Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...imbasoft ru
В данной статье представлена базовая и типовая модели угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.
Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.
При подготовке материалов для следующих статьей набралась довольно обширная коллекция ссылок на темы:
- хакерских атак на банки,
- технического анализа банковских взломов,
- обзора типовых уязвимостей в банковских сетях,
- судебной практики,
- аналитики, прогнозов и других статей по банковской безопасности.
В какой-то момент времени количество подобранных материалов переросло в качество, так что данная подборка может заинтересовать уже сама по себе.
Системы ДБО. Удобство и безопасность -- факторы развития - Макаров, CNewsStanislav Makarov
Банк сегодня — это не то, куда выходите, а то, что вы делаете -- Бретт Кинг, Банк 3.0.
Поэтому системы ДБО стали основным инструментом конкуренции между между банками.
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...imbasoft ru
Электронная подпись в России впервые появилась в январе 2002 года вместе с принятием первого закона «Об электронной цифровой подписи» (1-ФЗ). Затем, спустя 9 лет, в апреле 2011 появился новый закон «Об электронной подписи» (63-ФЗ). Спустя еще 8 лет, в начале лета 2019, в СМИ стали появляться леденящие душу публикации о том, как с помощью электронной подписи воруют квартиры, как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы, и так далее, и тому подобное.
Давайте без лишних эмоций попробуем разобраться в сложившихся проблемах и подумаем, как их можно исправить.
FLYCENT - инновационный проект поддержки авиакомпаний и выгодных инвестиций в покупку авиабилетов с возможностью создания источника пассивного дохода и децентрализованным распределением прибыли между инвесторами на базе Smart-contracts Ethereum.
Geographic routing in Ad-Hoc and Sensor NetworksAlessandro Lenzi
Ad-hoc and Sensor Networks are often characterized by stringent energy consumption requirements. Since one of the parts from which more energy is dissipated is the antenna, efficient algorithms taking into consideration energy for routing are crucial. This presentation shows some of the approaches to solve this problem, with a particular focus on the algorithms produced by Kuhn et al. It was prepared for the presentation of the Parallel and Distributed Algorithms Course.
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...imbasoft ru
В данной статье представлена базовая и типовая модели угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.
Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.
При подготовке материалов для следующих статьей набралась довольно обширная коллекция ссылок на темы:
- хакерских атак на банки,
- технического анализа банковских взломов,
- обзора типовых уязвимостей в банковских сетях,
- судебной практики,
- аналитики, прогнозов и других статей по банковской безопасности.
В какой-то момент времени количество подобранных материалов переросло в качество, так что данная подборка может заинтересовать уже сама по себе.
Системы ДБО. Удобство и безопасность -- факторы развития - Макаров, CNewsStanislav Makarov
Банк сегодня — это не то, куда выходите, а то, что вы делаете -- Бретт Кинг, Банк 3.0.
Поэтому системы ДБО стали основным инструментом конкуренции между между банками.
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...imbasoft ru
Электронная подпись в России впервые появилась в январе 2002 года вместе с принятием первого закона «Об электронной цифровой подписи» (1-ФЗ). Затем, спустя 9 лет, в апреле 2011 появился новый закон «Об электронной подписи» (63-ФЗ). Спустя еще 8 лет, в начале лета 2019, в СМИ стали появляться леденящие душу публикации о том, как с помощью электронной подписи воруют квартиры, как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы, и так далее, и тому подобное.
Давайте без лишних эмоций попробуем разобраться в сложившихся проблемах и подумаем, как их можно исправить.
FLYCENT - инновационный проект поддержки авиакомпаний и выгодных инвестиций в покупку авиабилетов с возможностью создания источника пассивного дохода и децентрализованным распределением прибыли между инвесторами на базе Smart-contracts Ethereum.
Geographic routing in Ad-Hoc and Sensor NetworksAlessandro Lenzi
Ad-hoc and Sensor Networks are often characterized by stringent energy consumption requirements. Since one of the parts from which more energy is dissipated is the antenna, efficient algorithms taking into consideration energy for routing are crucial. This presentation shows some of the approaches to solve this problem, with a particular focus on the algorithms produced by Kuhn et al. It was prepared for the presentation of the Parallel and Distributed Algorithms Course.
Presentation of Cuckoo Filters (by Fan et al.) for the course of Packet Switching and Routing Architectures. Cuckoo Filters allow fast set membership. Even though their performances are asymptotically worst w.r.t. bloom filter for this kind of task, in practice they have a better behaviour.
