Фродекс - Мошенничество в системах ДБО

АНДРЕЙ ЛУЦКОВИЧ

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,ООО ФРОДЕКС

[email protected]

эффективные технологии противодействия мошенничеству

МОШЕННИЧЕСТВО в системах дистанционного

.банковского обслуживания

2014 год

#CODEIB


БОРЬБА С КИБЕРПРЕСТУПНОСТЬЮ

#CODEIB


2012Март

«Carberp»Арест ОПГ

2 действовала болеелет

пострадали клиенты 100 свыше банков по

всему миру

Использовали Carberp

Распространяли с помощью drive-by атак через сайты известных российских

, организаций СМИ и государственных.служб

Взяли всю преступную, цепочку включая

-организатора владельца бот, « », . сети заливщиков дропов

Всего 8 человек .

2012Июнь

«Hodprot»Арест группы

4 Действовала более.лет

« » Группировка Гермеса ( « »)он же Араши

4 хищениям у клиентов (Сбербанка 13 более

млн рублей) и у клиентов других банков

сумму 150 более млнрублей

Использовали Hodprot, 2011 в году перешли на Carberp

Состав 25 человек , не .считая обнальщиков

2012 К маю года около6 миллионов зараженных

.ПК

2012Июль

Группа в Ярославской и Ленинградской областях

2011 Действовала сгода

Ущерб составляет десятки миллионов

рублей .

Распространяя вредоносную, программу злоумышленники получали

доступ к персональным компьютерам , организаций и граждан которые

использовались для работы с « - ».системами Банк Клиент

В группу входило более 10 человек

2012Сентябрь братья Евгений и

Дмитрий Попелыши , Александр Сарбин

13 . .млн руб с 24клиентских счетов ВТБ приобрели на черном рынке Qhost

6 ,получили по лет - 4 , третий года при этом все

сроки назначены условно

#CODEIB

2012 год


2013Апрель

программист из Тольятти Александр Пакичев

(42 )года

2011 Действовал с августагода

Предотвращено хищение 1 . около млрд рублей

Удалось получить персональные данные

5 000 свыше клиентов российских банков

Создавал и распространял банкоские. трояны

Carberp, Использовал исполняющейся в , контексте программы браузера

HTML- происходило внедрения кода в .отображаемые пользователю страницы

2 10 За года написал более. программ

9 Продалвал в среднем по. .тыс рублей

1 , Приговорен к году условно 100 со штрафом в тысяч

. рублей . Получал номер моб

, -телефона клонировал сим карты в салонах сотовой, связи обходил смс

.подтверждения платежей

- 2013Март май ( международная ОПГ суд)Киева

Carberp создание и распространение в России и на Украине

к пяти годам лишения свободы с отсрочкой на три

. года орг два участника

2013Сентябрь Азамат Вербицкий24 года продавал банковские трояны 1 4 год месяца колонии

общего режима

2013Декабрь

Арест 13 человек , в том -числе создатель связок

«Blackhole», сплойтовCool Exploit Kit.

Общий ущерб от действий подозреваемых составил около 70 млн

рублей

«Blackhole» продажи связок эксплойтов «Cool Exploit Kit» 40% и занимали около

процентов рынка

#CODEIB

2013 год

эффективные технологии противодействия мошенничеству#CODEIB

4 2013 октября года 27- Задержание летнего жителя города

Тольятти , Менеджер по рекламе и туризму известный в «Интернете под псевдонимом paunch», - создатель популярных в среде

киберпреступников связок эксплоитов«Blackhole» «Cool Exploit Kiи t»

http://www.group-ib.ru/list/176-news/?view=article&id=1362


Организаторы преступной группы «Carberp» 7 апреля 2014 приговорены к 5 и 8 годам лишения свободы.

#CODEIB


ДОСТАТОЧНО ЛИ ЭТОГО?

#CODEIB

В 2013 г. было обезврежено большое число киберпреступников

Итого:


27 мая 2014: появился банковский троян Zberp, который основан на исходниках Zeus и Carberp. Его возможности:• сбор информации о компьютере (имя, IP адрес и т.д.)• создание скриншотов• перехват POP3/FTP данных• кража SSL-сертификатов• кража и подмена данных, вводимых пользователем в браузере• предоставление возможности установки удаленного доступа к компьютеру жертвы по протоколам RDP и VNC

Источник: http://www.securitylab.ru/news/453372.php

#CODEIB


11 июля 2014: на российских Underground-форумах появился новый банковский троян Kronos. Его функционал:

• 32- 64- х и х битный rootkit• перехват данных в Chrome, IE, FF• вебинжекты в Chrome, IE, FF• поддержка формата конфигурационных файлов трояна Zeus• проактивный обход обнаружения антивирусами• обход песочниц• защита от других троянов• шифрованный обмен между клиентом и сервером управления• плагины

Источник: http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered

#CODEIB


10 июля 2014: стали публично доступны исходники банковского трояна TinyBanker (Tinba):

#CODEIB


19 августа 2014: стали публично доступны исходники трояна Dendroid,реализующий функционал удаленного управления Android-устройствами:

