Презентация вебинара проведенного компание РосИнтеграция

1. Защита пользователей
систем «банк-клиент»

2. www.rosint.net
Докладчики
Сергей Борисов
Заместитель генерального директора по ИБ ООО
«РосИнтеграция»
s.borisov@krasnodar.pro
Блогер по ИБ
sborisov.blogspot.ru
Сергей Канаичев
Менеджер по продажам ООО «РосИнтеграция»
s.kanaichev@rosreport.ru

3. www.rosint.net
Анализ развития киберпреступлений в 2015 году
Объем хищений в интернет-банкинге составил 2,6
млрд. руб.
Выросло количество атак
Увеличилось количество хищений с использованием
мобильных устройств
Прогнозы:
• Вырастет количество атак на клиентов банка с
использованием фишинга
• В связи со снижением эффективности простых атак
с подменой платежных реквизитов,
злоумышленники переключатся на хищения с
получением удаленного доступа
http://report2015.group-ib.ru/

4. www.rosint.net
Отчет Центра мониторинга и реагирования на компьютерные атаки
в кредитно-финансовой сфере ЦБ РФ за 2015-2016 г.
Злоумышленниками была совершена попытка хищения денежных
средств на общую сумму 2,87 млрд. руб.
Предотвращено хищений на сумму 1,6 млрд. руб. Остальные
предотвратить не удалось.
Основные причины:
Отсутствие средств защиты информации (антивирус,
межсетевой экран)
Избыточные права пользователей
Низкая осведомленность пользователей, человеческий фактор
http://www.cbr.ru/credit/Gubzi_docs
/FinCERT_survey.pdf

5. www.rosint.net
Экспертная оценка подразделения по противодействию
мошенничеству «Инфосистемы Джет» 2014-2015 г.
Объемы потерь российских компаний от мошенничества
стабильно растут
Одна из наиболее актуальных тенденций –
мошенничество с использованием социальной
инженерии
Основные причины потерь у юридических лиц:
Заражение вредоносным ПО
Получение удаленного доступа к АРМ
http://www.jet.msk.su/upload/medi
alibrary/c67/expert_review_itog.pdf

6. www.rosint.net
Основные векторы атак / угрозы
Вредоносное ПО через электронную почту
Похищение реквизитов (паролей, ключей)
доступа к системам клиент-банк, АРМ
пользователя
Обман ответственных лиц (социальная
инженерия, фишинг)
Перевод денежных средств на неверные
счета контрагентов
Атака на платёжную инфраструктуру и
системы самого Банка
Несанкционированное списание денежных
средств со счета клиента
Заражение вредоносным ПОСсылка на сайт с вредоносным ПО
Несанкционированный физический
доступ посетителей
Несанкционированный доступ
сотрудников / бывших сотрудников

7. www.rosint.net
Детальный разбор. Заражение вредоносным ПО
Неправильные настройки антивируса,
слабости антивируса
Работа в сети Интернет с АРМ пользователя
системы банк-клиент
Низкая осведомленность пользователей
Неправильные настройки браузера

8. www.rosint.net
Вредоносное ПО нацеленное на пользователей банк-клиент 2016 г.
Trojan.Proxy2.102
Февраль 2016
Скрытый прокси, перехват учетных
данных online.sberbank.ru,
online.vtb24.ru и online.rsb.ru
Trojan.Bolik.1
Июнь 2016
Кража учетных данных
пользователей российских банков
Скрытое взаимодействие с
сервером управления
Xbot
февраль 2016
Мобильный троян, перехват
учётных данных пользователей
российских банков, перехват кодов
в SMS

9. www.rosint.net
Детальный разбор. Похищение реквизитов доступа к системам
«банк-клиент»
Логин/пароль
Перехват на поддельном сайте (fishing)
Закрытый ключ на токене
Физический доступ к носителю ключа или
АРМ
Перехват вредоносным ПО на мобильном
устройстве
Перехват вредоносным ПО на АРМ
Закрытый ключ в реестре / на диске / на
флешке
Одноразовые пароли по
альтернативному каналу связи (SMS / call
back)
Добровольное разглашение
пользователем

10. www.rosint.net
Детальный разбор. Перевод на неверные счета
Поддельный счет приходит с электронного
адреса контрагента (похожего)
Счет подменяется на АРМе любого
сотрудника в цепочке согласования счетов
Обман пользователя системы
Клиент-банк и существующего
процесса согласования счетов
Результат - перевод денежных
средств на неверные счета
Поддельный счет приходит с электронного
адреса сотрудника организации (похожего)

11. www.rosint.net
Атака на платёжную инфраструктуру и системы самого Банка
Атакуют банк - пострадать может Клиент
Атака на АРМ КБР
Атака на web-серверы систем ДБО
Несанкционированное списание
денежных средств со счета
клиента
Атака на АРМ пользователей Банка
Атака на серверы АБС

12. www.rosint.net
Недавние примеры хищений средств клиента ДБО
клиенты Сбербанк Приморского
края
Январь 2016
1 080 тыс. руб.
Казанский завод синтетического
каучука
июль 2016
23 млн. руб.
РОО «ГТО»
2015-2016
удалось вернуть 3.3 из 4.8 млн. руб.
Леспромхоз Лынгинский
2015-2016
800 тыс. руб.
Мир Реабилитации
Июль 2016
3 млн. грн.

13. www.rosint.net
Споры между банком и клиентом
Хищение состоялось. Кто понесет ущерб?
Постановление Арбитражного суда
Дальневосточного округа от 27
августа 2015 г. № Ф03-3569/2015 по
делу № А51-35104/2014
12 млн. руб.
Постановление Арбитражного суда
Северо-Западного округа от 22
декабря 2015 г. по делу № А26-
386/2015
2.5 млн. руб.
Постановление Арбитражного суда
Поволжского округа от 3 сентября
2014 г. по делу № А72-10909/2013
440 тыс. руб.
Постановление Арбитражного суда
Северо-Западного округа от 6 мая
2015 г. по делу № А70-6875/2014
6.3 млн. руб.

14. www.rosint.net
Технические меры защиты систем клиент-банк
Техническиемеры
Использование выделенного АРМ только для работы с системами
клиент-банк
Последние обновления на ОС, правильные настройки браузера
Средство защиты от несанкционированого доступа
Персональный межсетевой экран
Антивирус с функцией защиты интернет-банкинга

15. www.rosint.net
Организационные меры защиты систем банк-клиентОрганизационные
меры
Анализ и выполнение требований соглашения / договора с банком
Организация безопасного хранения ключей банк-клиент
Анализ и использование имеющихся на стороне банка механизмов
безопасности (лимиты, информирование, доверенные получатели)
Разработка комплекта инструкций по безопасности пользователю
системы клиент-банк
Проведение обучения и проверки знаний пользователей

16. Профессиональное решение задачи по
защите системы клиент-банк
По вопросам обращаться к Сергею Канаичеву
s.kanaichev@rosreport.ru
8 (861) 279 32 00 доб. 469