УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничества в организациях кредитно-финансовой сферы"
1. АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
ООО ФРОДЕКС
promo@frodex.ru
Актуальные тренды развития угроз
кибермошенничества в организациях
кредитно-финансовой сферы
www.frodex.ru
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
2. Немного статистики за 2015 год
«Изучай прошлое, если хочешь предвидеть будущее» Конфуций
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
4. Статистика ЦБ РФ: динамика
инцидентов в ДБО (2014-2015)
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается
существенный
рост
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
5. Статистика ЦБ РФ: ДБО юр. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
6. Статистика ЦБ РФ: ДБО юр. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего
у клиентов – юридических лиц?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
7. Статистика ЦБ РФ: ДБО физ. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
8. Статистика ЦБ РФ: ДБО физ. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего
у клиентов – физических лиц?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
9. Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
11. ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону
кредитных организаций. Так инциденты, связанные с
целевыми атаками на операционную инфраструктуру
кредитных организаций и платежных систем, в 2015
году привели к финансовым потерям в размере более
900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
12. ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и
дальнейшая кража средств,
шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
13. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские
терминалы QUIK, TRANSAQ)
клиенты банков
(кража через ДБО)
расчетные системы
КОГДА: с 2011 г., продолжает
активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
14. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
август 2015:
атака на Объединенную
расчетную систему,
кража 500 млн. руб.
февраль 2015:
атака на банковский
торговый терминал QUIK,
ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ
ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
15. ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки
(кража через АРМ КБР)
клиенты банков
(кража через ДБО)
КОГДА: с 2014 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
16. Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г.
подверглись атакам 19 банков, удалось предотвратить кражу
средств на общую сумму 1,5 млрд. руб.
август 2015: 1 банк, 25 млн.руб.
октябрь 2015: 1 банк, 99 млн.руб.
ноябрь 2015: 2 банка, общая сумма 75 млн.руб.
декабрь 2015: 5 банков, общая сумма 571 млн.руб.
январь 2016: 2 банка, общая сумма 240 млн.руб.
февраль 2016: 2 банка, общая сумма 859 млн.руб.
март 2016: 2 банка, общая сумма 500 млн.руб.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
18. Атака на АРМ КБР
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
19. Атака на АРМ КБР
1 этап – рассылка письма
Потенциальной жертве приходит письмо с
вложением. Текст письма, как правило,
связан с деятельностью сотрудника
Вредоносный код в письме
не обнаруживается антивирусами
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
20. Атака на АРМ КБР
1 этап – рассылка письма
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
21. Атака на АРМ КБР
2 этап – запуск загрузчика
Вы все еще считаете, что
RTF-документы безопасны?
Вложение к письму представляет собой RTF-документ,
эксплуатирующий уязвимость CVE-2012-0158 (выполнение
произвольного кода из-за переполнения буфера в библиотеке
MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается
загрузчик, который из сети Интернет скачивает, а затем
устанавливает специализированный троян
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
22. Атака на АРМ КБР
3 этап – создание локальной bot-сети
Если вылечить один компьютер,
через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить
максимальное число компьютеров.
Функционал
трояна:
кейлоггер
сборщик паролей
удаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
23. Атака на АРМ КБР
4 этап – поиск АРМ КБР
Мошенники детально
разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер
с АРМ КБР (он может быть полностью отключен от
сети), но и любой компьютер, где ведется работа с
файлами формата АРМ КБР.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
24. Атака на АРМ КБР
5 этап – атака
Поддельные платежные поручения
попадают на АРМ КБР даже если он
отключен от сети и обмен идет
через USB Flash
В назначенный день X осуществляется атака –
платежные поручения, отправляемые в АРМ КБР, либо
модифицируются (меняется р/с получателя) без
изменения числа платежных поручений, либо
формируются дополнительные платежные поручения
(порядка 2000 штук)
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
25. Атака на АРМ КБР
6 этап – уничтожение следов
Администраторы банка в первую
очередь пытаются восстановить
работоспособность сети, не проверяя
платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого
диска, после которой компьютер перегружается и
становится неработоспособным.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
30. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
огромное число
модификаций Zeus,
№1 по числу преступлений
31. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
огромное число
модификаций Zeus,
№1 по числу преступлений
32. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
33. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos 4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox11 июня 2014 – новый
троян Pandemiya
?
?
?
?
?
?
34. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
НОВАЯ РЕАЛЬНОСТЬ – СЕТЬ БАНКА НЕ ДОВЕРЕННАЯ СРЕДА
• отказ от традиционности мышления (внутренняя, внешняя сеть)
• отсутствие знания и понимания того, что сейчас происходит
– путь к провалу
• план действий на случай пожара есть, а на случай атаки нет
35. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Реинкарнация вирусных технологий,
отработанных на клиентах банка!
СМЕНА ЦЕЛИ: ОТ КЛИЕНТОВ К БАНКУ
36. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Звонок в БАНК – по очень важному делу!
• отправка в одной сессии несколько платежей – как на
«подтвержденных» получателей, так и на мошенников
• звонок в банк, от имени клиента, на повышенных тонах
требование не задерживать платежи, «новый» номер телефона
для связи.
• обратный звонок по срабатыванию системы антифрода по
«новому» телефону -платежи подтверждают как созданные
клиентом.
РИСК - ДЕЛО БЛАГОРОДНОЕ!
37. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Насколько полезен межбанковский обмен
информацией о реквизитах получателей - мошенников?
Повторяемость мошеннического платежа на дропера
довольно большая, хотя большинство мошеннических
платежей идут на неизвестных получателей
Зафиксирован даже мошеннический платеж, информация
о получателе – мошеннике которого пришла 3 года назад
НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!
38. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов
НОВИЧКИ РАБОТЯГИ ПРОФИ
появились летом 2014 года «работают» с 2013 года «работают» с 2013 года
1. работают с «левых» IP
2. мало опыта работы в
интерфейсе ДБО
1. работа в proxy-режиме
2. проброс USB-портов
Работа в режиме удаленного
управления компьютером
жертвы