Post on 31-Dec-2015
description
Zlorabe elektronskega bančništva
-potek preiskave v praksi-
Bojan Ostanek, SKP Ljubljana
Prijava kaznivega dejanja Dne 26.08.2006 A.B. na PP Ljubljana prijavi, da mu je
nekdo iz bančnega računa odtujil 700.000,00 SIT
Gotovina je bila ukradena iz njegovega e-bančnega računa tako, da je bila znotraj e-banke preko načina WU Money transfer nakazana osebi C.D. v BIH
Oškodovani A.B. zagotavlja, da prenakazila ni opravil sam, saj tega dne sploh ni uporabljal osebnega računalnika, preko katerega dostopa do svojega e-bančnega računa...
?????
Način storitve KD
700.000,00 SITX- certifikat
- geslo
avtentikacija
700.000,00 SIT
He,he..
26.08.2006
g. A.B. g. C.D.
NN storilec
strežnik bankee-račun g. A.B.
"neklasično" kaznivo dejanje
predstavlja:
okolje, v katerem je bilo dejanje storjeno (virtualni svet, informacijski sistem, internet)
znanje storilca in sredstva za izvršitev KD, način storitve?
neznanje organov pregona (policija, tožilstvo, sodišče...- slaba pravna praksa na tem področju)
Zbiranje dokazov - klasične preiskovalne metode
splošna obvestila (TRR, banka, podatki o zneskih, časih transakcij ter prejemniku nakazila) – splošna okoliščine za zapisnik o sprejemu UKO
listine in predmeti (!), pridobljeni od oškodovanca
opravljen razgovor pri skrbniku sistema (banka) oz. kontaktni osebi za informacijsko varnost, pridobivanje dnevniških datotek iz strežnika banke, o dostopih na e-bančni profil oškodovanega
analiza dnevniških zapisov v smislu izsleditve lokacije delovanja storilca ob spornih prenosih (IP naslov - dnevniška datoteka)
pridobivanje informacij o transakciji Western Union
Zbiranje dokazov - nadaljevanje
izdelana kopija trdega diska računalnika oškodovanca za namene nadaljnje forenzične obdelave (zloraba/vdor?)
pridobiti IP naslov, iz katerega je bila iz ošk. računa (na strežniku banke) izvedena sporna transakcija
Nadaljnja preiskava
Po podatkih internet ponudnika je bil IP naslov, iz katerega je bila izvedena sporna transakcija, v kritičnem času dodeljen naročniku E.F.
Pridobljena odredba za preiskavo stanovanja in drugih prostorov, zasežena računalniška oprema in listin, izdelana kopija trdih diskov za nadaljnjo forenzično obdelavo
Način storitve KD
700.000,00 SITX- certifikat
- geslo
avtentikacija
700.000,00 SIT
He,he..
g. A.B. g. C.D.
strežnik bankee-račun g. A.B.
E.F. ?
?
Nadaljnja preiskava
v tem času prejete nove prijave ter obvestila, da se pojavljajo nove zlorabe elektronskega bančništva
v obdobju 10 dni odtujena gotovina iz e-bančnih računov 9 oškodovancev v skupni vrednosti takratnih 11 MIO SIT
ukradena gotovina je bila prenešena na TRR samostojnega podjetnika s.p. iz Ljubljane
prične se intenzivno delo v smeri izvedbe prijetja osumljenega s.p., zaradi kaznivega dejanja Velike Tatvine
Prijetje
dne 18.09.2006 je bil v bančni poslovalnici prijet osumljeni F.G., ko je skušal opraviti dvig gotovine, ki je izvirala iz zlorabe e-bančnega računa zadnjega oškodovanca
osumljenemu je bil ob prijetju zasežen izpolnjen nalog za izplačilo ukradene gotovine, več mobilnih telefonov, osebne izkaznice na tuja imena ter gotovina v znesku 400.000,00 SIT
med preiskavo na domu osumljenega ni bilo najdene računalniške opreme
zaradi suma storitve kaznivega dejanja Velike tatvine po 1. točki 1. odstavka 212 člena KZ v zvezi s 25. členom je bil s kazensko ovadbo in dokazi priveden pred preiskovalnega sodnika
Zoper F.G. je preiskovalni sodnik odredil pripor (kasneje obsojen na 2 leti in 10 mesecev zapora)
Nadaljnja preiskava
F.G.E.H.
164.8.211.18
1 32 54 76 8 9
86.61.124.93212.118.80.185 86.61.74.170neznano
193.77.138.243 86.61.61.249 86.61.38.89 86.61.107.225 193.77.23.79 193.77.230.173 86.61.114.35
bančni strežnik
11.000.000,00 SIT
Forenzični pregled podatkov
v predkazenskem postopku za opisan sklop kaznivih dejanj zaseženih 23 računalnikov, večje število CD/DVD nosilcev ter nekaterih listin
vsi podatki (digitalni dokazi) iz računalnikov so bili zavarovani na način, ki zagotavlja vrednost dokazov na sodišču in hkrati daje možnost strokovnega mnenja tretje osebe
Forenzična obdelava (sicer poteka glede na vrsto posameznega KD) : osnovni podatki o sistemu: strojna oprema, vrsta operacijskega sistema, registrirani uporabniki, čas
namestitve, nameščena programska oprema pregled datotek, ki so nastale pri delovanju sistema (dnevniške datoteke, sistemske datoteke,
delujoči procesi...), kdaj je bil računalnik vključen/izključen, ipd. test z antivirusnim programom (rezultati?!) odkrivanje anomalij, ki so se dogajali na pregledovanem sistemu v času kritičnih transakcij izločanje sumljivih datotek/programov njihova nadaljnja analiza v primernem "izoliranem" računalniškem okolju izločanje/ zavarovanje dokazov (zapisov oz. datotek) iz sistema, izdelava uradnega zaznamka o
pregledu podatkov v digitalni obliki primerjava najdenih sledov z sledovi, najdenimi na ostalih zaseženih računalnikih / ..povezave..
Najdeni dokazi - nadaljevanje
v sistemskih datotekah najdeni zapisi o delovanju nekaterih spornih programov ter zapisi o prenosih sovražnih datotek iz oddaljenih spletnih strežnikov
sovražne datoteke so bile prenešene na sistem pred kratkim, v enem primeru iz slovenskega strežnika internet ponudnika, ki poleg dostopa do interneta ponuja tudi brezplačen prostor na strežniku (~do 10mb)
na podlagi odredbe (ZKP,čl. 149b I.) pridobljeni podatki o tem, kdo in kdaj je spletno mesto kreiral ter podatke oz. zapise o prenosih datotek na/iz navedenega spletnega mesta (hkrati tudi za tujino preko SI-CERT)
pridobljeni podatki so kazali, da je bilo spletno mesto ustvarjeno iz IP naslova, ki je bil v kritičnem času dodeljen fizičnemu uporabniku iz Ljubljane
na podlagi odredbe OS Ljubljana je bila na naslovu opravljena hišna preiskava in zasežena računalniška oprema
Forenzični pregled
Pri pregledu računalnika osumljenega I.J. najdeni sledovi storitve večih kaznivih dejanj, glede obravnavanega primera pa:
najdeni osebni certifikati in osebna gesla vseh oškodovancev spletnega bančništva
najdeni zapisi o izvedbi spornih transakcij najdeni slike oz. "zajemi zaslonov", kjer so vidni dostopi
osumljenega do e-bančnih računov oškodovancev najdeni zapisi o pritiskih na tipkovnico iz osebnih računalnikov
oškodovanih (t.i. keylogger) - datoteka! najdena programska orodja za izvršitev KD (izdelani trojanski
konji)
Način storitve
okužba določenih (dobro obiskanih) spletnih strani, z vnosom t.i. "escape code" zapisa (prikaz!)
ob obisku naš spletni brskalnik kodo (poleg html) prebere in tudi izvrši
v obravnavanem primeru je koda narekovala spletnemu brskalniku, da iz oddaljenega strežnika prenese trojanskega konja, ki se namesti na naš sistem
trojanski konj vpiše v register, da se avtomatično zažene ob vsakem zagonu računalnika ter pošilja signale (tukaj sem!...) na oddaljeni strežnik, katerega vnaprej določi napadalec pri izdelavi trojanskega konja
napadalec se s programom (odjemalcem) neovirano priključi na računalnik preko t.i. stranskih vrat in ima kontrolo nad sistemom
Shema okužbe
hacker
oškodovanec
www.policija.siwww.trojanec.si
Trojanski konj uspešno nameščen
Dostop preko stranskih vrat
Napad – vnos skripte
Izvedba
skripte
virus movie!
Nauk zgodbe...
kaj je z računalniki in osebami (E.F), preko IP katerih so bila izvedena prenakazila?
kako se zavarujemo pred tovrstnimi zlorabami?
(rezultat virustotal.com)
kdo je torej kriv, da se zlorabe elektronskega bančništva lahko zgodijo?
osumljenec, ki je izvedel neupravičene transakcije iz TRR oškodvancev ovaden za 17 KD sostorilstva pri Velikih Tatvinah, 19 KD Neupravičenega vstopa v informacijski sistem ter KD Izdelovanja orodij in pripomočkov za vdor v informacijski sistem.
?VPRAŠANJA?