Впервые об инцидентах в системах дистанционного банковского обслуживания в нашей стране заговорили в 2010 году. С этого времени с каждым годом в области расследования инцидентов информационной безопасности фиксируется практически двукратный рост данного вида киберпреступлений.
Средний размер хищения с банковского счета юридического лица сегодня приблизился к сумме в три миллиона рублей. Практически все банки регулярно высылают тонны уведомлений клиентам, подробно рассказывая о таком виде мошенничества и о мерах безопасности, которые необходимо принять, чтобы избежать его. Однако инциденты случаются ежедневно, так как технический инструментарий злоумышленников тоже постоянно обновляется и совершенствуется. Если раньше большинство инцидентов заключалось в похищении закрытого ключа электронной цифровой подписи и пары логин — пароль для доступа в систему банк — клиент, то теперь злоумышленникам уже не страшны ни токены, ни способы многофакторной аутентификации, ни привязки клиента к IP- и MAC-адресам. Как правило, от подобных преступлений страдает средний и малый бизнес, где отсутствуют высококлассные специалисты в области информационной безопасности. Однако и хорошо защищенная организация не может чувствовать себя спокойно. О некоторых самых интересных инцидентах, которые разбирались в нашей лаборатории компьютерной криминалистики, я расскажу ниже.
«Горячие девочки»
Представим генерального директора небольшой московской компании, по совместительству являющегося также главным бухгалтером. Его рабочий ноутбук, с которого осуществлялся доступ к системе дистанционного банковского обслуживания, был одновременно и личным ноутбуком и активно использовался для серфинга в сети Интернет. Ключи ЭЦП хранились в мирной папочке на диске «С». Операционная система — Windows XP со всеми последними на тот момент обновлениями безопасности. Конечно же был установлен и антивирусный продукт известного вендора. Хронология инцидента такова: в 11:00 был скачан файл Adobe Acrobat «Самые горячие девчонки.pdf» и открыт в Adobe Acrobat Reader версии 6.0. Через секунду отработал запрятанный в нем эксплойт на javascript, еще через 30 секунд во временном каталоге ОС появляется троян (разновидность ZBOT), который благополучно копирует ключи ЭЦП, а также логин и пароль для доступа к системе интернет-банкинга и сохраняется в текстовом файлике. Уже в 12:30 со счета компании списывается весь остаток в размере 600000 рублей и до конца дня обналичивается в банкоматах Екатеринбурга.
Взлом внутрибанковской системы
Взламывать банковские системы дело невыгодное. Обычно благодаря стандартам ИББС Банка России они неплохо защищены, к тому же у банков есть средства для найма хороших специалистов по защите информации. Однако расскажу об интересном случае хищения порядка 150 миллионов рублей у одного банка. Внутри этого банка действовала собственная система денежных переводов, схожая с Western Union. Она не имела интерфейса для клиентов, как клиент — банк, а работала только у операционистов и администраторов этой внутренней системы. По идее доступа во внутреннюю сеть банка ни у кого быть не могло. Межсетевой экран прямо запрещал инициацию подключений извне. Тем не менее на один из компьютеров внутренней сети был загружен бэкдор, обеспечивающий обратное подключение к серверу преступников. Основной уязвимостью данной внутрибанковской системы было то, что авторизация проходила по учетной записи пользователя в ОС. Если учетная запись имела права локального администратора, то он автоматически был администратором и в этой платёжной системе. Дальше было дело техники, хотя в течение двух дней киберпреступники даже не догадывались, какое сокровище попало им в руки. Они пытались получить доступ к системе клиент — банк и провести платежи через неё, но у них ничего не получалось. Зато обнаружив внутреннею платежную систему, они в течение нескольких часов успешно перевели около 150 млн. рублей на различные фамилии.
