АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
ООО ФРОДЕКС
promo@frodex.ru
FraudWall – антифрод для АРМ-а КБР
www.frodex.ru
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
2015Немного статистики за год
«Изучай прошлое, если хочешь предвидеть будущее» Конфуций
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
,Думаете в стране
финансовый
кризис и воровать
нечего?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: динамика
(2014-2015)инцидентов в ДБО
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается
существенный
рост
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: .ДБО юр лиц
- , . .предотвращено млн руб
- , . .украдено млн руб
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: .ДБО юр лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
Какие суммы пытаются украсть чаще всего
у клиентов – юридических лиц?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: .ДБО физ лиц
- , . .предотвращено млн руб
- , . .украдено млн руб
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: .ДБО физ лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
Какие суммы пытаются украсть чаще всего
у клиентов – физических лиц?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
АТАКИ НЕ НА КЛИЕНТОВ
БАНКА, А НА БАНКИ
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону
кредитных организаций. Так инциденты, связанные с
целевыми атаками на операционную инфраструктуру
кредитных организаций и платежных систем, в 2015
году привели к финансовым потерям в размере более
900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и
дальнейшая кража средств,
шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские
терминалы QUIK, TRANSAQ)
клиенты банков
(кража через ДБО)
расчетные системы
КОГДА: с 2011 г., продолжает
активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
2015август :
атака на Объединенную
расчетную систему,
кража 500 млн. руб.
2015февраль :
атака на банковский
торговый терминал QUIK,
ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ
ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки
(кража через АРМ КБР)
клиенты банков
(кража через ДБО)
КОГДА: с 2014 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г.
подверглись атакам 19 банков, удалось предотвратить кражу
средств на общую сумму 1,5 млрд. руб.
2015август : 1 ,банк 25 . .млн руб
2015октябрь : 1 ,банк 99 . .млн руб
2015ноябрь : 2 ,банка общая сумма 75 . .млн руб
2015декабрь : 5 ,банков общая сумма 571 . .млн руб
2016январь : 2 ,банка общая сумма 240 . .млн руб
2016февраль : 2 ,банка общая сумма 859 . .млн руб
2016март : 2 ,банка общая сумма 500 . .млн руб
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
1 этап – рассылка письма
Потенциальной жертве приходит письмо с
вложением. Текст письма, как правило,
связан с деятельностью сотрудника
Вредоносный код в письме
не обнаруживается антивирусами
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
1 этап – рассылка письма
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
2 этап – запуск загрузчика
Вы все еще считаете, что
RTF-документы безопасны?
Вложение к письму представляет собой RTF-документ,
эксплуатирующий уязвимость CVE-2012-0158 (выполнение
произвольного кода из-за переполнения буфера в библиотеке
MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается
загрузчик, который из сети Интернет скачивает, а затем
устанавливает специализированный троян
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
3 этап – создание локальной bot-сети
Если вылечить один компьютер,
через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить
максимальное число компьютеров.
Функционал
трояна:
кейлоггер
сборщик паролей
удаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
4 этап – поиск АРМ КБР
Мошенники детально
разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер
с АРМ КБР (он может быть полностью отключен от
сети), но и любой компьютер, где ведется работа с
файлами формата АРМ КБР.
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
5 этап – атака
Поддельные платежные поручения
попадают на АРМ КБР даже если он
отключен от сети и обмен идет
через USB Flash
В назначенный день X осуществляется атака –
платежные поручения, отправляемые в АРМ КБР, либо
модифицируются (меняется р/с получателя) без
изменения числа платежных поручений, либо
формируются дополнительные платежные поручения
(порядка 2000 штук)
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
6 этап – уничтожение следов
Администраторы банка в первую
очередь пытаются восстановить
работоспособность сети, не проверяя
платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого
диска, после которой компьютер перегружается и
становится неработоспособным.
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
КАКИЕ ПРОГНОЗЫ?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
2016февраль :
исходники трояна BUHTRAP
выложены в свободный доступ
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Теперь каждый школьник
может взломать банк!
