group-ib. Угрозы информационной безопасности в банковской...
DESCRIPTION
Презентация к докладу Андрея Брызгина на конференции КОД ИБ в г. Перми 30.10.2014TRANSCRIPT
Угрозы информационной
безопасности в банковской сфере: ключевые направления атак на банковские и финансовые
организации, а также их клиентов
Этапы
развития
компании
ГОД ОСНОВАНИЯ
GROUP-IB
2003 2009 2010 2011 2013
ВЫХОД НА МЕЖДУНАРОДНЫЙ
РЫНОК
КРУПНЕЙШАЯ
В ВОСТОЧНОЙ ЕВРОПЕ
ЛАБОРАТОРИЯ
КОМПЬЮТЕРНОЙ
КРИМИНАЛИСТИКИ
СОЗДАН
CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ
КОМПЕТЕНЦИЯМИ
20+ 30+ 80+СОТРУДНИКОВ 2
Group-IB
Основные направления деятельности:
ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ
КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ
И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ
И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ
С ИСПОЛЬЗОВАНИЕМ
ВЫСОКИХ ТЕХНОЛОГИЙ
1 2 3 4 5
Мониторинг и предотвращение киберугроз
Расследование киберпреступленийи хищений, совершенных с использованием высоких технологий
Компьютерная криминалистикаи экспертиза
Аудит информационной безопасности и анализ защищенности
Разработка инновационных продуктов в области информационнойбезопасности 3
4
Грустные новости
Knock, Knock, Neo, The Matrix has pwned you
Photo by Sam Taylor-Wood
5
Ущерб мировой экономике
от действий киберпреступников
2010
2012
2011
КЛАССИЧЕСКИЕ СРЕДСТВА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УЖЕ ДАВНО НЕ СПОСОБНЫ
ПРЕДОВТРАЩАТЬ ИНЦИДЕНТЫ
6
КОЕ-ЧТО ОБ APT (ADVANCED
PERSISTENT THREAT) – АТАКАХ И
УГРОЗАХ ФИНАНСОВЫМ
ТРАНЗАКЦИЯМ.
7
2013 год. Компания Mandiant публикует отчёт по
киберразведовательным операциям в отношении китайской
хакерской группы APT1. Краткие выводы:
• Профиль группы – не разовые атаки, а долговременное (от года),
присутствие в атакуемых системах;
• Цели группы – технологические компании в сферах IT, финансов, медиа, энергетики и, конечно, военных разработок по всему миру;
• Группа насчитывает несколько тысяч участников, компактно расположенных в отдельном 12-этажном здании в центре Шанхая;
• Здание подключено к мощнейшим оптоволоконным магистралям.
• В компании, официально расположенные в здании APT1 идёт постоянный набор сотрудников по профилям IT, безопасность и лингвистика.
Основной вывод:
Речь идёт о кибервойсках КНР, получающих задания от правительства и поставляющих информацию для технологического рывка в рамках пятилетних
планов развития государства.
Актуальность
8
Актуальность
2014 год. Хакерская группа Anonymous объявила о взломе
компании – крупного производителя систем защиты информации,
активно работающего в государственном и оборонном секторе.
Позже информация была частично подтверждена, представлены образцы
скомпрометированных данных о клиентах компании.
Вывод:
Профессионализм хакеров стремительно растёт вместе с мотивированностью,
разрозненные злоумышленники группируются ради достижения общих целей
или зарабатывания денег. В связи с этим, защита информации от современных
угроз информационной безопасности – деятельность, требующая
комплексного подхода, системного взгляда на проблему, а также
многонаправленных компетенций. 9
Что такое безопасность на 100%?
Примеры
расследований:
Группа Carberp
1 2 3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
11
Примеры
расследований:
Группа Carberp
1 2 3
Самая большая в России организованная преступная группа онлайн-мошенников (на 2012 г.)
Расследование проведено в тесном сотрудничестве c ФСБ и МВД России при содействии Сбербанка России
Первый в российской правоохранительной практике случай задержания всех фигурантов группы онлайн-мошенников
12
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
13
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
14
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
15
Примеры
расследований:
Группа Hodprot
1 2 3
Одна из старейших групп,занимающихся хищениями в интернет-банкинге
Мероприятия проводились в нескольких регионах России и СНГ
Результат расследования –задержана преступная группа из 7 человек
16
17
18
19
Атаки на клиентские узлы систем интернет-банкинга и мобильного банкинга. Почему?
1. Клиент хуже защищает свои АРМ;
2. Банк не заинтересован в защите АРМ клиента;
3. Клиент редко ищет злоумышленника.
Атаки на клиентские узлы систем интернет-банкинга и мобильного банкинга. Современные
тенденции.
1. Настоящие APT-атаки, с существенным периодом накопления сведений и продвинутой аналитикой;
2. Проведение мошеннических транзакций с компьютера реального клиента;
3. Эффективное противодействие современному антивирусному ПО;
4. Взаимодействие с токенами безопасности от банка;5. Уничтожение следов присутствия на АРМ пользователя.
Почему не работает антивирусное ПО?
1. Вирусы способны изменять внешний вид;2. Единая с вирусом среда функционирования;3. 64-битные системы Microsoft не позволяют HIPS;4. Антивирусы «мертвы» (с) Глава Symantec.
Как защититься?
1. Изоляция АРМ транзакций;2. Антивирусное ПО;3. Выписки по счетам;4. Порог суммы транзакции;5. Токен только на время работы с ДБО;6. Банкинг и SMS OTP на Android – опрометчиво.
А ещё?
Подписка на сервисы семейства Group-IB Bot-Trek :• TDS (Threat Detection Service);• IB (Intelligent Bank);• CI (Cyber Intelligence).
25
Скимминг и кардинг
26
Вирус граббер (Платформа NCR)
1. Загрузка при доступе в банкомат. Модификация ПО банкомата (добавление функции в исполняемый файл в автозагрузке).
2. Запись тела вируса в библиотеку, в скрытый поток NTFS (ApplicationCore.exe:netncr.dll)
3. Перехват треков и пинов и запись их в зашифрованном виде в скрытый поток NTFS (autosave:descriptor).
4. Копирование данных на чип определенной карты, удаление вируса и следов работы после чтения определенной карты.
Белый пластик и чипованные карты
28
Проблема решена?
29
Вирус диспенсер (Платформа NCR)
1. Копирование исполняемого файла с загрузочного компакт диска. Добавление ярлыка в автозагрузку.
2. Внедрение в служебные процессы ПО банкомата.
3. Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер.
4. Отключение локальной сети и возможности самоудаления, «McAfee Solidcore for APTRA».
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER
Подмена кассет (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат. Модификация ключей реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER\
2. Выдача вместо купюр номиналом 100р купюр номиналом 5000р.
Вирус диспенсер (Платформа Wincor)
1. Загрузка при удаленном или физическом доступе в банкомат.
2. Запуск модифицированной версии диагностического ПО Testsoftware Component Diagnostic ("KDIAG32")
3. Выдача купюр без проверки на открытие сейфа.
Мобильные вирусы
33
34
Смартфонам чуть более 5 лет и мы о них мало что знаем
Do you know about Cole Wilson?
“Deadman” by Jim Jarmush
35
36
37У вас эмулятор или рутованное устройство, я так не работаю!
Финансовая биометрия?
Распознавание личности на основании папиллярного узора подушечек пальцев. Как правило, в применении к мобильным платежам.
Остальные методы неприменимы в силу сложности реализации и процента ошибок первого и второго рода.
Какова она, финансовая биометрия?
Удобная, но небезопасная:
• Воспользоваться пальцем человека проще, чем узнать его пароль;
• Пароли на экранах устройств оставляют всё реже, а отпечатки всё чаще;
• Любой банкинг на android-смартфонах —финансирование киберпреступников.
40
Наши заказчики
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
41
Благодарности
Финансовый сектор Государственный сектор ТЭК, промышленность, ИТ
42
CМИ
43
antiphishing.ru ПРЕДОТВРАЩЕНИЕ
И МОНИТОРИНГ
1 2 3
Форма для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Проект функционирует с 2012 года при участии специалистов CERT-GIB
Полученная информация немедленно направляется аналитикам CERT-GIB, которые оперативно обрабатывают поступающие обращения и принимают необходимые меры для нейтрализации вредоносных ресурсов
Социально ориентированный проект: после отправки заявки, пользователям предоставляется возможность поделиться информацией о проекте в соц. сетях
44
