15 декабря, 2011, BIS Journal №1(4)/2012

Активная защита ДБО


Крылов Павел

Заместитель начальника отдела контроля банковских рисков (ОАО «Сведбанк»)

Делиться с коллегами положительным опытом проведения активного противодействия хакерам - профессиональный долг специалистов по информационной безопасности банков

Системы фрод-мониторинга, разработка которых была начата 2 года назад, сейчас используются большинством банков. Но опыт активного противодействия банков хакерам актуален по-прежнему. К сожалению, среди граждан недостаточно широко распространено ответственное отношение к информационной безопасности собственных электронных кошельков.

В ОТВЕТЕ ЗА КЛИЕНТА

Ситуация, с которой довелось столкнуться, − типичная, с подобными хорошо знакомы во всех банках. Описываемая история началась в ноябре 2009 года: служба информационной безопасности банка выявила попытку несанкционированного перевода денег со счета клиента через систему дистанционного банковского обслуживания.

У многих клиентов очень низкий уровень понимания того, что при использовании дистанционного банковского обслуживания необходимо соблюдать нехитрые требования информационной безопасности. Это как все люди знают, что нужно мыть руки перед едой, но некоторые не всегда следуют этому простому правилу. И потом удивляются расстройству желудка.

Ни телевидение, ни газеты пока не прилагают заметных усилий для массовой пропаганды основ информационной безопасности платежей. Хотя такой курс пора вводить, начиная со школьного предмета основ безопасной жизнедеятельности. Предупреждений, которые банки делают своим клиентам, оказывается недостаточно. Поэтому различные инциденты, связанные с попытками удалённого хищения средств с банковских счетов клиентов, довольно распространены.

Тем большая ответственность ложится на банки, которые стараются повысить степень защиты дистанционного банковского обслуживания. Работники службы информационной безопасности банка, в котором произошли описываемые события, были хорошо подготовлены к подобным инцидентам. Начиная с июня 2009 года не было ни месяца, чтобы не регистрировались попытки проведения несанкционированных клиентами платежей с их счетов.

ONLINE-МОНИТОРИНГ НЕ ПОДВЁЛ

История начинается с того, что был выявлен типичный сценарий попыток хищений. Для поиска клиентов, пользующихся интернет-банкингом, используется бот-сеть. С машины жертвы копируются логин, пароли и ключевая информация. Несанкционированный платёж пытаются провести с использованием общедоступных сетей вроде «Корбина» или Yota и т.п. Чтобы затруднить противодействие, для попытки хищения выбирается, как правило, конец рабочего времени последнего дня недели.

Чтобы отслеживать платежи, нетипичные для данного клиента, которые нуждаются, кроме стандартной идентификации, в дополнительной проверке, в банке была создана скоринговая система on-lineмониторинга. Учитывалась разница в IP-адресах, с которых осуществляется вход в программу дистанционного банковского обслуживание, user-аgentи cookie. Особое внимание уделялось переводам со счёта юридического лица на счёт физического, тем более нового. Платёжи, не обычные для каждого клиента, отслеживались по получателям, размеру суммы, назначению и другим параметрам.

В случае, о котором идёт речь, клиент ничего не заметил, но сработал online-мониторинг. Служба информационной безопасности банка отреагировала незамедлительно и чётко. Первичный анализ ситуации показал, что кибер-вор предварительно проверил, работают ли украденные идентификационные данные жертвы − логин и пароль.

Первый заход в интернет-банк с нестандартного для клиента IP-адреса был зафиксирован несколькими днями ранее, и адрес этот принадлежал провайдеру ООО «Скартел» (бренд Yota). Затем был выполнен второй заход с того же компьютера злоумышленника, на этот раз с IP-адреса, выделенного универсальным оператором связи «Корбина Телеком». Спустя час с немногим после попытки хищения кибер-вор со своего компьютера снова зашёл проверить статус платежа.