Многофакторная аутентификация
О совершенстве современных банковских троянов может свидетельствовать следующий инцидент. Для проведения платежа в одной компании требовалось подтверждение двумя электронными цифровыми подписями, а после — ввод одноразового пароля, генерируемого специальным устройством. Электронные цифровые подписи, принадлежавшие генеральному директору и главному бухгалтеру, располагались на неизвлекаемых носителях — токенах. Заражение компьютера произошло через эксплуатацию уязвимости в JAVA VM после посещения крупного новостного ресурса (на тот момент взломанного). Троян, загрузившийся в ОС, отключил антивирусы и сетевые экраны и инжектировался в функции и процессы системы клиент — банк. Формируемые платежные поручения можно собирать в очередь и отправлять в банк пакетом. Это и стало главной причиной инцидента. Троян внедрил в очередь мошенническую платежку и подменил всю выводимую для пользователя информацию — число платежных поручений в очереди, общую сумму платежей. Под конец дня бухгалтер отправила заверенную двумя подписями и одноразовым паролем очередь в банк, где внедренная платежка и была исполнена. Примечательно, что и после этого троян пересчитывал и подменял в системе всю информацию, в том числе выписки, таким образом, чтобы пользователь не мог узнать о мошеннической операции как можно дольше.
Партизанщина
Интересный инцидент произошел в другой компании, которая тоже использовала две электронные подписи для подтверждения платежного поручения. Троян попал на компьютер в результате эксплуатации уязвимости в JAVA VM после посещения взломанного сайта одной железнодорожной компании. На компьютер было загружено целое семейство вредных программ: Carberp, который похищает ключи ЭЦП, логины и пароли для систем клиент — банк, нейтрализует средства защиты и выполняет команды с управляющего сервера, и RDPdoor, организующий скрытое от пользователя удаленное управление компьютером в той же или в параллельной сессии и загружающий ряд других программ, чтобы использовать их как свои модули. При этом у пользователя не бегает курсор по экрану, нет никаких других подозрительных явлений — всё происходит совершенно незаметно для него. Киберпреступники удаленно создали учетную запись пользователя и ждали, когда будут вставлены оба ключа с электронными цифровыми подписями. Однако подходящего момента все не было. Тогда мошенник установил на взломанный компьютер джаббер, подключился к веб-камере и прямо с зараженной машины скрытно от пользователя стал следить, когда бухгалтер сядет за свое рабочее место, чтобы сразу написать об этом подельникам. Из документов на компьютере ему быстро удалось узнать название компании, служебные телефоны и ФИО бухгалтера. Наконец, когда она села и хакер отписал своему подельнику, что видит ее в камеру, тот позвонил ей. Представившись сотрудником техподдержки банка, злоумышленник попросил провести ряд операций: войти в систему клиент — банк, авторизоваться в ней и вставить по очереди оба ключа с ЭЦП. В это время его сообщник похитил логин и пароль на доступ, пин-коды к токенам, создал и подписал обеими подписями платежное поручение и отправил его в банк. Вот такая кооперация.
Выше, быстрее, сильнее!
Весьма трагичный случай произошел в одной небольшой компании. Бизнес-центр на юге Москвы, два небольших ООО снимают соседние помещения. Их обслуживает один бухгалтер. У бухгалтера на компьютере установлены две разные системы клиент — банк, так как компании обслуживаются разными банками. Один из них использует электронную цифровую подпись на флешке, другой — на токене. После заражения компьютера (связка вирусов та же, что и в прошлом случае) Carberp похищает все данные, необходимые для совершения платежа, и киберпреступники создают мошенническое платежное поручение на своих устройствах. После обнаружения инцидента компьютер оставался включенным, а токен второй, не пострадавшей компании не был извлечён из него. Руководство первой компании обратилось в полицию, которая прислала оперативную группу. Пока оперативники брали объяснения за тем столом, на котором стоял работающий скомпрометированный компьютер, хакеры поняли, какой приз попал им в руки. И прямо в этот момент с помощью удаленного управления мошенники проводят платеж со счета второй компании. Вот такая ирония судьбы. Хорошо, что после этого подозрения с бухгалтера спали, а проведенное криминалистическое исследование расставило все точки над «i».
Заключение
Как, наверное, стало ясно из описания инцидентов, одновременная работа с системами дистанционного банковского обслуживания и любая другая деятельность на этом же компьютере должна быть полностью исключена. Кроме того, пользователи зачастую игнорируют своевременное обновление такого ПО, как JAVA, Adobe Reader, Adobe Flash Player, а эксплуатируя именно уязвимости в них, трояны, как правило, и попадают в компьютер. Кстати, во всех инцидентах на ПК были установлены антивирусы разных вендоров с актуальными базами, так что можно сказать, что такая продукция — отнюдь не панацея. Кроме того, бухгалтеры часто имеют учетные записи с административными правами, откровенно излишними для них. Если бы у пользователя была ограниченная учетная запись, инцидента можно было бы и избежать.
