Фродекс. Мошенничество в системах ДБО

АНДРЕЙ ЛУЦКОВИЧ

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,ООО ФРОДЕКС

[email protected]

эффективные технологии противодействия

мошенничеству

МОШЕННИЧЕСТВОв системах дистанционного банковского обслуживания.

2014 год

#CODEIB



БОРЬБА С КИБЕРПРЕСТУПНОСТЬЮ

#CODEIB



Март 2012

Арест ОПГ «Carberp»

действовала более 2 лет

пострадали клиенты свыше 100 банков по

всему миру

Использовали Carberp

Распространяли с помощью drive-by атак через сайты известных российских организаций, СМИ и государственных служб.

Взяли всю преступную цепочку, включая организатора владельца бот-сети, «заливщиков», дропов. Всего 8 человек.

Июнь 2012

Арест группы «Hodprot»

Действовала более 4 лет.Группировка «Гермеса» (он же «Араши»)

4 хищениям у клиентов Сбербанка (более 13

млн рублей) и у клиентов других банков сумму более 150 млн

рублей

Использовали Hodprot, в 2011 году перешли на Carberp

Состав 25 человек, не считая обнальщиков.

К маю 2012 года около6 миллионов зараженных ПК.

Июль 2012

Группа в Ярославской и Ленинградской областях

Действовала с 2011 года

Ущерб составляет десятки миллионов

рублей.

Распространяя вредоносную программу, злоумышленники получали доступ к персональным компьютерам

организаций и граждан, которые использовались для работы с

системами «Банк-Клиент».

В группу входило более 10 человек

Сентябрь 2012братья Евгений и Дмитрий Попелыши,Александр Сарбин

13 млн. руб. с клиентских счетов ВТБ 24

приобрели на черном рынке Qhostполучили по 6 лет,

третий - 4 года, при этом все сроки назначены условно

#CODEIB

2012 год



Апрель 2013

программист из Тольятти Александр Пакичев (42 года)

Действовал с августа 2011 года

Предотвращено хищение около 1 млрд. рублей Удалось получить персональные данные свыше 5 000 клиентов российских банков

Создавал и распространял банкоские трояны.

Использовал Carberp, исполняющейся в контексте программы браузера, происходило внедрения HTML-кода в отображаемые пользователю страницы.

За 2 года написал более 10 программ. Продалвал в среднем по 9 тыс. рублей.Приговорен к 1 году условно, со штрафом в 100 тысяч рублей. Получал номер моб. телефона, клонировал сим-карты в салонах сотовой связи, обходил смс подтверждения платежей.

Март-май 2013международная ОПГ (суд Киева)

создание и распространение Carberp в России и на Украине

к пяти годам лишения свободы с отсрочкой на три года орг. два участника

Сентябрь 2013Азамат Вербицкий 24 года продавал банковские трояны 1 год 4 месяца колонии

общего режима

Декабрь 2013

Арест 13 человек, в том числе создатель связок-сплойтов «Blackhole», Cool Exploit Kit.

Общий ущерб от действий подозреваемых составил около 70 млн рублей

продажи связок эксплойтов «Blackhole» и «Cool Exploit Kit» занимали около 40% процентов рынка

#CODEIB

2013 год


мошенничеству#CODEIB

4 октября 2013 годаЗадержание 27-летнего жителя города Тольятти Менеджер по рекламе и туризму, известный в Интернете под псевдонимом «paunch», - создатель популярных в среде киберпреступников связок эксплоитов «Blackhole» и «Cool Exploit Kit»

http://www.group-ib.ru/list/176-news/?view=article&id=1362



Организаторы преступной группы «Carberp» 7 апреля 2014 приговорены к 5 и 8 годам лишения свободы.

#CODEIB



ДОСТАТОЧНО ЛИ ЭТОГО?

#CODEIB

В 2013 г. было обезврежено большое число киберпреступников

Итого:



27 мая 2014: появился банковский троян Zberp, который основан на исходниках Zeus и Carberp. Его возможности:• сбор информации о компьютере (имя, IP адрес и т.д.)• создание скриншотов• перехват POP3/FTP данных• кража SSL-сертификатов• кража и подмена данных, вводимых пользователем в браузере• предоставление возможности установки удаленного доступа к компьютеру жертвы по протоколам RDP и VNC

Источник: http://www.securitylab.ru/news/453372.php

#CODEIB



11 июля 2014: на российских Underground-форумах появился новый банковский троян Kronos. Его функционал:

• 32-х и 64-х битный rootkit• перехват данных в Chrome, IE, FF• вебинжекты в Chrome, IE, FF• поддержка формата конфигурационных файлов трояна Zeus• проактивный обход обнаружения антивирусами• обход песочниц• защита от других троянов• шифрованный обмен между клиентом и сервером управления• плагины

Источник: http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered

#CODEIB



10 июля 2014: стали публично доступны исходники банковского трояна TinyBanker (Tinba):