Клиент, с которым оперативно связались сотрудники банка, подтвердил, что никаких платежей в это время он не проводил. Было установлено: клиент был лишён возможности откатить платёж или проверить состояние своего счёта, поскольку его система на тот момент находился под DDoS-атакой, организованной злоумышленником. Таким образом, пресечённая попытка хищения показала эффективность системы обеспечения информационной безопасности банка.

ТРОЯН ПОД «НАРУЖКОЙ»

Сотрудники банка не успокоились на достигнутом. Намерение активно противодействовать кибер-преступникам созрело давно, и грех было не воспользоваться хорошей возможностью осуществить его на практике. Следовало попытаться по максимуму собрать сведения о незаконных действиях хакера, чтобы предотвратить возможные хищения. А при удачном развитии событий − набрать необходимые данные, чтобы сотрудники управления «К» Бюро специальных технических мероприятий МВД России могли перевести их в формат юридических доказательств преступной деятельности.

Для начала следовало совместно с клиентом изучить механизм хищения, К сожалению, клиент не стремился чётко соблюдать нехитрые требования информационной безопасности, прописанные в договоре с банком и выданных ему инструкциях. Мало того, что работал в пользовательском профиле с правами системного администратора, ещё и антивирусная защита была не установлена. К тому же пользователь посещал со своего рабочего компьютера сайты определённого содержания, которые часто являются ловушками для простаков. Разумеется, были выявлены следы трёх «троянов» и руткита.

Было решено взять хакера в «оперативную разработку». Начали с отслеживания активности шпионских программ, которыми был заражён компьютер клиента. Для изучения используемой злоумышленником бот-сети применили давно известную тактику Honeypot − была создана виртуальная тестовая машина с системой, специально заражённой вредоносными кодами. Хакер не мог знать, что весь трафик, обмен данными программ-«шпионов» с командным центром на сервере, отслеживается «информационной контрразведкой» банка. С компьютера, игравшего роль «живца», были зафиксированы периодические обращения следующего вида:

GET/i/origami/page.php?var=a3&cookie=85CBA11C4BC471B6&key=a5&session=a4&query=ie&link=0 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.erotic-baby-girl.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Server: nginx/0.6.36
Date: Mon, 23 Nov 2009 03:46:42 GMT
Content-Type: text/html
Connection: close
X-Powered-By: PHP/5.2.9

К адресу, который соответствовал сайту-ловушке для простаков www.erotic-baby-girl.com также был привязан сайт www.sotana.su. Сервер хакера физически был не в России, а в Китае. Найти «лазейки» командно-контрольного сервера бот-сетей сразу не получилось.

ПРОКОЛ КОНСПИРАТОРА

Стало ясно, что хакер − не профан: в течение недели скрытого наблюдения за ним менял «конспиративные квартиры» и «явки» − сайт www.erotic-baby-girl.com «переехал» как минимум один раз, на IP-адрес 58.23.64.240. Именно очередной «переезд» подвёл хакера, потому что следовать правилам конспирации нельзя «наполовину», малейшая оплошность способна привести к провалу.

Права пословица, что на каждого мудреца бывает довольно простоты. Чувствуя себя в безопасности, хакер, очевидно, расслабился. И, осуществляя «переезд», ослабил защиту своих информационных ресурсов. На некоторое время стали доступны back-up файлы базы данных его командного центра. На протяжении двух дней велось их копирование, но на третий день хакер спохватился и закрыл доступ.

Было слишком поздно! В распоряжении сотрудников банка оказался полный объём украденной хакером у клиентов банков идентификационной информации, с помощью которой можно было от их имени распоряжаться средствами на их счетах. В частности − конфиденциальные данные 239 клиентов 67 банков, позволяющие получить доступ к их счетам, а также клиентов других организаций, в том числе телекоммуникационных. Перечень банков и просьба обращаться за деталями были немедленно опубликованы на закрытом форуме АРЧЕ. Информацию передали и в МВД России.