Energy Models in Data Parallel CPU/GPU ComputationsAlessandro Lenzi
Energy consumption is a growing concern in IT. Computing systems are usually equiped with devices with different capabilities, whose energetic behaviour depends on the computation.
In order to minimize the cost of performing a computation, the proper parallelism degree and the portion of tasks to be performed on each device should be selected, depending on device and computation properties.
This presentation shows how linear regression can be used to model energy consumption for CPU cores and map computations, when varying the parallelism degree. An heuristic achieved starting from linear regression is presented for predicting the power consumption on the GPU, depending on the type and amount of resurces used.
The models predicting energy are then shown to be useful by reducing significantly energy consumption over notable execution configuration.
Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Окулесский Василий Андреевич, начальник управления информационной безопасности, Банк Москвы
Источник: http://ural.ib-bank.ru/materials_2015
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
1. Льву Хасису, первому заместителю председателя правления Сбербанка, прислали ссылку.
Открылся сайт, точно повторяющий страницу одного из сервисов Google. Там уже был вписан
логин Хасиса и ему оставалось только вбить свой пароль. «Что-то меня остановило»,
— вспоминает банкир. Хасис написал в техподдержку Google, где его опасения подтвердили:
сайт оказался фишинговым. Киберпреступники используют их для сбора логинов и паролей,
заражения вирусами компьютеров и смартфонов. Главная цель хакеров — банки и их
состоятельные клиенты. По оценкам Банка России, ущерб кредитно-финансовых организаций
лишь за 4 квартал 2015 года превысил 1,5 млрд рублей. К каким угрозам банкам стоит
отнестись особенно серьезно, читайте в материале Forbes.
Целевые атаки на банки
Компьютеры сотрудников татарстанского «Алтын банка», казалось, сошли с ума: с экранов
стала исчезать информация о транзакциях, а потом мониторы попросту погасли. 24 декабря
2015 года банк стал жертвой хакерской атаки. Накануне в сеть банка проник вирус, подменив
в платежных поручениях клиентов банка получателей и их банковские реквизиты. В итоге
около 60 млн рублей ушли на счета двух компаний, открытых в столичных банках, а
оттуда — на счета 20 фирм в разных регионах России. После этого хакеры пытались
уничтожить всю информацию о взломе и транзакциях.
Сейчас главная мишень киберпреступников — небольшие региональные банки, замечает
директор департамента сетевой безопасности Group-IB Никита Кислицин. Сами целевые
атаки, по его словам, стали изощреннее и практически всегда происходят с использованием
методов социальной инженерии: например, сотрудники одного из банков получили на
рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли
зараженное письмо, вирус начал распространяться по внутренней сети.
Социальная инженерия — один из самых надежных каналов для проведения целевой атаки,
подтверждает Юрий Сергеев, эксперт Центра информационной безопасности компании
«Инфосистемы Джет». Результаты пен-тестов (тестов на проникновение) показывают, что
2. даже из рассылки на 1000 человек найдутся минимум 7% людей, которые откроют опасное
вложение и дадут злоумышленнику доступ к десяткам учетных записей, под которыми можно
перейти к атакам внутри сети. «В 90% случаев, как показывают тесты, захватить учетную
запись администратора удается в первый же день», — уверяет Сергеев.
Классическая целевая атака требует огромных затрат: преступники собирают сведения об
оргструктуре банка, вычисляют, кому отправить зараженные вирусом фишинговые письма.
«Прошлый год открыл новые эффективные способы быстрой монетизации ущерба при
относительно недорогих методах «работы» хакерских групп», — замечает Эльман Бейбутов,
руководитель направления Solar JSOC компании Solar Security.
В первую очередь, хакеры заражают многомилионную аудиторию взломанных web-
сайтов. Заходя на такой сайт, человек скачивает себе вредоносных агентов троянских бот-
сетей. Бот-агенты без всякого сопротивления со стороны антивирусов устанавливаются на
зараженном компьютере и начинают сбор информации. «Если хакерам становится понятно,
что бот установлен в банковском компьютере, то атакующий захватывает управление и далее
проникает в сеть до рабочего места оператора клиента Банка России (АРМ КБР)», — говорит
Бейбутов. Суть атаки на АРМ КБР в том, что осуществляется подмена файла с
межбанковскими денежными транзакциями: с корреспондентского счета атакуемого банка
деньги пересылают на счета в других банках, откуда выводятся.
Преступных группировок, работающих по такой схеме, становится все больше. Если в 2014
году было известно о двух хакерских группах, Anunak и Corkow, то в 2015 году известно
стало уже о восьми группировках, специализирующихся на компаниях конкретных отраслей.