#CODEIB



19 августа 2014: стали публично доступны исходники трояна Dendroid,реализующий функционал удаленного управления Android-устройствами:

#CODEIB



Функционал Dendroid:

• удаление журналов звонков• звонок на требуемый номер• открытие Web-страниц• запись разговоров и аудио• перехват и блокирование SMS- сообщений• получение и залив фото и видео-файлов• доступ к адресной книге• запуск приложения• HTTP-flood для осуществления DoS атак• смена C&C севера (управляющего сервера)• содержит генератор APK-файлов для распространения

Источник: http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroid http://blog.phishlabs.com/vulnerabilities-found-in-dendroid-mobile-trojan

#CODEIB



28 марта 2011 г. – раскрыты

исходники трояна Zeus

#CODEIB




исходники трояна Zeus

огромное число модификаций Zeus,

№1 по числу преступлений

#CODEIB




исходники трояна Zeus24 июня 2013 г. – раскрыты

исходники трояна Carberp

огромное число модификаций Zeus,


#CODEIB






27 мая 2014 г. – новый

троян Zberpогромное число модификаций Zeus,

№1 по числу преступлений 11 июля 2014 – новый

троян Kronos

4 июня 2014 г.самый популярный rootkit

Root.Boot.Cidox

11 июня 2014 – новый

троян Pandemiya

#CODEIB






10 июля 2014 г. – раскрыты

исходники TinyBanker




19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos


Root.Boot.Cidox



#CODEIB






10 июля 2014 г. – раскрыты

исходники TinyBanker




19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos


Root.Boot.Cidox



??

?

?

?

?

#CODEIB



НАБЛЮДАЕМЫЕ

ГРУППИРОВКИ МОШЕННИКОВ

#CODEIB



Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов

#CODEIB

НОВИЧКИ РАБОТЯГИ ПРОФИ

появились летом 2014 года

«работают» с 2013 года «работают» с 2013 года

1. работают с «левых» IP

2. мало опыта работы в интерфейсе ДБО

1. работа в proxy-режиме

2. проброс USB-портов

Работа в режиме удаленного управления компьютером жертвы



ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!



Звонок в БАНК – по очень важному делу!

• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников

• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать платежи, «новый» номер телефона для связи.

• обратный звонок по срабатыванию системы антифрода по «новому» телефону -платежи подтверждают как созданные клиентом.

#CODEIB

РИСК - ДЕЛО БЛАГОРОДНОЕ!



Использование в качестве получателей – дроперов индивидуальных предпринимателей

… ранее мошеннические платежи были в основном на ООО и физ.лиц

#CODEIB

ТРЕНД 2014 ГОДА



Повторяемость мошеннического платежа на дроперадовольно большая, хотя большинство мошенническихплатежей идут на неизвестных получателей

Зафиксирован даже мошеннический платеж, информация ополучателе – мошеннике которого пришла 3 года назад

Насколько полезен межбанковский обмен информацией о реквизитах получателей - мошенников?

НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!

#CODEIB



Великолепный нюх на мошенничество!

антифрод - система для ДБО

#CODEIB



«Живые» черные списки, актуальные для систем ДБО«Живые» черные списки, актуальные для систем ДБО

Антидроп – клуб(межбанковский обмен по e-mail)

Антидроп – клуб(межбанковский обмен по e-mail)

Fraudmonitor(разработчик: Group-IB)

Fraudmonitor(разработчик: Group-IB)

автоматический импорт данных о мошенниках, передаваемых в Excel-файлах (сразу же при получении письма)

автоматическая корректировка значений полей из-за «умного» редактора Excel

выявление реального получателя из полей (если он указан в назначении)

автоматический импорт данных о мошенниках, зарегистрированных в базе Fraudmonitor (ежечасно)

автоматическая передача данных в Fraudmonitor о мошенниках, выявленных в банке (по желанию банка)

выявление реального получателя из полей (если он указан в назначении)

#CODEIB



Мгновенный старт с предустановленными правилами обнаружения.

САМООБУЧЕНИЕ

модернизация правил обнаружения ПОСТОЯННО специалистами компании Фродекс

обучение из внешних источников

FRAUDWALL



FRAUDWALL

конструктор правил для самостоятельной «тонкой» подстройки

один день на развертывание продукта

разработка изначально под отечественную банковскую специфику



независимость от системы ДБО

Работа с различными системами ДБО одновременно

лицензирование по числу активных клиентов ДБО

интеграция с ДБО BS-Client 3.0, iSimpleBank 2.0, isFront, Finacle e-Banking

универсальный режим (толстый клиент, «незнакомая» ДБО)



Хотите попробовать?

Получите FRAUDWALL на срок до четырех месяцев бесплатно.

СПАСИБО ЗА ВНИМАНИЕ!

Фродекс. Мошенничество в системах ДБО

Business