ОПЕРЕЖАЮЩАЯ ОБОРОНА

Сейчас в банках почти повсеместно применяются системы фрод-мониторинга. Разработаны алгоритмы реагирования на инциденты, которые включены в регламент работы с клиентами, пользующимися дистанционным банковским обслуживанием. Проводится инструктаж менеджеров, работающих с этими клиентами. Но и хакеры не стоят на месте, оттачивают приёмы и инструментарий on-lineмошенничеств. Стремятся разрабатывать схемы, которые позволяют красть деньги со счёта клиента прямо с его персонального компьютера, как бы его руками. Старые критерии выявления мошеннических операций могут переставать срабатывать, требуется выработка новых.

В банках понимают это, и стремятся работать на опережение. Усиливают работу с клиентами, от которых требуют особого подтверждения нового счёта получателя. Организуют запасные входы в интернет-банк на случай DDoS-атак, сопровождающих попытки хищений. Пользователей убеждают завести отдельный компьютер − недорогой нетбук, предназначенный исключительно для дистанционного банковского обслуживания. Предлагают дополнительно защищать его интернет-соединение посредством firewall, настроенной на контакт только с сайтом своего банка.

Улучшаются банковские системы мониторинга и анализа сомнительных операций, внедряется и расширяется использование устройств типа eToken. Создаются специальные рабочие места для незамедлительного расследования инцидентов. Одно − с программным обеспечением EnCase Forensic, которое соответствует стандарту компьютерного судебно-криминалистического исследования и обеспечивает признание в судах восстановленных данных. Другое, с отдельным, не связанным с банком выходом в интернет, − для организации «песочницы» с виртуальными машинами для отслеживания поведения бот-сетей. Устанавливаются контакты с Управлением «К» БСТМ МВД России.

Можно выделить несколько актуальных на нынешний момент направлений доработки банковских систем информационной безопасности. Первое − повышенное внимание при заходе клиента в систему дистанционного банковского обслуживания из общедоступных сетей тип Yota, «Корбина» и им подобных. Второе − различные техники поведенческого анализа. Третье – SMS-оповещение клиента о фактах доступа к системе ДБО и проведении подозрительных платежей. Четвертое – изучение тенденций изменения сценариев несанкционированного списания денежных средств и внедрение алгоритмов выявления таких сценариев в системе фрод-мониторинга.

«ЧЁРНЫЙ СПИСОК» ПИШЕМ ВМЕСТЕ

Но самостоятельных технических и организационных мер может оказаться недостаточно. Для успешного противодействия кибер-злоумышленникам требуются слаженные усилия многих сторон: банков, правоохранительных органов, сообществ специалистов по информационной безопасности.

До недавнего времени с межбанковским взаимодействием наблюдались сложности. В 2009 году в ответ на обращение на форуме АРЧЕ по вышеописанному случаю лишь 12 банков обратились за подробной информацией о своих клиентах, и только один поделился информацией об IP-адресах, которыми пользовались злоумышленники.

Но за прошедший год есть существенные подвижки в этом направлении. По инициативе ОАО «Россельхозбанк» на базе Комитета по безопасности Ассоциации российских банков начат и ширится межбанковский обмен информацией, связанной с фактами покушений на хищение денежных средств. Постепенно эта площадка становится эффективным инструментом обмена опытом по самому широкому спектру вопросов информационной безопасности.

Активная оборона банками своих информационных систем является хорошим средством осложнить жизнь злоумышленникам, которые пытаются похитить чужие деньги. Недостаточно просто выстроить надёжную систему информационной защиты кредитно-финансового учреждения, нужно переходить в наступление. Перенесение «боевых действий» на поле противника позволяет заблаговременно предупреждать готовящиеся преступления и у многих отбивает охоту к лёгкой наживе.

 

Смотрите также

Презумпция вины

28 ноября, 2011

Дефицит недоверия

18 апреля, 2011
Подпишись на новости!
Подписаться