Фродекс. Андрей Луцкович. " fraudwall - антифрод для АРМ-а...
TRANSCRIPT
АНДРЕЙ ЛУЦКОВИЧГЕНЕРАЛЬНЫЙ ДИРЕКТОР
ООО ФРОДЕКС
FraudWall – антифрод для АРМ-а КБР
www.frodex.ru
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Немного статистики за 2015 год
«Изучай прошлое, если хочешь предвидеть будущее» Конфуций
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Думаете, в стране финансовый
кризис и воровать нечего?
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: динамикаинцидентов в ДБО (2014-2015)
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается существенный рост
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО юр. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО юр. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего у клиентов – юридических лиц?
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО физ. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО физ. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего у клиентов – физических лиц?
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
АТАКИ НЕ НА КЛИЕНТОВ БАНКА, А НА БАНКИ
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и дальнейшая кража средств,шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские терминалы QUIK, TRANSAQ)
клиенты банков (кража через ДБО) расчетные системы
КОГДА: с 2011 г., продолжает активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
август 2015:атака на Объединенную расчетную систему,кража 500 млн. руб.
февраль 2015:атака на банковский торговый терминал QUIK,ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки (кража через АРМ КБР)
клиенты банков (кража через ДБО)
КОГДА: с 2014 г., продолжает активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.Источник: Аналитические отчеты компании Group-IB
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г. подверглись атакам 19 банков, удалось предотвратить кражу средств на общую сумму 1,5 млрд. руб.
август 2015: 1 банк, 25 млн.руб.
октябрь 2015: 1 банк, 99 млн.руб.
ноябрь 2015: 2 банка, общая сумма 75 млн.руб.
декабрь 2015: 5 банков, общая сумма 571 млн.руб.
январь 2016: 2 банка, общая сумма 240 млн.руб.
февраль 2016: 2 банка, общая сумма 859 млн.руб.
март 2016: 2 банка, общая сумма 500 млн.руб.
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР1 этап – рассылка письма
Потенциальной жертве приходит письмо с вложением. Текст письма, как правило, связан с деятельностью сотрудника
Вредоносный код в письмене обнаруживается антивирусами
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР1 этап – рассылка письма
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР2 этап – запуск загрузчика
Вы все еще считаете, чтоRTF-документы безопасны?
Вложение к письму представляет собой RTF-документ, эксплуатирующий уязвимость CVE-2012-0158 (выполнение произвольного кода из-за переполнения буфера в библиотеке MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается загрузчик, который из сети Интернет скачивает, а затем устанавливает специализированный троян
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР3 этап – создание локальной bot-сети
Если вылечить один компьютер, через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить максимальное число компьютеров.
Функционал трояна:
кейлоггер
сборщик паролейудаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР4 этап – поиск АРМ КБР
Мошенники детально разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР.
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР5 этап – атака
Поддельные платежные поручения попадают на АРМ КБР даже если он
отключен от сети и обмен идет через USB Flash
В назначенный день X осуществляется атака – платежные поручения, отправляемые в АРМ КБР, либо модифицируются (меняется р/с получателя) без изменения числа платежных поручений, либо формируются дополнительные платежные поручения (порядка 2000 штук)
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Атака на АРМ КБР6 этап – уничтожение следов
Администраторы банка в первую очередь пытаются восстановить
работоспособность сети, не проверяя платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перегружается и становится неработоспособным.
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
КАКИЕ ПРОГНОЗЫ?
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
февраль 2016: исходники трояна BUHTRAP
выложены в свободный доступ#CODEIB
Г. САНКТ-ПЕТЕРБУРГ21 АПРЕЛЯ 2016
Теперь каждый школьник может взломать банк!
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
FraudWall: комплексное решение
Предотвращение кражи средств в
системах ДБОБорьба с
внутренним мошенничеством(платежи в АБС)
Предотвращение кражи средств через АРМ КБР
#CODEIBГ. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Система голосового подтверждения подозрительных
платежей
Антифрод-система
Центр управления инфраструктурой
серверов FraudWall
FraudWall: комплексное решениеСервис по обнаружению проблем на компьютере
клиента банка
СПАСИБО ЗА ВНИМАНИЕ!
АНДРЕЙ ЛУЦКОВИЧООО ФРОДЕКС,
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
www.frodex.ru
#CODEIBГ. МИНСК
14 АПРЕЛЯ 2016