Статьи Кибермошенники и финансовые потери (серия статей от SafenSoft)

Тема в разделе "SafenSoft", создана пользователем SNS-amigo, 22 июл 2013.

Статус темы:
Закрыта.
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Кибермошенники нацелились на финансовые данные

    Среди информации, потенциально доступной злоумышленникам в киберпространстве, наибольшей популярностью пользуются финансовые данные. Это закономерно — такую информацию проще всего превратить в деньги, продав на черном рынке, либо воспользовавшись ею самостоятельно.

    Впрочем, в последние годы кибератаки на банки и финансовые организации не сводятся лишь к похищению данных клиентов, заражению использующих ДБО (дистанционное банковское обслуживание) устройств вредоносным кодом или попыткам проникнуть в защищенный периметр ИТ-инфраструктуры компании с целью модификации или уничтожения определенных записей. DDoS-атаки на банковскую инфраструктуру вплоть до атак непосредственно на сети банкоматов имеют две основные цели: нанесение ущерба и сокрытие мошеннических финансовых операций в общем «шуме» от нападения.

    Киберугрозы постоянно усложняются, поэтому необходима повышенная бдительность и выделение достаточных ресурсов на идентификацию и нейтрализацию соответствующих рисков. Ущерб от кибератак может заключаться в снижении доступности или увеличении времени на обработку запроса в онлайн-сервисах для банкинга, хищении персональных данных или коммерческой тайны и, разумеется, мошенничестве.

    Сами киберугрозы в этой области можно разделить на несколько основных типов.
    Во-первых, это взлом банковских сетей с целью модификации данных или внедрения шпионских программ в инфраструктуру.
    Во-вторых, это всевозможные атаки, направленные на сервисы ДБО, от заражения банкоматов вредоносным кодом до использования уязвимостей в мобильных устройствах для обхода валидации финансовой операции владельцем счета по СМС.
    В-третьих, грубые DDoS-атаки, направленные не на кражу данных, а на нанесение непосредственного вреда финансовой организации.

    В этом году и в ближайшем будущем угрозы будут распределяться по направлениям, на которые следует обратить особое внимание как самим финансовым организациям, так и регуляторам в этой области.

    Мобильный банкинг развивается хаотично, обилие платформ, разобщенность разработчиков приложений ДБО и представителей банков и прочих финансовых организаций, относительная простота утери мобильного устройства — все эти и многие другие факторы привели к тому, что на данный момент этот канал проведения транзакций стал самым уязвимым среди прочих. Однако пример UW Credit Union, компании, полностью отказавшейся от приложений мобильного ДБО в пользу обычного веб-интерфейса, доработанного под мобильные системы, вряд ли получит распространение. Несмотря на все риски, связанные с использованием мобильных устройств, это решение слишком выгодно с точки зрения бизнеса, чтобы его реализацию смогли остановить или хотя бы замедлить соображения безопасности.

    Даже появление таких троянов, как Bugat и Eurograbber, которые могут обходить двухфакторную аутентификацию, не останавливает бум на рынке банковских приложений, так что число атак растет, и проблема приобретает все большую остроту. Защита мобильных устройств, способная полностью «вылечить» от инфекции, при этом не поглощая весьма ограниченные ресурсы таких мини-компьютеров, будет в цене.

    Стоит отметить интересный факт — в последнее время продажи банковских троянов на черном рынке киберпреступников резко сократились. Вместо этого отдельные группы злоумышленников концентрируются на разработке и поддержке отдельных программ вместо хаотичной доработки чужих приложений и модулей, как это было раньше. Кооперация между кибермошенниками вывела создание вредоносных программ на уровень разработки коммерческого ПО в обычных условиях, — что приводит к постоянному появлению новых модификаций вредоносного кода, бросающих вызовы поставщикам защитных решений. Особая нагрузка ложится на решения, работающие по принципу анализа сигнатур и «черных списков».

    Совершенствуются и техники DDoS-атак, их количество растет. С сентября 2012 г. по май 2013 г. крупные банки США подверглись трем волнам атак, усиливающихся с каждым разом, а пример южнокорейских банков Shinhan и NongHyup показал, как такое нападение способно полностью парализовать деятельность компании на часы, если не дни, что приводит к большим прямым убыткам и огромным репутационным потерям. При этом вектор атаки сейчас смещается на меньшие по размеру и оборотам банки, которые не могут тратить необходимые для покупки, установки и настройки комплексных систем защиты информации суммы и которые не имеют достаточного количества квалифицированных специалистов, чтобы полноценно развернуть такие системы самостоятельно. Вообще небольшие, слабо защищенные организации сейчас стали крайне привлекательными целями для кибермошенников, ведь в цепочке связей между физическими деньгами и данными на серверах таких организаций достаточно одного слабого звена, чтобы вся система была скомпрометирована.

    Это продемонстрировало нам дерзкое преступление, совершенное в феврале 2013 г.: успешный взлом процессингового центра в Индии и банка Ras Al-Khaimah в ОАЭ стали началом глобальной преступной операции, затронувшей более 20 стран и обогатившей преступников по меньшей мере на 45 млн. долл. Малые и средние по размеру кредитно-финансовые организации отчаянно нуждаются в решениях, не требующих длительного и затратного внедрения, но при этом способных успешно защищать ИТ-инфраструктуру от нападения извне.

    Что же касается вмешательства изнутри, то количество случайных утечек данных в банковской сфере снизилось практически до нуля и традиционные DLP-системы вполне справляются с такими угрозами для персональных и корпоративных данных. Однако злонамеренные утечки данных по-прежнему происходят и тенденции снижения их количества пока не наблюдается. Недавний скандал с воровством с зарплатных карт Сбербанка, которое совершили действующие сотрудники, не является чем-то из ряда вон выходящим — во всем мире идет поиск способов пресечения подобных преступлений в автоматическом режиме. Отдельно стоит отметить проявившиеся новые каналы утечек информации, в первую очередь — из резервных копий и мобильных устройств, также по понятным причинам неудовлетворительно работает мониторинг распространения документации в бумажном варианте.

