31
Мошенничество в ДБО: Эффективные технологии противодействия мошенничеству Екатеринбург, 2012 ситуация, тенденции, методы решения

Мошенничество в ДБО :

Embed Size (px)

DESCRIPTION

Эффективные технологии противодействия мошенничеству. Мошенничество в ДБО :. ситуация, тенденции, методы решения. Екатеринбург, 201 2. Эффективные технологии противодействия мошенничеству. О нашей компании. разработка аналитических систем, в частности систем антифрода - PowerPoint PPT Presentation

Citation preview

Page 1: Мошенничество в ДБО :

Мошенничество в ДБО:

Эффективные технологии противодействия

мошенничеству

Екатеринбург, 2012

ситуация, тенденции, методы решения

Page 2: Мошенничество в ДБО :

Эффективные технологии противодействия

мошенничеству

О нашей компании

разработка аналитических систем, в частности систем антифрода

консультирование, помощь  в расследовании и анализе инцидентов

аутсорсинг процессов ИБ

выполнение работ по построению защищенной инфраструктуры ЛВС

разработка схем подключения эквайрингового оборудования через открытые каналы связи

Page 3: Мошенничество в ДБО :

Текущая ситуация с мошенничеством в ДБО

900 миллионов долларов удалось похитить интернет - мошенникам с банковских счетов в 2011 году

450 – 500 млн. рублей ежемесячный ущерб от атак на ДБО.

Илья Сачков, генеральный директор Group-IB:

Источник: www.banki.ru, новость от 21.02.2012

Борис Шаров, генеральный директор «Доктор Веб»:

Источник: www.izvestia.ru, новость от 16.01.2012

Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк»

Средняя сумма покушения – 400 т.р. Средний «улов» специальных банковских бот-сетей – 20-40 тыс. аккаунтов Средняя стоимость «атаки» – 30 т.р.

Из выступления на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012

Page 4: Мошенничество в ДБО :

Мошенничество в ДБО:

эволюция способа совершения

мошеннического платежа

Эффективные технологии противодействия мошенничеству

Из выступления на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012 Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк»

Page 5: Мошенничество в ДБО :

Эффективные технологии противодействия мошенничеству

По данным аналитической лаборатории компании ESET

95% инцидентов - результат деятельности специализированных банковских троянов:

• Win32/Shiz• Win32/Hodprot• Win32/Sheldor• Win32/RDPdoor• Win32/Carberp

Page 6: Мошенничество в ДБО :

Статистика распространения по странам

По данным аналитической лаборатории компании ESET

Page 7: Мошенничество в ДБО :

Статистика распространения по странам

ГЛАВНЫЙ признак заражения:

Начали пропадать деньги со счета.

http://www.securelist.com

География угрозы:Вредоносное ПО Carberp наиболее распространено в России и странах СНГ

Направлено на пользователей платежных систем и клиентов банков.

Page 8: Мошенничество в ДБО :

Динамика числа заражений за 2011 год

Из выступления Александра Матросова, аналитическая лаборатория компании ESET, на конференции ZeroNights

Page 9: Мошенничество в ДБО :

Вирус постоянно модифицируется своими

создателями

Carberp переписывает загрузочный код активного раздела,вредоносный драйвер записывается  либо:

• до активного раздела, в случае, если есть достаточно места• в конце жесткого диска, в противном случае

Банковский троянец Carberp приобрел буткит-функционал:

Page 10: Мошенничество в ДБО :

Как подхватить заразу?

Злоумышленники целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб.

Надо просто погулять по интернету!

Результаты одного расследования, заражены оказались:

- сайты хостинг-провайдера Infobox- сайта ОАО «РЖД», Free-lance.ru, несколько сайтов ИД «Комсомольская правда» - сайт группы «Интерфакс», сайт ИД «Свободная пресса», сайт ЗАО «Экспресс газета» - сайт пермского лицея милиции- несколько сайтов главного управления МЧС России- несколько сайтов Роскомнадзора

По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

Page 11: Мошенничество в ДБО :

«Безопасный» веб-серфинг

Вышеперечисленные ресурсы не связывает ни общий хостинг-провайдер, ни одна система управления содержимым веб-сайтами. Их объединяет только то, что они были заражены одними и теми же людьми.

Из интересного:-в названии вредоносных доменов,присутствовали названия зараженных ресурсов. Злоумышленники специально регистрировали доменные имена, сходные с именами заражаемых ресурсов.

- для того чтобы сделать заражения более незаметными для администраторов, днем вредоносный код убирался, а вечером снова вставлялся.

