Мошенничество в системах ДБО

Мошенничество в системах ДБО:

взгляд человека по середине

Эффективные технологии противодействия мошенничеству

Конференция: Код информационной безопасностиЕкатеринбург 2013

Компания Фродекс

 мы специалисты с многолетним опытом работы в рядах служб ИБ финансовых организаций

 являемся разработчиками собственной   антифрод-системы FRAUDWALL

 проводим глубокий анализ инцидентов

 отслеживанием тренды киберпреступности

Эффективные технологии противодействия мошенничеству

Масштабы потерь

Эффективные технологии противодействия мошенничеству

По данным Group-IB http://www.group-ib.ru

Эффективные технологии противодействия мошенничеству

По данным аналитической лаборатории компании ESET

95% инцидентов - результат деятельности специализированных банковских троянов:

• Win32/Shiz• Win32/Hodprot• Win32/Sheldor• Win32/RDPdoor• Win32/Carberp 

Основные  причины

Эффективные технологии противодействия мошенничеству

Из доклада Алексея Лукацкого на Cisco Expo 2011 «Бизнес модель современной киберпреступности»

Эффективные технологии противодействия мошенничеству

Доступность 

Из доклада Максима Гончарова, «Подпольный рынок 101: статистика цен и схемы ценообразования» на PHDays2013

Эффективные технологии противодействия мошенничеству

Комплектации (каждая последующая включает в себя предыдущие)

• Минимальная• Расширенная• Полная• Буткит (MBR-загрузчик бота (win xp/7)) 

Carberp - яркий пример Fraud as a Service

Возможности Шифрование трафика Модуль Хантер Универсальный кейлоггер Автообновление крипта и доменов Поиск слов в документах Запись видео RDP и VNC Гейты Буткит

Эффективные технологии противодействия мошенничеству

• Правила предоставления лицензии • Планы по разработке • Обновления

Прайс и контакты

• Минимальная - $5к или $2к/мес• Расширенная - $10к или $3.5к/мес• Полная - $15к или $5к/мес• Буткит - $40к или $10к/мес

Установка админки - $100

Carberp возможности

as a Service

Software

Эффективные технологии противодействия мошенничеству

• Правила предоставления лицензии • Планы по разработке • Обновления

Прайс и контакты

• Минимальная - $5к или $2к/мес• Расширенная - $10к или $3.5к/мес• Полная - $15к или $5к/мес• Буткит - $40к или $10к/мес

Установка админки - $100

Carberp возможности

as a ServiceFRAUD

Эффективные технологии противодействия мошенничеству

CARBERP теперь доступен всем!

Исходный код доступен по сей день (проверено 3.09.2013 г.)

Эффективные технологии противодействия мошенничеству

Эффективные технологии противодействия мошенничеству

5GB исходных текстов:

• реализация ключевых RK/VX-технологий, буткит (Rovnix);

• код реализации грабберов форм и внедрения кода в браузере (Carberp, Zeus);

• код локального повышения привилегий (LPE-эксплойты) для установки вредоносных драйверов в систему;

• исходные тексты других буткитов и троянских программ (Zeus, Stoned bootkit, Sinowal).

июнь 2013 Carberp – исходники в открытом доступе. 

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Эффективные технологии противодействия мошенничеству

… НА ЭТОМ МЕСТЕ МОЖЕТ БЫТЬ И ВАШ БАНК!

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Что можно увидеть в исходниках Carberp’a

Эффективные технологии противодействия мошенничеству

Выводы

Эффективные технологии противодействия мошенничеству

1. Абсолютно любой банк подвержен мошенничеству через ДБО

2. На любые средства защиты, выдаваемые клиентам находятся техники их обхода

3. Киберпреступность не только эффективно сотрудничает (SaaS, специализированные социальные сети), но и работает на будущее (утечка исходных кодов)

Яркий пример объективности сделанных выводов, это тренд последнего года,

развитие вирусов под мобильные устройства (Android, IOS). Появление вирусов

перехватывающих mTAN коды в СМС-сообщениях от банков : Zitmo (Zeus-in-

the-Mobile), Citmo (Caberp-in-the-Mobile).

В сухом остатке:

Эффективные технологии противодействия мошенничеству

SaaS вошел в широкое употребление в 2001 году.

Fraud as a Service стал приметой нашего

времени начиная с 2011 года.

В сухом остатке:

Эффективные технологии противодействия мошенничеству

SaaS вошел в широкое употребление в 2001 году.

Fraud as a Service стал приметой нашего

времени начиная с 2011 года.

Когда же можно будет говорить о таком явлении

как

AntiFraud as a Service?

В сухом остатке:

Эффективные технологии противодействия мошенничеству

SaaS вошел в широкое употребление в 2001 году.

Fraud as a Service стал приметой нашего

времени начиная с 2011 года.

Когда же можно будет говорить о таком явлении

как

FraudWALL as a Service!

FRAUDWALL– сервис обнаружения мошеннических платежей

Готов к работе с первого дня после установки! Продукт поставляется с предустановленными правилами обнаружения.

Получение “черных списков” из доверенных источников в автоматическом режиме.

Возможность как самообучения, так и данными из внешних источников.

Постоянная модернизация правил обнаружения специалистами компании Фродекс.

Эффективные технологии противодействия мошенничеству

p.s. Это своеобразный “антивирус”, но только для банков. Его цель не вирусы, а мошенники.

Продукт FRAUDWALL

Эффективные технологии противодействия мошенничеству

Минимальное время развертывания продукта (один день).

Комплект встроенных правил работоспособен сразу и доступен “по умолчанию”.

Продукт изначально разработан под отечественную банковскую специфику.

Независимость от системы ДБО. Смена ДБО не отразиться ни на работоспособности, ни на стоимости.

Конструктор правил позволит самостоятельно учесть любую специфику бизнеса

Как обнаруживаютсямошеннические платежи?

Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?

Статистика поустройству клиента:

ОТКУДА?

Статистика пополучателю:

КОМУ?

Статистикапо плательщику

ОТ КОГО?

Уникальные особенности FraudWall

Эффективные технологии противодействия мошенничеству

Автоматический анализ платежей на транзитные счетаFraudWall содержит лексический анализатор текста, который позволяет извлечь реального получателя средств из текста назначения платежа. Это позволяет отделить мошеннические платежи от платежей клиента, идущих на один и тот же р/с банка

Глубокий анализ входных данных (на уровне дампа трафика)

FraudWall анализирует все особенности поведения клиента в системе ДБО, что позволяет более точно определить факт несанкционированного платежа, тем самым существенно снизить уровень ложного срабатывания системы

Поддержка черных списков, распространяемых в рамках межбанковского почтового обмена («антидроп - клуб») и зарегистрированных в системе Fraudmonitor (разработчик - компания Group-IB)

Низкие требования к аппаратному обеспечению

Автоматический анализ платежейна транзитные счета

Поддержка черных списковв системе FraudWall

«Живые» черные списки, актуальные для систем ДБО«Живые» черные списки, актуальные для систем ДБО

Антидроп – клуб(межбанковский обмен по e-mail)

Антидроп – клуб(межбанковский обмен по e-mail)

Fraudmonitor(разработчик: Group-IB)

Fraudmonitor(разработчик: Group-IB)

автоматический импорт данных о мошенниках, передаваемых в Excel-файлах (сразу же при получении письма)

автоматическая корректировка значений полей из-за «умного» редактора Excel

выявление реального получателя из полей (если он указан в назначении)

автоматический импорт данных о мошенниках, зарегистрированных в базе Fraudmonitor (ежечасно)

автоматическая передача данных в Fraudmonitor о мошенниках, выявленных в банке (по желанию банка)

выявление реального получателя из полей (если он указан в назначении)

Этапы нормализации данных в процессе их обработки

RTSRTS Серверприложений

BS Client

Серверприложений

BS Client

БД

Сетевой трафик Internet

Уровень WWW

сервера

Уровень сервера

RTS

Уровень сервера приложений ДБО

Уровень АБС

Максимально доступный объем информации для анализа:

все тонкости сетевого трафика

ошибки в формате данных

фиксация ошибок WWW-сервера

детали по фрагментации данных

информация о браузере

информация о IP адресе

возможность блокировать вредоносный контент

информация о созданных, но еще неотправленных платежках

анализ поведенческой модели

отсутствует информация об ошибках WWW-сервера

нельзя блокировать вредоносный контент

Интернет -трафик «только

для чтения»:

ошибки злоумышленника «автоисправлены»

полностью нет информации об интернет - трафике

только реквизиты платежа и IP адрес

После нормализации:

нет информации о подготовительных действиях мошенника

только реквизиты платежа

Только платежное поручение:

Этапы нормализации данных в процессе их обработки

RTSRTS Серверприложений

BS Client

Серверприложений

BS Client

БД

Уровень сервера

RTS

Уровень сервера приложений ДБО

Уровень АБС

Максимально доступный объем информации для анализа:

все тонкости сетевого трафика

ошибки в формате данных

фиксация ошибок WWW-сервера

детали по фрагментации данных

информация о браузере

информация о IP адресе

возможность блокировать вредоносный контент

информация о созданных, но еще неотправленных платежках

анализ поведенческой модели

FraudWall

Эффективные технологии противодействия мошенничеству

Платежи в режиме rAdmin и вирусные платежи!

Разве можно их обнаружить?

Пример вирусного платежа

Вован, а копейки зря не взяли

Эффективные технологии противодействия мошенничеству

Интерфейс ДБО не позволяет создать такой

платеж!

Сумма платежа в запросе – без копеек

Интересные особенности вируса, осуществляющего подмену реквизитов платежа «на лету»

Эффективные технологии противодействия мошенничеству

Добавлены несуществующие поля, нарушена последовательность полей(в отличии от типовой конфигурации BSS) – так иногда работает вирус с подменой реквизитов

Проблемы с НДС

Эффективные технологии противодействия мошенничеству

попытка отправки платежки без НДС в назначении

значение НДС в тексте назначения не соответствует сумме платежа

Иногда мошенники хорошо маскируются

Эффективные технологии противодействия мошенничеству

Бородавчатка обитает на дне возле коралловых рифов и камуфлируется под камень. Считается самой ядовитой рыбой в мире.

взято с Википедии

В одной сессии до и после мошеннического платежа идут платежи в пользу гос.органов

Любимое число мошенников

Эффективные технологии противодействия мошенничеству

В начале 2013 г. много мошеннических платежей было с коэффициентом 0,77 (отношение суммы платежа к остатку на счете).

…а в 2012 году такой «популярностью» пользовалось

число 0,6

Назначение и получатель в кодировке utf

Эффективные технологии противодействия мошенничеству

Мошеннический платеж был создан в 1С, затем отправлен в банк

Эффективные технологии противодействия мошенничеству

Мошенники начинают мыслить нестандартно: раньше не было мошеннических платежей, импортированных через 1С.

… и даже мошенники умудрялись отправлять платежку в банк без суммы и назначения платежа

Эффективные технологии противодействия мошенничеству

Вирусная активность

Эффективные технологии противодействия мошенничеству

Недостатки традиционных подходов к обеспечению ИБ в ДБО

Эффективные технологии противодействия мошенничеству

• Специалистами служб ИБ Банков подобная информация не изучается по ряду причин

• Ценность этой информации кратковременна, необходимо внедрять механизмы кратчайшего ее использования.

• Она дает эффект на большом количестве клиентов, позволяя предотвратить массовые атаки. Однако на сегодняшний день киберпреступники взаимодействуют гораздо лучше.

Устойчивые мифы вокруг систем антифрода

Эффективные технологии противодействия мошенничеству

• Мы сами способны написать фильтры и решить проблему

• Надо дать клиентам очередную безопасную штуковину и достаточно.

• А мы сейчас внедрим антифрод от международного производителя…

• Антифрод это дорого!

Устойчивые мифы вокруг систем антифрода

Эффективные технологии противодействия мошенничеству

• Мы сами способны написать фильтры и решить проблему

• Надо дать клиентам очередную безопасную штуковину и достаточно.

• А мы сейчас внедрим антифрод от международного производителя…

• Антифрод это дорого!

…НО ЭТО НЕ ТАК!

Эффективные технологии противодействия мошенничеству

Хотите попробовать?

Получите FRAUDWALL на срок до четырех месяцев бесплатно.