Фродекс (А. Луцкович) - Мошенничество в системах ДБО
DESCRIPTION
Фродекс (А. Луцкович) - Мошенничество в системах ДБОTRANSCRIPT
АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,
ООО ФРОДЕКС[email protected]
эффективные технологии противодействия мошенничеству
МОШЕННИЧЕСТВО
в системах дистанционного
банковского обслуживания.
2014 год
#CODEIB
эффективные технологии противодействия мошенничеству
БОРЬБА С КИБЕРПРЕСТУПНОСТЬЮ
#CODEIB
эффективные технологии противодействия мошенничеству
Март 2012
Арест ОПГ «Carberp»
действовала более 2 лет
пострадали клиенты
свыше 100 банков по
всему миру
Использовали Carberp
Распространяли с помощью drive-by
атак через сайты известных российских
организаций, СМИ и государственных
служб.
Взяли всю преступную
цепочку, включая
организатора владельца бот-
сети, «заливщиков», дропов.
Всего 8 человек.
Июнь 2012
Арест группы «Hodprot»
Действовала более 4
лет.
Группировка «Гермеса»
(он же «Араши»)
4 хищениям у клиентов
Сбербанка (более 13
млн рублей) и у
клиентов других банков
сумму более 150 млн
рублей
Использовали Hodprot,
в 2011 году перешли на Carberp
Состав 25 человек, не
считая обнальщиков.
К маю 2012 года около
6 миллионов зараженных
ПК.
Июль 2012
Группа в Ярославской и
Ленинградской областях
Действовала с 2011 года
Ущерб составляет
десятки миллионов
рублей.
Распространяя вредоносную
программу, злоумышленники получали
доступ к персональным компьютерам
организаций и граждан, которые
использовались для работы с
системами «Банк-Клиент».
В группу входило более 10
человек
Сентябрь 2012
братья Евгений и
Дмитрий Попелыши,
Александр Сарбин
13 млн. руб. с клиентских
счетов ВТБ 24приобрели на черном рынке Qhost
получили по 6 лет,
третий - 4 года, при этом все
сроки назначены условно
#CODEIB
2012 год
эффективные технологии противодействия мошенничеству
Апрель 2013
программист из Тольятти
Александр Пакичев
(42 года)
Действовал с августа 2011
года
Предотвращено хищение
около 1 млрд. рублей
Удалось получить
персональные данные
свыше 5 000 клиентов
российских банков
Создавал и распространял банкоские
трояны.
Использовал Carberp, исполняющейся в
контексте программы браузера,
происходило внедрения HTML-кода в
отображаемые пользователю страницы.
За 2 года написал более 10
программ.
Продалвал в среднем по 9
тыс. рублей.
Приговорен к 1 году условно,
со штрафом в 100 тысяч
рублей.
Получал номер моб.
телефона, клонировал сим-
карты в салонах сотовой
связи, обходил смс
подтверждения платежей.
Март-май 2013международная ОПГ (суд
Киева)
создание и распространение Carberp
в России и на Украине
к пяти годам лишения
свободы с отсрочкой на три
года орг. два участника
Сентябрь 2013Азамат Вербицкий
24 года продавал банковские трояны1 год 4 месяца колонии
общего режима
Декабрь 2013
Арест 13 человек, в том
числе создатель связок-
сплойтов «Blackhole», Cool
Exploit Kit.
Общий ущерб от
действий подозреваемых
составил около 70 млн
рублей
продажи связок эксплойтов «Blackhole»
и «Cool Exploit Kit» занимали около 40%
процентов рынка
#CODEIB
2013 год
эффективные технологии противодействия мошенничеству#CODEIB
4 октября 2013 года
Задержание 27-летнего жителя города Тольятти
Менеджер по рекламе и туризму, известный в
Интернете под псевдонимом «paunch», -
создатель популярных в среде
киберпреступников связок
эксплоитов «Blackhole» и «Cool Exploit Kit»
http://www.group-ib.ru/list/176-news/?view=article&id=1362
эффективные технологии противодействия мошенничеству
Организаторы преступной группы «Carberp»
7 апреля 2014 приговорены к 5 и 8 годам
лишения свободы.
#CODEIB
эффективные технологии противодействия мошенничеству
ДОСТАТОЧНО ЛИ ЭТОГО?
#CODEIB
В 2013 г. было обезврежено большое число киберпреступников
Итого:
эффективные технологии противодействия мошенничеству
27 мая 2014: появился банковский троян Zberp, который основан на исходниках Zeus и Carberp. Его возможности:
• сбор информации о компьютере (имя, IP адрес и т.д.)• создание скриншотов• перехват POP3/FTP данных• кража SSL-сертификатов• кража и подмена данных, вводимых пользователем в браузере• предоставление возможности установки удаленного доступа к компьютеру жертвы по протоколам RDP и VNC
Источник: http://www.securitylab.ru/news/453372.php
#CODEIB
эффективные технологии противодействия мошенничеству
11 июля 2014: на российских Underground-форумах появился новый банковский троян Kronos. Его функционал:
• 32-х и 64-х битный rootkit
• перехват данных в Chrome, IE, FF
• вебинжекты в Chrome, IE, FF
• поддержка формата конфигурационных файлов трояна Zeus
• проактивный обход обнаружения антивирусами
• обход песочниц
• защита от других троянов
• шифрованный обмен между клиентом и сервером управления
• плагины
Источник: http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered
#CODEIB
эффективные технологии противодействия мошенничеству
10 июля 2014: стали публично доступны исходники банковского трояна TinyBanker (Tinba):
#CODEIB
эффективные технологии противодействия мошенничеству
19 августа 2014: стали публично доступны исходники трояна Dendroid,реализующий функционал удаленного управления Android-устройствами:
#CODEIB
эффективные технологии противодействия мошенничеству
Функционал Dendroid:
• удаление журналов звонков• звонок на требуемый номер• открытие Web-страниц• запись разговоров и аудио• перехват и блокирование SMS- сообщений• получение и залив фото и видео-файлов• доступ к адресной книге• запуск приложения• HTTP-flood для осуществления DoS атак• смена C&C севера (управляющего сервера)• содержит генератор APK-файлов для распространения
Источник: http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroidhttp://blog.phishlabs.com/vulnerabilities-found-in-dendroid-mobile-trojan
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
огромное число
модификаций Zeus,
№1 по числу преступлений
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
огромное число
модификаций Zeus,
№1 по числу преступлений
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений 11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
#CODEIB
эффективные технологии противодействия мошенничеству
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
??
?
?
?
?
#CODEIB
эффективные технологии противодействия мошенничеству
НАБЛЮДАЕМЫЕ
ГРУППИРОВКИ МОШЕННИКОВ
#CODEIB
эффективные технологии противодействия мошенничеству
Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов
#CODEIB
НОВИЧКИ РАБОТЯГИ ПРОФИ
появились летом 2014 года «работают» с 2013 года «работают» с 2013 года
1. работают с «левых» IP2. мало опыта работы в
интерфейсе ДБО
1. работа в proxy-режиме2. проброс USB-портов
Работа в режиме удаленного управления компьютером жертвы
эффективные технологии противодействия мошенничеству#CODEIB
ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!
эффективные технологии противодействия мошенничеству
Звонок в БАНК – по очень важному делу!
• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников
• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать
платежи, «новый» номер телефона для связи.
• обратный звонок по срабатыванию системы антифрода по «новому» телефону -
платежи подтверждают как созданные клиентом.
#CODEIB
РИСК - ДЕЛО БЛАГОРОДНОЕ!
эффективные технологии противодействия мошенничеству
Использование в качестве получателей – дроперов индивидуальных предпринимателей
… ранее мошеннические платежи были в основном на ООО и физ.лиц
#CODEIB
ТРЕНД 2014 ГОДА
эффективные технологии противодействия мошенничеству
Повторяемость мошеннического платежа на дропера
довольно большая, хотя большинство мошеннических
платежей идут на неизвестных получателей
Зафиксирован даже мошеннический платеж, информация о
получателе – мошеннике которого пришла 3 года назад
Насколько полезен межбанковский обмен
информацией о реквизитах получателей - мошенников?
НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!
#CODEIB
эффективные технологии противодействия мошенничеству
Великолепный нюх на мошенничество!
антифрод - система для ДБО
#CODEIB
эффективные технологии противодействия мошенничеству
«Живые» черные списки, актуальные для систем ДБО
Антидроп – клуб
(межбанковский обмен по e-mail)
Fraudmonitor
(разработчик: Group-IB)
автоматический импорт данных о
мошенниках, передаваемых в Excel-файлах
(сразу же при получении письма)
автоматическая корректировка значений
полей из-за «умного» редактора Excel
выявление реального получателя из
полей (если он указан в назначении)
автоматический импорт данных о
мошенниках, зарегистрированных в базе
Fraudmonitor (ежечасно)
автоматическая передача данных в
Fraudmonitor о мошенниках, выявленных
в банке (по желанию банка)
выявление реального получателя из
полей (если он указан в назначении)
#CODEIB
эффективные технологии противодействия мошенничеству#CODEIB
Мгновенный старт с
предустановленными правилами
обнаружения.
САМООБУЧЕНИЕ
модернизация правил обнаружения
ПОСТОЯННО специалистами компании
Фродекс
обучение из внешних источников
FRAUDWALL
эффективные технологии противодействия мошенничеству#CODEIB
FRAUDWALL
конструктор правил для самостоятельной
«тонкой» подстройки
один день на развертывание продукта
разработка изначально под отечественную
банковскую специфику
эффективные технологии противодействия мошенничеству#CODEIB
независимость от системы ДБО
Работа с различными системами ДБО одновременно
лицензирование по числу активных клиентов ДБО
интеграция с ДБО BS-Client 3.0, iSimpleBank 2.0, isFront, Finacle
e-Banking
универсальный режим (толстый клиент, «незнакомая» ДБО)
эффективные технологии противодействия мошенничеству#CODEIB
Хотите попробовать?
Получите FRAUDWALL на срок
до четырех месяцев бесплатно.
СПАСИБО ЗА ВНИМАНИЕ!