#CODEIB


Функционал Dendroid:

• удаление журналов звонков• звонок на требуемый номер• открытие Web-страниц• запись разговоров и аудио• перехват и блокирование SMS- сообщений• получение и залив фото и видео-файлов• доступ к адресной книге• запуск приложения• HTTP-flood для осуществления DoS атак• смена C&C севера (управляющего сервера)• содержит генератор APK-файлов для распространения

Источник: http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroid http://blog.phishlabs.com/vulnerabilities-found-in-dendroid-mobile-trojan

#CODEIB


28 2011марта . – г раскрыты исходники трояна Zeus

#CODEIB



огромное число модификаций Zeus,

1№ по числу преступлений

#CODEIB



24 2013июня . – г раскрыты исходники трояна Carberp

огромное число модификаций Zeus,

1№ по числу преступлений

#CODEIB




27 2014мая .г – новый троян Zberp огромное число

модификаций Zeus, 1№ по числу преступлений 11 2014июля – новый

троян Kronos

4 2014июня .г самый популярный rootkit

Root.Boot.Cidox

11 2014июня – новый троян Pandemiya

#CODEIB




10 2014июля . – г раскрыты исходники TinyBanker


модификаций Zeus, 1№ по числу преступлений

19 2014августа . – г раскрыты исходники Dendroid

11 2014июля – новый троян Kronos


Root.Boot.Cidox


#CODEIB




10 2014июля . – г раскрыты исходники TinyBanker


модификаций Zeus, 1№ по числу преступлений

19 2014августа . – г раскрыты исходники Dendroid

11 2014июля – новый троян Kronos


Root.Boot.Cidox


??

?

?

?

?

#CODEIB


НАБЛЮДАЕМЫЕ

ГРУППИРОВКИ МОШЕННИКОВ

#CODEIB


Данные подготовлены по результатам расследований компанией Фродекс реальныхинцидентов

#CODEIB

НОВИЧКИ РАБОТЯГИ ПРОФИ

появились летом 2014 года

«работают» с 2013 года «работают» с 2013 года

1. работают с «левых» IP2. мало опыта работы в

интерфейсе ДБО

1. работа в proxy-режиме2. проброс USB-портов

Работа в режиме удаленного управления компьютером жертвы


ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!


Звонок в БАНК – по очень важному делу!

• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников

• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать платежи, «новый» номер телефона для связи.

• обратный звонок по срабатыванию системы антифрода по «новому» телефону -платежи подтверждают как созданные клиентом.

#CODEIB

РИСК - ДЕЛО БЛАГОРОДНОЕ!


– Использование в качестве получателей дроперов индивидуальныхпредпринимателей

… ранее мошеннические платежи были в основном на ООО и.физ лиц

#CODEIB

2014 ТРЕНД ГОДА


Повторяемость мошеннического платежа на дроперадовольно большая, хотя большинство мошенническихплатежей идут на неизвестных получателей

, Зафиксирован даже мошеннический платеж информация о – 3 получателе мошеннике которого пришла года назад

Насколько полезен межбанковский обмен - информацией о реквизитах получателей мошенников?

НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!

#CODEIB


!Великолепный нюх на мошенничество

- антифрод система для ДБО

#CODEIB


« » , Живые черные списки актуальные для системДБО

« » , Живые черные списки актуальные для системДБО

– Антидроп клуб( межбанковский обмен по e-mail)

– Антидроп клуб( межбанковский обмен по e-mail)

Fraudmonitor(разработчик: Group-IB)

Fraudmonitor(разработчик: Group-IB)

автоматический импорт данных о, мошенниках передаваемых в Excel-

( )файлах сразу же при получении письма

автоматическая корректировка - « » значений полей из за умного

редактора Excel выявление реального получателя из

( )полей если он указан в назначении

автоматический импорт данных о, мошенниках зарегистрированных в

базе Fraudmonitor ( )ежечасно

автоматическая передача данных вFraudmonitor , о мошенниках

выявленных в банке ( по желанию)банка

выявление реального получателя из ( )полей если он указан в назначении

#CODEIB


Мгновенный старт спредустановленными

правилами обнаружения .

САМООБУЧЕНИЕ

модернизация правил обнаружения ПОСТОЯННО специалистами

компании Фродекс

обучение из внешних источников

FRAUDWALL


FRAUDWALL

конструктор правил для самостоятельной« » тонкой подстройки

один день на развертывание продукта

разработка изначально под отечественную банковскую специфику


независимость от системы ДБО

Работа с различными системами ДБО одновременно

лицензирование по числу активных клиентов ДБО

BS-Client 3.0, iSimpleBank 2.0, интеграция с ДБО isFront, Finacle e-Banking

( , « » универсальный режим толстый клиент незнакомая)ДБО


Хотите попробовать?

Получите FRAUDWALL на срок до четырех месяцев бесплатно.

!СПАСИБО ЗА ВНИМАНИЕ

Фродекс - Мошенничество в системах ДБО

Business