Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского обслуживания"

Мошенничество в системах ДБО:
взгляд человека по середине
Эффективные технологии
противодействия мошенничеству
Конференция: Код информационной безопасности
Екатеринбург 2013

Компания Фродекс
 мы специалисты с многолетним опытом
работы в рядах служб ИБ финансовых
организаций
 являемся разработчиками собственной
антифрод-системы FRAUDWALL
 проводим глубокий анализ инцидентов
 отслеживанием тренды киберпреступности

Масштабы потерь
По данным Group-IB http://www.group-ib.ru

По данным аналитической лаборатории компании ESET
95% инцидентов - результат
деятельности специализированных
банковских троянов:
• Win32/Shiz
• Win32/Hodprot
• Win32/Sheldor
• Win32/RDPdoor
• Win32/Carberp
Основные причины

Из доклада Алексея Лукацкого на Cisco Expo 2011 «Бизнес модель современной киберпреступности»

Доступность
Из доклада Максима Гончарова, «Подпольный рынок 101: статистика цен и схемы
ценообразования» на PHDays2013

Комплектации (каждая последующая включает в себя предыдущие)
• Минимальная
• Расширенная
• Полная
• Буткит (MBR-загрузчик бота (win xp/7))
Carberp - яркий пример Fraud as a Service
Возможности
 Шифрование трафика
 Модуль Хантер
 Универсальный кейлоггер
 Автообновление крипта и доменов
 Поиск слов в документах
 Запись видео
 RDP и VNC
 Гейты
 Буткит

• Правила предоставления лицензии
• Планы по разработке
• Обновления
Прайс и контакты
• Минимальная - $5к или $2к/мес
• Расширенная - $10к или $3.5к/мес
• Полная - $15к или $5к/мес
• Буткит - $40к или $10к/мес
Установка админки - $100
Carberp возможности
as a Service
FRAUDSoftware

CARBERP теперь доступен
всем!

Исходный код доступен по сей день (проверено 3.09.2013 г.)

5GB исходных текстов:
• реализация ключевых RK/VX-технологий, буткит
(Rovnix);
• код реализации грабберов форм и внедрения кода в
браузере (Carberp, Zeus);
• код локального повышения привилегий (LPE-
эксплойты) для установки вредоносных драйверов в
систему;
• исходные тексты других буткитов и троянских
программ (Zeus, Stoned bootkit, Sinowal).
июнь 2013 Carberp – исходники в открытом доступе.

Что можно увидеть в исходниках Carberp’a

… НА ЭТОМ МЕСТЕ МОЖЕТ
БЫТЬ И ВАШ БАНК!

Выводы
1. Абсолютно любой банк подвержен мошенничеству
через ДБО
2. На любые средства защиты, выдаваемые клиентам
находятся техники их обхода
3. Киберпреступность не только эффективно сотрудничает
(SaaS, специализированные социальные сети), но и
работает на будущее (утечка исходных кодов)
Яркий пример объективности сделанных выводов, это тренд последнего года,
развитие вирусов под мобильные устройства (Android, IOS). Появление вирусов
перехватывающих mTAN коды в СМС-сообщениях от банков : Zitmo (Zeus-in-
the-Mobile), Citmo (Caberp-in-the-Mobile).

В сухом остатке:
SaaS вошел в широкое употребление в 2001 году.
Fraud as a Service
стал приметой нашего
времени начиная с 2011 года.
Когда же можно будет говорить о таком явлении
как
AntiFraud as a Service?FraudWALL as a Service!

FRAUDWALL– сервис обнаружения мошеннических
платежей
 Готов к работе с первого дня после установки! Продукт
поставляется с предустановленными правилами обнаружения.
 Получение “черных списков” из доверенных источников в
автоматическом режиме.
 Возможность как самообучения, так и данными из внешних
источников.
 Постоянная модернизация правил обнаружения
специалистами компании Фродекс.
p.s. Это своеобразный “антивирус”, но только для банков. Его цель не
вирусы, а мошенники.

Продукт FRAUDWALL
 Минимальное время развертывания продукта (один день).
 Комплект встроенных правил работоспособен сразу и
доступен “по умолчанию”.
 Продукт изначально разработан под отечественную
банковскую специфику.
 Независимость от системы ДБО. Смена ДБО не отразиться
ни на работоспособности, ни на стоимости.
 Конструктор правил позволит самостоятельно учесть любую
специфику бизнеса

Как обнаруживаются
мошеннические платежи?
Поведение клиента
в сессии ДБО:
ЧТО ДЕЛАЛ?
Статистика по
устройству клиента:
ОТКУДА?
Статистика по
получателю:
КОМУ?
Статистика
по плательщику
ОТ КОГО?

Уникальные особенности FraudWall




Автоматический анализ платежей на транзитные счета
FraudWall содержит лексический анализатор текста, который позволяет извлечь
реального получателя средств из текста назначения платежа. Это позволяет отделить
мошеннические платежи от платежей клиента, идущих на один и тот же р/с банка
Глубокий анализ входных данных (на уровне дампа трафика)
FraudWall анализирует все особенности поведения клиента в системе ДБО, что позволяет
более точно определить факт несанкционированного платежа, тем самым существенно
снизить уровень ложного срабатывания системы
Поддержка черных списков, распространяемых в рамках
межбанковского почтового обмена («антидроп - клуб») и
зарегистрированных в системе Fraudmonitor (разработчик -
компания Group-IB)
Низкие требования к аппаратному обеспечению

Автоматический анализ платежей
на транзитные счета

Поддержка черных списков
в системе FraudWall
«Живые» черные списки, актуальные для систем ДБО«Живые» черные списки, актуальные для систем ДБО
Антидроп – клуб
(межбанковский обмен по e-mail)
Антидроп – клуб
(межбанковский обмен по e-mail)
Fraudmonitor
(разработчик: Group-IB)
Fraudmonitor
(разработчик: Group-IB)
автоматический импорт данных о
мошенниках, передаваемых
в Excel-файлах (сразу же при
получении письма)
автоматическая корректировка
значений полей из-за «умного»
редактора Excel
выявление реального получателя из
полей (если он указан в назначении)
автоматический импорт данных о
мошенниках, зарегистрированных в
базе Fraudmonitor (ежечасно)
автоматическая передача данных в
Fraudmonitor о мошенниках, выявленных
в банке (по желанию банка)
выявление реального получателя из
полей (если он указан в назначении)

Этапы нормализации данных в процессе их
обработки
RTSRTS Сервер
приложений
BS Client
Сервер
BS Client
БД
Сетевой
трафик
Internet
Уровень
WWW
сервера
Уровень
сервера
RTS
Уровень сервера
приложений ДБО
Уровень
АБС
Максимально доступный объем
информации для анализа:
 все тонкости сетевого трафика
 ошибки в формате данных
 фиксация ошибок WWW-сервера
 детали по фрагментации данных
 информация о браузере
 информация о IP адресе
 возможность блокировать вредоносный
контент
 информация о созданных, но еще
неотправленных платежках
 анализ поведенческой модели
 отсутствует
информация об
ошибках WWW-
сервера
 нельзя блокировать
вредоносный контент
Интернет
-трафик «только
для чтения»:
 ошибки
злоумышленника
«автоисправлены»
 полностью нет
информации об
интернет - трафике
 только реквизиты
платежа и IP адрес
После нормализации:
 нет информации о
подготовительных
действиях мошенника
 только реквизиты
платежа
Только платежное
поручение:

Этапы нормализации данных в процессе их
обработки
RTSRTS Сервер
BS Client
Сервер
BS Client
БД
Уровень
сервера
RTS
Уровень сервера
приложений ДБО
Уровень
АБС
Максимально доступный объем
информации для анализа:
 все тонкости сетевого трафика
 ошибки в формате данных
 фиксация ошибок WWW-сервера
 детали по фрагментации данных
 информация о браузере
 информация о IP адресе
 возможность блокировать вредоносный
контент
 информация о созданных, но еще
неотправленных платежках
 анализ поведенческой модели
FraudWall

Платежи в режиме rAdmin
и вирусные платежи!
Разве можно их
обнаружить?

Пример вирусного платежа
Вован, а копейки зря не взяли
Интерфейс ДБО не
позволяет создать такой
платеж!
Сумма платежа в запросе – без копеек

Интересные особенности вируса, осуществляющего
подмену реквизитов платежа «на лету»
Добавлены несуществующие поля, нарушена последовательность полей(в
отличии от типовой конфигурации BSS) – так иногда работает вирус с
подменой реквизитов

Проблемы с НДС
попытка
отправки
платежки
без НДС в
назначении
значение НДС в
тексте
назначения не
соответствует
сумме платежа

Иногда мошенники хорошо маскируются
Бородавчатка обитает на дне возле
коралловых рифов и камуфлируется под
камень. Считается самой ядовитой рыбой
в мире.
взято с Википедии
В одной сессии
до и после
мошеннического
платежа идут
платежи в
пользу
гос.органов

Любимое число мошенников
В начале 2013 г. много
мошеннических платежей было
с коэффициентом 0,77
(отношение суммы платежа к
остатку на счете).
…а в 2012 году такой
«популярностью» пользовалось
число 0,6

Назначение и получатель в кодировке utf

Мошеннический платеж был создан в 1С,
затем отправлен в банк
Мошенники начинают мыслить
нестандартно: раньше не было
мошеннических платежей,
импортированных через 1С.

… и даже мошенники умудрялись отправлять
платежку в банк без суммы и назначения
платежа

Вирусная активность

Недостатки традиционных подходов к обеспечению ИБ в ДБО
• Специалистами служб ИБ Банков подобная
информация не изучается по ряду причин
• Ценность этой информации кратковременна,
необходимо внедрять механизмы кратчайшего ее
использования.
• Она дает эффект на большом количестве клиентов,
позволяя предотвратить массовые атаки. Однако на
сегодняшний день киберпреступники
взаимодействуют гораздо лучше.

Устойчивые мифы вокруг систем антифрода
• Мы сами способны написать фильтры и решить
проблему
• Надо дать клиентам очередную безопасную
штуковину и достаточно.
• А мы сейчас внедрим антифрод от международного
производителя…
• Антифрод это дорого!
…НО ЭТО НЕ ТАК!

Где используется ?
Разработанные нашими специалистами решения позволили
предотвратить в банках свыше 500 мошеннических
платежей со счетов юридических лиц, сформированных
злоумышленниками в системах ДБО

Хотите попробовать?
Получите FRAUDWALL на срок до
четырех месяцев бесплатно.

Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского обслуживания"

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского обслуживания"

Similar to Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского обслуживания" (20)

More from Expolink

More from Expolink (20)

Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского обслуживания"

Editor's Notes