональности ДБО на стадии разработки требований, бизнес идеи. В-пятых, наличие гибкого механизма лимитов на проведение операций, в зависимости от категории клиента и типа операции.
 
НЕОБХОДИМЫ ОРГАНИЗАЦИОННЫЕ МЕРЫ
 
Клиент должен быть информирован о правилах и рисках проведения платежей с использованием каналов ДБО, однако он не должен быть перегружен специфическими знаниями из области ИБ. То есть мы не можем заставить клиента работать исключительно из доверенной среды, поэтому среда клиента де-факто считается не доверенной, и с этим мы сегодня живем.
 
Что помогает? Во-первых, постоянное повышение осведомленности сотрудников банка, непосредственно взаимодействующих с клиентами. А проще обучение и тренинги для персонала.
 
Во-вторых, проведение практических тренингов по безопасной разработке для специалистов, которые пишут систему ДБО.
 
В-третьих, повышение осведомленности клиентов, создание и продвижение материалов, фокусирующих клиентов на правилах безопасного использования систем мобильного и интернет-банкинга. Одна из основных целей — на реальных примерах и в понятной форме донести до клиента — по каким индикаторам можно определить присутствие угрозы и как в случае опасности следует поступать.


Источник

Расследование инцидентов: хищение в системе ДБО

«Лаборатория Касперского» все чаще сталкивается с задачей детального расследования произошедших в компаниях инцидентов информационной безопасности, связанных с вредоносным ПО.

В этой статье мы расскажем о типичной атаке злоумышленников, нацеленной на хищение денежных средств компании в системе ДБО.


Инцидент


Не так давно в «Лабораторию Касперского» обратилась некая организация с просьбой расследовать инцидент в системе дистанционного банковского обслуживания. В бухгалтерию этой организации позвонил сотрудник банка и попросил подтвердить платеж на сумму около 3 млн руб. В самой организации об этом платеже никто не знал, бухгалтер уверял, что не проводил его, а во время проведения транзакции отсутствовал на рабочем месте – он обедал.

Бухгалтер использовал на своем компьютере банковское ПО для формирования платежных поручений и отправки их в банк, и в журналах этого ПО было зарегистрировано два подозрительных платежа на один и тот же адрес. При этом первый платеж на сумму около 300 тыс. руб. уже был успешно проведен, поскольку сумма платежа была обычной с точки зрения сотрудников банка. А вот второй платеж на сумму около 3 млн руб. вызвал подозрения у банковских работников.

Так как бухгалтер не проводил платежей, в организации заподозрили атаку с использованием вредоносного ПО. Но каким образом возможна такая атака, ведь использовалось специальное банковское ПО, требующее пароль и специальный файл для доступа к системе ДБО, а IP-адрес отправителя платежного поручения проверялся на стороне банка?


Расследование


Основная цель проведения расследования вирусного инцидента заключается в точном определении последствий атаки, очерчивании круга скомпрометированных компьютеров и обнаружении способов проникновения вредоносной программы на компьютер жертвы. Получив эту информацию, организация может минимизировать потери от инцидента, а также выявить слабые места в защите и принять меры по предотвращению подобных инцидентов в будущем.

В ходе расследования мы можем также обнаружить экземпляры вредоносных программ, которые не были задетектированы ранее и добавить их в антивирусные базы, обезопасив потенциальных жертв этих зловредов.

Для проведения расследования этого инцидента образ жесткого диска с компьютера бухгалтера был передан на анализ и проведение расследования в группу Оперативного решения компьютерных инцидентов (ОРКИ).


Удаленный доступ к компьютеру


При первоначальном анализе жесткого диска с компьютера бухгалтера мы нашли модифицированную версию легальной программы «Remote Manipulator System«, которая позволяет удалено управлять компьютером. Похожие программы часто используются самими бухгалтерами или системными администраторами. Однако найденная нами программа находилась в подозрительном каталоге, имела подозрительное название («C:\windows\dotcom\wmiterm.exe» – очень «системный» путь, даже продвинутый пользователь вряд ли заподозрит неладное) и была изменена таким образом, чтобы скрыть ее функционирование:


  • Скрыта иконка на панели задач «Windows».
  • Изменен ключ реестра, в котором программа хранит свои настройки (с [HKLM\SYSTEM\Remote Manipulator System\v4] на [HKLM\SYSTEM\System\System\Remote\ Windows], опять же очень похоже на «системный» ключ реестра).
  • Отключено отображение оконного интерфейса программы.


