Андрей Луцкович (frodex) "Мошенничество в системах...

Мошенничество в системах ДБО:

взгляд человека по середине

Эффективные технологии противодействия

мошенничеству

Конференция: Код информационной безопасностиЕкатеринбург 2013

Компания Фродекс

мы специалисты с многолетним опытом работы в рядах служб ИБ финансовых организаций

являемся разработчиками собственной антифрод-системы FRAUDWALL

проводим глубокий анализ инцидентов

отслеживанием тренды киберпреступности

Эффективные технологии противодействия мошенничеству

Масштабы потерь


По данным Group-IB http://www.group-ib.ru

http://www.group-ib.ru/


По данным аналитической лаборатории компании ESET

95% инцидентов - результат деятельности специализированных банковских троянов:

• Win32/Shiz• Win32/Hodprot• Win32/Sheldor• Win32/RDPdoor• Win32/Carberp

Основные причины


Из доклада Алексея Лукацкого на Cisco Expo 2011 «Бизнес модель современной киберпреступности»

http://2011.zeronights.ru/files/alexeylukatsky-bostoncybercrimematrixorwhatisthebusinessmodelofthemodernhacker-111202040113-phpapp01.pdf

http://2011.zeronights.ru/files/alexeylukatsky-bostoncybercrimematrixorwhatisthebusinessmodelofthemodernhacker-111202040113-phpapp01.pdf


Доступность

Из доклада Максима Гончарова, «Подпольный рынок 101: статистика цен и схемы ценообразования» на PHDays2013


Комплектации (каждая последующая включает в себя предыдущие)

• Минимальная• Расширенная• Полная• Буткит (MBR-загрузчик бота (win xp/7))

Carberp - яркий пример Fraud as a Service

Возможности Шифрование трафика Модуль Хантер Универсальный кейлоггер Автообновление крипта и доменов Поиск слов в документах Запись видео RDP и VNC Гейты Буткит


• Правила предоставления лицензии • Планы по разработке • Обновления

Прайс и контакты

• Минимальная - $5к или $2к/мес• Расширенная - $10к или $3.5к/мес• Полная - $15к или $5к/мес• Буткит - $40к или $10к/мес

Установка админки - $100

Carberp возможности

as a ServiceFRAUDSoftware


CARBERP теперь доступен всем!

Исходный код доступен по сей день (проверено 3.09.2013 г.)



5GB исходных текстов:

• реализация ключевых RK/VX-технологий, буткит (Rovnix);

• код реализации грабберов форм и внедрения кода в браузере (Carberp, Zeus);

• код локального повышения привилегий (LPE-эксплойты) для установки вредоносных драйверов в систему;

• исходные тексты других буткитов и троянских программ (Zeus, Stoned bootkit, Sinowal).

июнь 2013 Carberp – исходники в открытом доступе.

Что можно увидеть в исходниках Carberp’a



… НА ЭТОМ МЕСТЕ МОЖЕТ БЫТЬ И ВАШ БАНК!

Что можно увидеть в исходниках Carberp’a


Выводы


1. Абсолютно любой банк подвержен мошенничеству через ДБО

2. На любые средства защиты, выдаваемые клиентам находятся техники их обхода

3. Киберпреступность не только эффективно сотрудничает (SaaS, специализированные социальные сети), но и работает на будущее (утечка исходных кодов)

Яркий пример объективности сделанных выводов, это тренд последнего года,

развитие вирусов под мобильные устройства (Android, IOS). Появление вирусов

перехватывающих mTAN коды в СМС-сообщениях от банков : Zitmo (Zeus-in-the-

Mobile), Citmo (Caberp-in-the-Mobile).

В сухом остатке:


SaaS вошел в широкое употребление в 2001 году.

Fraud as a Service стал приметой нашего

времени начиная с 2011 года.

Когда же можно будет говорить о таком явлении

как

AntiFraud as a Service? FraudWALL as a Service!

FRAUDWALL– сервис обнаружения мошеннических платежей

Готов к работе с первого дня после установки! Продукт поставляется с предустановленными правилами обнаружения.

Получение “черных списков” из доверенных источников в автоматическом режиме.

Возможность как самообучения, так и данными из внешних источников.

Постоянная модернизация правил обнаружения специалистами компании Фродекс.


p.s. Это своеобразный “антивирус”, но только для банков. Его цель не вирусы, а мошенники.

Продукт FRAUDWALL


Минимальное время развертывания продукта (один день).

Комплект встроенных правил работоспособен сразу и доступен “по умолчанию”.

Продукт изначально разработан под отечественную банковскую специфику.

Независимость от системы ДБО. Смена ДБО не отразиться ни на работоспособности, ни на стоимости.

Конструктор правил позволит самостоятельно учесть любую специфику бизнеса

Как обнаруживаютсямошеннические платежи?

Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?

Статистика поустройству клиента:

ОТКУДА?

Статистика пополучателю:

КОМУ?

Статистикапо плательщику

ОТ КОГО?

