МОШЕННИЧЕСТВО В СИСТЕМАХ ДБО.

АНАЛИЗ И КОНТРОЛЬ ОПЕРАЦИЙ

Евгений Чугунов

ЭКСПЕРТ

ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КОМПАНИИ КРОК

СОДЕРЖАНИЕ

• Злоумышленники — с кем приходится

бороться

• Типовые схемы мошенничества:

внешнего и внутреннего

• Ключевые этапы — почему

мошенничество возможно

• Обнаружить и предотвратить — методики

и технологии

• Заключение и рекомендации

– БД клиентов, профили, окружение и пр.

• «Сборщики» информации

• Вирусописатели– Заказные разработки под конкретную задачу

• Посредники

Организованное

сообщество

• Распространители

– Получение контроля, сбор аутентификационных данных и т.п.

– Покупка/продажа БД, рассылок, «троянов», «закачек» и пр.

• Конечные исполнители– Перевод и обналичивание денег

ЗЛОУМЫШЛЕННИКИ

ЗЛОУМЫШЛЕННИКИ. ЦЕЛИ

Задача — несанкционированное распряжение чужими

средствами

Цели

• … Физические лица — владельцы счетов

• ... Физические лица — держатели карт

• … Юридические лица — клиенты банка

Расстановка приоритетов: средства на счетах

юридических лиц

ТИПОВАЯ СХЕМА. ЭТАПЫ

Этап 1. Сбор информации об объектах

• Создание и иследование тематических форумов

• Наличие помощников в банке

• Анализ общедоступных источников

• Массовые рассылки и случайные заражения

Результат — база данных клиентов: контакты,

используемые сервисы и услуги и пр.

Основной сценарий — выставление базы на продажу

ТИПОВАЯ СХЕМА. ЭТАПЫ

Этап 2. Получение пула контролируемых объектов

• Массовые рассылки и случайные заражения

• Профилирование уже зараженных объектов

• и пр.

Результат — «закачки»: возможность контроля

тематической выборки объектов

Основной сценарий — выставление на продажу

ТИПОВАЯ СХЕМА. ЭТАПЫ

Этап 3. Подготовка специального инструментария

• Исследование уязвимостей систем ДБО

• Разработка специализированного вредоносного кода

• Создание фишинговых сайтов

• Исследование уязвимостей объектов воздействия

Результат — специализированный инструментарий

Основной сценарий — выставление на продажу

ТИПОВАЯ СХЕМА. ЭТАПЫ

Этап 4. Проведение адрессных атак

• Адрессная доставка специализированного

вредоносного контента

• Сбор и накопление данных аутентификации с помощью

специализированых средств

• ...

Результат — база данных аутентификации, адрессные

«закачки»

Основной сценарий — выставление на продажу

ТИПОВАЯ СХЕМА. ЭТАПЫЭтап 5. Кража и снятие средств

• Подготовка способов снятия

• Перевод средств

– В электронные платежные системы (до 15 т.р.

без идентификации)

– На карточные счета физ. лиц

– На счета физ. лиц

• Снятие средств

• С карт сообщниками за рубежом

• Со счетов по поддельным документам

ТИПОВАЯ СХЕМА. ЭТАПЫ

Этап 6. Прикрытие

• Выведение из строя рабочего места клиента

• Блокирование SIM-карты клиента

• Затруднение работы системы ДБО — DDoS атаки

Результат — дополнительное время на снятие средств

Основной сценарий — покупка услуг у третьих лиц

КЛЮЧЕВЫЕ ЭТАПЫ. ПОЧЕМУ

МОШЕННИЧЕСТВО ВОЗМОЖНО

Этап 5

Кража и снятие средств

Этап 3

Подготовка специального инструментария

Причина• Возможность снять средства:

поддельные карты, документы и пр.

• Возможность переводов: украденные или фиктивные счета, множество платежных систем, необязательность идентификации и т.д.

• Возможность доступа к ДБО с украденными данными

Обоснование

• Возможность перехватить данные аутентификации: ключи, пароли и пр.