Такие изменения характерны для вредоносных программ, поэтому мы добавили в антивирусные базы детектирование этого ПО с вердиктом Backdoor.Win32.RMS.

В ходе анализа деятельности Backdoor.Win32.RMS мы выяснили, что с помощью этой вредоносной программы злоумышленники загрузили на компьютер еще один зловред – Backdoor.Win32.Agent (детектирование этой вредоносной программы было добавлено сразу после того, как мы ее обнаружили). Этот бэкдор предоставлял удаленный VNC (Virtual Network Computing) доступ к компьютеру жертвы. Интересно, что в коде этой вредоносной программы очень много общего с модулем «hVNC» троянца Carberp (последствия открытого доступа к исходным кодам этого троянца).

Каким же образом вредоносная программа Backdoor.Win32.RMS попала на компьютер бухгалтера?


Заражение компьютера


Из базы данных Microsoft  Outlook (файла «outlook.pst» на жестком диске) мы извлекли письмо, содержащее вложение с названием «запрос ИФНС № АС-4-31339.doc». Этот офисный документ детектировался нашим антивирусом как Exploit.MSWord.CVE-2012-0158.

Злоумышленники использовали приемы социальной инженерии: в тексте письма, отправленного от имени Федеральной налоговой службы, призывалось к срочной обработке сообщения и приводились контактные данные реальных сотрудников налоговой службы.


GERT_1_ru


Бухгалтер наверняка должен был открыть вложение, которое используя уязвимость в программе «Microsoft Office Word», загружало с удаленного сервера самораспаковывающийся архив и запускало его распаковку. Архив содержал 2 файла: «SYST.EXE» (переименованная программа-архиватор «7zip») и «SYST».

В ходе самораспаковки исходный архив запускал программу-архиватор «SYST.EXE» с параметрами, указывающими на распаковку защищенного паролем архива «SYST» – с использованием встроенного пароля. Такой прием с использованием защищенного паролем архива служит для обхода статической распаковки файла антивирусным ПО, чтобы уменьшить вероятность обнаружения вредоносных файлов антивирусом.

В результате распаковки «SYST» создавался файл Backdoor.Win32.RMS, обнаруженный нами ранее, и скрипт «INST.CMD», осуществляющий установку бэкдора в систему (именно скрипт копировал файлы вредоносного ПО в каталог «C:\windows\dotcom»).

Уже после обнаружения бэкдоров у нас появились соображения о том, как можно было осуществить хищение денежных средств. Если у злоумышленников был удаленный доступ к компьютеру, то они могли составить собственное платежное поручение – и тогда ключевой файл и IP-адрес отправителя были бы легитимными! Но в этом случае остается проблема с паролем на доступ к банковскому ПО. И мы поняли, что следует искать программу-кейлоггер.


Кейлоггер


Наше внимание привлек файл «Svchost.exe», расположенный в корне системного диска. Файл оказался кейлоггером (добавлено детектирование с вердиктом Trojan-Spy.Win32.Delf) с дополнительным функционалом по управлению настройками Backdoor.Win32.RMS. Такой необычный функционал, по-видимому, был необходим злоумышленникам, чтобы контролировать модифицированную версию «Remote Manipulator System», ведь они скрыли весь пользовательский интерфейс этой программы и не могли использовать его для управления настройками.

Мы также обнаружили, что загружался этот кейлоггер с помощью бэкдора Backdoor.Win32.RMS.

Кейлоггер не только регулярно отправлял на сервер журнал с украденной информацией, но и хранил актуальную копию журнала на жестком диске зараженного компьютера. Среди украденной кейлоггером информации мы обнаружили и пароль от банковского ПО.


