Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
12. Эффективные технологии
противодействия мошенничеству
июнь 2013 Carberp – исходники в открытом доступе.
5GB исходных текстов:
• реализация ключевых RK/VX-технологий, буткит
(Rovnix);
• код реализации грабберов форм и внедрения кода в
браузере (Carberp, Zeus);
• код локального повышения привилегий (LPEэксплойты) для установки вредоносных драйверов в
систему;
• исходные тексты других буткитов и троянских
программ (Zeus, Stoned bootkit, Sinowal).
27. Эффективные технологии
противодействия мошенничеству
Выводы
1. Абсолютно любой банк подвержен мошенничеству
через ДБО
2. На любые средства защиты, выдаваемые клиентам
находятся техники их обхода
3. Киберпреступность не только эффективно сотрудничает
(SaaS, специализированные социальные сети), но и
работает на будущее (утечка исходных кодов)
Яркий пример объективности сделанных выводов, это тренд последнего года,
развитие вирусов под мобильные устройства (Android, IOS). Появление вирусов
перехватывающих mTAN коды в СМС-сообщениях от банков : Zitmo (Zeus-inthe-Mobile), Citmo (Caberp-in-the-Mobile).
29. Эффективные технологии
противодействия мошенничеству
В сухом остатке:
SaaS вошел в широкое употребление в 2001 году.
Fraud as a Service
стал приметой нашего
времени начиная с 2011 года.
Когда же можно будет говорить о таком явлении
как
AntiFraud as a Service?
30. Эффективные технологии
противодействия мошенничеству
В сухом остатке:
SaaS вошел в широкое употребление в 2001 году.
Fraud as a Service
стал приметой нашего
времени начиная с 2011 года.
Когда же можно будет говорить о таком явлении
как
FraudWALL as a Service!
31. Эффективные технологии
противодействия мошенничеству
FRAUDWALL– сервис обнаружения мошеннических
платежей
Готов к работе с первого дня после установки! Продукт
поставляется с предустановленными правилами обнаружения.
Получение “черных списков” из доверенных источников в
автоматическом режиме.
Возможность как самообучения, так и данными из
источников.
Постоянная модернизация правил обнаружения
специалистами компании Фродекс.
p.s. Это своеобразный “антивирус”, но только для банков. Его цель не
вирусы, а мошенники.
внешних
32. Эффективные технологии
противодействия мошенничеству
Продукт FRAUDWALL
Минимальное время развертывания продукта (один день).
Комплект встроенных правил работоспособен сразу и
доступен “по умолчанию”.
Продукт изначально разработан под отечественную
банковскую специфику.
Независимость от системы
ДБО. Смена ДБО не отразиться
ни на работоспособности, ни на стоимости.
Конструктор правил позволит самостоятельно учесть любую
специфику бизнеса
34. Эффективные технологии
противодействия мошенничеству
Уникальные особенности FraudWall
Автоматический анализ платежей на транзитные счета
FraudWall содержит лексический анализатор текста, который позволяет извлечь
реального получателя средств из текста назначения платежа. Это позволяет отделить
мошеннические платежи от платежей клиента, идущих на один и тот же р/с банка
Глубокий анализ входных данных (на уровне дампа трафика)
FraudWall анализирует все особенности поведения клиента в системе ДБО, что позволяет
более точно определить факт несанкционированного платежа, тем самым существенно
снизить уровень ложного срабатывания системы
Поддержка черных списков, распространяемых в рамках
межбанковского почтового обмена («антидроп - клуб») и
зарегистрированных в системе Fraudmonitor (разработчик компания Group-IB)
Низкие требования к аппаратному обеспечению
36. Поддержка черных списков
в системе FraudWall
«Живые» черные списки, актуальные для систем ДБО
«Живые» черные списки, актуальные для систем ДБО
Антидроп – клуб
Антидроп – клуб
(межбанковский обмен по e-mail)
(межбанковский обмен по e-mail)
Fraudmonitor
Fraudmonitor
(разработчик: Group-IB)
(разработчик: Group-IB)
автоматический импорт данных о
мошенниках, передаваемых
в Excel-файлах (сразу же при
получении письма)
автоматический импорт данных о
мошенниках, зарегистрированных в
базе Fraudmonitor (ежечасно)
автоматическая корректировка
значений полей из-за «умного»
редактора Excel
автоматическая передача данных в
Fraudmonitor о мошенниках, выявленных
в банке (по желанию банка)
выявление реального получателя из