Растет и ущерб.
Статистика Банка России показывает, что невнимательное отношение менеджмента
кредитных организаций к вопросам информационной безопасности приводит к значимым
финансовым потерям, говорит первый заместитель председателя Банка России Георгий
Лунтовский. Такие банки сильно рискуют. «За последний квартал 2015 года лицензии
лишились три кредитные организации, ранее подвергшиеся атакам», — заметил
представитель Банка России.
3. Кражи у клиентов банка с помощью Android-троянов
«Это же очень удобно управлять своими деньгами с телефона, но Android позволяет своим
пользователям и мобильным приложениям намного больше, чем другие мобильные
ОС», — замечает Андрей Брызгин, руководитель направления аудита и консалтинга Group-IB.
Этим пользуются киберпреступники. Более 80% смартфонов в мире работает на платформе
Android, неудивительно, что большинство вирусов пишутся именно под нее.
««Платформа Android не является эталоном с точки зрения информационной безопасности»,
— замечает Даниил Чернов, руководитель направления Application Security компании Solar
Security. — К тому же каждый производитель смартфона привносит свои изменения в
операционную систему, и спустя какое-то время перестает выпускать обновления, которые в
том числе, закрывают уязвимости. А пользователь продолжает пользоваться уязвимым
устройством».
Все новые банковские трояны, написанные под Android, умеют похищать деньги
автоматически. Они собирают данные банковских карт, и уже не важно, клиентом какого
банка является владелец телефона. Зараженный трояном смартфон фактически шпионит за
своим владельцем: передает хакерам историю звонков и смс, доступ к любым файлам на
телефоне и информации в облачном хранилище, следит за геолокацией.
Сама атака выглядит так: чаще всего, троян идет в «нагрузку» вместе с условно полезной
программой, например, игрушкой, календарем, фитнес-приложением и т.д. ««Если
пользователь не глядя дает этой программе права, которые она просит, то он сам подписывает
себя на потерю денег», — говорит Даниил Чернов из Solar Security. — Стоит задуматься,
когда игрушка или календарь просят права, например, на чтение и отправку СМС-
сообщений». В последнее время также набирает популярность адресная доставка трояна.
Злоумышленник обращается к пользователю, предлагая открыть что-то по ссылке, которая
ведет к файлу с трояном. Например, жертва продает машину, публикует объявление.
Злоумышленник высылает жертве сообщение, в котором предлагает обменять свой
автомобиль на автомобиль пользователя, высылая ссылку, по которой доступна «детальная
информация» о машине.
После заражения деньги выводятся со счета. Во-первых, многие приложения мобильного
банка содержат уязвимости, которые позволяют трояну получить доступ к логину, паролю, и
даже данным банковской карты. Используя эти данные можно увести деньги со счета
пользователя. Во-вторых, если у пользователя подключен СМС-банкинг, все эти операции
можно провести, отправляя СМС.
Если через СМС-банкинг невозможно отправить деньги на сторонний счет, то в этом случае
настраивается авто пополнение баланса счета, и отправляются смс на короткие номера, в
результате чего деньги списываются со счета мобильного в пользу злоумышленника, после
чего баланс пополняется. И так по кругу.
Все операции происходят в фоновом режиме: то есть пользователь не видит входящие или
исходящие СМС-уведомления о совершенных операциях. Он лишь замечает внезапную
нехватку денег на счете, но с точки зрения банка это выглядит как легитимные операции,
совершенные пользователем дистанционно. Обе стороны предъявляют потом друг другу
взаимные претензии. Бывает, что банк компенсирует потери, но чаще всего потери несет
пользователь.
По оценкам Group-IB, ущерб от инцидентов с Android-троянами у физических лиц в прошлом
году составил более 61 млн рублей̆, превысив ущерб от троянов для персональных
компьютеров. Количество инцидентов выросло в 3 раза.
«Необходим контроль в отношении разработчиков: так как культура написания мобильных
платежных приложений пока чрезвычайно низка, особенно в России, — говорит Брызгин из
Group-IB. — Вредит безопасности и слабый контроль приложений со стороны
держателей платформы: даже в официальном магазине ПО мы нередко обнаруживаем
фишинговые программы и программы с внедрённым вредоносным функционалом».
Весьма эффективны, по его словам, превентивные меры защиты, когда банки самостоятельно
проводят или заказывают на стороне мониторинг фишинговых и вредоносных приложений,
4. или внедряют антивирусные движки в сами приложения мобильного банкинга. Пользователям
смартфонов с Android специалисты Solar Security советуют не совершать установку программ
из непроверенных источников, поставить и регулярно обновлять антивирус, а при скачивании
программ внимательно смотреть, какие права запрашивает программа.
