Мошенничество в системах ДБО

Эффективные технологии
противодействия мошенничеству

Мошенничество в системах ДБО:
взгляд человека по середине

Конференция: Код информационной безопасности
Екатеринбург 2013


Компания Фродекс

 мы специалисты с многолетним опытом
работы в рядах служб ИБ финансовых
организаций

 являемся разработчиками собственной
антифрод-системы FRAUDWALL

 проводим глубокий анализ инцидентов
 отслеживанием тренды киберпреступности


Масштабы потерь

По данным Group-IB http://www.group-ib.ru


Основные причины

95% инцидентов - результат
деятельности специализированных
банковских троянов:
• Win32/Shiz
• Win32/Hodprot
• Win32/Sheldor
• Win32/RDPdoor
• Win32/Carberp

По данным аналитической лаборатории компании ESET


Из доклада Алексея Лукацкого на Cisco Expo 2011 «Бизнес модель современной киберпреступности»


Доступность

Из доклада Максима Гончарова, «Подпольный рынок 101: статистика цен и схемы
ценообразования» на PHDays2013


Carberp - яркий пример Fraud as a Service
Комплектации (каждая последующая включает в себя предыдущие)

• Минимальная
• Расширенная
• Полная
• Буткит (MBR-загрузчик бота (win xp/7))
Возможности
 Шифрование трафика
 Модуль Хантер
 Универсальный кейлоггер
 Автообновление крипта и доменов
 Поиск слов в документах
 Запись видео
 RDP и VNC
 Гейты
 Буткит


Carberp возможности
• Правила предоставления лицензии
• Планы по разработке
• Обновления

Прайс и контакты
•
•
•
•

Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес
Буткит - $40к или $10к/мес

Установка админки - $100

Software
as a Service


Carberp возможности
• Правила предоставления лицензии
• Планы по разработке
• Обновления

Прайс и контакты
•
•
•
•

Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес
Буткит - $40к или $10к/мес

Установка админки - $100

FRAUD

as a Service


CARBERP теперь доступен
всем!


Исходный код доступен по сей день (проверено 3.09.2013 г.)


июнь 2013 Carberp – исходники в открытом доступе.

5GB исходных текстов:
• реализация ключевых RK/VX-технологий, буткит
(Rovnix);
• код реализации грабберов форм и внедрения кода в
браузере (Carberp, Zeus);
• код локального повышения привилегий (LPEэксплойты) для установки вредоносных драйверов в
систему;
• исходные тексты других буткитов и троянских
программ (Zeus, Stoned bootkit, Sinowal).

Что можно увидеть в исходниках Carberp’a


… НА ЭТОМ МЕСТЕ МОЖЕТ
БЫТЬ И ВАШ БАНК!

Выводы

1. Абсолютно любой банк подвержен мошенничеству
через ДБО
2. На любые средства защиты, выдаваемые клиентам
находятся техники их обхода

3. Киберпреступность не только эффективно сотрудничает
(SaaS, специализированные социальные сети), но и
работает на будущее (утечка исходных кодов)
Яркий пример объективности сделанных выводов, это тренд последнего года,
развитие вирусов под мобильные устройства (Android, IOS). Появление вирусов
перехватывающих mTAN коды в СМС-сообщениях от банков : Zitmo (Zeus-inthe-Mobile), Citmo (Caberp-in-the-Mobile).


В сухом остатке:
SaaS вошел в широкое употребление в 2001 году.

Fraud as a Service
стал приметой нашего
времени начиная с 2011 года.



Fraud as a Service

Когда же можно будет говорить о таком явлении
как

AntiFraud as a Service?



Fraud as a Service

Когда же можно будет говорить о таком явлении
как

FraudWALL as a Service!

FRAUDWALL– сервис обнаружения мошеннических
платежей

 Готов к работе с первого дня после установки! Продукт

поставляется с предустановленными правилами обнаружения.

 Получение “черных списков” из доверенных источников в
автоматическом режиме.

 Возможность как самообучения, так и данными из
источников.

 Постоянная модернизация правил обнаружения
специалистами компании Фродекс.

p.s. Это своеобразный “антивирус”, но только для банков. Его цель не
вирусы, а мошенники.

внешних


Продукт FRAUDWALL

 Минимальное время развертывания продукта (один день).
 Комплект встроенных правил работоспособен сразу и
доступен “по умолчанию”.

 Продукт изначально разработан под отечественную
банковскую специфику.

 Независимость от системы

ДБО. Смена ДБО не отразиться
ни на работоспособности, ни на стоимости.

 Конструктор правил позволит самостоятельно учесть любую
специфику бизнеса

Как обнаруживаются
мошеннические платежи?

Поведение клиента
в сессии ДБО:

ЧТО ДЕЛАЛ?

Статистика
по плательщику

Статистика по
устройству клиента:

ОТ КОГО?

ОТКУДА?

Статистика по
получателю:

КОМУ?


Уникальные особенности FraudWall



Автоматический анализ платежей на транзитные счета
FraudWall содержит лексический анализатор текста, который позволяет извлечь
реального получателя средств из текста назначения платежа. Это позволяет отделить
мошеннические платежи от платежей клиента, идущих на один и тот же р/с банка



Глубокий анализ входных данных (на уровне дампа трафика)
FraudWall анализирует все особенности поведения клиента в системе ДБО, что позволяет
более точно определить факт несанкционированного платежа, тем самым существенно
снизить уровень ложного срабатывания системы



Поддержка черных списков, распространяемых в рамках
межбанковского почтового обмена («антидроп - клуб») и
зарегистрированных в системе Fraudmonitor (разработчик компания Group-IB)



Низкие требования к аппаратному обеспечению

Автоматический анализ платежей
на транзитные счета

Поддержка черных списков
в системе FraudWall

«Живые» черные списки, актуальные для систем ДБО
«Живые» черные списки, актуальные для систем ДБО

Антидроп – клуб
Антидроп – клуб

(межбанковский обмен по e-mail)
(межбанковский обмен по e-mail)

Fraudmonitor
Fraudmonitor

(разработчик: Group-IB)
(разработчик: Group-IB)

автоматический импорт данных о
мошенниках, передаваемых
в Excel-файлах (сразу же при
получении письма)

автоматический импорт данных о
мошенниках, зарегистрированных в
базе Fraudmonitor (ежечасно)

автоматическая корректировка
значений полей из-за «умного»
редактора Excel

автоматическая передача данных в
Fraudmonitor о мошенниках, выявленных
в банке (по желанию банка)

выявление реального получателя из
полей (если он указан в назначении)

выявление реального получателя из
полей (если он указан в назначении)

Этапы нормализации данных в процессе их
обработки

Сетевой
трафик
Internet

Уровень
WWW
сервера

Уровень
сервера
RTS

RTS
RTS

Уровень сервера
приложений ДБО

Уровень
АБС

Сервер
Сервер
приложений
BS Client
BS Client

Максимально доступный объем
информации для анализа:

 все тонкости сетевого трафика
 ошибки в формате данных
 фиксация ошибок WWW-сервера
 детали по фрагментации данных
 информация о браузере
 информация о IP адресе
 возможность блокировать вредоносный
контент

 информация о созданных, но еще
неотправленных платежках

 анализ поведенческой модели

Интернет
-трафик «только
для чтения»:

 отсутствует

информация об
ошибках WWWсервера

 нельзя блокировать
вредоносный контент

БД

После нормализации:

Только платежное
поручение:

 ошибки

 нет информации о

злоумышленника
«автоисправлены»

подготовительных
действиях мошенника

 полностью нет

 только реквизиты

информации об
интернет - трафике

 только реквизиты
платежа и IP адрес

платежа

Этапы нормализации данных в процессе их
обработки

FraudWall

Уровень
сервера
RTS

RTS
RTS

Уровень сервера
приложений ДБО

Сервер
Сервер
BS Client
BS Client

Максимально доступный объем
информации для анализа:

 все тонкости сетевого трафика
 ошибки в формате данных
 фиксация ошибок WWW-сервера
 детали по фрагментации данных
 информация о браузере
 информация о IP адресе
 возможность блокировать вредоносный
контент

 информация о созданных, но еще
неотправленных платежках

 анализ поведенческой модели

БД

Уровень
АБС


Платежи в режиме rAdmin
и вирусные платежи!
Разве можно их
обнаружить?


Пример вирусного платежа
Сумма платежа в запросе – без копеек

Вован, а копейки зря не взяли

Интерфейс ДБО не
позволяет создать такой
платеж!


Интересные особенности вируса, осуществляющего
подмену реквизитов платежа «на лету»

Добавлены несуществующие поля, нарушена последовательность полей(в
отличии от типовой конфигурации BSS) – так иногда работает вирус с
подменой реквизитов


Проблемы с НДС
значение НДС в
тексте
назначения не
соответствует
сумме платежа

попытка
отправки
платежки
без НДС в
назначении

Иногда мошенники хорошо маскируются
В одной сессии
до и после
мошеннического
платежа идут
платежи в
пользу
гос.органов

Бородавчатка обитает на дне возле
коралловых рифов и камуфлируется под
камень. Считается самой ядовитой рыбой
в мире.
взято с Википедии


Любимое число мошенников
В начале 2013 г. много
мошеннических платежей было
с коэффициентом 0,77
(отношение суммы платежа к
остатку на счете).

…а в 2012 году такой
«популярностью» пользовалось
число 0,6


Назначение и получатель в кодировке utf


Мошеннический платеж был создан в 1С,
затем отправлен в банк

Мошенники начинают мыслить
нестандартно: раньше не было
мошеннических платежей,
импортированных через 1С.


… и даже мошенники умудрялись отправлять
платежку в банк без суммы и назначения
платежа


Вирусная активность


Недостатки традиционных подходов к обеспечению ИБ в ДБО
• Специалистами служб ИБ Банков подобная
информация не изучается по ряду причин
• Ценность этой информации кратковременна,
необходимо внедрять механизмы кратчайшего ее
использования.
• Она дает эффект на большом количестве клиентов,
позволяя предотвратить массовые атаки. Однако на
сегодняшний день киберпреступники
взаимодействуют гораздо лучше.


Устойчивые мифы вокруг систем антифрода
• Мы сами способны написать фильтры и решить
проблему
• Надо дать клиентам очередную безопасную
штуковину и достаточно.
• А мы сейчас внедрим антифрод от международного
производителя…
• Антифрод это дорого!


Устойчивые мифы вокруг систем антифрода
• Мы сами способны написать фильтры и решить
проблему
• Надо дать клиентам очередную безопасную
штуковину и достаточно.
• А мы сейчас внедрим антифрод от международного
производителя…
• Антифрод это дорого!

…НО ЭТО НЕ ТАК!


Хотите попробовать?
Получите FRAUDWALL на срок до
четырех месяцев бесплатно.

Мошенничество в системах ДБО

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Мошенничество в системах ДБО

Similar to Мошенничество в системах ДБО (20)

More from Expolink

More from Expolink (20)

Мошенничество в системах ДБО

Editor's Notes