ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития...

АНДРЕЙ ЛУЦКОВИЧ

ГЕНЕРАЛЬНЫЙ ДИРЕКТОРООО ФРОДЕКС

[email protected]

Актуальные тренды развития угроз кибермошенничества в организациях

кредитно-финансовой сферы

www.frodex.ru

#CODEIB

Г. МИНСК14 АПРЕЛЯ 2016

Немного статистики за 2015 год

«Изучай прошлое, если хочешь предвидеть будущее» Конфуций

#CODEIB


Думаете, в стране финансовый

кризис и воровать нечего?

#CODEIB


Статистика ЦБ РФ: динамикаинцидентов в ДБО (2014-2015)

- объем несанкционированных списаний, млн. руб.

- количество несанкционированных операций в ДБО, ед.

Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год

Наблюдается существенный рост

#CODEIB


Статистика ЦБ РФ: ДБО юр. лиц

- предотвращено, млн. руб.

- украдено, млн. руб.


- количество инцидентов, ед.

#CODEIB


Статистика ЦБ РФ: ДБО юр. лиц



Какие суммы пытаются украсть чаще всего у клиентов – юридических лиц?

#CODEIB


Статистика ЦБ РФ: ДБО физ. лиц

- предотвращено, млн. руб.

- украдено, млн. руб.



#CODEIB


Статистика ЦБ РФ: ДБО физ. лиц



Какие суммы пытаются украсть чаще всего у клиентов – физических лиц?

#CODEIB


Статистика ЦБ РФ : итоги


#CODEIB


ТРЕНД 2015 ГОДА:

АТАКИ НЕ НА КЛИЕНТОВ БАНКА, А НА БАНКИ

#CODEIB


ТРЕНД 2015 ГОДА:

Банк России отмечает смешение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.


#CODEIB


ГРУППИРОВКА:

Группировки киберпреступников

Anunak (Carbanak)

СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и дальнейшая кража средств,шпионаж, целевые атаки

КОГДА: с 2013 г., продолжает активно действовать

ОБЩИЙ УЩЕРБ: более 1 млрд. руб.

Источник: Аналитические отчеты компании Group-IB

#CODEIB




Corkow (Metel)

СПЕЦИАЛИЗАЦИЯ: банки (брокерские терминалы QUIK, TRANSAQ)

клиенты банков (кража через ДБО) расчетные системы



#CODEIB




Corkow (Metel)

август 2015:атака на Объединенную расчетную систему,кража 500 млн. руб.

февраль 2015:атака на банковский торговый терминал QUIK,ущерб около 200 млн. руб.

НАИБОЛЕЕ КРУПНЫЕ ИНЦИДЕНТЫ:


#CODEIB




Buhtrap

СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки (кража через АРМ КБР)

клиенты банков (кража через ДБО)


ОБЩИЙ УЩЕРБ: около 1 млрд. руб.Источник: Аналитические отчеты компании Group-IB

#CODEIB


Группировка Buhtrap: хронология

По данным FinCERT, по состоянию на 1 марта 2016 г. подверглись атакам 19 банков, удалось предотвратить кражу средств на общую сумму 1,5 млрд. руб.

август 2015: 1 банк, 25 млн.руб.

октябрь 2015: 1 банк, 99 млн.руб.

ноябрь 2015: 2 банка, общая сумма 75 млн.руб.

декабрь 2015: 5 банков, общая сумма 571 млн.руб.

январь 2016: 2 банка, общая сумма 240 млн.руб.

февраль 2016: 2 банка, общая сумма 859 млн.руб.

март 2016: 2 банка, общая сумма 500 млн.руб.

#CODEIB


#CODEIB


Атака на АРМ КБР

#CODEIB



1 этап – рассылка письма

Потенциальной жертве приходит письмо с вложением. Текст письма, как правило, связан с деятельностью сотрудника

Вредоносный код в письмене обнаруживается антивирусами

#CODEIB



1 этап – рассылка письма#CODEIB



2 этап – запуск загрузчика

Вы все еще считаете, чтоRTF-документы безопасны?

Вложение к письму представляет собой RTF-документ, эксплуатирующий уязвимость CVE-2012-0158 (выполнение произвольного кода из-за переполнения буфера в библиотеке MSCOMCTL.OCX)

При открытии этого вложения автоматически запускается загрузчик, который из сети Интернет скачивает, а затем устанавливает специализированный троян

#CODEIB



3 этап – создание локальной bot-сети

Если вылечить один компьютер, через некоторое время он повторно

заражается от другого

Троян сканирует сеть и пытается заразить максимальное число компьютеров.