Утечки, внутреннее воровство и вредительство
В марте 2015 года в Казань из Москвы прилетела делегация юристов, представляющих
нескольких крупных брокерских компаний. Им предстояло отстаивать интересы своих
клиентов в суде против местного «Энергобанка», подконтрольного брату депутата Госдумы
Айрату Хайруллину. Представители банка через суд пытались доказать, что на них была
совершена хакерская атака, и вернуть деньги со счетов брокеров.
Случилось вот что: 27 февраля 2015 года казанский «Энергобанк» разместил на бирже пять
заявок на покупку $437 млн и 2 заявки на продажу $97 млн по нерыночному курсу. Эти
действия вызвали аномальную волатильность в течение 6 минут, что позволило совершить
сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490 за
$1. По оценке банка, ущерб составил 244 млн рублей. Теперь банк доказывает, что деньги
были потеряны из-за хакерской атаки. Впрочем, существует и версия мести уволенного
сотрудника, ее придерживается, например, ЦБ. «Мы не выявили, что кто-то эти деньги
получил. Это была атака, скорее всего, месть за увольнение одного из сотрудников», —
говорил первый зампред ЦБ Сергей Швецов.
Расследование Group-IB показало, что во внутренней сети банка был вирус Corkow Trojan (так
же известный как Metel), который позволяет злоумышленникам удаленно запускать
программы, управлять клавиатурой, мышкой параллельно с оператором системы. Через 14
минут после первой заявки хакер дал команду Corkow на удаление своих следов и вывода
системы из строя.
Вирусом Corkow было заражено 250 000 компьютеров и более 100 финансовых организаций
по всему миру. За счет наличия доступа к популярным в России веб-сайтам ежедневно
5. злоумышленники могли перенаправлять на свои серверы до 800 000 посетителей в сутки (это
ежедневная аудитория всех сайтов, к которым у хакеров был доступ). Но делали они это более
избирательно и не со всех сайтов одновременно. Установленный̆ троян Corkow собирал
данные о системе и пересылал их на свой сервер управления. После этого хакерам нужно
было лишь найти среди общей массы ботов те, которые установлены в банках. «Сенсоры Bot-
Trek TDS установлены в десятках финансовых учреждений и за последний год мы
детектировали заражения Corkow у 80% защищаемых банков», — говорит директор
департамента сетевой безопасности Group-IB Никита Кислицин.
В кризис банки оптимизируют численность сотрудников. Вместе с сокращениями растет риск
утечек: уходя из банка, некоторые сотрудники попытаются прихватить с собой максимально
возможное количество конфиденциальной информации, чтобы монетизировать ее у
конкурентов или у киберпреступников. Не стоит забывать и о мошенничестве. Некоторые
сотрудники банка снимают деньги со «спящих» счетов, например, у пожилого клиента банка,
по которым давно не было активностей, говорит Юрий Сергеев, эксперт Центра
информационной безопасности компании «Инфосистемы Джет». Собрав деньги с нескольких
десятков счетов, сотрудник исчезает. Многие банки, чтобы минимизировать риски, стараются
тщательнее контролировать удаленный доступ и действия своих сотрудников в офисе, а также
их рабочие коммуникации.
Утечки и прочая «внутренняя кража данных» относится к самым «непрозрачным» для
экспертов видам угроз, говорит Дмитрий Кузнецов, директор по методологии и
стандартизации Positive Technologies. В отличие от хакерских атак — технически сложных
для понимания обывателя и руководителей компаний — сценарий «менеджер уволился с
клиентской базой» очевиден и вызывает наибольшие опасения.
Атаки на банкоматы
«Потрошение банкоматов» иногда выглядит весьма эффектно: оператор «нажимает
кнопочку», а человек, стоящий у нужного банкомата, подставляет мешок к щели выдачи и
деньги сами вылетают из банкомата.
6. Банкоматы по-прежнему беззащитны перед киберпреступниками: в отличие от надежного
сейфа с банкнотными кассетами, физической защите электронных «мозгов» уделяется на
порядок меньше внимания. Получив возможность подключиться к внутренним
коммуникациям, злоумышленник может захватить полный контроль, в том числе, и над
диспенсером — устройством выдачи купюр.
«По итогам прошлого года, виден существенный рост атак на АБС и банкоматы, —
рассказывает Глеб Чербов, заместитель директора департамента аудита защищенности Digital
Security. — Есть все основания полагать, что в нынешнем году ущерб от такого рода
инцидентов будет внушительным, и легко может превысить 25 млрд рублей, если банки не
примут срочные меры».
Такая атака достаточно примитивна: механически производится вскрытие верхней части,
потом атакующий либо подключает дополнительное устройство в разрыв управляющих
линий, либо с внешнего носителя инфицирует центральный модуль. Известны так же и
случаи, когда взлом банкоматов производился не физически, а из уже скомпрометированной
сети банка, открывая для мошенников возможность удаленного управления и получения
денег.
Есть и неожиданный пример мошенничества: киберпреступники, используя методы
социальной инженерии, проникли во внутреннюю сеть банка, внедрили вредоносное ПО,
захватили контроль над рабочим местом операциониста. Другие сняли с карты несколько
десятков тысяч рублей. После снятия суммы злоумышленник, завладевший рабочим местом,
произвел операцию возврата денег на карту. И так много раз. В результате, с нескольких карт
в разных банкоматах через снятие и возврат было похищено полмиллиарда рублей.
Атаки на партнеров банков
В эпоху облачных технологий и аутсорсинга у хакеров больше нет необходимости взламывать
банк напрямую, чтобы заполучить финансовую информацию по конкретному клиенту или
сделке. Достаточно взломать одного из многочисленных партнеров и контрагентов, у которых
7. есть доступ к сделке: адвокатов, финансовых аудиторов, консультантов или даже ИТ-
компании, обслуживающих жертву.
«У кого-то наверняка найдется копия нужной информации на жестком диске или в почтовом
ящике, а взломать небольшую компанию — в десятки раз проще и дешевле чем атаковать
банк напрямую», — говорит Илья Колошенко, основатель и гендиректор швейцарской
компании High-Tech Bridge SA. По его словам, в Европе наблюдается бум взломов сайтов
адвокатских контор, которые работают и с банками.
Чаще всего все атаки подобного рода, начинаются со взлома веб-сайта жертвы.
Безопасностью таких вот сайтов-«визиток» никто практически не занимается. Этим и
пользуются злоумышленники. За 15-20 минут взламывается веб-сайт, создается легитимная
страница, копирующая дизайн и содержание сайта. На эту страницу помещается exploit pack,
или говоря проще — вирус, который заразит компьютер или мобильное устройство жертвы
после захода на страницу. Заставить жертву кликнуть проще простого. Достаточно найти
сотрудника адвокатской конторы в соцсетях, посмотреть на его интересы и активность.
Получив письмо от старого знакомого с совершенно легитимным и логичным вопросом
(например, по открытым вакансиям в компании) и легитимную ссылку на сайт своей фирмы,
99% кликнут на нее, не раздумывая. А большая часть внутренних систем безопасности легко
пропускает трафик на корпоративный сайт, не видя в нем угрозы. Стоит взломать один
компьютер внутри корпоративной сети — и оборона пала. При этом затраты на атаку
незначительны.
Malware для удаленной компрометации устройства и трояны, для систем, которые давно не
обновлялись, можно найти в интернете бесплатно. Для систем, где патчи (программы-
обновления, закрывающие дыру) ставятся с небольшими задержками, цена вопроса — $1000-
2000. А для полностью обновленных систем — $10 000-50 000. «Это все равно в десятки раз
дешевле, чем ломать банк в лоб. И куда менее рискованно для злоумышленика — шансы, что
такая жертва начнет расследование, и вообще заметит атаку, равны нулю. Так что будущее за
атаками на партнеров и третьих лиц обладающих нужной информацией, через их собственные
веб-сайты», — полагает Колошенко.
Кибермошенники «живут» в условиях жесточайшей конкуренции, причем не только между
собой, но и с правоохранительными органами, и в результате такого естественного отбора на
«криминальной стороне» оказываются хорошо оплачиваемые профессионалы высочайшего
класса, замечает Дмитрий Кузнецов из Positive Technologies. В итоге ни крупный бизнес, ни
органы государственной власти пока не могут эффективно противодействовать хорошо
подготовленным и скоординированным кибератакам.
Что делать банкам? ««Проводить мониторинг защищенности своих информационных систем
и оперативно исправлять выявленные проблемы», — считает Кузнецов. — А во-вторых, быть
в постоянной готовности к таким атакам, иметь и персонал, сравнимый по квалификации с
атакующими, и технические средства, способные выявлять такие атаки. Правда, все это
требует, как серьезных затрат, так и непростого выбора между безопасностью и
прибыльностью своих услуг».
Оригинал Статьи