Схема атаки


В результате расследования мы смогли составить следующую схему действий злоумышленников:


  1. В ходе целевой атаки с использованием социальной инженерии и уязвимости в программе Microsoft Word компьютер бухгалтера был заражен Backdoor.Win32.RMS.
  2. С помощью этого бэкдора злоумышленники загрузили на зараженную машину еще две вредоносные программы: кейлоггер (Trojan-Spy.Win32.Delf) и бэкдор (Backdoor.Win32.Agent), предоставляющий удаленный VNC доступ к компьютеру жертвы.
  3. Кейлоггер перехватил пароль для доступа к системе ДБО.
  4. Пока бухгалтера не было на рабочем месте, злоумышленники с помощью Backdoor.Win32.Agent, используя VNC доступ к компьютеру, запустили от имени бухгалтера банковское ПО.
  5. Использовав перехваченный кейлоггером пароль, киберпреступники сформировали и отправили в банк платежное поручение на сумму около 300 тыс. руб.
  6. Чуть позже было сформировано и отправлено в банк еще одно платежное поручение – приблизительно на 3 млн. руб.


Когда расследование близилось к завершению, мы обнаружили еще один любопытный факт: IP-адреса серверов управления всех вредоносных программ, использовавшихся в атаке, принадлежали одной подсети.


GERT_2_ru


Схема атаки злоумышленников


В результате проведения расследования выяснилось, что злоумышленники действовали весьма оперативно и привели в исполнение свои преступные планы всего за четыре дня. Причем первые три дня ушли на подготовку, а все активные действия, связанные собственно с кражей денег, были осуществлены всего за несколько часов четвертого дня.

День 1. Злоумышленники отправили письмо бухгалтеру организации. Бухгалтер прочел письмо, открыл вложение, и на его компьютер была загружена программа Backdoor.Win32.RMS. В последующие дни с помощью этой программы злоумышленники наблюдали за действиями бухгалтера.

День 4. Злоумышленники с помощью программы Backdoor.Win32.RMS загрузили кейлоггер Trojan-Spy.Win32.Delf и перехватили пароль от банковского ПО. Чуть позже загрузили Backdoor.Win32.Agent и с его помощью подключились к компьютеру бухгалтера. Затем киберпреступники отправили в банк платежные поручения.


Оповещение жертв злоумышленников


Так как злоумышленники использовали несколько IP-адресов из одной подсети, мы решили поподробнее исследовать управляющие серверы. Как оказалось, злоумышленники допустили ошибку при настройке сервера, в результате любой пользователь может просматривать HTTP-запросы к серверам злоумышленников. Таким образом мы смогли узнать IP-адреса, с которых посылались запросы по протоколу кейлоггера. Как оказалось, кейлоггером было заражено несколько компьютеров с разными IP-адресами.

У кейлоггера была одна особенность – при запуске на зараженном компьютере он загружал с управляющего сервера последнюю версию своего журнала. Таким образом, содержимое журнала кейлоггера мог получить любой пользователь, который откроет в браузере страницу вида «http://SERVER_NAME/JOURNAL_NAME». Мы решили подробней разобрать HTTP-запросы к серверу злоумышленников и увидели в них названия журналов, которые кейлоггеры присылали на управляющий сервер. Это позволило нам получить содержимое журналов всех жертв кейлоггера. Зачастую журналы содержали название организации, которой принадлежал зараженный компьютер, и контактные данные жертв (а IP-адрес жертвы можно было узнать с помощью уязвимости в управляющем сервере). Эта информация позволила связаться с другими жертвами (большинство из них были бухгалтерами средних и мелких организаций) и предупредить их о заражении, за что они были весьма нам благодарны.


Особенности банковских атак


Как уже было сказано в начале статьи, атаку, о которой мы рассказали, можно назвать типичной атакой с целью хищения денежных средств.


  1. Злоумышленники активно используют в своей деятельности приемы социальной инженерии, принуждая пользователей открыть нужный им файл.

    Персонал, имеющий отношение к коммерчески важной информации и к финансам компании, нуждается в обучении основам информационной безопасности. В компании должны действовать политики безопасности, сводящие к минимуму риск заражения корпоративной сети в результате элементарной беспечности сотрудников.

  2. В целевых атаках на важные объекты могут использоваться новые эксплойты к еще неопубликованным уязвимостям. В таких случаях обычные средства обнаружения атак – например, IDS – оказываются недостаточно эффективными.

    Однако 0-day эксплойты слишком дороги для атак на обычные компании, поэтому, как правило, в таких атаках применяются эксплойты к уже известным уязвимостям. В таких ситуациях защитой может служить своевременное обновление ПО (в особенности «MS Office» и «Java») и качественное защитное решение с передовыми технологиями защиты от эксплойтов.