    Больше стало и манипуляций с устройствами самообслуживания и рабочими местами операторов на точках розничной торговли. Трояны, перехватывающие данные с карточки и введенный пин-код на этапе передачи дан ных от клавиатуры к компьютеру, подключение внешних устройств и заражение POS-терминалов кодом, по сути, являющимся высокотехнологичным аналогом скиммера, — все это приходит на смену грубым методам ограбления банков и банкоматов.

    Незащищенность некоторых элементов цепи приводит к курьезам вроде случая в Комсомольске-на-Амуре в первой половине этого года, когда продавец в салоне мобильной связи смог обокрасть компанию-работодателя на миллионы рублей, использовав на своем рабочем месте программу, позволяющую получать преимущество в компьютерных играх и с легкостью модифицировавшую цены в торговой системе.

    Денис Гасилин, руководитель отдела маркетинга компании SafenSoft
    10 июля 2013, CRN/RE ИТ БИЗНЕС

    [​IMG] http://www.safensoft.ru/images/File/press/magazines/CRN_2013_No10-405.pdf
     
    lilia-5-0, Охотник, machito и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Обзор самых крупных кибератак

    Каждый год мы становимся свидетелями достаточно крупных кибератак, которые наносят значительный урон не только финансовым структурам, но и, что более серьезно, объектам с критически важной инфраструктурой.

    Атаки на страны и финансовые институты не сводятся только к прямым атакам на их инфраструктуру. Взлом твиттер-аккаунта Associated Press так называемой сирийской электронной армией с последующим размещением информации о покушении на президента США Барака Обаму привел к кратковременному, но очень серьезному биржевому хаосу – индекс Dow Jones Industrial average упал более чем на 100 пунктов, а Standard & Poor’s 500 потерял более $130 млрд.

    Менее крупные инциденты происходят постоянно, в качестве примера можно привести публикацию информации с 400 тыс. украденных израильских кредитных карт в Интернете хакерами из Саудовской Аравии с обещанием опубликовать еще миллион, в ответ на что израильские хакеры начали публиковать в открытом доступе украденные карты граждан Саудовской Аравии. Впрочем, финансовые потери от киберударов иногда бледнеют по сравнению с угрозами для критически важной инфраструктуры государства, такими как возможность отключения электростанций или целых систем минобороны через Интернет.

    Еще в 2002 г. безработный системный администратор из Хорсни, Северный Лондон, 36-летний Гарри Маккиннон был осужден судом США за взлом более 90 военных компьютеров в NASA, Пентагоне и министерстве обороны. Все, что понадобилось ему для взлома, – общедоступное ПО, сканирующее большое количество адресов на наличие известных уязвимостей в автоматическом режиме. Обнаруженные с тех пор уязвимости на самых разных уровнях защиты различных объектов не были использованы злоумышленниками по одной простой причине – первыми эти дыры в защите обнаруживали лояльные своим странам хакеры.

    При этом важно понимать, что крупномасштабные кибероперации не происходят только между представителями разных стран и идеологий. Высокоорганизованные криминальные элементы вносят свой вклад в развитие средств нападения на элементы информационной сети. Так, Silk Road ("Шелковый путь"), один из наиболее известных ресурсов внутри полностью децентрализованной системы TOR, использовавшийся в первую очередь ради торговли наркотиками и оружием, был захвачен и выведен из строя службами правопорядка США исключительно благодаря действиям спецслужб в информационной сфере. Череда допущенных администратором ресурса промахов, среди которых было использование почты от Google с настоящим именем в качестве имени пользователя и заказ киллера в Канаде с целью устранения одного из поставщиков наркотиков, шантажировавшего администратора передачей данных покупателей в свободный доступ, привела специальных агентов к следам подозреваемого в публичной части сети Интернет.

    Установление его паспортных данных с этого момента являлось делом времени благодаря неафишируемому на тот момент сотрудничеству крупнейших IT-компаний со спецслужбами США, после чего и был обнаружен физический сервер, обеспечивающий работу ресурса. Перехват контроля над этим сервером позволил органам госбезопасности завладеть всей имевшейся на нем информацией, а впоследствии – закрыть ресурс и привлечь администратора к ответственности. Несмотря на не поддавшуюся с технической точки зрения защиту сети, один из крупнейших ее ресурсов был захвачен и выведен из строя с помощью применения в нужном сочетании информационных технологий, социальной инженерии и административного ресурса.

    Кроме того, необходимо помнить, что понятие криминальности приобретает различные формы в разных уголках земного шара.

    Использующаяся в том числе для расчетов между пользователями "скрытой сети" на ресурсах вроде Silk Road виртуальная валюта Bitcoin уже долгое время обращает на себя пристальное внимание различных судебных инстанций.

    В мае этого года Department of Homeland Security в США захватил учетную запись одного из крупнейших международных процессинг-центров этой "валюты" на основе обвинения в фальсификации финансовых документов. Но по-настоящему распределенную сеть невозможно уничтожить или захватить традиционными средствами, так что война за существование таких сервисов неизбежно перетекает в информационное пространство. Например, внезапное раскрытие подробностей атаки на Silk Road вкупе с просочившимися слухами о компрометации сети TOR на несколько дней серьезно пошатнуло курс Bitcoin, не только замедлив его стремительный рост по отношению к традиционным валютам, но и понизив его на несколько дней. Да и сама сеть TOR, отличающаяся от обычного Интернета повышенным уровнем анонимности пользователя, давно привлекает внимание неустановленных официально лиц, обладающих тем не менее весьма обширными ресурсами. В этом году на ресурсы сети Freedom Hosting ("Хостинг свободы"), после ареста его владельца в Ирландии и экстрадиции в США, была внедрена уязвимость нулевого дня, использовавшая слабость стандартного для сборки Tor Bundle браузера к определенной javascript-инъекции, на протяжении неустановленного времени собиравшая информацию обо всех посетителях сайтов данного хостинга, не отключивших javascript вручную, и отправлявшая полученную информацию в неустановленную базу данных. Впрочем, даже использование TOR само по себе не гарантирует безопасность – перехват трафика на одном из экзит-нодов сети, не использовавших надежное шифрование входящей и исходящей информации, позволила держателю нода еще в 2007 г. завладеть учетными записями и паролями, среди прочих, сотрудников посольства России в Швеции и центра получения заявок на визу в Великобританию в Непале. Посольства различных стран зачастую используют эту сеть с целью избежать контроля со стороны местных провайдеров доступа к сети Интернет.