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
FraudWall: комплексное решение
Предотвращение
кражи средств в
системах ДБО
Предотвращение
кражи средств в
системах ДБО
Борьба с
внутренним
мошенничеством
(платежи в АБС)
Борьба с
внутренним
мошенничеством
(платежи в АБС)
Предотвращение
кражи средств
через АРМ КБР
Предотвращение
кражи средств
через АРМ КБР
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Система голосового
подтверждения
подозрительных платежей
Антифрод-
система
Центр управления
инфраструктурой
серверов FraudWall
FraudWall: комплексное решение
Сервис по обнаружению
проблем на компьютере
клиента банка
СПАСИБО ЗА ВНИМАНИЕ!
АНДРЕЙ ЛУЦКОВИЧ
ООО ФРОДЕКС,
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
promo@frodex.ru
www.frodex.ru
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"

  • 1.
    АНДРЕЙ ЛУЦКОВИЧ ГЕНЕРАЛЬНЫЙ ДИРЕКТОР ОООФРОДЕКС promo@frodex.ru FraudWall – антифрод для АРМ-а КБР www.frodex.ru #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 2.
    2015Немного статистики загод «Изучай прошлое, если хочешь предвидеть будущее» Конфуций #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 3.
    ,Думаете в стране финансовый кризиси воровать нечего? #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 4.
    Статистика ЦБ РФ:динамика (2014-2015)инцидентов в ДБО - объем несанкционированных списаний, млн. руб. - количество несанкционированных операций в ДБО, ед. Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год Наблюдается существенный рост #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 5.
    Статистика ЦБ РФ:.ДБО юр лиц - , . .предотвращено млн руб - , . .украдено млн руб Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год - , .количество инцидентов ед #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 6.
    Статистика ЦБ РФ:.ДБО юр лиц Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год - , .количество инцидентов ед Какие суммы пытаются украсть чаще всего у клиентов – юридических лиц? #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 7.
    Статистика ЦБ РФ:.ДБО физ лиц - , . .предотвращено млн руб - , . .украдено млн руб Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год - , .количество инцидентов ед #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 8.
    Статистика ЦБ РФ:.ДБО физ лиц Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год - , .количество инцидентов ед Какие суммы пытаются украсть чаще всего у клиентов – физических лиц? #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 9.
    Статистика ЦБ РФ: итоги Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 10.
    ТРЕНД 2015 ГОДА: АТАКИНЕ НА КЛИЕНТОВ БАНКА, А НА БАНКИ #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 11.
    ТРЕНД 2015 ГОДА: БанкРоссии отмечает смешение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб. Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 12.
    ГРУППИРОВКА: Группировки киберпреступников Anunak (Carbanak) СПЕЦИАЛИЗАЦИЯ:заражение банкоматов и дальнейшая кража средств, шпионаж, целевые атаки КОГДА: с 2013 г., продолжает активно действовать ОБЩИЙ УЩЕРБ: более 1 млрд. руб. Источник: Аналитические отчеты компании Group-IB #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 13.
    ГРУППИРОВКА: Группировки киберпреступников Corkow (Metel) СПЕЦИАЛИЗАЦИЯ:банки (брокерские терминалы QUIK, TRANSAQ) клиенты банков (кража через ДБО) расчетные системы КОГДА: с 2011 г., продолжает активно действовать Источник: Аналитические отчеты компании Group-IB #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 14.
    ГРУППИРОВКА: Группировки киберпреступников Corkow (Metel) 2015август: атака на Объединенную расчетную систему, кража 500 млн. руб. 2015февраль : атака на банковский торговый терминал QUIK, ущерб около 200 млн. руб. НАИБОЛЕЕ КРУПНЫЕ ИНЦИДЕНТЫ: Источник: Аналитические отчеты компании Group-IB #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 15.
    ГРУППИРОВКА: Группировки киберпреступников Buhtrap СПЕЦИАЛИЗАЦИЯ: целевыеатаки на банки (кража через АРМ КБР) клиенты банков (кража через ДБО) КОГДА: с 2014 г., продолжает активно действовать ОБЩИЙ УЩЕРБ: около 1 млрд. руб. Источник: Аналитические отчеты компании Group-IB #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 16.
    Группировка Buhtrap: хронология Поданным FinCERT, по состоянию на 1 марта 2016 г. подверглись атакам 19 банков, удалось предотвратить кражу средств на общую сумму 1,5 млрд. руб. 2015август : 1 ,банк 25 . .млн руб 2015октябрь : 1 ,банк 99 . .млн руб 2015ноябрь : 2 ,банка общая сумма 75 . .млн руб 2015декабрь : 5 ,банков общая сумма 571 . .млн руб 2016январь : 2 ,банка общая сумма 240 . .млн руб 2016февраль : 2 ,банка общая сумма 859 . .млн руб 2016март : 2 ,банка общая сумма 500 . .млн руб #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 17.
  • 18.
    Атака на АРМКБР #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 19.
    Атака на АРМКБР 1 этап – рассылка письма Потенциальной жертве приходит письмо с вложением. Текст письма, как правило, связан с деятельностью сотрудника Вредоносный код в письме не обнаруживается антивирусами #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 20.
    Атака на АРМКБР 1 этап – рассылка письма #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 21.
    Атака на АРМКБР 2 этап – запуск загрузчика Вы все еще считаете, что RTF-документы безопасны? Вложение к письму представляет собой RTF-документ, эксплуатирующий уязвимость CVE-2012-0158 (выполнение произвольного кода из-за переполнения буфера в библиотеке MSCOMCTL.OCX) При открытии этого вложения автоматически запускается загрузчик, который из сети Интернет скачивает, а затем устанавливает специализированный троян #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 22.
    Атака на АРМКБР 3 этап – создание локальной bot-сети Если вылечить один компьютер, через некоторое время он повторно заражается от другого Троян сканирует сеть и пытается заразить максимальное число компьютеров. Функционал трояна: кейлоггер сборщик паролей удаленный доступ из Интернет подключение к другому компьютеру по RDP уничтожение MBR-записи на жестком диске ► ► ► ► ► #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 23.
    Атака на АРМКБР 4 этап – поиск АРМ КБР Мошенники детально разбираются с особенностями работы с АРМ КБР в банке При сканировании сети ищется не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР. #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 24.
    Атака на АРМКБР 5 этап – атака Поддельные платежные поручения попадают на АРМ КБР даже если он отключен от сети и обмен идет через USB Flash В назначенный день X осуществляется атака – платежные поручения, отправляемые в АРМ КБР, либо модифицируются (меняется р/с получателя) без изменения числа платежных поручений, либо формируются дополнительные платежные поручения (порядка 2000 штук) #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 25.
    Атака на АРМКБР 6 этап – уничтожение следов Администраторы банка в первую очередь пытаются восстановить работоспособность сети, не проверяя платежи, отправленные через АРМ КБР Троян имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перегружается и становится неработоспособным. #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 26.
  • 27.
    2016февраль : исходники троянаBUHTRAP выложены в свободный доступ #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 28.
    Теперь каждый школьник можетвзломать банк! #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ 2016
  • 29.
    #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ2016 FraudWall: комплексное решение Предотвращение кражи средств в системах ДБО Предотвращение кражи средств в системах ДБО Борьба с внутренним мошенничеством (платежи в АБС) Борьба с внутренним мошенничеством (платежи в АБС) Предотвращение кражи средств через АРМ КБР Предотвращение кражи средств через АРМ КБР
  • 30.
    #CODEIB Г. САНКТ-ПЕТЕРБУРГ 21 АПРЕЛЯ2016 Система голосового подтверждения подозрительных платежей Антифрод- система Центр управления инфраструктурой серверов FraudWall FraudWall: комплексное решение Сервис по обнаружению проблем на компьютере клиента банка
  • 31.
    СПАСИБО ЗА ВНИМАНИЕ! АНДРЕЙЛУЦКОВИЧ ООО ФРОДЕКС, ГЕНЕРАЛЬНЫЙ ДИРЕКТОР promo@frodex.ru www.frodex.ru #CODEIB Г. МИНСК 14 АПРЕЛЯ 2016

Editor's Notes

  • #11 Всемирный тренд – APT атаки. Взлом аккаунтов корпорации Sony, Steam, атаки на посольства государств, Иранская ядерная программа – это все из той же серии.