4. Статистика ЦБ РФ: динамика
(2014-2015)инцидентов в ДБО
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается
существенный
рост
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
5. Статистика ЦБ РФ: .ДБО юр лиц
- , . .предотвращено млн руб
- , . .украдено млн руб
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
6. Статистика ЦБ РФ: .ДБО юр лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
Какие суммы пытаются украсть чаще всего
у клиентов – юридических лиц?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
7. Статистика ЦБ РФ: .ДБО физ лиц
- , . .предотвращено млн руб
- , . .украдено млн руб
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
8. Статистика ЦБ РФ: .ДБО физ лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- , .количество инцидентов ед
Какие суммы пытаются украсть чаще всего
у клиентов – физических лиц?
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
9. Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
10. ТРЕНД 2015 ГОДА:
АТАКИ НЕ НА КЛИЕНТОВ
БАНКА, А НА БАНКИ
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
11. ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону
кредитных организаций. Так инциденты, связанные с
целевыми атаками на операционную инфраструктуру
кредитных организаций и платежных систем, в 2015
году привели к финансовым потерям в размере более
900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
12. ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и
дальнейшая кража средств,
шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
13. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские
терминалы QUIK, TRANSAQ)
клиенты банков
(кража через ДБО)
расчетные системы
КОГДА: с 2011 г., продолжает
активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
14. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
2015август :
атака на Объединенную
расчетную систему,
кража 500 млн. руб.
2015февраль :
атака на банковский
торговый терминал QUIK,
ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ
ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
15. ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки
(кража через АРМ КБР)
клиенты банков
(кража через ДБО)
КОГДА: с 2014 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
16. Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г.
подверглись атакам 19 банков, удалось предотвратить кражу
средств на общую сумму 1,5 млрд. руб.
2015август : 1 ,банк 25 . .млн руб
2015октябрь : 1 ,банк 99 . .млн руб
2015ноябрь : 2 ,банка общая сумма 75 . .млн руб
2015декабрь : 5 ,банков общая сумма 571 . .млн руб
2016январь : 2 ,банка общая сумма 240 . .млн руб
2016февраль : 2 ,банка общая сумма 859 . .млн руб
2016март : 2 ,банка общая сумма 500 . .млн руб
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
18. Атака на АРМ КБР
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
19. Атака на АРМ КБР
1 этап – рассылка письма
Потенциальной жертве приходит письмо с
вложением. Текст письма, как правило,
связан с деятельностью сотрудника
Вредоносный код в письме
не обнаруживается антивирусами
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
20. Атака на АРМ КБР
1 этап – рассылка письма
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
21. Атака на АРМ КБР
2 этап – запуск загрузчика
Вы все еще считаете, что
RTF-документы безопасны?
Вложение к письму представляет собой RTF-документ,
эксплуатирующий уязвимость CVE-2012-0158 (выполнение
произвольного кода из-за переполнения буфера в библиотеке
MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается
загрузчик, который из сети Интернет скачивает, а затем
устанавливает специализированный троян
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
22. Атака на АРМ КБР
3 этап – создание локальной bot-сети
Если вылечить один компьютер,
через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить
максимальное число компьютеров.
Функционал
трояна:
кейлоггер
сборщик паролей
удаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
23. Атака на АРМ КБР
4 этап – поиск АРМ КБР
Мошенники детально
разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер
с АРМ КБР (он может быть полностью отключен от
сети), но и любой компьютер, где ведется работа с
файлами формата АРМ КБР.
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
24. Атака на АРМ КБР
5 этап – атака
Поддельные платежные поручения
попадают на АРМ КБР даже если он
отключен от сети и обмен идет
через USB Flash
В назначенный день X осуществляется атака –
платежные поручения, отправляемые в АРМ КБР, либо
модифицируются (меняется р/с получателя) без
изменения числа платежных поручений, либо
формируются дополнительные платежные поручения
(порядка 2000 штук)
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
25. Атака на АРМ КБР
6 этап – уничтожение следов
Администраторы банка в первую
очередь пытаются восстановить
работоспособность сети, не проверяя
платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого
диска, после которой компьютер перегружается и
становится неработоспособным.
#CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
29. #CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
FraudWall: комплексное решение
Предотвращение
кражи средств в
системах ДБО
Предотвращение
кражи средств в
системах ДБО
Борьба с
внутренним
мошенничеством
(платежи в АБС)
Борьба с
внутренним
мошенничеством
(платежи в АБС)
Предотвращение
кражи средств
через АРМ КБР
Предотвращение
кражи средств
через АРМ КБР
30. #CODEIB
Г. САНКТ-ПЕТЕРБУРГ
21 АПРЕЛЯ 2016
Система голосового
подтверждения
подозрительных платежей
Антифрод-
система
Центр управления
инфраструктурой
серверов FraudWall
FraudWall: комплексное решение
Сервис по обнаружению
проблем на компьютере
клиента банка
31. СПАСИБО ЗА ВНИМАНИЕ!
АНДРЕЙ ЛУЦКОВИЧ
ООО ФРОДЕКС,
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
promo@frodex.ru
www.frodex.ru
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Notes de l'éditeur
Всемирный тренд – APT атаки. Взлом аккаунтов корпорации Sony, Steam, атаки на посольства государств, Иранская ядерная программа – это все из той же серии.