    Захват серверов торрент-трекеров, как в случае с ресурсом Demonoid.me, и отключение отдельных ресурсов всего лишь по подозрению в распространении нелегального контента вписываются во все ту же мировую тенденцию завершать конфликты интересов в информационном пространстве силой. Недавние откровения бежавшего в нашу страну Эдварда Сноудена о мировой сети перехвата и сбора информации служат лишь дополнительным подтверждением того, о чем миру и так было неофициально известно на протяжении последнего десятилетия.

    Таким образом, в наше время любой человек может попасть под направленную на какую-либо страну или какой-либо сервис массированную кибератаку вне зависимости от его желания участвовать в киберконфликтах. Вопросы безопасности становятся критичными для каждого пользователя, причем они включают в себя не только защиту от вредоносного кода, но и сопротивляемость к атакам с применением социальной инженерии, административного ресурса и внедренных в программное обеспечение уязвимостей еще до выхода на рынок. Как только же речь заходит о бизнесе, государственных организациях или последователях некой идеологии, к кибервойнам становится недостаточно просто готовиться – они уже идут.

    Денис Гасилин, руководитель отдела маркетинга компании SafenSoft
    Ноябрь, 2013, Журнал «Information Security/ Информационная безопасность», №5, 2013
    [​IMG] http://www.safensoft.ru/images/File/press/magazines/infoSecurity_2013-05_1.pdf
     
    lilia-5-0, Охотник и machito нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Информатизация общества – новые цели для кибероружия

    Слово "кибервойна" в сознании обычного человека обросло множеством мифов. Существует два весьма распространенных мнения о том, как выглядит стандартная кибератака. С одной стороны, большинство людей ассоциируют со словом "кибервойна" единичные инциденты и не считают информационные угрозы действительно критичными для стран и организаций, сферой деятельности которых не является Интернет или ПДН. С другой – массовая культура представляет кибератаки некой всемогущей силой, применением сверхсовременных видов оружия, полностью уничтожающего или берущего под контроль неудачливую жертву.

    Любители громких терминов спешат навесить ярлык "кибервойна" на любое действие вплоть до взлома Web-сайта с изменением заглавной страницы.

    Истина – посередине

    Кибервойна возможна лишь в весьма ограниченном пространстве и против определенных целей, но последствия могут быть крайне разрушительными.

    Первым общеизвестным вредоносным кодом, использовавшимся как кибероружие, стал червь Stuxnet. Созданный примерно в 2005 г., а обнаруженный в 2010 г. благодаря счастливой случайности: компьютер иранского клиента белорусской фирмы "ВирусБлокАда" впал в цикл перезагрузок в результате нештатной работы вредоносного кода, созданного для незаметного перевода производственных механизмов за пределы безопасных параметров. Обнаруженная в коде уязвимость нулевого дня заинтересовала экспертов ИБ, и вирус был не только добавлен в антивирусные базы, но и досконально изучен. Обнаруженная в 2013 г. экспертами Symantec версия 0.5 вредоносного кода позволила детально изучить эволюцию кода. Червь был запрограммирован на распространение через USB, что позволяло вторгаться в защищенные от воздействия из мировой сети объекты. Также он имел подробный алгоритм создания и загрузки своих модулей в атакуемую систему в зависимости от работы на компьютере определенных защитных решений. Таким образом Stuxnet старался свести к минимуму воздействие на заведомо защищенную достаточным образом систему во избежание обнаружения. Одним из 11 решений, которых опасаются разработчики кибероружия, оказалось наше.

    Уже больше года продолжаются DDoS-атаки группы кибервоинов Изза ад-Дина аль-Кассама (Izz ad-Din al-Qassam Cyber Fighters) на североамериканские банки. По расчетам активистов, каждая минута успешной атаки против выбранных ими целей стоит жертве $30 000. Некоторые эксперты считают эти атаки местью Ирана за кибератаку против атомных объектов. По их расчетам, этот киберконфликт будет только разрастаться, и уже сейчас, помимо непосредственных атак по отказу от обслуживания, банки ощущают на себе новые методы взлома учетных записей сотрудников и системных администраторов, приводящие к существенным финансовым потерям.

    Потенциальные цели

    Информатизация общества постоянно создает новые потенциальные цели для кибероружия. Любое медицинское учреждение с тяжелым оборудованием вроде томографов способно стать жертвой специально разработанного вредоносного кода, отдельные электростанции и даже системы ПВО могут быть выведены из строя по невнимательности или злому умыслу. Разумеется, подобные объекты становятся целью кибератаки в случае полномасштабной войны или террористического акта, но кибервойна может быть и экономической.

    Например, добыча сланцевого газа. ПО, необходимое для использования этого метода добычи полезных ископаемых, крайне сложно в эксплуатации и непосредственно управляет оборудованием, ответственным за глубинные гидроразрывы пласта. Любое нарушение в работе этого ПО грозит серьезными последствиями. Перспективы для кибервойны в этой области огромны, и никто не может гарантировать, что они уже не идут и что первые образцы вредоносного кода, направленного против бурильного оборудования, не будут обнаружены через пять лет после создания.

    Из этого следует вывод – для защиты от кибероружия, направленного на определенную цель и созданного с использованием уязвимостей нулевого дня, недостаточно использовать традиционные решения, основанные на сканировании сигнатур. Обнаружение такого вредоносного кода – дело случая, даже если оно и произойдет, ущерб к этому времени уже будет нанесен.

    Пути решения

    Необходимо применять новые технологии защиты информации, основанные на предотвращении изменений в системе в принципе, вне зависимости от способности идентифицировать вредоносный код во время сканирования. Для критически важных объектов правильным подходом будет создание заведомо безопасного образа системы и дальнейшее предотвращение любых несанкционированных модификаций в файловой системе, реестре или отдельных файлах. Даже динамическая библиотека может стать дверью в систему для злоумышленника, атакующего систему созданным специально под нее вредоносным кодом, использующим уязвимости нулевого дня. Только технологии проактивной защиты способны защитить компьютер в любых условиях и от любых угроз, будь то рабочее место сотрудника, сервер с базой данных или АСУ ТП.

    Денис Гасилин, руководитель отдела маркетинга компании SafenSoft
    Ноябрь, 2013, Журнал «Information Security/ Информационная безопасность», №5, 2013

    [​IMG] http://www.safensoft.ru/images/File/press/magazines/infoSecurity_2013-05_2.pdf
     
    lilia-5-0, Охотник и machito нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Финансовые потери от крупнейших кибератак 2013 года

    Уходящий 2013 год запомнился множеством событий в информационной сфере, от разоблачений Эдварда Сноудена и обнаружения схемы кибершпионажа Red October до идейного кибертерроризма мусульман против американских банков и стремительного взлёта криптовалют в цене. В большинстве случаев неясно, какой именно ущерб нанесла успешная кибератака и была ли она успешной. Очень сложно понять, кому и какой вред успел причинить «Red October». О многих атаках мы узнаем только много лет спустя, когда будет обнаружено их непосредственное влияние, как это было с червём Stuxnet, на годы замедлившим ядерную программу Ирана. Однако хакерские атаки в финансовой сфере обладают одной особенностью по сравнению со всеми остальными: их последствия относительно легко подсчитать, и хотя определение репутационных потерь и упущенной выгоды остаются чистой спекуляцией, конкретные финансовые потери поддаются измерению и прогнозированию.

    Более того, благодаря тому, что Россия была в основном не затронута крупнейшими атаками на кредитно-финансовые учреждения, у нас есть уникальный шанс — оценить угрозы заранее.

    Для примера рассмотрим три вида кибератак на финансовые организации, прогремевшие за последнее время и потенциально угрожающие России.

    1. Массированные DDoS-атаки против крупнейших североамериканских банков, начатые группой Кибервоинов Изза ад-Дина аль-Кассама ещё осенью прошлого года, продолжаются до сих пор – сейчас проводится четвёртая фаза операции Ababil. Подводя итоги первых трёх фаз, нужно отметить, что более 46 финансовых организаций подверглись более 200 DDoS-атак различной степени тяжести. Разумеется, за время «четвёртой волны» количество жертв увеличилось, но для предварительной оценки нам хватит и имеющихся данных. Несмотря на заявления о том, что ситуация находится под контролем, многие онлайн-сервисы были выведены из строя на часы или даже дни, т.е. атаки застали свои цели врасплох, чем можно объяснить первоначальный успех, Впрочем, после каждой паузы между фазами атакующие использовали новые технические мощности и ноу-хау, постоянно улучшая свой ботнет и привлекая в него новые силы. И хотя большинство атак были отражены после тщательного изучения каждого из подходов, ущерб всё же был нанесён. Сами атакующие оценивают минуту успешной DDoS-атаки в 30 тысяч долларов ущерба для жертвы, что вылилось, по их подсчётам, в 615 миллионов 600 тысяч долларов. Истинные мотивы и цели этих атак остаются под вопросом – по заявлениям самой группы кибервоинов, так они заставляют американцев платить за размещение в сети и одобрение фильма «Невинность мусульман», однако никаких чётких доказательств причастности этой группы к Ирану или исламскому миру не обнаружено. Зато аналитик компании Gartner Авива Лайтан (Avivah Litan) в интервью с Information Security Media Group рассказала о новой мошеннической схеме, используемой киберпреступниками в сочетании с DDoS-атаками. Точные потери от таких нападений не разглашаются, но, по словам Авивы Лайтан, за последние 3-6 месяцев они уже составили миллионы долларов.

    Разумеется, обрати преступники внимание на российские банки, убытки были бы несколько меньше просто за счёт меньших объёмов экономики, но если сравнить прибыль крупнейших банков стран за 2012 год, Сбербанка и Bank of America (примерно 36% против 100%), то можно предположить, что при подобном сценарии атаки на наши финансовые организации ущерб от одних только DDoS-атак составил был более 220 миллионов долларов (200,000,000$). Что самое интересное, группировка Anonymous Caucasus («кавказские анонимы») действительно предприняла подобные атаки 1 октября 2013 года, но масштабы пока что крайне малы и несравнимы с проблемами, доставшимися на долю США. Однако все предпосылки для повторения их сценария у нас есть, тем более что даже такая невыразительная на фоне Кибервоинов Изза ад-Дина аль-Кассама атака имела некоторый успех за счёт внезапности. Сейчас – самое время учесть чужой опыт, пока ещё не возникла необходимость учиться на своих ошибках.

