Угрозы в системах ДБО и методы борьбы с фродом
Кислицин Никита
Руководитель направления Bot-Trek (ООО «Группа АйБи»)
«BIS Journal» № 2(9)/2013
Системы дистанционного банковского обслуживания являются одной из главных целей киберпреступников, а объемы хищений из систем ДБО постоянно растут
Большинство краж денежных средств, осуществляемых удалёнными злоумышленниками, связаны с использованием технологичного вредоносного ПО, так называемых банковских троянов.
БОТНЕТЫ И ТРОЯНЫ
Несмотря на то, что проблема электронного мошенничества носит всемирный масштаб, конкретные параметры и вид угроз могут значительно меняться от региона к региону. Так, наиболее распространенными семействами банковских троянов, применяемых для атак на пользователей банковских систем в России, являются Shiz, Hodprot, Carberp и RDPdoor.
Трояны обычно распространяются через уязвимости в браузерах, их надстройках и программах для просмотра офисных документов, в частности Adobe Reader. Вредоносное ПО может инфицировать уязвимые устройства и компьютеры практически на любой платформе, но основная часть случаев распространения данного ПО приходится на компьютеры под управлением ОС Windows. После инфицирования компьютера злоумышленник получает доступ к конфиденциальной информации, вводимой пользователем и хранимой на данном устройстве.
Особую ценность для злоумышленников имеют данные, позволяющие получить доступ к электронным финансовым системам и конфиденциальной информации:
- логины/пароли и ключи доступа к системам ДБО;
- данные, утекшие с корпоративных доменов и диапазонов IP-адресов: корпоративные e-mail аккаунты, доступы к внутренним ресурсам и т.д.
Помимо похищения вводимых данных и хранимых на компьютере файлов, банковские трояны часто обладают рядом дополнительной функциональности:
- Возможность удаленного подключения к зараженному компьютеру с обходом корпоративных файрволов.
- Изготовление и передача на управляющий сервер снимков экрана.
- Подмена данных в отправляемых платежных поручениях и интерфейсах подтверждения этих поручений.
- Внедрение в интерфейс банковских приложений новых элементов и полей с целью сбора конфиденциальной информации (одноразовые пароли, секретные слова и т.д.).
Поскольку злоумышленникам необходимо агрегировать собираемую с тысяч зараженных машин информацию, инфицированные компьютеры объединяются в сети, называемые бот-сетями или «бот-нетами». Данные при этом передаются на управляющие сервера, которые осуществляют хранение и обработку информации.
Управляющих серверов практически всегда несколько и они могут находиться в различных дата-центрах и даже странах для минимизации риска потери информации. Кроме этого, сам интерфейс доступа к ним может быть довольно запутанным: применяются так называемые сервера-прокладки, осуществляющие туннелирование трафика через разнообразные протоколы до целевых серверов. Обращение же к этим серверам-прокладкам часто производится через доменные имена, при этом каждый троян имеет свой собственный алгоритм генерации новых возможных доменных имен на случай блокирования текущих доменов.
АНАЛИЗ И МОНИТОРИНГ БОТСЕТЕЙ
Одним из наиболее эффективных способов предотвращения хищений из систем ДБО является мониторинг ботнетов и андеграундных площадок на предмет выявления скомпрометированной пользовательской информации. Своевременное выявление скомпрометированных пользователей позволяет вовремя блокировать похищенные учетные записи, изменять параметры доступа и информировать клиентов о факте заражения их рабочих станций.
Технически процесс мониторинга и перехвата данных в бот-сетях – довольно сложная и трудоемкая процедура, требующая высокой технологической компетенции и скоординированной работы множества людей. Одним из главных способов извлечения данных из бот-сетей является процесс, называемый Sink Holing и осуществляемый в несколько этапов.
- Выявление нового ботнета с помощью распределенной сети ловушек – специально созданных уязвимых компьютеров, обычно существующих в виде виртуальных машин.
- Извлечение образца распространяемого вредоносного ПО и его анализ.
- Извлечение алгоритма доступа к управляющим серверам.
- Регистрация пула доменных имен по установленному алгоритму.
- Отключение (блокирование) всех доменов, используемых злоумышленником для управления данным ботнетом.
- Сбор данных о скомпрометированных клиентах и удаление вредоносного ПО с зараженных компьютеров.
- Получение доступа к хранилищу логов, анализ информации и передача данных по скомпрометированным пользователям владельцам интеллектуальной собственности.
Кроме мониторинга бот-сетей, огромную роль в предотвращении хищений играет также проактивная разведка на андеграундных площадках – закрытых хакерских сообществах, где злоумышленники продают разнообразные похищенные данные или обмениваются ими. Мониторинг этой активности позволяет выявлять следующие группы скомпрометированной информации:
- логины/пароли и ключи пользователей систем ДБО;
- скомпрометированные кредитные карты: текстовую информацию для операций без предъявления карты и информацию с магнитных полос, которая позволяет изготавливать физические дубликаты карт;
- информация о «дропах» – первичных получателях похищаемых денежных средств;
- общие сведения об используемых схемах хищений денежных средств и тенденции в этой области.
РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ФРОДУ
Компания Group-IB, лидер в области предотвращения и расследования высокотехнологичных преступлений, за годы работы накопила значительный практический опыт по расследованию и предотвращению хищений из систем ДБО.
В качестве коммерческого решения для борьбы с фродом компания предлагает своим клиентам облачный сервис ботнет-мониторинга и киберразведки Group-IB Bot-Trek ( www.group-ib.ru/bot-trek ).
Сервис предоставляет финансовым организациям прямой доступ к скомпрометированным данным и идентификаторам их клиентов, которые удалось выявить в ходе анализа сетей зараженных компьютеров и андеграундных площадок. Особенную важность в части предотвращения мошенничеств и денежных хищений имеют следующие данные:
- логины/пароли и ключи систем ДБО;
- скомпрометированные кредитные карты.
