Мошенничество в ДБО :

1. Эффективные технологии противодействия мошенничеству Мошенничество в ДБО: ситуация, тенденции, методы решения Екатеринбург, 2012

2. Эффективные технологии противодействия мошенничеству О нашей компании • разработка аналитических систем, в частности систем антифрода • консультирование, помощь  в расследовании и анализе инцидентов • аутсорсинг процессов ИБ • выполнение работ по построению защищенной инфраструктуры ЛВС • разработка схем подключения эквайрингового оборудования через открытые каналы связи

3. Текущая ситуация с мошенничеством в ДБО Илья Сачков, генеральный директор Group-IB: 900 миллионов долларовудалось похититьинтернет - мошенникам с банковских счетов в 2011 году Источник: www.banki.ru, новость от 21.02.2012 Борис Шаров, генеральный директор «Доктор Веб»: 450 – 500 млн. рублей ежемесячный ущерб от атак на ДБО. Источник: www.izvestia.ru, новость от 16.01.2012 Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк» Средняя сумма покушения – 400 т.р. Средний «улов» специальных банковских бот-сетей – 20-40 тыс.аккаунтов Средняя стоимость «атаки» – 30 т.р. Из выступления на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012

4. Эффективные технологии противодействия мошенничеству Мошенничество в ДБО: эволюция способа совершения мошеннического платежа Из выступления на «УРАЛЬСКОМ ФОРУМЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» , 16.02.2012 Сычев А.М., зам.дир. Департамента безопасности ОАО «Россельхозбанк»

5. Эффективные технологии противодействия мошенничеству 95% инцидентов - результат деятельности специализированных банковских троянов: •  Win32/Shiz •  Win32/Hodprot •  Win32/Sheldor •  Win32/RDPdoor •  Win32/Carberp По данным аналитической лаборатории компании ESET

6. Статистика распространения по странам По данным аналитической лаборатории компании ESET

7. Статистика распространения по странам География угрозы: Вредоносное ПО Carberp наиболее распространено в России и странах СНГ Направлено на пользователей платежных систем и клиентов банков. ГЛАВНЫЙпризнак заражения: Начали пропадать деньги со счета. http://www.securelist.com

8. Динамика числа заражений за 2011 год Из выступления Александра Матросова, аналитическая лаборатория компании ESET,на конференции ZeroNights

9. Вирус постоянно модифицируется своими создателями Банковский троянец Carberp приобрел буткит-функционал: • Carberpпереписывает загрузочный код активного раздела, • вредоносный драйвер записывается  либо: • до активного раздела, в случае, если есть достаточно места • в конце жесткого диска, в противном случае

10. Как подхватить заразу? Надо просто погулять по интернету! Злоумышленники целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб. Результаты одного расследования, заражены оказались: - сайты хостинг-провайдера Infobox- сайта ОАО «РЖД», Free-lance.ru, несколько сайтов ИД «Комсомольская правда» - сайт группы «Интерфакс», сайт ИД «Свободная пресса», сайт ЗАО «Экспресс газета» - сайт пермского лицея милиции- несколько сайтов главного управления МЧС России- несколько сайтов Роскомнадзора По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

11. «Безопасный» веб-серфинг Вышеперечисленные ресурсы не связывает ни общий хостинг-провайдер, ни одна система управления содержимым веб-сайтами. Их объединяет только то, что они были заражены одними и теми же людьми. • Из интересного: • в названии вредоносных доменов,присутствовали названия зараженных ресурсов. Злоумышленники специально регистрировали доменные имена, сходные с именами заражаемых ресурсов. • - для того чтобы сделать заражения более незаметными для администраторов, днем вредоносный код убирался, а вечером снова вставлялся. По данным статьи «Таргетированные веб-заражения» Евгений Асеев, Эксперт «Лаборатории Касперского»

12. Эволюция атаки Drive–By–Download Конференция ZeroNights – 25 ноября 2011 г. Санкт-Петербург доклад Владимира Кропотова (ТБИнформ), доклад «Эволюция атаки Drive–By–Download до и после публикации уязвимостей глазами аналитика ИБ» svpressa.ru - 276 тыс посетителей в день eg.ru - 263 тыс. посетителей в день kp.ru - 587 тыс. посетителей в день rzd.ru - 180 тыс. посетителей в день В этом же докладе перечисляются конечная цель, атакуемые банки: Сбербанк, Альфа-банк

13. Эволюция атаки Drive–By–Download

14. Текущая ситуация В сухом остатке: • у киберпреступников создана целая индустрия • индустрия эффективна и продолжает развиваться • (поток инвестиций налажен) • в группе риска любой пользователь интернета • количество инцидентов будет только расти

15. Эффективные технологии противодействия мошенничеству В итоге практически каждый Банк сталкивается с клиентом, пытающимся вернуть свои деньги.

16. Банки сталкиваются с мошенничеством Порядок действий для возврата платежа: • Получить от пострад. клиента официальное заявление • Составить письмо в банк-получатель с просьбой о блокировке/возврате платежа, при этом важно запросить блокировку ДБО и платежных карт • Оперативно связаться со службами банка –получателя, направить письмо клиента и письмо банка в банк-получатель, продублировав последнее сообщение по системе SWIFT • Если платеж еще не был зачислен на счет получателя, то тогда банк-получатель имеет право вернуть платеж, то есть в этом случае вероятность возврата средств достаточно высока. • Если платеж зачислен на счет получателя, остается два варианта действий: • Поиск получателя и истребование от него заявления об отказе от полученного платежа, • Обращение клиента в суд и возврат средств по решению суда • В случае обращения в суд клиенту необходимо обратиться в правоохранительные органы И это не гарантирует возврат денег! Практический опыт совершенствования систем ДБО. Янсон И.А.