Функционал трояна:

кейлоггер

сборщик паролей

удаленный доступ из Интернет

подключение к другому компьютеру по RDP

уничтожение MBR-записи на жестком диске

►

►

►

►

►

#CODEIB



4 этап – поиск АРМ КБР

Мошенники детально разбираются с особенностями

работы с АРМ КБР в банке

При сканировании сети ищется не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР.

#CODEIB



5 этап – атака

Поддельные платежные поручения попадают на АРМ КБР даже если он

отключен от сети и обмен идет через USB Flash

В назначенный день X осуществляется атака – платежные поручения, отправляемые в АРМ КБР, либо модифицируются (меняется р/с получателя) без изменения числа платежных поручений, либо формируются дополнительные платежные поручения (порядка 2000 штук)

#CODEIB



6 этап – уничтожение следов

Администраторы банка в первую очередь пытаются восстановить

работоспособность сети, не проверяя платежи, отправленные через АРМ КБР

Троян имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перегружается и становится неработоспособным.

#CODEIB


КАКИЕ ПРОГНОЗЫ?

#CODEIB


февраль 2016: исходники трояна BUHTRAP

выложены в свободный доступ#CODEIB


Теперь каждый школьник может взломать банк!

#CODEIB


Ускорение развития инструментов, через

публикацию исходных кодов – устойчивый тренд!

#CODEIB


#CODEIB


28 марта 2011 г. – раскрыты

исходники трояна Zeus

огромное число модификаций Zeus,

№1 по числу преступлений

#CODEIB



исходники трояна Zeus24 июня 2013 г. – раскрыты

исходники трояна Carberp

огромное число модификаций Zeus,


#CODEIB





10 июля 2014 г. – раскрыты

исходники TinyBanker

27 мая 2014 г. – новый

троян Zberpогромное число модификаций Zeus,


19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos4 июня 2014 г.

самый популярный rootkit Root.Boot.Cidox

11 июня 2014 – новый

троян Pandemiya

#CODEIB





10 июля 2014 г. – раскрыты

исходники TinyBanker

27 мая 2014 г. – новый

троян Zberpогромное число модификаций Zeus,


19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos 4 июня 2014 г.самый популярный rootkit

Root.Boot.Cidox11 июня 2014 – новый

троян Pandemiya

?

?

?

?

?

?

#CODEIB


НОВАЯ РЕАЛЬНОСТЬ – СЕТЬ БАНКА НЕ ДОВЕРЕННАЯ СРЕДА

• отказ от традиционности мышления (внутренняя, внешняя сеть)

• отсутствие знания и понимания того, что сейчас происходит – путь к провалу

• план действий на случай пожара есть, а на случай атаки нет

#CODEIB


Реинкарнация вирусных технологий, отработанных на клиентах банка!

СМЕНА ЦЕЛИ: ОТ КЛИЕНТОВ К БАНКУ

#CODEIB


Звонок в БАНК – по очень важному делу!

• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников

• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать платежи, «новый» номер телефона для связи.

• обратный звонок по срабатыванию системы антифрода по «новому» телефону -платежи подтверждают как созданные клиентом.

РИСК - ДЕЛО БЛАГОРОДНОЕ!

#CODEIB


Насколько полезен межбанковский обмен информацией о реквизитах получателей - мошенников?

Повторяемость мошеннического платежа на дроперадовольно большая, хотя большинство мошенническихплатежей идут на неизвестных получателей

Зафиксирован даже мошеннический платеж, информация о получателе – мошеннике которого пришла 3 года назад

НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!

#CODEIB


Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов

НОВИЧКИ РАБОТЯГИ ПРОФИ

появились летом 2014 года «работают» с 2013 года «работают» с 2013 года

1. работают с «левых» IP2. мало опыта работы в

интерфейсе ДБО

1. работа в proxy-режиме2. проброс USB-портов

Работа в режиме удаленного управления компьютером жертвы

#CODEIB


ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!

СПАСИБО ЗА ВНИМАНИЕ!

АНДРЕЙ ЛУЦКОВИЧООО ФРОДЕКС,

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР

[email protected]

www.frodex.ru

#CODEIB


ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития...

Software

Transcript of ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития...