:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

Угрозы в системах ДБО и методы борьбы с фродом

Руководитель направления Bot-Trek (ООО «Группа АйБи»)

Системы дистанционного банковского обслуживания являются одной из главных целей киберпреступников, а объемы хищений из систем ДБО постоянно растут

Большинство краж денежных средств, осуществляемых удалёнными злоумышленниками, связаны с использованием технологичного вредоносного ПО, так называемых банковских троянов.

Несмотря на то, что проблема электронного мошенничества носит всемирный масштаб, конкретные параметры и вид угроз могут значительно меняться от региона к региону. Так, наиболее распространенными семействами банковских троянов, применяемых для атак на пользователей банковских систем в России, являются Shiz, Hodprot, Carberp и RDPdoor.

Трояны обычно распространяются через уязвимости в браузерах, их надстройках и программах для просмотра офисных документов, в частности Adobe Reader. Вредоносное ПО может инфицировать уязвимые устройства и компьютеры практически на любой платформе, но основная часть случаев распространения данного ПО приходится на компьютеры под управлением ОС Windows. После инфицирования компьютера злоумышленник получает доступ к конфиденциальной информации, вводимой пользователем и хранимой на данном устройстве.

Особую ценность для злоумышленников имеют данные, позволяющие получить доступ к электронным финансовым системам и конфиденциальной информации:

логины/пароли и ключи доступа к системам ДБО;
данные, утекшие с корпоративных доменов и диапазонов IP-адресов: корпоративные e-mail аккаунты, доступы к внутренним ресурсам и т.д.

Помимо похищения вводимых данных и хранимых на компьютере файлов, банковские трояны часто обладают рядом дополнительной функциональности:

Возможность удаленного подключения к зараженному компьютеру с обходом корпоративных файрволов.
Изготовление и передача на управляющий сервер снимков экрана.
Подмена данных в отправляемых платежных поручениях и интерфейсах подтверждения этих поручений.
Внедрение в интерфейс банковских приложений новых элементов и полей с целью сбора конфиденциальной информации (одноразовые пароли, секретные слова и т.д.).

Поскольку злоумышленникам необходимо агрегировать собираемую с тысяч зараженных машин информацию, инфицированные компьютеры объединяются в сети, называемые бот-сетями или «бот-нетами». Данные при этом передаются на управляющие сервера, которые осуществляют хранение и обработку информации.

Управляющих серверов практически всегда несколько и они могут находиться в различных дата-центрах и даже странах для минимизации риска потери информации. Кроме этого, сам интерфейс доступа к ним может быть довольно запутанным: применяются так называемые сервера-прокладки, осуществляющие туннелирование трафика через разнообразные протоколы до целевых серверов. Обращение же к этим серверам-прокладкам часто производится через доменные имена, при этом каждый троян имеет свой собственный алгоритм генерации новых возможных доменных имен на случай блокирования текущих доменов.

Одним из наиболее эффективных способов предотвращения хищений из систем ДБО является мониторинг ботнетов и андеграундных площадок на предмет выявления скомпрометированной пользовательской информации. Своевременное выявление скомпрометированных пользователей позволяет вовремя блокировать похищенные учетные записи, изменять параметры доступа и информировать клиентов о факте заражения их рабочих станций.

Технически процесс мониторинга и перехвата данных в бот-сетях – довольно сложная и трудоемкая процедура, требующая высокой технологической компетенции и скоординированной работы множества людей. Одним из главных способов извлечения данных из бот-сетей является процесс, называемый Sink Holing и осуществляемый в несколько этапов.

Выявление нового ботнета с помощью распределенной сети ловушек – специально созданных уязвимых компьютеров, обычно существующих в виде виртуальных машин.
Извлечение образца распространяемого вредоносного ПО и его анализ.
Извлечение алгоритма доступа к управляющим серверам.
Регистрация пула доменных имен по установленному алгоритму.
Отключение (блокирование) всех доменов, используемых злоумышленником для управления данным ботнетом.
Сбор данных о скомпрометированных клиентах и удаление вредоносного ПО с зараженных компьютеров.
Получение доступа к хранилищу логов, анализ информации и передача данных по скомпрометированным пользователям владельцам интеллектуальной собственности.

Кроме мониторинга бот-сетей, огромную роль в предотвращении хищений играет также проактивная разведка на андеграундных площадках – закрытых хакерских сообществах, где злоумышленники продают разнообразные похищенные данные или обмениваются ими. Мониторинг этой активности позволяет выявлять следующие группы скомпрометированной информации:

логины/пароли и ключи пользователей систем ДБО;
скомпрометированные кредитные карты: текстовую информацию для операций без предъявления карты и информацию с магнитных полос, которая позволяет изготавливать физические дубликаты карт;
информация о «дропах» – первичных получателях похищаемых денежных средств;
общие сведения об используемых схемах хищений денежных средств и тенденции в этой области.

Компания Group-IB, лидер в области предотвращения и расследования высокотехнологичных преступлений, за годы работы накопила значительный практический опыт по расследованию и предотвращению хищений из систем ДБО.

В качестве коммерческого решения для борьбы с фродом компания предлагает своим клиентам облачный сервис ботнет-мониторинга и киберразведки Group-IB Bot-Trek ( www.group-ib.ru/bot-trek ).