  3. Еще одна особенность атаки – использование легального ПО. Эта тенденция активно развивается, и мы видим, что во многих атаках злоумышленники используют легитимные приложения для получения удаленного доступа, загрузки и запуска вредоносных файлов и т.д.

    Такие легальные программы не детектируются антивирусами, и единственная задача злоумышленников при использовании этих приложений в своих целях – обеспечить скрытность их функционирования. В данной атаке эту задачу решили с помощью модификации исполняемого файла программы «Remote Manipulator System», что позволило нам добавить сигнатуру измененного файла в антивирусные базы.

    В случае использования неизмененного легального ПО единственным выходом будет обязательное оповещение системами защиты о запуске потенциально нежелательных программ. Пользователям, особенно работающим с финансовыми и другими важными документами, необходимо помнить, что никакая система безопасности не может обеспечить абсолютной защиты. Следует обращать внимание на системные уведомления и аномальное поведение компьютера и сообщать обо всех подозрительных событиях в системе в службу безопасности.


В идеале на компьютерах, используемых для осуществления платежей в системе ДБО, должен использоваться режим запрета по умолчанию — с ограниченным доступом в интернет и запретом на запуск постороннего ПО, не входящего в белый список. То же касается и компьютеров, на которых корпоративные пользователи работают с коммерчески значимой информацией.


Заключение


В настоящее время основная сила, движущая киберпреступниками – жажда наживы. Доступ к системам ДБО – наиболее прямой и очевидный доступ к деньгам компаний и, как следствие, возможность их кражи. Неудивительно, что системы ДБО становятся все более популярной мишенью атак злоумышленников.

Системы ДБО обеспечены встроенной защитой, с работой которой хорошо знакомы пользователи этих систем… и злоумышленники. Использование паролей, ключевых файлов, аппаратных ключей и ограничение доступа по IP вызывает у пользователей ложное чувство абсолютной защищенности.

Однако все эти меры по отдельности или в совокупности не увеличивают безопасность, если компьютер, на котором они выполняются, скомпрометирован. Пароль может быть перехвачен, ключевой файл можно скопировать, а если злоумышленники создают скрытый рабочий стол, то они могут использовать оригинальный IP-адрес и подключенный бухгалтером токен.

Между тем, при расследовании инцидентов мы часто сталкиваемся со следующей ситуацией: на компьютере запустилось вредоносное ПО, по прошествии некоторого времени антивирус обновил свои базы и удалил его. После этого на компьютере, на котором произошел инцидент, продолжают работать и проводить бухгалтерские операции, будучи уверенными, что угроза миновала.

Необходимо понимать, что если вредоносная программа уже исполнилась, то следует считать такой компьютер скомпрометированным, так как зачастую первый файл является лишь загрузчиком. Основные вредоносные программы, которые загружаются первым файлом, постоянно обновляют себя, чтобы не допустить обнаружения антивирусами. Либо, как было отмечено выше, загружаются легальные программы, настроенные злоумышленниками на связь с их серверами. В такой ситуации программы, осуществляющие вредоносные действия, остаются необнаруженными.

Потери компании от такой беспечности могут быть весьма ощутимыми. Если на компьютере c критически важной информацией обнаружена вредоносная программа, то надо немедленно принимать меры по реагированию на инцидент.

Однако, как показывает наш опыт, организации зачастую бьют тревогу только тогда, когда проявляются последствия атаки киберзлоумышленников – финансовые потери или недоступность критических сервисов. При этом меры, которые принимают корпорации в рамках реагирования на такие инциденты, в большинстве случаев оказываются не эффективными, и часто приводят к усложнению расследования.

Поскольку вариантов атак может быть множество, не существует универсальных и всегда эффективных методик реагирования на инциденты. К примеру, в некоторых случаях немедленное выключение компьютера позволит сохранить данные, которые были бы безвозвратно удалены вредоносной программой по прошествии определенного времени. В других ситуациях отключение питания приведет к потере необходимых для расследования данных в оперативной памяти компьютера. Принять правильное решение может только специалист по расследованию инцидентов.

В любом случае при первом же подозрении на проникновение необходимо отключить от интернета и корпоративной сети компьютеры, которые, как подозревается, были скомпрометированы, и обратиться к специалистам по расследованию вирусных инцидентов.

Эффективно устранить последствия инцидента можно только после его детального расследования.


Источник