17. Банки сталкиваются с мошенничеством Текущие проблемы Взаимодействие с гос. органами не всегда эффективно: • по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой. • расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы. • в 9-ой статье ФЗ-161 говорится о том, что по заявлению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент. Алексей Лукацкий, эксперт в области информационной безопасности http://lukatsky.blogspot.com/2012/02/3.html

18. IV Межбанковская конференция«УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» Реакция отрасли: Источник мошенничества клиент – будем решать проблему на стороне клиента! ДБО, три главные угрозы • Кража ключей электронной подписи • Выполнение операций без ведома пользователя (удаленное управление компьютером) • Подмена платежной информации

19. IV Межбанковская конференция«УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ» Существующие технические решения • Ключевые носители с неизвлекаемыми ключами электронной подписи • Создание доверенной среды • Доверенное устройство • Подтверждение операции по доверенному каналу связи • Комбинированные решения

20. Противодействие мошенничеству: джентльменский набор Доверенные устройства Ключевые носители Доверенныесреды • Смарт-Карты • USB-токены • USB-токены с дополнительными возможностями: • биометрия • кнопка для подтверждения операций • экран • Программная «песочница» • Чистая виртуальная машина • Чистая операционная система • Компьютер только для ДБО • на базе обычной рабочей станции или нетбука • на основе технологии «тонкий клиент» • Устройства для доверенного просмотра и подписи платежных документов

21. Эффективные технологии противодействия мошенничеству • Доверенный ввод PIN-кода • Визуальный контроль платежной информации • Управление операцией подписи

22. Эффективные технологии противодействия мошенничеству Наше мнение: Клиента защищать надо, но этого недостаточно! • Необходим комплексный подход: доверенная среда на стороне клиента не исключает проверку на стороне Банка • Платеж легче остановить в Банке источнике, нежели вернуть из Банка получателя

23. Эффективные технологии противодействия мошенничеству FRAUDWALL– аналитическая система обнаружения мошеннических платежей • обнаружение не менее 95% мошеннических платежей • контроль свыше 50 параметров • выявление мошеннических платежей, созданных даже на ПК клиента • интеграция с ДБО BS-Client v.3 компании “BSS"

24. Эффективные технологии противодействия мошенничеству Решение FRAUDWALL – современный «антивирус» для систем ДБО. • Предоставляется как автоматизированная система, так и специализированный сервис, включающий: • постоянный мониторинг текущей ситуации • своевременное реагирование со стороны компании разработчика и постоянное обновление логики системы • консалтинговые услуги по расследованию инцидентов.

25. FRAUDWALL– аналитическая система обнаружения мошеннических платежей Принципы обнаружения мошеннических платежей • формирование собственного адаптивного профиля каждого клиента банка • многокритериальный контроль свыше 50 параметров, соответствующих работе клиента в сессии ДБО. • непрерывная корректировка профиля с учетом текущих особенностей ведения бизнеса клиентом банка. • Каждое платежное поручение, поступившее в банк от имени клиента, проверяется на соответствие профилю - если платеж не характерен для клиента, он будет считаться подозрительным. • СистемаFraudWall – заявляемый функционал: • обнаружение мошеннических платежей • защита сервера ДБО от атак из сети Интернет • получение аналитических и статистических отчетов по платежам и получателям

26. FRAUDWALL - система обнаружения мошеннических платежей третьего поколения Эволюция системыFRAUDWALL:

27. Эффективные технологии противодействия мошенничеству Архитектура системы FRAUDWALL Все компоненты системы могут быть установлены на одном сервере. С ростом числа клиентов банка, можно развернуть дополнительные сервера системы, распараллелив нагрузку между ними.

28. Эффективные технологии противодействия мошенничеству • нет нагрузки на сервера ДБО • функционал кеширования FRAUDWALL: • снижает нагрузку на WWW-сервер системы • повышает скорость работы клиента в системе для филиалов, доступ в Интернет которых организован через единый канал • кластерное использование серверов системы (при необходимости) Недостатки: закупка отдельного сервера под систему

29. Эффективные технологии противодействия мошенничеству В итоге: • попытка проводки подозрительного платежа в АБС сопровождается дополнительным запросом на подтверждение платежа клиентом • система находится на территории и под защитой Банка • система постоянно обновляется и модернизирует логику обнаружения (автоматизированный обмен односторонний, только в Банк) • в случае, обнаружения прохождения мошеннической операции, детальная техническая информация может быть передана в ручном режиме сотрудниками Банка в тех. поддержку компании, для дальнейшей модификации системы.

30. Эффективные технологии противодействия мошенничеству СистемаFRAUDWALLсоздана экспертами в области информационной безопасности, имеющими практический опыт в борьбе с мошенничеством в системах ДБО. • Наша цель: развитие специализированного сервиса для повышения безопасности клиентов банков в качестве экономически эффективного и практически значимого решения • Наша концепция продвижения сервиса: • Оцени и приобрети! Возможно предоставление полнофункциональной версии системы на оценочный период до 3-4 месяцев. (Период обучения системы не менее одного месяца.)

31. Эффективные технологии противодействия мошенничеству Спасибо за внимание! Ваши вопросы?