    2. Более изощрённые атаки — Атаки с целью похищения или модификации данных в глубине инфраструктуры банков и процессинговых центров. Обычно мошенники крадут деньги со счетов или забирают персональные данные держателей банковских карт с целью последующей наживы. Но в феврале этого года международная киберпреступная группа провела изощрённую атаку, всего за несколько часов похитив около 45 миллионов долларов из тысяч банкоматов в 21 стране мира. На первом этапе киберпреступники получили несанкционированный доступ к информации о банковских картам через процессинговый центр в США и банк Bank of Muscat в Омане. Далее, хакеры подняли предел выдачи денежных средств на похищенных счетах и разослали информацию своим агентам по всем миру, которые впоследствии закодировали полученные данные на магнитных картах. Используя всего лишь 12 счетов, исполнители во всех странах одновременно начали снимать деньги с банкоматов в их регионе, при этом не затрагивая настоящие деньги на счетах у владельцев карт, данные которые были украдены, что не позволило инцидентам быть достаточно оперативно обнаруженными. В одном лишь Нью-Йорке преступники успели обработать 2904 банкоматов, похитив около 2 миллионов 400 тысяч долларов. Нью-Йорк также стал единственным городом, где шестерых из семерых исполнителей этой атаки удалось предать правосудию, так как они не позаботились скрыть свои лица от установленных в банкоматах видеокамер. Организаторы атаки остались неизвестны.

    Самые грубые подсчёты с использованием данных о количестве банкоматов на душу населения за 2009 год (174 в США против 76 в России) показывают потери более 1 миллиона долларов в случае снятия наличных в банкоматах отечественного города по такой мошеннической схеме и с участием всего семерых исполнителей. На самом деле можно предположить более высокий уровень риска – ведь за прошедшие годы количество банкоматов в нашей стране росло очень высокими темпами, в отличие от соответствующего показателя в США, в отличие от затрат на полицейский аппарат. Эта атака – не первая среди подобных. Имеются все шансы на её повторение в том числе и на территории нашей страны.

    3. Атаки исключительно на программное обеспечение банкомата — это самый интересный тип атаки, не очень часто звучащий в средствах массовой информации по причине относительной новизны. Появившиеся много лет назад в странах Южной Америки трояны с восточноевропейским корнями вроде «Чупакабры», заражавшие устройства специальным кодом, позволявшим считывать и данные карты, и вводимые пинкоды, чем успешно заменяли физический скиммер, ушли в прошлое. Не получил особого распространения и «штучный подход» вроде использовавшегося год назад в Иркутске, где группа сервисных инженеров установила на подотчётный банкомат собственный купюроприёмник и зачислила себе более 10 миллионов рублей с помощью одной-единственной пятитысячной купюры. Сейчас в мире появилась более серьёзная опасность для программного обеспечения банкоматов. Обнаруженный в Мексике троян Ploutus, после заражения банкомата отключавший установленный на нём антивирус и позволявший злоумышленникам снимать любое количество наличных денег по запросу - уже обзавёлся интерфейсом на английском языке и направляется на международный рынок.

    С точки зрения обналичивания денег с заражённых банкоматов ситуация не слишком отличается от предыдущего случая. Группа из семи человек всё так же смогла бы за несколько часов опустошить банкоматы более чем на 1 миллион долларов. Однако у нашей страны есть нюанс. Для успешного заражения компьютера банкомата таким трояном необходимо, чтобы на банкомате была установлена либо традиционная антивирусная защита, либо не присутствовала никакая информационная защита вовсе. Инциденты вроде перепрограммирования банкомата или взлома платёжного терминала студентом-первокурсником - заставили ведущих игроков рынка задуматься о проактивных способах защиты для их устройств самообслуживания. Но «купольное» решение, обеспечивающее защиту целостности среды устройств самообслуживания, уже установлено более чем на половине всех банкоматов России, так что средний ущерб от такой атаки на данный момент не должен превысить 300-500 тыс. долларов. С дальнейшим активным внедрением подобных решений для защиты программного обеспечения банкоматов поверхность атаки в стране будет уменьшаться до уровня, когда подобная схема станет просто-напросто невыгодной.

    Таким образом, рейтинг первоочередных опасностей в области кибератак для России сейчас выглядит так:

    Первое место – массированные DDoS-атаки на онлайн-сервисы банков с параллельным проведением более тонких мошеннических операций по образу операции Ababil. Такая атака может затронуть до 50 банков, нанеся более 200 миллионов долларов финансового ущерба.

    Второе место – заражение программного обеспечения банкоматов специальным вредоносным кодом вроде Ploutus, не обнаруживаемым антивирусами или активно отключащим эти самые антивирусы. Одна волна заражения банкоматов подобным программным обеспечением с последующей кражей наличных денег способна затронуть до 3000 банкоматов, при этом с учётом российской специфики заражение успешно произойдёт примерно в 50% случаев, что снижает количество заражённых банкоматов до 1500 и потери от одного «обналичивания» до полумиллиона долларов.

    Третье место – многоярусная атака на банк, процессинговый центр и банкоматы одновременно, сложная в реализации но крайне выгодная для мошенников. Успешно проведённое нападение затронет до 3 тысяч банкоматов и приведёт к потерям больше миллиона долларов.

    Отдельным пунктом необходимо отметить постоянно существующую угрозу непосредственного взлома ИТ-инфраструктуры организации, взаимодействующей с банками и платёжными системами, с последующей кражей данных с кредитных и дебетовых карт. Последней в череде таких атак стал взлом сети розничной торговли Target, обнаруженный в декабре 2013 года. Этот взлом позволил атакующим завладеть до 40 миллионов записей клиентов, использовавших терминалы самообслуживания в магазинах сети, содержащих все необходимые данные для создания фальшивой банковской карты с настоящими деньгами на счету. Потенциальный финансовый урон от таких атак стремится к бесконечности. С учётом того, что российские торговые сети стремительно развивают безналичные платежи, актуальность таких атак на наши торгово-розничные сети также стремительно растёт.