полей (если он указан в назначении)
выявление реального получателя из
полей (если он указан в назначении)
37. Этапы нормализации данных в процессе их
обработки
Сетевой
трафик
Internet
Уровень
WWW
сервера
Уровень
сервера
RTS
RTS
RTS
Уровень сервера
приложений ДБО
Уровень
АБС
Сервер
Сервер
приложений
приложений
BS Client
BS Client
Максимально доступный объем
информации для анализа:
все тонкости сетевого трафика
ошибки в формате данных
фиксация ошибок WWW-сервера
детали по фрагментации данных
информация о браузере
информация о IP адресе
возможность блокировать вредоносный
контент
информация о созданных, но еще
неотправленных платежках
анализ поведенческой модели
Интернет
-трафик «только
для чтения»:
отсутствует
информация об
ошибках WWWсервера
нельзя блокировать
вредоносный контент
БД
После нормализации:
Только платежное
поручение:
ошибки
нет информации о
злоумышленника
«автоисправлены»
подготовительных
действиях мошенника
полностью нет
только реквизиты
информации об
интернет - трафике
только реквизиты
платежа и IP адрес
платежа
38. Этапы нормализации данных в процессе их
обработки
FraudWall
Уровень
сервера
RTS
RTS
RTS
Уровень сервера
приложений ДБО
Сервер
Сервер
приложений
приложений
BS Client
BS Client
Максимально доступный объем
информации для анализа:
все тонкости сетевого трафика
ошибки в формате данных
фиксация ошибок WWW-сервера
детали по фрагментации данных
информация о браузере
информация о IP адресе
возможность блокировать вредоносный
контент
информация о созданных, но еще
неотправленных платежках
анализ поведенческой модели
БД
Уровень
АБС
41. Эффективные технологии
противодействия мошенничеству
Интересные особенности вируса, осуществляющего
подмену реквизитов платежа «на лету»
Добавлены несуществующие поля, нарушена последовательность полей(в
отличии от типовой конфигурации BSS) – так иногда работает вирус с
подменой реквизитов
43. Эффективные технологии
противодействия мошенничеству
Иногда мошенники хорошо маскируются
В одной сессии
до и после
мошеннического
платежа идут
платежи в
пользу
гос.органов
Бородавчатка обитает на дне возле
коралловых рифов и камуфлируется под
камень. Считается самой ядовитой рыбой
в мире.
взято с Википедии
44. Эффективные технологии
противодействия мошенничеству
Любимое число мошенников
В начале 2013 г. много
мошеннических платежей было
с коэффициентом 0,77
(отношение суммы платежа к
остатку на счете).
…а в 2012 году такой
«популярностью» пользовалось
число 0,6
49. Эффективные технологии
противодействия мошенничеству
Недостатки традиционных подходов к обеспечению ИБ в ДБО
• Специалистами служб ИБ Банков подобная
информация не изучается по ряду причин
• Ценность этой информации кратковременна,
необходимо внедрять механизмы кратчайшего ее
использования.
• Она дает эффект на большом количестве клиентов,
позволяя предотвратить массовые атаки. Однако на
сегодняшний день киберпреступники
взаимодействуют гораздо лучше.
50. Эффективные технологии
противодействия мошенничеству
Устойчивые мифы вокруг систем антифрода
• Мы сами способны написать фильтры и решить
проблему
• Надо дать клиентам очередную безопасную
штуковину и достаточно.
• А мы сейчас внедрим антифрод от международного
производителя…
• Антифрод это дорого!
51. Эффективные технологии
противодействия мошенничеству
Устойчивые мифы вокруг систем антифрода
• Мы сами способны написать фильтры и решить
проблему
• Надо дать клиентам очередную безопасную
штуковину и достаточно.
• А мы сейчас внедрим антифрод от международного
производителя…
• Антифрод это дорого!
…НО ЭТО НЕ ТАК!
Многолетний опыт в нашем случае это 10 лет работы по выдаче ключей, настройке фаерволов, исполнения СЗ, прохождения мероприятий по получению лицензий и т.д. все то чем приходиться заниматься все информационным безопастникам, работающим в банках.
Однако иногда все таки случались инциденты и тогда приходилось заниматься в расследованием случившегося, разбираться в том что произошло и что теперь с эти делать. Краткий результат этих работ отражен в статье “Эволюция мошенничества в системах ДБО” моего коллеги, а ныне технического директора компании “Фродекс” Артема Хафизова. Она также была опубликована на cnews, может быть попадалась на глаза.
