Документ анализирует угрозы информационной безопасности в банковской сфере, включая ключевые направления атак и современные киберугрозы, такие как APT-атаки. Он также описывает деятельность компании group-ib, специализирующейся на предотвращении и расследовании киберпреступлений, а также illustrates примеры успешных расследований среди организованных групп хакеров. Основная проблема заключается в недостаточной защите как со стороны банков, так и клиентов, что требует комплексного подхода к обеспечению безопасности.

1. Угрозы информационной безопасности в банковской сфере: ключевые направления атак на банковские и финансовые организации, а также их клиентов

2. Этапы развития компании
ГОД ОСНОВАНИЯ GROUP-IB
20032009201020112013
ВЫХОД НА МЕЖДУНАРОДНЫЙ РЫНОК
КРУПНЕЙШАЯ В ВОСТОЧНОЙ ЕВРОПЕ ЛАБОРАТОРИЯ
КОМПЬЮТЕРНОЙ
КРИМИНАЛИСТИКИ
СОЗДАН
CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ
20+
30+
80+
СОТРУДНИКОВ 2

3. Group-IB
Основные направления деятельности:
ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ
1
2
3
4
5
Мониторинг и предотвращение киберугроз
Расследование киберпреступленийи хищений, совершенных с использованием высоких технологий
Компьютерная криминалистикаи экспертиза
Аудит информационной безопасности и анализ защищенности
Разработка инновационных продуктов в области информационнойбезопасности 3

4. 4
Грустные новости
Knock, Knock, Neo, The Matrix has pwnedyou
Photo by Sam Taylor-Wood

5. 5
Ущерб мировой экономикеот действий киберпреступников
2010
2012
2011
КЛАССИЧЕСКИЕ СРЕДСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УЖЕ ДАВНО НЕ СПОСОБНЫ ПРЕДОВТРАЩАТЬ ИНЦИДЕНТЫ

6. 6

7. КОЕ-ЧТО ОБ APT(ADVANCED PERSISTENT THREAT) –АТАКАХИ УГРОЗАХ ФИНАНСОВЫМ ТРАНЗАКЦИЯМ.
7

8. 2013 год. Компания Mandiantпубликует отчёт по
киберразведовательнымоперациям в отношении китайской
хакерской группы APT1. Краткие выводы:
•Профиль группы –не разовые атаки, а долговременное (от года),
присутствие в атакуемых системах;
•Цели группы –технологические компании в сферах IT, финансов, медиа, энергетики и, конечно, военных разработок по всему миру;
•Группанасчитывает несколько тысяч участников, компактно расположенных в отдельном 12-этажном здании в центре Шанхая;
•Здание подключено к мощнейшим оптоволоконным магистралям.
•В компании, официально расположенные в здании APT1 идёт постоянный набор сотрудников по профилям IT, безопасность и лингвистика.
Основной вывод:
Речь идёт о кибервойскахКНР, получающих задания от правительства и поставляющих информацию для технологического рывка в рамках пятилетних планов развития государства.
Актуальность
8

9. Актуальность
2014год. Хакерская группа Anonymous объявила о взломе
компании –крупного производителя систем защиты информации,
активно работающего в государственном и оборонном секторе.
Позже информация была частично подтверждена, представлены образцы скомпрометированных данных о клиентах компании.
Вывод:
Профессионализм хакеров стремительно растёт вместе с мотивированностью, разрозненные злоумышленники группируются ради достижения общих целей или зарабатывания денег. В связи с этим, защита информации от современных угроз информационной безопасности –деятельность, требующая комплексного подхода, системного взгляда на проблему, а также многонаправленныхкомпетенций. 9

10. Что такое безопасность на 100%?

11. Примерырасследований: Группа Carberp
1
2
3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
11

12. Примерырасследований: Группа Carberp
1
2
3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
12

13. Примерырасследований: Группа Hodprot
1
2
3
Одна из старейших групп, занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования – задержана преступная группа из 7 человек
13

14. Примерырасследований: Группа Hodprot
1
2
3
Одна из старейших групп, занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования – задержана преступная группа из 7 человек
14

15. Примерырасследований: Группа Hodprot
1
2
3
Одна из старейших групп, занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования – задержана преступная группа из 7 человек
15

16. Примерырасследований: Группа Hodprot
1
2
3
Одна из старейших групп, занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования – задержана преступная группа из 7 человек
16

17. 17

18. 18

19. 19

20. Атаки на клиентские узлы систем интернет- банкинга и мобильного банкинга. Почему?
1.Клиент хуже защищает свои АРМ;
2.Банк не заинтересован в защите АРМ клиента;
3.Клиент редко ищет злоумышленника.

