Эволюция угроз Интернет-банкинга и онлайн-

порталов. Новые способы защиты пользователей

Семинар RISSPA, 01.12.2009

Денис Безкоровайный, CISA

2

О чем пойдет речь

Эволюция рынка мошеннических услуг - от одиночек к

Fraud-as-a-Service (FaaS)

Распределение ролей в мошеннической экосистеме

Типовые угрозы Интернет-банкинга

Ключевая статистика по выявленным случаям атак

Почему двухфакторной аутентификации не достаточно

- атаки man-in-the-browser

Новые ответы на современные вызовы - построение

целостной системы защиты

Создание инструментов

– Фишинг-конструкторы, трояны, ботнеты и

прочий malware

Сбор данных

– Крадут данные, а не деньги (логины к

системам онлайн-банкинга, номера карт,

персональные данные)

Вывод средств

– Превращают данные в реальные деньги

– Обычно самый большой риск

Распределение ролей

4

Fraud as a Service

БЫЛО СТАЛО

$299 в месяц

Подписка SaaS

Сколько людей

могут это сделать?Это может почти каждый.

Код ХостингЗараже-

ние

Сбор данных

Собран-

ные

данные

Личный

кабинетОтчеты

5

Распределение ролей в мошеннической экосистеме

Трояны ХостингЗараже-

ниеМулы Дропы

Техническая инфраструктура Операционная инфраструктура

Аккаунт

пользователя

Harvester Cash-out

6

Статистика по фишинг-атакам

7

Атаки Man in the Browser

Сцена адаптировалась к повсеместному

использованию двухфакторной аутентификации

Нацелены также на OTP/CAP-EMV

– MITB с перехватом сессии

– MITB без перехвата сесии – эффективно против event-based

двухфакторной аутентификации

Позволяет переводить деньги на счет мула

автоматически в реальном режиме времени

8

Способы защиты пользователей

Защита рабочих станций – вне контроля банков и не

так эффективна

Awareness training

Снизить время фишинг-атаки

Site-to-user authentication

Внешняя аутентификация (sms, звонок на мобильный)

Проверка транзакций – AntiFraud системы

Нарушений коммуникаций между звеньями цепи

9

Способы защиты пользователей

Остановить фишинг и троянов

RSA FraudAction Service

RSA AntiTrojan Service

Вне ДБО

Использовать двухстороннюю аутентификацию

RSA Adaptive Authentication

При входе в

ДБО

Проверять и защищать транзакции

RSA Transaction Monitoring

Внутри ДБО

Ботнет

10

Аккаунт пользователя

с системе ДБО

Заражение

Обнаружение

Выключение

Блокирование

Перехват

Инфо о мулах

Ложные

мулы

Гос.органы

Вывод средств

eFraudNetwork

Внешняя

аутентификация

Мониторинг

транзакций

База

муловХостинг

Техническая инфраструктура Операционная

инфраструктура

Построение целостной системы защиты

Троян

Рабочая станция

пользователя

Cash-out

Мулы Дропы

11

Прерывание каналов коммуникации(RSA Anti Trojan Service)

Распространение

Компьютер

пользователя

Drop-зона Управление ботнетом

12

Анализ платежных и неплатежных транзакций

Активный/прозрачный режим

Пример защиты транзакций (RSA Transaction Monitoring)

13

Специально обученные

фрод-аналитики

24x7x365

>220K атак

остановлено

RSA Anti Fraud Command Center

14

Итоги

Мошенничество – доходный бизнес

Fraud as a Service делает порог вхождения в этот

бизнес крайне низким

Защиты на уровне клиентов – недостаточно

RSA – есть опыт и необходимый набор сервисов по

противодействию мошенничеству

Denis.Bezkorovayny@rsa.com