По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

Page 12: Мошенничество в ДБО :

Эволюция атаки Drive–By–Download

Конференция ZeroNights – 25 ноября 2011 г. Санкт-Петербург доклад Владимира Кропотова (ТБИнформ), доклад «Эволюция атаки Drive–By–Download до и после публикации уязвимостей глазами аналитика ИБ»

svpressa.ru - 276 тыс посетителей в день

eg.ru - 263 тыс. посетителей в день

kp.ru - 587 тыс. посетителей в день

rzd.ru - 180 тыс. посетителей в день

В этом же докладе перечисляются конечная цель, атакуемые банки: Сбербанк, Альфа-банк

Page 13: Мошенничество в ДБО :

Эволюция атаки Drive–By–Download

Page 14: Мошенничество в ДБО :

В сухом остатке:

• у киберпреступников создана целая индустрия

• индустрия эффективна и продолжает развиваться (поток инвестиций налажен)

• в группе риска любой пользователь интернета

• количество инцидентов будет только расти

Текущая ситуация

Page 15: Мошенничество в ДБО :

Эффективные технологии противодействия мошенничеству

В итоге практически каждый Банк сталкивается с клиентом, пытающимся вернуть свои деньги.

Page 16: Мошенничество в ДБО :

Банки сталкиваются с мошенничеством

Порядок действий для возврата платежа:

1) Получить от пострад. клиента официальное заявление 2) Составить письмо в банк-получатель с просьбой о блокировке/возврате платежа,

при этом важно запросить блокировку ДБО и платежных карт3) Оперативно связаться со службами банка –получателя, направить письмо клиента

и письмо банка в банк-получатель, продублировав последнее сообщение по системе SWIFT

4) Если платеж еще не был зачислен на счет получателя, то тогда банк-получатель имеет право вернуть платеж, то есть в этом случае вероятность возврата средств достаточно высока.

5) Если платеж зачислен на счет получателя, остается два варианта действий: Поиск получателя и истребование от него заявления об отказе от полученного

платежа, Обращение клиента в суд и возврат средств по решению суда

6) В случае обращения в суд клиенту необходимо обратиться в правоохранительные органы

И это не гарантирует возврат денег!

Практический опыт совершенствования систем ДБО. Янсон И.А.

Page 17: Мошенничество в ДБО :

Текущие проблемы

по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой.расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.в 9-ой статье ФЗ-161 говорится о том, что по заявлению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент.

Алексей Лукацкий, эксперт в области информационной безопасности http://lukatsky.blogspot.com/2012/02/3.html

Взаимодействие с гос. органами не всегда эффективно:

Банки сталкиваются с мошенничеством

Page 18: Мошенничество в ДБО :

IV Межбанковская конференция «УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Реакция отрасли:

Источник мошенничества клиент – будем решать проблему на стороне клиента!

ДБО, три главные угрозы1. Кража ключей электронной подписи2. Выполнение операций без ведома пользователя

(удаленное управление компьютером)3. Подмена платежной информации

Page 19: Мошенничество в ДБО :

Существующие технические решения

• Ключевые носители с неизвлекаемыми ключами электронной подписи

• Создание доверенной среды• Доверенное устройство• Подтверждение операции по доверенному

каналу связи• Комбинированные решения

IV Межбанковская конференция «УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Page 20: Мошенничество в ДБО :

Противодействие мошенничеству:джентльменский набор

Ключевые носители

Смарт-Карты USB-токены USB-токены с дополнительными возможностями:

биометриякнопка для подтверждения операцийэкран

Доверенные среды

• Программная «песочница»• Чистая виртуальная машина• Чистая операционная система

Доверенные устройства

• Компьютер только для ДБО– на базе обычной рабочей станции или нетбука– на основе технологии «тонкий клиент»

• Устройства для доверенного просмотра и подписи платежных документов

Page 21: Мошенничество в ДБО :

• Доверенный ввод PIN-кода• Визуальный контроль платежной информации• Управление операцией подписи

Эффективные технологии противодействия мошенничеству

Page 22: Мошенничество в ДБО :

Наше мнение:Клиента защищать надо, но этого недостаточно!

• Необходим комплексный подход: доверенная среда на стороне клиента не исключает проверку на стороне Банка

• Платеж легче остановить в Банке источнике, нежели вернуть из Банка получателя

Эффективные технологии противодействия мошенничеству

Page 23: Мошенничество в ДБО :

FRAUDWALL – аналитическая система обнаружения мошеннических платежей

• обнаружение не менее 95% мошеннических платежей

• контроль свыше 50 параметров

• выявление мошеннических платежей, созданных даже на ПК клиента

• интеграция с ДБО BS-Client v.3 компании “BSS"

Эффективные технологии противодействия мошенничеству

Page 24: Мошенничество в ДБО :

Предоставляется как автоматизированная система, так и специализированный сервис, включающий:

• постоянный мониторинг текущей ситуации

• своевременное реагирование со стороны компании разработчика и постоянное обновление логики системы

• консалтинговые услуги по расследованию инцидентов.

Сервер ДБО 2

Internet

Сервер ДБО 1

Сервер ДБО 3 и т.д.

FRAUDWALL

Банк

клиенты

Решение FRAUDWALL – современный «антивирус» для систем ДБО.

Эффективные технологии противодействия мошенничеству

Page 25: Мошенничество в ДБО :

FRAUDWALL – аналитическая система обнаружения мошеннических платежей

Система FraudWall – заявляемый функционал:

• обнаружение мошеннических платежей• защита сервера ДБО от атак из сети Интернет• получение аналитических и статистических отчетов по платежам и получателям

формирование собственного адаптивного профиля каждого клиента банка

многокритериальный контроль свыше 50 параметров, соответствующих работе клиента в сессии ДБО.

непрерывная корректировка профиля с учетом текущих особенностей ведения бизнеса клиентом банка.

Каждое платежное поручение, поступившее в банк от имени клиента, проверяется на соответствие профилю - если платеж не характерен для клиента, он будет считаться подозрительным.

Принципы обнаружения мошеннических платежей

Page 26: Мошенничество в ДБО :

FRAUDWALL - система обнаружения мошеннических платежей третьего поколения

описание актуальность

1поколение

проверка поведенческой модели работы клиента

2007-2009 годы

2поколение

формирование и проверка статистических данных по компьютеру, с которого

осуществляется платеж

до 2011 года

3поколение

формирование и проверка статистических данных по получателю, в пользу которого

осуществляется платеж

По настоящее время

Эволюция системы FRAUDWALL :

Page 27: Мошенничество в ДБО :

Архитектура системы FRAUDWALL

Internet

PostgreSQL

hGuard

Web-интерфейс

file

Сервер ДБО 1

Сервер ДБО 2 и т.д.

Межсетевой экран

MemCashed

Sec admin

FW

Conf.file

клиент

operator

DMZ

Sec admin

Все компоненты системы могут быть установлены на одном сервере.

С ростом числа клиентов банка, можно развернуть дополнительные сервера системы, распараллелив нагрузку между ними.

Эффективные технологии противодействия мошенничеству

Page 28: Мошенничество в ДБО :

• нет нагрузки на сервера ДБО

• функционал кеширования FRAUDWALL:- снижает нагрузку на WWW-сервер системы- повышает скорость работы клиента в системе для филиалов,

доступ в Интернет которых организован через единый канал

• кластерное использование серверов системы (при необходимости)

Internet

Сервер ДБО 1клиент

FrW

FrW Сервер ДБО 2

Internet

Сервер ДБО 1

клиент

FrW

FrW

Сервер ДБО 3 и т.д.

FrW

Сервер ДБО 2

Internet

Сервер ДБО 1

клиент

Сервер ДБО 3 и т.д.

FrWНедостатки:закупка отдельного сервера под систему

Эффективные технологии противодействия мошенничеству

Page 29: Мошенничество в ДБО :

попытка проводки подозрительного платежа в АБС сопровождается дополнительным запросом на подтверждение платежа клиентом

система находится на территории и под защитой Банка

система постоянно обновляется и модернизирует логику обнаружения (автоматизированный обмен односторонний, только в Банк)

в случае, обнаружения прохождения мошеннической операции, детальная техническая информация может быть передана в ручном режиме сотрудниками Банка в тех. поддержку компании, для дальнейшей модификации системы.

В итоге:

Эффективные технологии противодействия мошенничеству

Page 30: Мошенничество в ДБО :

Наша концепция продвижения сервиса: Оцени и приобрети!

Возможно предоставление полнофункциональной версии системы на оценочный период до 3-4 месяцев. (Период

обучения системы не менее одного месяца.)

Наша цель:

развитие специализированного сервиса для повышения безопасности клиентов банков в качестве экономически эффективного и практически значимого решения

Система FRAUDWALL создана экспертами в области информационной безопасности, имеющими практический опыт в борьбе с мошенничеством в системах ДБО.

Эффективные технологии противодействия мошенничеству

Page 31: Мошенничество в ДБО :

Спасибо за внимание!

Ваши вопросы?

Эффективные технологии противодействия мошенничеству