УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Фродекс. Мошенничество в системах ДБО.
1. АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,
ООО ФРОДЕКС
promo@frodex.ru
эффективные технологии
противодействия мошенничеству
МОШЕННИЧЕСТВО
в системах дистанционного
банковского обслуживания.
2014 год
#CODEIB
3. эффективные технологии
противодействия мошенничеству
Март 2012
Арест ОПГ «Carberp»
действовала более 2
лет
пострадали клиенты
свыше 100 банков по
всему миру
Использовали Carberp
Распространяли с помощью drive-by
атак через сайты известных российских
организаций, СМИ и государственных
служб.
Взяли всю преступную
цепочку, включая
организатора владельца бот-
сети, «заливщиков», дропов.
Всего 8 человек.
Июнь 2012
Арест группы «Hodprot»
Действовала более 4
лет.
Группировка «Гермеса»
(он же «Араши»)
4 хищениям у клиентов
Сбербанка (более 13
млн рублей) и у
клиентов других банков
сумму более 150 млн
рублей
Использовали Hodprot,
в 2011 году перешли на Carberp
Состав 25 человек, не
считая обнальщиков.
К маю 2012 года около
6 миллионов зараженных
ПК.
Июль 2012
Группа в Ярославской и
Ленинградской областях
Действовала с 2011
года
Ущерб составляет
десятки миллионов
рублей.
Распространяя вредоносную
программу, злоумышленники получали
доступ к персональным компьютерам
организаций и граждан, которые
использовались для работы с
системами «Банк-Клиент».
В группу входило более 10
человек
Сентябрь 2012
братья Евгений и
Дмитрий Попелыши,
Александр Сарбин
13 млн. руб. с
клиентских счетов ВТБ 24 приобрели на черном рынке Qhost
получили по 6 лет,
третий - 4 года, при этом все
сроки назначены условно
#CODEIB
2012 год
4. эффективные технологии
противодействия мошенничеству
Апрель 2013
программист из Тольятти
Александр Пакичев
(42 года)
Действовал с августа 2011
года
Предотвращено хищение
около 1 млрд. рублей
Удалось получить
персональные данные
свыше 5 000 клиентов
российских банков
Создавал и распространял банкоские
трояны.
Использовал Carberp, исполняющейся в
контексте программы браузера,
происходило внедрения HTML-кода в
отображаемые пользователю страницы.
За 2 года написал более 10
программ.
Продалвал в среднем по 9
тыс. рублей.
Приговорен к 1 году условно,
со штрафом в 100 тысяч
рублей.
Получал номер моб.
телефона, клонировал сим-
карты в салонах сотовой
связи, обходил смс
подтверждения платежей.
Март-май 2013 международная ОПГ (суд
Киева)
создание и распространение Carberp
в России и на Украине
к пяти годам лишения
свободы с отсрочкой на три
года орг. два участника
Сентябрь 2013 Азамат Вербицкий
24 года продавал банковские трояны 1 год 4 месяца колонии
общего режима
Декабрь 2013
Арест 13 человек, в том
числе создатель связок-
сплойтов «Blackhole»,
Cool Exploit Kit.
Общий ущерб от
действий подозреваемых
составил около 70 млн
рублей
продажи связок эксплойтов «Blackhole»
и «Cool Exploit Kit» занимали около 40%
процентов рынка
#CODEIB
2013 год
5. 4 октября 2013 года
Задержание 27-летнего жителя города
Тольятти
Менеджер по рекламе и туризму, известный в
Интернете под псевдонимом «paunch», -
создатель популярных в среде
киберпреступников связок эксплоитов
«Blackhole» и «Cool Exploit Kit»
противодействия #CODEIB мошенничеству
эффективные технологии
http://www.group-ib.ru/list/176-news/?view=article&id=1362
6. эффективные технологии
противодействия мошенничеству
Организаторы преступной группы «Carberp»
7 апреля 2014 приговорены к 5 и 8 годам
лишения свободы.
#CODEIB
7. эффективные технологии
В 2013 г. было обезврежено большое число
киберпреступников
ДОСТАТОЧНО ЛИ ЭТОГО?
противодействия мошенничеству
Итого:
#CODEIB
8. 27 мая 2014: появился банковский троян Zberp, который основан на
исходниках Zeus и Carberp.
Его возможности:
• сбор информации о компьютере (имя, IP адрес и т.д.)
• создание скриншотов
• перехват POP3/FTP данных
• кража SSL-сертификатов
• кража и подмена данных, вводимых пользователем в браузере
• предоставление возможности установки удаленного доступа к
компьютеру жертвы по протоколам RDP и VNC
эффективные технологии
противодействия мошенничеству
Источник: http://www.securitylab.ru/news/453372.php
#CODEIB
9. 11 июля 2014: на российских Underground-форумах появился новый
банковский троян Kronos.
Его функционал:
эффективные технологии
• 32-х и 64-х битный rootkit
• перехват данных в Chrome, IE, FF
• вебинжекты в Chrome, IE, FF
• поддержка формата конфигурационных файлов трояна Zeus
• проактивный обход обнаружения антивирусами
• обход песочниц
• защита от других троянов
• шифрованный обмен между клиентом и сервером управления
• плагины
противодействия мошенничеству
Источник: http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered
#CODEIB
11. 19 августа 2014: стали публично доступны исходники трояна Dendroid,
реализующий функционал удаленного управления Android-устройствами:
эффективные технологии
противодействия мошенничеству
#CODEIB
12. эффективные технологии
противодействия мошенничеству
Функционал Dendroid:
• удаление журналов звонков
• звонок на требуемый номер
• открытие Web-страниц
• запись разговоров и аудио
• перехват и блокирование SMS- сообщений
• получение и залив фото и видео-файлов
• доступ к адресной книге
• запуск приложения
• HTTP-flood для осуществления DoS атак
• смена C&C севера (управляющего сервера)
• содержит генератор APK-файлов для
распространения
Источник: http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroid
http://blog.phishlabs.com/vulnerabilities-found-in-dendroid-mobile-trojan
#CODEIB
14. эффективные технологии
противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
огромное число
модификаций Zeus,
№1 по числу преступлений
#CODEIB
15. эффективные технологии
противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
огромное число
модификаций Zeus,
№1 по числу преступлений
#CODEIB
16. эффективные технологии
противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
27 мая 2014 г. – новый
огромное число троян Zberp
модификаций Zeus,
№1 по числу преступлений 11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
#CODEIB
17. эффективные технологии
противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
27 мая 2014 г. – новый
огромное число троян Zberp
модификаций Zeus,
10 июля 2014 г. – раскрыты
исходники TinyBanker
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
#CODEIB
18. эффективные технологии
противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
27 мая 2014 г. – новый
огромное число троян Zberp
модификаций Zeus,
10 июля 2014 г. – раскрыты
исходники TinyBanker
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
?
?
?
?
?
?
#CODEIB
20. Данные подготовлены по результатам расследований компанией Фродекс реальных
инцидентов
эффективные технологии
противодействия мошенничеству
#CODEIB
НОВИЧКИ РАБОТЯГИ ПРОФИ
появились летом 2014
года
«работают» с 2013 года «работают» с 2013 года
1. работают с «левых» IP
2. мало опыта работы в
интерфейсе ДБО
1. работа в proxy-режиме
2. проброс USB-портов
Работа в режиме
удаленного управления
компьютером жертвы
21. ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ
ВРУЧНУЮ!
противодействия #CODEIB мошенничеству
эффективные технологии
22. Звонок в БАНК – по очень важному
делу!
РИСК - ДЕЛО БЛАГОРОДНОЕ!
• отправка в одной сессии несколько платежей – как на «подтвержденных»
получателей, так и на мошенников
• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать
платежи, «новый» номер телефона для связи.
эффективные технологии
• обратный звонок по срабатыванию системы антифрода по «новому» телефону
-платежи подтверждают как созданные клиентом.
противодействия мошенничеству
#CODEIB
23. эффективные технологии
противодействия мошенничеству
Использование в качестве получателей – дроперов индивидуальных
предпринимателей
… ранее мошеннические платежи были в основном на ООО и
физ.лиц
#CODEIB
ТРЕНД 2014 ГОДА
24. эффективные технологии
Насколько полезен межбанковский обмен
информацией о реквизитах получателей - мошенников?
противодействия мошенничеству
НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!
Повторяемость мошеннического платежа на дропера
довольно большая, хотя большинство мошеннических
платежей идут на неизвестных получателей
Зафиксирован даже мошеннический платеж, информация о
получателе – мошеннике которого пришла 3 года назад
#CODEIB
25. Великолепный нюх на мошенничество!
эффективные технологии
противодействия мошенничеству
антифрод - система для ДБО
#CODEIB
26. Fraudmonitor
(разработчик: Group-IB)
выявление реального получателя из
полей (если он указан в назначении)
эффективные технологии
«Живые» черные списки, актуальные для систем
противодействия мошенничеству
«» ДБО
Антидроп – – клуб
(межбанковский обмен по e-mail)
(e-mail)
Fraudmonitor
(Group-IB)
автоматическая корректировка
значений полей из-за «умного»
редактора Excel
выявление реального получателя из
полей (если он указан в назначении)
автоматический импорт данных о
мошенниках, передаваемых в Excel-
файлах (сразу же при получении письма)
автоматический импорт данных о
мошенниках, зарегистрированных в
базе Fraudmonitor (ежечасно)
автоматическая передача данных в
Fraudmonitor о мошенниках,
выявленных в банке (по желанию
банка)
#CODEIB
27. обучение из внешних источников
противодействия #CODEIB мошенничеству
эффективные технологии
Мгновенный старт с
предустановленными
правилами обнаружения.
САМООБУЧЕНИЕ
модернизация правил обнаружения
ПОСТОЯННО специалистами
компании Фродекс
FRAUDWALL
28. один день на развертывание продукта
разработка изначально под отечественную
банковскую специфику
противодействия #CODEIB мошенничеству
эффективные технологии
FRAUDWALL
конструктор правил для самостоятельной
«тонкой» подстройки
29. противодействия #CODEIB мошенничеству
эффективные технологии
независимость от системы ДБО
Работа с различными системами ДБО одновременно
лицензирование по числу активных клиентов ДБО
интеграция с ДБО BS-Client 3.0, iSimpleBank 2.0, isFront,
Finacle e-Banking
универсальный режим (толстый клиент, «незнакомая»
ДБО)
30. Хотите попробовать?
Получите FRAUDWALL на срок
до четырех месяцев бесплатно.
противодействия #CODEIB мошенничеству
эффективные технологии
СПАСИБО ЗА ВНИМАНИЕ!
Editor's Notes
Управления «К» МВД России
год 2012
Управления «К» МВД России
год 2012
http://www.group-ib.ru/list/176-news/?view=article&id=1362
Участникам данного преступного сообщества предъявлена статья 210 УК РФ, ч. 1, 2 (создание и участие в преступном сообществе (преступной организации) в целях совместного совершения одного или нескольких тяжких или особо тяжких преступлений. Участие в таком сообществе наказывается лишением свободы на срок от 5 до 10 лет ).