Уникальные особенности FraudWall


Автоматический анализ платежей на транзитные счетаFraudWall содержит лексический анализатор текста, который позволяет извлечь реального получателя средств из текста назначения платежа. Это позволяет отделить мошеннические платежи от платежей клиента, идущих на один и тот же р/с банка

Глубокий анализ входных данных (на уровне дампа трафика)

FraudWall анализирует все особенности поведения клиента в системе ДБО, что позволяет более точно определить факт несанкционированного платежа, тем самым существенно снизить уровень ложного срабатывания системы

Поддержка черных списков, распространяемых в рамках межбанковского почтового обмена («антидроп - клуб») и зарегистрированных в системе Fraudmonitor (разработчик - компания Group-IB)

Низкие требования к аппаратному обеспечению

Автоматический анализ платежейна транзитные счета

Поддержка черных списковв системе FraudWall

«Живые» черные списки, актуальные для систем ДБО«Живые» черные списки, актуальные для систем ДБО

Антидроп – клуб(межбанковский обмен по e-mail)

Антидроп – клуб(межбанковский обмен по e-mail)

Fraudmonitor(разработчик: Group-IB)

Fraudmonitor(разработчик: Group-IB)

автоматический импорт данных о мошенниках, передаваемых в Excel-файлах (сразу же при получении письма)

автоматическая корректировка значений полей из-за «умного» редактора Excel

выявление реального получателя из полей (если он указан в назначении)

автоматический импорт данных о мошенниках, зарегистрированных в базе Fraudmonitor (ежечасно)

автоматическая передача данных в Fraudmonitor о мошенниках, выявленных в банке (по желанию банка)выявление реального получателя из полей (если он указан в назначении)

Этапы нормализации данных в процессе их обработки

RTSRTS Серверприложений

BS Client

Серверприложений

BS Client

БД

Сетевой трафик Internet

Уровень WWW

сервера

Уровень сервера

RTS

Уровень сервера приложений ДБО

Уровень АБС

Максимально доступный объем информации для анализа:

все тонкости сетевого трафика

ошибки в формате данных

фиксация ошибок WWW-сервера

детали по фрагментации данных

информация о браузере

информация о IP адресе

возможность блокировать вредоносный контент

информация о созданных, но еще неотправленных платежках

анализ поведенческой модели

отсутствует информация об ошибках WWW-сервера

нельзя блокировать вредоносный контент

Интернет -трафик «только

для чтения»:

ошибки злоумышленника «автоисправлены»

полностью нет информации об интернет - трафике

только реквизиты платежа и IP адрес

После нормализации:

нет информации о подготовительных действиях мошенника

только реквизиты платежа

Только платежное поручение:

Этапы нормализации данных в процессе их обработки

RTSRTS Серверприложений

BS Client

Серверприложений

BS Client

БД

Уровень сервера

RTS

Уровень сервера приложений ДБО

Уровень АБС

Максимально доступный объем информации для анализа:

все тонкости сетевого трафика

ошибки в формате данных

фиксация ошибок WWW-сервера

детали по фрагментации данных

информация о браузере

информация о IP адресе

возможность блокировать вредоносный контент

информация о созданных, но еще неотправленных платежках

анализ поведенческой модели

FraudWall


Платежи в режиме rAdmin и вирусные платежи!

Разве можно их обнаружить?

Пример вирусного платежа

Вован, а копейки зря не взяли


Интерфейс ДБО не позволяет создать такой

платеж!

Сумма платежа в запросе – без копеек

Интересные особенности вируса, осуществляющего подмену реквизитов платежа «на лету»


Добавлены несуществующие поля, нарушена последовательность полей(в отличии от типовой конфигурации BSS) – так иногда работает вирус с подменой реквизитов

Проблемы с НДС


попытка отправки платежки без НДС в назначении

значение НДС в тексте назначения не соответствует сумме платежа

Иногда мошенники хорошо маскируются


Бородавчатка обитает на дне возле коралловых рифов и камуфлируется под камень. Считается самой ядовитой рыбой в мире.

взято с Википедии

В одной сессии до и после мошеннического платежа идут платежи в пользу гос.органов

Любимое число мошенников


В начале 2013 г. много мошеннических платежей было с коэффициентом 0,77 (отношение суммы платежа к остатку на счете).

…а в 2012 году такой «популярностью» пользовалось

число 0,6

Назначение и получатель в кодировке utf


Мошеннический платеж был создан в 1С, затем отправлен в банк


Мошенники начинают мыслить нестандартно: раньше не было мошеннических платежей, импортированных через 1С.

… и даже мошенники умудрялись отправлять платежку в банк без суммы и назначения платежа


Вирусная активность


Недостатки традиционных подходов к обеспечению ИБ в ДБО


• Специалистами служб ИБ Банков подобная информация не изучается по ряду причин

• Ценность этой информации кратковременна, необходимо внедрять механизмы кратчайшего ее использования.

• Она дает эффект на большом количестве клиентов, позволяя предотвратить массовые атаки. Однако на сегодняшний день киберпреступники взаимодействуют гораздо лучше.

Устойчивые мифы вокруг систем антифрода


• Мы сами способны написать фильтры и решить проблему

• Надо дать клиентам очередную безопасную штуковину и достаточно.

• А мы сейчас внедрим антифрод от международного производителя…

• Антифрод это дорого!

…НО ЭТО НЕ ТАК!

Где используется ?

Разработанные нашими специалистами решения позволили предотвратить в банках свыше 500 мошеннических платежей со счетов юридических лиц, сформированных злоумышленниками в системах ДБО



Хотите попробовать?

Получите FRAUDWALL на срок до четырех месяцев бесплатно.

Андрей Луцкович (frodex) "Мошенничество в системах...

Business