В конечном итоге, в какой то момент пришло осознание, что был накоплен уникальный опыт, который был использован в разработке системы и выработке собственного подхода к решению проблем мошенничества в ДБО.
Ущерб от деятельности банковских хакеров на просторах СНГ достигает сотен миллионов долларов.
В апреле 2013 года СБУ и ФСБ России отчитались о совместной операции по обезвреживанию опасной киберпреступной группы, которая за последние пять лет обчистила банковские счета на 250 млн долл.
Еще в 2011 году Алексей Лукацкий в своем докладе «Бизнес модель современной киберпреступности» нарисовал отличную схему современной работы киберпреступности.
Особенность наших дней состоит в том, что преступность выделила для себя наиболее перспективное направление деятельности (и самое доходное) и сосредоточилась на нем. Также наблюдается бурный как количественный так и эволюционный рост ботнетов. Реализуемый функционал становится все более изощренный, что не может не сказаться на доходах.
САМОЕ ГЛАВНОЕ – многочисленные партнерские программы. Эффект синергии!
Доступность отличительная черта наших дней – цифры становятся все меньше с каждым годом.
Это позволяет, привлечь свежую кровь в плоть до традиционного уголовного мира, обеспечивающего офф-лайн поддержку и вообще организацию мероприятий, тот же вывод денег.
Но это цифры все таки не для специализированных банковских ботнетов. Там уже деньги по серьезнее.
Эволюция технологий кибермошенничества привела к специализации и доступности.
Что позволяет говорить от таком феномене как : Fraud as s Service
Рассмотрим предложение на приобретение билдера, на различных закрытых киберкриминальных форумах стала появляться информация о продаже билдера буткита, не обнаруживаемого антивирусными средствами. Стоимость этого билдера исчислялась несколькими десятками тысяч долларов и казалась фантастической в сравнении, например, с ценами на те же SpyEye и Zeus.
Разработчики готовы вкладывать деньги в развитие собственных технологий обхода защитного ПО.
Полный перечень услуг… Ничего не напоминает?! Все приметы хорошо построенного бизнеса. Полный сервис.
Самое главное это возможность помесячной аренды! Добро пожаловать в мир SaaS обратной стороны луны, в нашем случае информационных технологий.
Полный перечень услуг… Ничего не напоминает?! Все приметы хорошо построенного бизнеса. Полный сервис.
Самое главное это возможность помесячной аренды! Добро пожаловать в мир SaaS обратной стороны луны, в нашем случае информационных технологий.
Да что там говорить, даже на GitHab’e есть
Это событие может иметь значительные негативные последствия как для AV-индустрии, так и для пользователей, поскольку попадание в свободный доступ данных исходников готовит почву для появления целого ряда опасных модификаций вредоносного ПО.
Работа с системой iBank компании Бифит, как с Российским ее вариантом, так и с украинским
Зачем это все показано
1. Мошенничеству через ДБО подвержен любой банк, у которого есть клиенты
SaaS вошел в широкое употребление в 2001 году.
Еще работая в банке у нас сложилось собственное виденье решения проблемы. Это вылилось в создание продукта FraudWall. Необходимо понимать, что Банки достаточно консервативны, им не получится предложить аренду ПО в классическом виде. Главный посыл банкам состоит в том, что необходимо соответствовать времени, перестать пытаться обеспечить информационную безопасность только своими силами, необходимо объединять усилия, тем более что на той стороне баррикады это уже давно поняли.
SaaS вошел в широкое употребление в 2001 году.
Еще работая в банке у нас сложилось собственное виденье решения проблемы. Это вылилось в создание продукта FraudWall. Необходимо понимать, что Банки достаточно консервативны, им не получится предложить аренду ПО в классическом виде. Главный посыл банкам состоит в том, что необходимо соответствовать времени, перестать пытаться обеспечить информационную безопасность только своими силами, необходимо объединять усилия, тем более что на той стороне баррикады это уже давно поняли.
SaaS вошел в широкое употребление в 2001 году.
Еще работая в банке у нас сложилось собственное виденье решения проблемы. Это вылилось в создание продукта FraudWall. Необходимо понимать, что Банки достаточно консервативны, им не получится предложить аренду ПО в классическом виде. Главный посыл банкам состоит в том, что необходимо соответствовать времени, перестать пытаться обеспечить информационную безопасность только своими силами, необходимо объединять усилия, тем более что на той стороне баррикады это уже давно поняли.