21. Атаки на клиентские узлы систем интернет- банкинга и мобильного банкинга. Современные тенденции.
1.Настоящие APT-атаки, с существенным периодом накопления сведений и продвинутой аналитикой;
2.Проведение мошеннических транзакций с компьютера реального клиента;
3.Эффективное противодействие современному антивирусному ПО;
4.Взаимодействие с токенамибезопасности от банка;
5.Уничтожение следов присутствия на АРМ пользователя.

22. Почему не работает антивирусное ПО?
1.Вирусы способны изменять внешний вид;
2.Единая с вирусом среда функционирования;
3.64-битные системы Microsoft не позволяют HIPS;
4.Антивирусы «мертвы» (с) Глава Symantec.

23. Как защититься?
1.Изоляция АРМ транзакций;
2.Антивирусное ПО;
3.Выписки по счетам;
4.Порог суммы транзакции;
5.Токентолько на время работы с ДБО;
6.Банкинг и SMSOTP на Android –опрометчиво.

24. А ещё?
ПодписканасервисысемействаGroup-IBBot-Trek:
•TDS(ThreatDetectionService);
•IB(IntelligentBank);
•CI(CyberIntelligence).

25. 25

26. Скимминги кардинг
26

27. Вирус граббер(Платформа NCR)
1.Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2.Запись тела вируса в библиотеку, в скрытый поток NTFS (ApplicationCore.exe:netncr.dll)
3.Перехват треков и пинови запись их в зашифрованном виде в скрытый поток NTFS(autosave:descriptor).
4.Копирование данных на чип определенной карты, удаление вируса и следов работы после чтения определенной карты.

28. Белый пластик и чипованныекарты
28

29. Проблема решена?
29

30. Вирус диспенсер(Платформа NCR)
1.Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2.Внедрение в служебные процессы ПО банкомата.
3.Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Отключение локальной сети и возможности самоудаления, «McAfeeSolidcoreforAPTRA».
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER

31. Подмена кассет (Платформа Wincor)
1.Загрузка приудаленном или физическом доступе в банкомат. Модификация ключей реестра.
HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER
2. Выдача вместо купюр номиналом 100р купюр номиналом 5000р.

32. Вирус диспенсер(Платформа Wincor)
1.Загрузка приудаленном или физическом доступе в банкомат.
2.Запуск модифицированной версии диагностического ПО TestsoftwareComponentDiagnostic("KDIAG32")
3. Выдача купюр без проверки на открытие сейфа.

33. Мобильные вирусы
33

34. 34
Смартфонам чуть более 5 лет и мы о них мало что знаем
Do you know about Cole Wilson?
“Deadman” by Jim Jarmush

35. 35

36. 36

37. 37
У вас эмулятор или рутованноеустройство, я так не работаю!

38. Финансовая биометрия?
Распознавание личности на основании папиллярного узора подушечек пальцев. Как правило, в применении
к мобильным платежам.
Остальные методы неприменимы в силу сложности реализации и процента ошибок первого и второго рода.

39. Какова она, финансовая биометрия?
Удобная, но небезопасная:
•Воспользоваться пальцем человека проще, чем узнать его пароль;
•Пароли на экранах устройств оставляют всё реже, а отпечатки всё чаще;
•Любой банкинг на android-смартфонах — финансирование киберпреступников.

40. 40

41. Наши заказчики
Финансовый сектор
Государственный сектор
ТЭК, промышленность, ИТ 41

42. Благодарности
Финансовый сектор
Государственный сектор
ТЭК, промышленность, ИТ 42

43. CМИ
43

44. antiphishing.ru
ПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
1
2
3
Форма для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Проект функционирует с 2012 года при участии специалистов CERT-GIB
Полученная информация немедленно направляется аналитикам CERT-GIB, которые оперативно обрабатывают поступающие обращения и принимают необходимые меры для нейтрализации вредоносных ресурсов
Социально ориентированный проект: после отправки заявки, пользователям предоставляется возможность поделиться информацией о проекте в соц. сетях
44

45. +7 (495) 984-33-64доб.511
bryzgin@group-ib.ru
АндрейБрызгин
45

46. +7 (495) 9843364
www.group-ib.ru
info@group-ib.ru
facebook.com/group-ib
twitter.com/group-ib
46