Сервис предоставляет финансовым организациям прямой доступ к скомпрометированным данным и идентификаторам их клиентов, которые удалось выявить в ходе анализа сетей зараженных компьютеров и андеграундных площадок. Особенную важность в части предотвращения мошенничеств и денежных хищений имеют следующие данные:

логины/пароли и ключи систем ДБО;
скомпрометированные кредитные карты.
информация о «дропах» – первичных получателях похищаемых денежных средств;
IP-адреса заражённых вредоносным ПО клиентов;
IP-адреса socks-, spam- и DoS-ботов;
данные, ассоциированные с корпоративными доменами и диапазонами IP: корпоративные e-mail аккаунты, доступы к intranet-ресурсам и т.д.

Эффективность системы Bot-Trek обусловлена уникальными технологиями Group-IB и доступом к большому числу источников данных, таких как:

Распределенная сеть ловушек HoneyNet, состоящая из уязвимых виртуальных компьютеров, постоянно анализирующих Интернет на предмет распространяемого вредоносного ПО.
Продвинутая технология Sink Holing, позволяющая извлекать из бот-сетей информацию о скомпрометированных пользователях.
Проактивная разведка и сбор данных на андеграундных площадках.
Исследования вредоносного ПО и собственная БД образцов.
База данных фишинговых сайтов.
Результаты предыдущих расследований хищений и мошенничеств.

Извлекаемые из бот-сетей данные автоматически расшифровываются и проходят через несколько этапов обработки, в ходе которых информация деперсонифицируется и группируется. Извлеченные и обезличенные данные тщательно изолируются, в результате чего доступ к ним имеет только непосредственный владелец интеллектуальной собственности, который получает немедленную нотификацию по факту обнаруженной компрометации.

Group-IB Bot-Trek – это облачное SaaS-решение, не требующее внедрения какого-либо дополнительного аппаратного или программного обеспечения в инфраструктуру предприятия. Использование сервиса возможно в двух режимах: через защищенный web-интерфейс для ручного поиска и экспортирования данных либо при помощи API для интеграции и автоматической работы с источником данных. Таким образом, система обеспечивает достаточно простую интеграцию с уже существующими антифрод-, IDS-, IPS- и SIEM-решениями.

В рамках сотрудничества с ведущими коммерческими банками РФ, сервис ботнет-мониторинга Group-IB Bot-Trek подтвердил свою востребованность и эффективность. Всего за неполный год работы сервиса было зафиксировано более 30 тысяч случаев компрометации данных пользователей систем ДБО, о чём было направлено 154 оповещения в 30 коммерческим банков, осуществляющих коммерческую деятельность на территории Российской Федерации.

Эксперты Group-IB помогают расследовать хищения в системах ДБО и оформлять юридически значимые доказательства

Поимка правоохранительными органами в 2012 году 6 членов преступной группировки Carberp, похитившей через системы дистанционного банковского обслуживания более 110 млн рублей у клиентов многих российских и зарубежных банков, стала значимым прецедентом успешной борьбы с кибермошенничеством в России. Существенную роль в расследовании и сборе доказательной базы сыграли эксперты – IT-криминалисты компании Group-IB.

Расследование массовых хищений вели Управление «К» при участии других подразделений МВД России и Центра информационной безопасности ФСБ России. Специалисты ОАО «Сбербанк России», у клиентов которого похитили более 13 млн рублей, изъявили готовность профинансировать сложные криминалистические IT-экспертизы. Эту работу выполнили сотрудники Group-IB – одной из ведущих компаний, оказывающих экспертные услуги в ходе расследования инцидентов информационной безопасности и компьютерных преступлений.

Банки предоставляли данные об инцидентах, оперативные сотрудники правоохранительных органов отслеживали перемещение похищенных средств, специалисты Group-IB проводили криминалистические экспертизы. Благодаря многомесячной совместной работе многочисленные разрозненные факты удалось выстроить в единую картину.

Вначале был выявлен организатор преступной группы, который управлял специализированной банковской бот-сетью. Затем – обнаружены серверы управления и факты манипулирования трафиком популярных сайтов для заражения вредоносными программами компьютеров ? рабочих мест клиентов ДБО. Экспертизы, проведенные в Лаборатории компьютерной криминалистики Group-IB, однозначно подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdp-door для хищений денежных средств.

Высокая квалификация экспертов Group-IB как в информационных технологиях, так и в юридических вопросах позволила восполнить отсутствие в Уголовно-процессуальном кодексе РФ определения цифровых доказательств. В качестве нормативных документов были использованы методические рекомендации МВД России по производству компьютерно-технических экспертиз. В результате были документально оформлены ключевые эпизоды деятельности членов преступной группировки Carberp.

Эксперты Group-IB имеют сертификацию такую же, как специалисты Экспертно-криминалистического центра МВД РФ (ЭКЦ МВД России). На основании результатов комплексного криминалистического исследования можно заводить уголовное дело, они также принимаются и в суде. До 70% экспертиз для правоохранительных органов лаборатория делает бесплатно, разгружая экспертно-криминалистический центр МВД России.

По сути, специалисты Group-IB работают в формате частных IT-детективов и собирают «цифровые доказательства» в формате, который гарантированно принимается правоохранительными и судебными органами в ходе разбирательства. Это ? прекрасная помощь в проведении доследственной проверки для возбуждения уголовного дела. В Group-IB обращаются не только клиенты, у которых были похищены деньги через систему ДБО, но и банки.

Сотрудники служб информационной безопасности банков ценят подключение профессиональных IT-криминалистов к расследованию, чем раньше, тем лучше. В Group-IB обращаются и те, кто проводит расследование инцидентов самостоятельно, за помощью в юридически значимом оформлении материалов или при обращении в правоохранительные органы.