Почему SaaS, в чем сервис (напрашивается вопрос)
мы не уникальны в данном стремлении, примеры RSA AntiFraud, Group-IB c сервисом Bot-Trec, FraudMonitor
Помимо проблем, связанных с воздействием троянов на компьютеры клиентов банка, все еще остается актуальной проблема безопасности самих серверов систем ДБО. Из-за недостаточности мер (прежде всего, организационных), предпринимаемых в банках, даже заведомо защищенное решение ДБО в процессе своей эксплуатации становится уязвимым. Например, на сервер не было своевременно установлено обновление безопасности, не обновлены антивирусные базы, не был грамотно сконфигурирован WWW-сервер, не были удалены тестовые версии программного обеспечения и т.д. Все это в конечном итоге приводит к несанкционированному доступу на WWW сервер ДБО со всеми вытекающими последствиями.
Система FraudWall является комплексным решением по обеспечению безопасности серверов ДБО в сети Интернет. Внедряя FraudWall, банк не только противодействует мошенническим платежам, что особенно актуально в настоящее время, но и создает механизм защиты от несанкционированного доступа к серверам ДБО.
Как правило, злоумышленники крадут учетные записи сразу у нескольких клиентов банка. Если был совершен платеж, то имеет смысл провести аналитический анализ, были ли еще факты работы с компьютера злоумышленника под другими учетными записями клиентов банка. Система FraudWall также позволяет автоматически формировать общую статистику по мошенническим платежам, анализировать тренды параметров мошеннических платежей (максимальную сумму платежа и их периодичность)
Помимо проблем, связанных с воздействием троянов на компьютеры клиентов банка, все еще остается актуальной проблема безопасности самих серверов систем ДБО. Из-за недостаточности мер (прежде всего, организационных), предпринимаемых в банках, даже заведомо защищенное решение ДБО в процессе своей эксплуатации становится уязвимым. Например, на сервер не было своевременно установлено обновление безопасности, не обновлены антивирусные базы, не был грамотно сконфигурирован WWW-сервер, не были удалены тестовые версии программного обеспечения и т.д. Все это в конечном итоге приводит к несанкционированному доступу на WWW сервер ДБО со всеми вытекающими последствиями.
Система FraudWall является комплексным решением по обеспечению безопасности серверов ДБО в сети Интернет. Внедряя FraudWall, банк не только противодействует мошенническим платежам, что особенно актуально в настоящее время, но и создает механизм защиты от несанкционированного доступа к серверам ДБО.
Как правило, злоумышленники крадут учетные записи сразу у нескольких клиентов банка. Если был совершен платеж, то имеет смысл провести аналитический анализ, были ли еще факты работы с компьютера злоумышленника под другими учетными записями клиентов банка. Система FraudWall также позволяет автоматически формировать общую статистику по мошенническим платежам, анализировать тренды параметров мошеннических платежей (максимальную сумму платежа и их периодичность)
Как известно, невозможно создать платеж с суммой без копеек … если поля не заполняются автоматически вирусной программой
Мошеннический платеж был создан вирусом, характерная особенность - сумма без знака разделителя копеек.
Системе антифрода, работающего с базой ДБО или АБС, эта информация не доступна, т.к. значение будет нормализовано системой ДБО.
Система FraudWall, которая анализирует трафик, легко обнаруживает такие платежи.
Вирус, подменяющий реквизиты получателя «на лету», любезно оставлял реквизиты реального получателя платежей в тегах, заканчивающихся на _OLD
Идентичные платежки, кроме номера, между ними злоумышленная платежка. Работа велась не с компьютера клиента, платежи в пользу гос.органов созданы для маскировки.
Идентичные платежки, кроме номера, между ними злоумышленная платежка. Работа велась не с компьютера клиента, платежи в пользу гос.органов созданы для маскировки.
Специалистами служб ИБ Банков подобная информация не изучается по ряду причин
Ценность этой информации кратковременна, необходимо внедрять механизмы кратчайшего ее использования.
Она дает эффект на большом количестве клиентов, позволяя предотвратить массовые атаки.
Специалистами служб ИБ Банков подобная информация не изучается по ряду причин
Ценность этой информации кратковременна, необходимо внедрять механизмы кратчайшего ее использования.
Она дает эффект на большом количестве клиентов, позволяя предотвратить массовые атаки.
Специалистами служб ИБ Банков подобная информация не изучается по ряду причин
Ценность этой информации кратковременна, необходимо внедрять механизмы кратчайшего ее использования.
Она дает эффект на большом количестве клиентов, позволяя предотвратить массовые атаки.