- информация о «дропах» – первичных получателях похищаемых денежных средств;
- IP-адреса заражённых вредоносным ПО клиентов;
- IP-адреса socks-, spam- и DoS-ботов;
- данные, ассоциированные с корпоративными доменами и диапазонами IP: корпоративные e-mail аккаунты, доступы к intranet-ресурсам и т.д.
Эффективность системы Bot-Trek обусловлена уникальными технологиями Group-IB и доступом к большому числу источников данных, таких как:
- Распределенная сеть ловушек HoneyNet, состоящая из уязвимых виртуальных компьютеров, постоянно анализирующих Интернет на предмет распространяемого вредоносного ПО.
- Продвинутая технология Sink Holing, позволяющая извлекать из бот-сетей информацию о скомпрометированных пользователях.
- Проактивная разведка и сбор данных на андеграундных площадках.
- Исследования вредоносного ПО и собственная БД образцов.
- База данных фишинговых сайтов.
- Результаты предыдущих расследований хищений и мошенничеств.
Извлекаемые из бот-сетей данные автоматически расшифровываются и проходят через несколько этапов обработки, в ходе которых информация деперсонифицируется и группируется. Извлеченные и обезличенные данные тщательно изолируются, в результате чего доступ к ним имеет только непосредственный владелец интеллектуальной собственности, который получает немедленную нотификацию по факту обнаруженной компрометации.
Group-IB Bot-Trek – это облачное SaaS-решение, не требующее внедрения какого-либо дополнительного аппаратного или программного обеспечения в инфраструктуру предприятия. Использование сервиса возможно в двух режимах: через защищенный web-интерфейс для ручного поиска и экспортирования данных либо при помощи API для интеграции и автоматической работы с источником данных. Таким образом, система обеспечивает достаточно простую интеграцию с уже существующими антифрод-, IDS-, IPS- и SIEM-решениями.
СТАТИСТИКА ЗА 2012 ГОД
В рамках сотрудничества с ведущими коммерческими банками РФ, сервис ботнет-мониторинга Group-IB Bot-Trek подтвердил свою востребованность и эффективность. Всего за неполный год работы сервиса было зафиксировано более 30 тысяч случаев компрометации данных пользователей систем ДБО, о чём было направлено 154 оповещения в 30 коммерческим банков, осуществляющих коммерческую деятельность на территории Российской Федерации.
Шерлок Холмс в информационном обществе
Эксперты Group-IB помогают расследовать хищения в системах ДБО и оформлять юридически значимые доказательства
Поимка правоохранительными органами в 2012 году 6 членов преступной группировки Carberp, похитившей через системы дистанционного банковского обслуживания более 110 млн рублей у клиентов многих российских и зарубежных банков, стала значимым прецедентом успешной борьбы с кибермошенничеством в России. Существенную роль в расследовании и сборе доказательной базы сыграли эксперты – IT-криминалисты компании Group-IB.
Расследование массовых хищений вели Управление «К» при участии других подразделений МВД России и Центра информационной безопасности ФСБ России. Специалисты ОАО «Сбербанк России», у клиентов которого похитили более 13 млн рублей, изъявили готовность профинансировать сложные криминалистические IT-экспертизы. Эту работу выполнили сотрудники Group-IB – одной из ведущих компаний, оказывающих экспертные услуги в ходе расследования инцидентов информационной безопасности и компьютерных преступлений.
Банки предоставляли данные об инцидентах, оперативные сотрудники правоохранительных органов отслеживали перемещение похищенных средств, специалисты Group-IB проводили криминалистические экспертизы. Благодаря многомесячной совместной работе многочисленные разрозненные факты удалось выстроить в единую картину.
Вначале был выявлен организатор преступной группы, который управлял специализированной банковской бот-сетью. Затем – обнаружены серверы управления и факты манипулирования трафиком популярных сайтов для заражения вредоносными программами компьютеров ? рабочих мест клиентов ДБО. Экспертизы, проведенные в Лаборатории компьютерной криминалистики Group-IB, однозначно подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdp-door для хищений денежных средств.
Высокая квалификация экспертов Group-IB как в информационных технологиях, так и в юридических вопросах позволила восполнить отсутствие в Уголовно-процессуальном кодексе РФ определения цифровых доказательств. В качестве нормативных документов были использованы методические рекомендации МВД России по производству компьютерно-технических экспертиз. В результате были документально оформлены ключевые эпизоды деятельности членов преступной группировки Carberp.
Эксперты Group-IB имеют сертификацию такую же, как специалисты Экспертно-криминалистического центра МВД РФ (ЭКЦ МВД России). На основании результатов комплексного криминалистического исследования можно заводить уголовное дело, они также принимаются и в суде. До 70% экспертиз для правоохранительных органов лаборатория делает бесплатно, разгружая экспертно-криминалистический центр МВД России.
По сути, специалисты Group-IB работают в формате частных IT-детективов и собирают «цифровые доказательства» в формате, который гарантированно принимается правоохранительными и судебными органами в ходе разбирательства. Это ? прекрасная помощь в проведении доследственной проверки для возбуждения уголовного дела. В Group-IB обращаются не только клиенты, у которых были похищены деньги через систему ДБО, но и банки.
Сотрудники служб информационной безопасности банков ценят подключение профессиональных IT-криминалистов к расследованию, чем раньше, тем лучше. В Group-IB обращаются и те, кто проводит расследование инцидентов самостоятельно, за помощью в юридически значимом оформлении материалов или при обращении в правоохранительные органы.
Источник: BIS-Journal http://www.ib-bank.ru/bis/