19 сен 2013

Хищение денег с помощью ДБО

10 сентября в ходе пресс-конференции «Киберпреступность: состояние и тенденции 2013 года» генеральный директор компании Group-IB Илья Сачков сообщил, что в ближайшее время в СНГ можно ожидать всплеск автоматизированного хищения денежных средств с помощью дистанционного банковского обслуживания (ДБО).

«Автозаливом», на сленге компьютерных преступников, называют функциональность вредоносного ПО (так называемых «web-инжектов»), которая предусматривает автоматическую отправку несанкционированных платежных поручений при входе пользователя в систему, подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей̆, а также коррекцию страниц с историей̆ переводов и доступного баланса с целью скрыть факт хищения.

Технология автоматического проведения мошеннических платежей родилась в 2005 году и в последние два года, по словам Сачкова, стала массово доступна на черном рынке. В 2012 году специалисты Group-IB впервые зафиксировали случаи использования автозаливов в странах постсоветского пространства – в отношении систем ДБО, работающих по технологии «толстого клиента» («Толстый клиент» – приложение, при работе которого сервер является лишь хранилищем данных, а вся их обработка переносится на компьютер пользователя. «Тонкий клиент», в свою очередь – компьютер или программа-клиент, который переносит все или большую часть задач по обработке информации на сервер).


Как правило, отметил Сачков, на начальном этапе технология «автозалива» используется в отношении отдельно взятого банка, причем злоумышленники действуют в партнерстве с мошенниками из числа штатных сотрудников самого банка.

Технические возможности web-инжектов чаще всего сводятся к следующим сценариям:
– подложные пользовательские диалоги от лица банковского приложения предлагают пользователю ввести дополнительную информацию для получения доступа к аккаунту. Это могут быть данные по кредитным картам, номер SSN, ответы на секретные вопросы, TAN-коды и так далее.
– программа извлекает информацию о доступном балансе, кредитном лимите и о структуре размещенных в банке денежных средств. Кроме этого, она собирает со страниц ДБО время и IP-адрес последнего входа, телефоны, номер SSN, адрес и прочие персональные данные, доступные на страницах приложения.
– непосредственно «автозалив», то есть автоматическая отправка несанкционированного платежного поручения при входе пользователя в систему. Чаще всего существует в формате подложных диалогов, предлагающих пользователю ввести TAN-коды (в том числе сгенерированные на аппаратных токенах) якобы для входа в систему. Необходимость вводить TAN-код несколько раз реализуется в виде диалогов, сообщающих о том, что код был введен неверно и нужно повторить действие.

Очень часто после отправки подложного платежного поручения модуль «автозалива» блокирует дальнейшую работу пользователя с системой ДБО, чтобы скрыть факт хищения. Продвинутые реализации автозаливов могут еще и подменять информацию о балансе с тем, чтобы пользователь видел на страницах банковского приложения «корректную» (по его мнению) сумму. В этом случае информация о подложном платеже полностью скрывается из истории переводов.

Поскольку в Украине чрезвычайно распространены «коробочные» системы ДБО (iBank, BSS, Inist и др.), работа злоумышленников в части создания модулей «автозаливов» значительно упрощена. Для написания модуля, функциональность которого покроет сразу десятки банков, достаточно проанализировать работу единственной системы.

О компании ITBiz

Компания ITBiz является системным интегратором специализированных аппаратных решений в области информационных технологий, и успешно работает на рынке Украины с 2007 года. Веб-сайт компании: www.itbiz.ua


Опубликовано © Itbiz