    В долгосрочной перспективе для России второе и третье место меняются местами – за счёт инноваций в защите устройств самообслуживания мы становимся более защищёнными перед атаками на сами банкоматы, однако уязвимости в ИТ-инфраструктурах финансовых организациях остаются хотя бы в самых минимальных размерах, чем злоумышленники будут продолжать пользоваться до полноценной консолидации игроков финансового рынка с целью обмена опытом.

    Пресс-служба SafenSoft. ДЕКАБРЬ 2013
    http://www.safensoft.ru/security.phtml?c=877

    Безопасного вам нового года!
    Будьте здоровы и надёжно защищены!
     
    lilia-5-0, Охотник, Sandor и 3 другим нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    В связи с предстоящими новогодними и рождественскими денежными тратами, съемом больших сумм денег и интересом читателей, мы решили дополнить вышеизложенную информацию рядом материалов, которые полнее раскроют некоторые термины финансовой сферы и дополнят представленную выше информацию по разным аспектам работы дистанционного банковского обслуживания, а также раскроют клиентскую сторону вопроса, включая основы безопасности на примере самых распространенных ошибок, которыми могут воспользоваться опытные преступники и мошенники.

    Классификация преступлений, связанных с банкоматами и ДБО
    Ссылка на пост >>>

    Логическая безопасность ДБО: прошлое, настоящее, будущее

    Дистанционное банковское обслуживание (ДБО) благотворно влияет на рынок на всех уровнях кредитно-финансовой сферы деятельности от кредитных организаций до конечного пользователя. Клиенты финансовых учреждений год за годом обретают все больше возможностей управлять своими счетами, а организации снижают издержки на содержание офисов и получают возможность предлагать клиентам дополнительные услуги. Но от такого взрывного роста выигрывают не только банки и пользователи услуг, но и третья сторона - преступный мир, мошенники и кибермошенники.

    Традиционные средства обеспечения безопасности не поспевают за рынком, благодаря чему ущерб от мошенничества в системах ДБО России уже составляет около 100 млн долл. в год, и к 2015 г. объем потерь может достичь 171 млн долл.

    Финансовые структуры всего мира проявляют всё большую озабоченность проблемой безопасности при дистанционном банковском обслуживании и, согласно статистике из открытых источников, среди всех видов мошенничества в сети Интернет аферы в системах ДБО стали в 2008-2009 годах самым прибыльными из них. Так в чём причина сложившейся ситуации и почему в ближайшее время не предвидится кардинальных
    изменений?

    Данные в финансовой сфере являются наиболее лакомой целью для преступников, так как их проще всего превратить в деньги, а успешно выведенные из строя сервисы финансовой организации наносят куда более явный материальный и репутационный ущерб, чем, например, утечка коммерческой тайны из компании или персональных данных из медучреждения. В финансово-кредитных учреждениях доля случайных утечек информации гораздо ниже, чем в целом по всем индустриям, а на злонамеренные утечки приходится 68% случаев, согласно данным InfoWatch за 1 полугодие 2012 года. Произвести хищение информации любым способом, как с помощью случайной или злонамеренной утечки, так и с помощью взлома или заражения системы вредоносным кодом, проще всего в ситуации, когда данные пользователей выходят за пределы защищённой среды банка или иного учреждения, а значит, ДБО является самым уязвимым элементом этой сферы рынка.

    Дистанционное банковское обслуживание (ДБО) можно условно разделить на три вида:

    1. Первый вид ДБО – разнообразные устройства самообслуживания (банкоматы, POS-терминалы, информационные киоски и пр.) уже давно и прочно вошли в нашу жизнь. Увеличение числа сервисов, предлагаемых клиентам через банкомат, ведет к увеличению «площади атаки» для потенциальных злоумышленников. Кибератаки на банкоматы и сети банкоматов принимают самые различные формы, от грубых нападений с целью выведения системы из строя, как в мартовской атаке на южнокорейский банк Shinhan, до скрытого внедрения вредоносного кода в сами устройства. Согласно отчету экспертов ATMIA за 2012 год, логические угрозы для банкоматов уже вышли на третье место среди основных угроз, и только использование новых технологий в области защиты информации способно остановить или хотя бы замедлить эту тревожную тенденцию - традиционные подходы, требующие широкополосного доступа в Интернет и существенных ресурсов, не работают в условиях ограниченной программной среды банкомата.

    2. Второй вид ДБО – мобильный банкинг, выступающий в основном в виде приложений для таких мобильных устройств, как планшеты и смартфоны, — самое новое направление в триаде средств ДБО. Согласно исследованию Digital Security, проведенному для банковских приложений для iOS и Android 37 самых популярных банков страны, все приложения мобильного банкинга в России содержат хотя бы одну уязвимость ([​IMG] PDF-документ). Особенную опасность представляет концепция, подразумевающая интеграцию банковских услуг с «лишними» сервисами наподобие социальных сетей. Стоит отметить, что специфика распространения приложений для Android такова, что вредоносные программы зачастую распространяются через официальный интернет-магазин Android Market. Так, по данным на декабрь 2011 г. около 30% всех вирусов для Android распространялось именно по этому каналу. Появление в последнее время на рынке мобильных устройств, работающих под ОС Windows 8, ведет к тому, что гаджеты обретают все больше уязвимостей, а ресурсы их аппаратной части используются под завязку.

    3. Третий вид ДБО – Интернет-банкинг, существующий уже достаточно долгое время и для кого-то уже ставший привычным. В последнее время данный вид ДБО в большинстве своем используется юридическими лицами с рабочих станций внутри организации, уступая частных лиц и их расчеты мобильному банкингу. Так как операции проводятся на обычных компьютерах, весь спектр традиционных угроз актуален для компаний, пользующейся данной услугой. Самым известной в России вредоносной программой в этой области является троянец Carberp, постоянно модернизируемый своими создателями — последняя модификация была обнаружена в марте 2013 г.

    Первая волна распространения каждой новой вредоносной программы или модификации старой, расходящаяся по атакованным организациям до момента обновления вирусных баз, каждый раз заставляет констатировать, что обычные системы защиты, основанные на принципе действия «чёрных списков», не обладают достаточными возможностями для отражения атак на данный вид ДБО. Киберпреступники постоянно совершенствуют свой инструментарий, и единственным выходом из ситуации может быть только защита, основанная на проактивных технологиях и принципе «белых списков», предотвращающая несанкционированные изменения в системе вне зависимости от наличия или отсутствия исполняемого кода в вирусных базах.

    Поэтому защита информации в процессе доступа к сервисам ДБО требует полноценной защиты на каждом этапе.

    Денис Гасилин, руководитель отдела маркетинга компании SafenSoft
    [​IMG] http://www.safensoft.ru/images/File/press/magazines/Bankovskie-Technologii_06-2013.pdf
     
    lilia-5-0, Охотник, Sandor и 2 другим нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Платежные системы: на лезвии бритвы

    Платежные экосистемы компаний в России и за рубежом постоянно подвергаются атакам на POS-терминалы и заражению вредоносным кодом, поэтому вопрос защиты стоит очень остро. С одной стороны, компаниям непросто получать и продлевать сертификаты соответствия со стандартами PCI. С другой — одного соответствия стандартам зачастую оказывается недостаточно, чтобы противостоять серьезным атакам. Кроме того, в вопросах безопасности устройств самообслуживания нельзя ограничиваться следованием стандартам и рекомендациям, какими бы полными они не были.

    Даже ежечасное обновление вирусных баз не спасает от таргетированной атаки, а ведь атаки на устройства самообслуживания практически всегда — таргетированные. Тем более стандарты — это не антивирусные базы, они не обновляются несколько раз за день. Удержаться на одном уровне с атакующими киберпреступниками — серьезное испытание для бизнеса, ведь угрозы должны быть обнаружены и нейтрализованы до того, как ими смогут воспользоваться злоумышленники. В случае же обнаружения произошедшего инцидента возникает необходимость в расследовании, а это тоже требует немалых затрат. Нужны серьезные вложения в системы обнаружения вторжений, при этом любое изменение должно рассматриваться как потенциальная уязвимость. Компания Sony, например, потратила на расследование недавнего взлома своих систем около 15 млн долларов.

    Результатом успешного вторжения в элемент платежной системы обычно является компрометация информации, такой как имена и фамилии держателей пластиковых карт, номера карт, даты истечения срока действия и SVVкоды. Этой информации злоумышленнику достаточно, чтобы получить прибыль — в киберпреступных кругах данные с карточек используются или для создания дубликатов, с которых уже можно снять наличные деньги, или для использования безналичного расчета. Даже если злоумышленники не смогли успешно завершить атаку и продать полученные данные, сам факт компрометации ведет к необходимости перевыпуска миллионов пластиковых карточек, вызывает недовольство клиентов и приводит к финансовым и репутационным потерям.

    При применении новейших технологий заражения устройств злоумышленники получают доступ непосредственно к наличным деньгам, хранящимся в терминалах и банкоматах, что увеличивает прибыль и позволяет обходиться без посредников. Однако цена таких технологий велика, особенно если заказывать специализированные сборки вредоносного программного обеспечения под конкретные нужды, так что возрастает и масштаб атаки, необходимой для получения преступниками серьезной прибыли.

    За последний год появилось множество троянов, созданных специально для банкоматов. Практически все они обладают функционалом, позволяющим автоматически отключать традиционную защиту, обнаруженную на устройстве в процессе заражения. Именно поэтому полноценному защитному продукту необходимо защищать не только систему, но и себя.

    Избежать большинства описанных проблем можно, используя специализированные защитные решения, разработанные для банкоматов и
    прочих устройств самообслуживания. Safe`n`Sec TPSecure изначально создавался с целью не только обеспечить максимально возможную безопасность защищаемых систем, но и помочь клиентам соответствовать требованиям регуляторов.

    За прошедшее время Safe`n`Sec TPSecure развился в продукт, учитывающий как требования Центробанка России, так и стандарты PCI DSS. Отметим, что по сравнению с обычными компьютерами у устройств самообслуживания есть особенности, сводящие на нет усилия
    традиционных защитных продуктов по защите системы. Постоянные обновления антивирусных баз, рутинные для офисных компьютеров, невозможны по техническим причинам, а защиту от инсайдеров антивирусы не способны предоставить в принципе. Происходящие инциденты подлежат расследованию, но как выявить инцидент в период штатного функционирования устройства, если он обошел обычные защитные системы? С системой же защиты целостности программной среды любое несанкционированное изменение будет восприниматься как потенциальная угроза и привлечет внимание.

    В области защиты банкоматов перестраховаться невозможно: потенциальные риски слишком высоки, чтобы пренебрегать ими.

    Михаил Калиниченко, Исполнительный директор ООО «СНС Холдинг»
    http://www.safensoft.ru/images/File/press/magazines/Bankovskie-Technologii_02-2015.pdf
     

    Вложения:

    lilia-5-0, Охотник, Kиpилл и ещё 1-му нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Владелец, защити свой банкомат!

    Атаки на банкоматы и терминалы не прекратятся, пока владельцы банкоматов не начнут уделять достаточно внимания информационной безопасности устройств самообслуживания.

    Даже уже известные и идентифицированные угрозы могут быть остановлены только специализированным защитным программным обеcпечением, основанным на принципе проактивной защиты и обладающим мощными средствами самозащиты, а про новейший вредоносный код и говорить нечего. Традиционный подход к защите программной среды не работает в контексте устройств самообслуживания.

    защити.png

    Кроме того, необходимо уделять пристальное внимание физической безопасности банкомата — сложность доступа к компьютеру устройства вкупе с отключением загрузки внешних носителей и установкой пароля на внесение изменений в BIOS может остановить преступников низшего уровня. Но этого, конечно же, недостаточно для защиты от серьезной преступной организации, особенно вкупе с возможной инсайдерской активностью. Кроме того, в некоторых случаях злоумышленникам даже не нужно физически взаимодействовать с устройствами после первичного заражения — киберпреступнику достаточно получить звонок или сообщение от своего "денежного мула2 и послать банкомату команду на выдачу наличных.

    Несколько раз за последние 10 лет банкоматы даже заражались дистанционно. Специализированное защитное ПО, такое как Safe'n’Sec TPSecure необходимо также для того, чтобы отличить обычные перебои в работе устройства от зловредной активности.

    Необычное поведение банкоматов, такое как прерывание связи или прекращение обслуживания "родных" карт при работе сторонних, может свидетельствовать о заражении, за которым последует извлечение наличных или запись данных пластиковых карт клиентов, но в журнале устройства зловредная активность, разумеется, не отобразится. А вот защита, позволяющая предотвратить такое заражение или установленная уже после заражения, сможет также оперативно сообщить обо всех действиях злоумышленников или, например, выявить неудачливого инсайдера.

    Михаил Калиниченко, исполнительный директор "СНС Холдинг"
    http://www.safensoft.ru/images/File/press/magazines/bosfera_apr_2015.pdf
     

    Вложения:

    lilia-5-0 и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Изолированная программная среда и обеспечение её безопасности

    Программное обеспечение банкомата – это изолированная программная среда.

    Какие ограничения и преимущества дают закрытость программной среды банкомата, низкая скорость сетевого подключения и скромные показатели аппаратной части банкомата?
    Давайте с вами детально проанализируем эти вопросы и построим эффективную систему обнаружения и защиты от нарушений безопасности изолированной программной среды банкомата с учётом особенностей его ПО и «железа».

    Современный банкомат – по сути обычный компьютер, совмещённый с сейфом и устройством выдачи и приёма купюр. Как и простой домашний компьютер, банкомат имеет сетевое подключение, потому тоже подвержен многочисленным электронным угрозам – вирусам, троянам, хакерским атакам для взлома и проникновения в систему. Большинство современных банкоматов работают под управлением знакомой каждому пользователю ПК операционной системы Windows. Но в отличие от домашнего компьютера, банкомат призван решать достаточно узкий круг задач, поэтому и количество необходимых приложений у него сравнительно невелико. Если на домашнем ПК могут быть установлены сотни, а то и тысячи приложений, программ, драйверов, то для работы банкомата требуется обычно не более полусотни приложений. Набор приложений, необходимый для нормальной работы банкомата, как правило не подвергается значительным изменениям за весь его жизненный цикл – регулярно производятся лишь необходимые обновления ПО. Поэтому справедливо будет сказать, что ПО банкомата представляет собой изолированную программную среду.

    Если говорить о безопасности ПО для банкомата, то нужно упомянуть особенности аппаратной части банкомата. По составу аппаратных компонентов, банкомат также мало отличается от домашнего ПК: в нём есть процессор, модули памяти, жёсткий диск, сетевая карта и т.д. В виду того, что спектр задач банкомата как компьютера невелик и для их выполнения не требуется значительных аппаратных ресурсов, в банкомат устанавливается очень скромное по производительности «железо». Следует отметить также то, что проводные и беспроводные соединения, которыми оперируют современные банкоматы, не отличаются высокой скоростью – это связано с техническими особенностями функционирования банковских сетей.

    Итак, банкомат – компьютер с ограниченным и почти неизменным набором ПО, слабой аппаратной частью и медленным сетевым соединением. Является ли это недостатком при построении системы информационной защиты? Для традиционных средств защиты ситуация не самая благоприятная. Антивирусы требуют постоянного обновления баз вирусных сигнатур, что трудно осуществить при недостаточной ширине канала связи. Кроме того, многие антивирусы достаточно требовательны к компьютерному «железу», чем банкомат также не может похвастать. При всём этом антивирусы малоэффективны в борьбе с неизвестными угрозами и взломами. Брандмауэры (фаерволы) не способны дать надёжную защиту от более-менее серьёзных угроз вроде вирусов или попыток доступа к уязвимым участкам ПО банкомата, хотя и могут работать на слабом оборудовании, и не требуют постоянных обновлений. Есть ли подходящая альтернатива традиционным средствам защиты? Есть!!!

    Safe'n'Sec TPSecure – программный комплекс проактивной защиты, созданный специально для защиты банкоматов и платёжных терминалов. TPSecure идеален для изолированных программных сред, не требует постоянных обновлений, не притязателен к «железу», при этом лишён всех недостатков современных антивирусов (и даже может работать совместно с ними). Используя технологию защиты от вторжений HIPS и запатентованную технологию V.I.P.O.®, SafenSoft TPSecure надёжно сохраняет целостность установленного ПО и способен противостоять практически любому нарушению изолированной среды. Принцип работы TPSecure основан на защите ПО банкомата от неавторизованных модификаций (изменение, удаление, добавление новых элементов) и создании продвинутых белых и чёрных списков разрешённого ПО и авторизованных пользователей (администраторов, обслуживающего персонала).

    Подробнее о ключевых функциях Safe'n'Sec TPSecure >>>

    Такой подход обеспечивает практически полную защиту от любого подозрительного ПО, попыток проникновения в систему и любых неавторизованных изменений программного обеспечения. Учёт активности (логирование) и многоступенчатая аутентификация лиц, имеющих права на совершение тех или иных действий с программным обеспечением банкомата обеспечивает гарантированную защиту от инсайдеров с любым уровнем доступа – от техника до главного администратора сети. Ограниченность набора программ банкомата позволяет легко и быстро создать профиль доверенного ПО, источников обновлений, а также настроить систему оперативного оповещения администраторов и службы безопасности банка о любых подозрительных попытках доступа к программной оболочке банкомата.
     
    Охотник и Theriollaria нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей