Фродекс (А. Луцкович) - Мошенничество в системах ДБО

АНДРЕЙ ЛУЦКОВИЧ

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,

ООО ФРОДЕКС[email protected]

эффективные технологии противодействия мошенничеству

МОШЕННИЧЕСТВО

в системах дистанционного

банковского обслуживания.

2014 год

#CODEIB


БОРЬБА С КИБЕРПРЕСТУПНОСТЬЮ

#CODEIB


Март 2012

Арест ОПГ «Carberp»

действовала более 2 лет

пострадали клиенты

свыше 100 банков по

всему миру

Использовали Carberp

Распространяли с помощью drive-by

атак через сайты известных российских

организаций, СМИ и государственных

служб.

Взяли всю преступную

цепочку, включая

организатора владельца бот-

сети, «заливщиков», дропов.

Всего 8 человек.

Июнь 2012

Арест группы «Hodprot»

Действовала более 4

лет.

Группировка «Гермеса»

(он же «Араши»)

4 хищениям у клиентов

Сбербанка (более 13

млн рублей) и у

клиентов других банков

сумму более 150 млн

рублей

Использовали Hodprot,

в 2011 году перешли на Carberp

Состав 25 человек, не

считая обнальщиков.

К маю 2012 года около

6 миллионов зараженных

ПК.

Июль 2012

Группа в Ярославской и

Ленинградской областях

Действовала с 2011 года

Ущерб составляет

десятки миллионов

рублей.

Распространяя вредоносную

программу, злоумышленники получали

доступ к персональным компьютерам

организаций и граждан, которые

использовались для работы с

системами «Банк-Клиент».

В группу входило более 10

человек

Сентябрь 2012

братья Евгений и

Дмитрий Попелыши,

Александр Сарбин

13 млн. руб. с клиентских

счетов ВТБ 24приобрели на черном рынке Qhost

получили по 6 лет,

третий - 4 года, при этом все

сроки назначены условно

#CODEIB

2012 год


Апрель 2013

программист из Тольятти

Александр Пакичев

(42 года)

Действовал с августа 2011

года

Предотвращено хищение

около 1 млрд. рублей

Удалось получить

персональные данные

свыше 5 000 клиентов

российских банков

Создавал и распространял банкоские

трояны.

Использовал Carberp, исполняющейся в

контексте программы браузера,

происходило внедрения HTML-кода в

отображаемые пользователю страницы.

За 2 года написал более 10

программ.

Продалвал в среднем по 9

тыс. рублей.

Приговорен к 1 году условно,

со штрафом в 100 тысяч

рублей.

Получал номер моб.

телефона, клонировал сим-

карты в салонах сотовой

связи, обходил смс

подтверждения платежей.

Март-май 2013международная ОПГ (суд

Киева)

создание и распространение Carberp

в России и на Украине

к пяти годам лишения

свободы с отсрочкой на три

года орг. два участника

Сентябрь 2013Азамат Вербицкий

24 года продавал банковские трояны1 год 4 месяца колонии

общего режима

Декабрь 2013

Арест 13 человек, в том

числе создатель связок-

сплойтов «Blackhole», Cool

Exploit Kit.

Общий ущерб от

действий подозреваемых

составил около 70 млн

рублей

продажи связок эксплойтов «Blackhole»

и «Cool Exploit Kit» занимали около 40%

процентов рынка

#CODEIB

2013 год

эффективные технологии противодействия мошенничеству#CODEIB

4 октября 2013 года

Задержание 27-летнего жителя города Тольятти

Менеджер по рекламе и туризму, известный в

Интернете под псевдонимом «paunch», -

создатель популярных в среде

киберпреступников связок

эксплоитов «Blackhole» и «Cool Exploit Kit»

http://www.group-ib.ru/list/176-news/?view=article&id=1362


Организаторы преступной группы «Carberp»

7 апреля 2014 приговорены к 5 и 8 годам

лишения свободы.

#CODEIB


ДОСТАТОЧНО ЛИ ЭТОГО?

#CODEIB

В 2013 г. было обезврежено большое число киберпреступников

Итого:


27 мая 2014: появился банковский троян Zberp, который основан на исходниках Zeus и Carberp. Его возможности:

• сбор информации о компьютере (имя, IP адрес и т.д.)• создание скриншотов• перехват POP3/FTP данных• кража SSL-сертификатов• кража и подмена данных, вводимых пользователем в браузере• предоставление возможности установки удаленного доступа к компьютеру жертвы по протоколам RDP и VNC

Источник: http://www.securitylab.ru/news/453372.php

#CODEIB


11 июля 2014: на российских Underground-форумах появился новый банковский троян Kronos. Его функционал:

• 32-х и 64-х битный rootkit

• перехват данных в Chrome, IE, FF

• вебинжекты в Chrome, IE, FF

• поддержка формата конфигурационных файлов трояна Zeus

• проактивный обход обнаружения антивирусами

• обход песочниц

• защита от других троянов

• шифрованный обмен между клиентом и сервером управления

• плагины

Источник: http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered

#CODEIB


10 июля 2014: стали публично доступны исходники банковского трояна TinyBanker (Tinba):

#CODEIB


19 августа 2014: стали публично доступны исходники трояна Dendroid,реализующий функционал удаленного управления Android-устройствами:

#CODEIB


Функционал Dendroid:

• удаление журналов звонков• звонок на требуемый номер• открытие Web-страниц• запись разговоров и аудио• перехват и блокирование SMS- сообщений• получение и залив фото и видео-файлов• доступ к адресной книге• запуск приложения• HTTP-flood для осуществления DoS атак• смена C&C севера (управляющего сервера)• содержит генератор APK-файлов для распространения

Источник: http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroidhttp://blog.phishlabs.com/vulnerabilities-found-in-dendroid-mobile-trojan

#CODEIB


28 марта 2011 г. – раскрыты

исходники трояна Zeus

#CODEIB




огромное число

модификаций Zeus,

№1 по числу преступлений

#CODEIB




24 июня 2013 г. – раскрыты

исходники трояна Carberp

огромное число



#CODEIB






27 мая 2014 г. – новый

троян Zberpогромное число


№1 по числу преступлений 11 июля 2014 – новый

троян Kronos

4 июня 2014 г.

самый популярный rootkit

Root.Boot.Cidox

11 июня 2014 – новый

троян Pandemiya

#CODEIB






10 июля 2014 г. – раскрыты

исходники TinyBanker





19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos

4 июня 2014 г.


Root.Boot.Cidox



#CODEIB






10 июля 2014 г. – раскрыты

исходники TinyBanker





19 августа 2014 г. – раскрыты

исходники Dendroid

11 июля 2014 – новый

троян Kronos

4 июня 2014 г.


Root.Boot.Cidox



??

?

?

?

?

#CODEIB


НАБЛЮДАЕМЫЕ

ГРУППИРОВКИ МОШЕННИКОВ

#CODEIB


Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов

#CODEIB

НОВИЧКИ РАБОТЯГИ ПРОФИ

появились летом 2014 года «работают» с 2013 года «работают» с 2013 года

1. работают с «левых» IP2. мало опыта работы в

интерфейсе ДБО

1. работа в proxy-режиме2. проброс USB-портов

Работа в режиме удаленного управления компьютером жертвы


ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!


Звонок в БАНК – по очень важному делу!

• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников

• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать

платежи, «новый» номер телефона для связи.

• обратный звонок по срабатыванию системы антифрода по «новому» телефону -

платежи подтверждают как созданные клиентом.

#CODEIB

РИСК - ДЕЛО БЛАГОРОДНОЕ!


Использование в качестве получателей – дроперов индивидуальных предпринимателей

… ранее мошеннические платежи были в основном на ООО и физ.лиц

#CODEIB

ТРЕНД 2014 ГОДА


Повторяемость мошеннического платежа на дропера

довольно большая, хотя большинство мошеннических

платежей идут на неизвестных получателей

Зафиксирован даже мошеннический платеж, информация о

получателе – мошеннике которого пришла 3 года назад

Насколько полезен межбанковский обмен

информацией о реквизитах получателей - мошенников?

НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!

#CODEIB


Великолепный нюх на мошенничество!

антифрод - система для ДБО

#CODEIB


«Живые» черные списки, актуальные для систем ДБО

Антидроп – клуб

(межбанковский обмен по e-mail)

Fraudmonitor

(разработчик: Group-IB)

автоматический импорт данных о

мошенниках, передаваемых в Excel-файлах

(сразу же при получении письма)

автоматическая корректировка значений

полей из-за «умного» редактора Excel

выявление реального получателя из

полей (если он указан в назначении)

автоматический импорт данных о

мошенниках, зарегистрированных в базе

Fraudmonitor (ежечасно)

автоматическая передача данных в

Fraudmonitor о мошенниках, выявленных

в банке (по желанию банка)

выявление реального получателя из

полей (если он указан в назначении)

#CODEIB


Мгновенный старт с

предустановленными правилами

обнаружения.

САМООБУЧЕНИЕ

модернизация правил обнаружения

ПОСТОЯННО специалистами компании

Фродекс

обучение из внешних источников

FRAUDWALL


FRAUDWALL

конструктор правил для самостоятельной

«тонкой» подстройки

один день на развертывание продукта

разработка изначально под отечественную

банковскую специфику


независимость от системы ДБО

Работа с различными системами ДБО одновременно

лицензирование по числу активных клиентов ДБО

интеграция с ДБО BS-Client 3.0, iSimpleBank 2.0, isFront, Finacle

e-Banking

универсальный режим (толстый клиент, «незнакомая» ДБО)


Хотите попробовать?

Получите FRAUDWALL на срок

до четырех месяцев бесплатно.

СПАСИБО ЗА ВНИМАНИЕ!

Business

Фродекс (А. Луцкович) - Мошенничество в системах ДБО