• Уязвимости систем ДБО: уязвимости web-приложения, клиента

МЕТОДИКИ И ТЕХНОЛОГИИ

ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ

Возможность перевести деньги злоумышленником

Проблема Решение

• Карты с чипом

• Дополнительная аутентификация клиентов при закрытии счета, снятии средств и пр.

Возможность доступа в ДБО с украденными данными аутентификации

• Автоматизированный контроль подозрительных операций: системы контроля мошенничества

• Risk-based аутентификация

• Привязка к конкретным АРМ

• OTP и Challenge\Response

• Несколько ЭЦП (ex.: для юр. лиц)

Возможность снять средства злоумышленником

Уязвимости систем ДБО

Проблема Решение

• Виртуальная клавиатура для ввода

• Защищенные хранилища ключевой информации (токены, смарт-карты и пр.)

Возможность перехватить данные аутентификации

• Web Application Firewall (Imperva SecureSphere, Radware AppWall)

МЕТОДИКИ И ТЕХНОЛОГИИ

ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ

КОМПЛЕКС РЕШЕНИЙ

Аутентификационный центр. Задачи и функции

• Единое окно аутентификации клиентов и авторизации

транзакций для всех каналов ДБО (IVR, Web, WAP,

SMS, приложений мобильных телефонов и пр.)

• Реализация принципа однократной аутентификации

в системах ДБО

• Risk-based аутентификация (адаптивный контроль

доступа)

• Реализация аутентификации по OTP

КОМПЛЕКС РЕШЕНИЙАутентификационный центр. Архитектура

Сервисная шина

АБС 3

АБС 4

Интернет-

банк

АБС 1АБС 2

Инфраструктура сервисов банка

Система

управления

доступом

(WEB)

Интеграционные

средства

B2B

Web Application

Firewall

Система

управления

смарт-картами

CMS

Сервер

аутентификации по

одноразовым

паролям

OTP

SMS-шлюз

Центр аутентификации банка

Сервис PKI

Клиенты банка

Adaptive

AM

КОМПЛЕКС РЕШЕНИЙ

Аутентификационный центр. Продукты

• Imperva SecureSphere, Radware AppWall

• Oracle/Sun/IBM Access Manager

• ActivIdentity 4TRESS

• ActivIdentity CMS

• IBM DataPower

• …

Web Application

Firewall

Cистема

аутентификации и

управления

доступом

Сервис PKI

Система управления

смарт-картами CMS

Интеграционные

средства (B2B)

Сервис

аутентификации по

одноразовым

паролям (OTP)

КОМПЛЕКС РЕШЕНИЙ

Системы контроля мошенничества.

Анализ действий и операций

• Rule-based (основа — правила)

• Математическая модель

– Выставление оценки поведению

– Анализ отклонений от профиля, аномалии и пр.

• In-line и off-line размещение

• Универсальные vs. вертикально ориентированные

(on-line banking, e-commerce и пр.)

• Внутреннее и внешнее мошенничество

• Inhouse/Hosted размещение

КОМПЛЕКС РЕШЕНИЙСистема контроля мошенничества. Intellinx

Идентификатор

АРМ

Intellinx sensor,

Analyzer,

Database

Intellinx Rule

Engine

Black/Red/White Lists

Intellinx

Investigation

Center

Auditors

Reports

Web ServerApplication

ServerIntellinx Web Filter

КОМПЛЕКС РЕШЕНИЙ

Система контроля мошенничества. Продукты

• Intellinx: мошенничество в ДБО и внутреннее

мошеничество

• RSA Adaptive Authentication и Identity Verification

• Entrust TransactionGuard и IdentityGuard

ЗАКЛЮЧЕНИЯ И РЕКОМЕНДАЦИИ

Клиент считает, что виноват Банк,

Банк считает, что виноват клиент...

Ситуацию изменит:

• Контроль мошеннических операций

• Подходящий способ аутентификации для каждого

клиента

• ...

СПАСИБО ЗА ВНИМАНИЕ!

Чугунов Евгений Игоревич

ЭКСПЕРТ

ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КОМПАНИИ КРОК

Тел: (495) 974 2274

E-mail: echugunov@croc.ru