30 января, 02:40

Кража денег через "банк-клиент"

Про кражи денег со счетов граждан через СМС-банкинг мы уже разговаривали, давайте сегодня обсудим, как воруют деньги с расчётных счетов предпринимателей. За 2018 год я знаю о нескольких таких случаях. Суммы ущерба от 400 тысяч до нескольких миллионов рублей. Где-то деньги «затормозили», а вот где-то хозяевам бизнесов пришлось с ними попрощаться.

Если вы занимаетесь бизнесом, вы должны знать об удобствах, которые даёт вам дистанционное банковское обслуживание (ДБО). Если кто помнит, в доинтернетовскую эпоху бухгалтер набивал «платёжки» вручную, затем садился в машину и ехал в свой банк. Там эти «платёжки» обрабатывали операторы и деньги разлетались по контрагентам. Процесс не быстрый, отнимающий много времени и сил. А если в платежке ошиблись, то степень нервоза бухгалтера возрастала на порядки – надо было возвращаться в офис, переделывать-переподписывать и ехать назад. То-ли дело сейчас: набил платёжки, сделал выгрузку, вставил «электронный ключ» и отправил всё в банк не сходя с рабочего стула. Благодать. Но есть в этой схеме и узкие места.

Что, если кто-то получит контроль над рабочим компьютером бухгалтера и отправит несколько липовых платежек в банк? А если сделает он это в пятницу вечером? Ответ напрашивается сам собой – деньги со счета предприятия разойдутся по счетам фирм-однодневок, потом еще и еще, а потом либо уйдут в биткойны, либо будут обналичены и окончательно украдены. Механизм кражи можно разделить на несколько этапов:

1) На первом этапе злоумышленник проникает в сеть предприятия и исследует её на предмет наличия банковского ПО. Способы проникновения могут быть разными – от фишинговых писем и соц. инженерии (да-да, люди самый уязвимый элемент системы) до работы с «инсайдером» (А может быть и проникать никуда не надо - ваш «сисадмин», которому «зачем вообще платить? Возьму студента-заочника из МАПа» заботливо оставил после своей удаленной работы «открытые двери» на нужный компьютер). Подробнее о способах проникновения поговорим потом, это тема для отдельного большого поста. После проникновения злоумышленник закрепляется на компьютере жертвы и

2) начинается второй этап – сбор информации. Интересует всё: ПО, установленное на целевом компьютере, часы работы бухгалтера, активность пользователя, контрагенты и платежи, время и количество отправляемых платежек, наличие электронного ключа в порту usb и режим его использования, если есть web-камера, то можно и за ситуацией в офисе понаблюдать. Когда нужная информация собрана

3) начинается третий этап – формирование платёжек на счета своих «фирм-прокладок». «Прокладки» заботливо заготовлены заранее, а поскольку за вами уже понаблюдали, суммы и назначения платежей будут похожи на те суммы и платежи, которые вы формируете в процессе своей нормальной деятельности. То есть для банка ничего необычного ни по суммам, ни по назначениям платежей не будет. Когда всё подготовлено, начинается самый важный этап –

4) перевод денег. Для этого мероприятия выбирается самый неудобный для вас момент. Вечер пятницы самый оптимальный вариант – за выходные никто не обратится за выпиской, а деньги начнут своё далёкое путешествие. «Но у меня у бухгалтера стоит двухфакторная аутентификация! На каждый перевод мы получаем СМС с кодом!» – возразите вы мне. Да, это лучше, чем ничего. Но не всегда смс-сообщения приходят на все платежки. Как правило, выставляется какая-то минимальная сумма, с которой нужно подтверждать платёжку кодом из смс. Пусть это будет 30 000 рублей. На этапе сбора сведений злоумышленники проанализируют этот момент, и сделают, скажем, 20 платежек по 25 000 рублей. У вас стоит подтверждение вообще всех платёжек? Ну и ладно. Всегда можно по поддельной справке «восстановить» SIM-карту вашего бухгалтера и в момент атаки ввести полученный код. Способ рискованный, т.к. требует физического присутствия людей и оставляет дополнительные следы. Но если потенциальный выигрыш будет большим, отчего бы и не рискнуть?

В результате всего случившегося, ваш бухгалтер в понедельник утром прибежит к вам вот с такими глазами:

и будет сумбурно объяснять, что «Иван Иваныч, деньги были, теперь нет, я не переводила, в банке говорят я перевела, ООО «Рога», я им говорю у нас нет такого контрагента, а они говорят перевод, что делать?».

А правда, что делать?

Ну во-первых, быстро связываться со службой безопасности банка и просить задержать деньги. Или хотя бы проследить их путь. Были случаи, когда деньги удавалось заморозить на одном из этапов переводов между «прокладками».

Во-вторых, вызывать полицию. Как-никак преступление, надо бы его оформить.

При этом порядок именно такой: безопасники банка – полиция. Если пойдёте задом наперёд, рискуете потерять драгоценные часы времени, ибо приедут к вам не сразу и, скорее всего, обычная опергруппа. А в её составе вряд ли будут специалисты по кибер-преступлениям. Хотя может случиться и удача, и кто-нибудь из что-то понимающих людей там окажется.

Как только бухгалтер сообщит вам «приятные новости», крайне желательно сохранить максимальное количество улик с места преступления – ПК, на котором работал банк-клиент. Для этого нужно сделать dump оперативной памяти ПК и затем отключить его. Строго говоря, надо сделать описанные действия со всеми ПК в сети предприятия, чтобы потом можно было понять хронологию событий, точку входа, порядок действий. Но это в идеале. В реальности никто не делает даже дамп оперативной памяти одного единственного ПК. Как правило, перекрестившись, отключают рубильник питания всего офиса. На всякий случай.

Также, рекомендую никого не подпускать к компьютерам. Особенно вашего штатного IT-шника. Ну помните, тот выпускник-заочник МАПа. Вполне вероятно, что именно его действия могли способствовать проникновению злоумышленника в сеть. Вы хотите знать, кто будет делать все описанные выше манипуляции? А понятия не имею, найдите кого-нибудь.

Дальше возможны несколько вариантов:

1) ваши деньги где-то затормозили. В этом случае можно подкрасить поседевшую часть волосяного покрова, вернуть деньги, сменить IT-шника, сделать всё по уму;

2) деньги окончательно ушли и возврату не подлежат. В этом случае я рекомендую сходить в ближайший алкомаркет, и взять что-нибудь на свой вкус. Помянуть скоропостижно ушедшие деньги. Ну а на следующий день подкрасить поседевшую часть волосяного покрова, сменить IT-шника, сделать всё по уму.

На самом деле, не всегда виной всему некомпетентность IT-специалиста. Как правило, данная атака является целевой. То есть против вас целенаправленно работают люди с высокой квалификацией. И в ходе расследования инцидента очень важно разобраться, какая степень вины лежит на вашем персонале. Соблюдали ли они элементарные требования безопасности? Читали ли брошюру из банка? Если читали, то соблюдались ли данные там рекомендации? Насколько правильно и хорошо защищена ваша внутренняя сеть? Если контроль над компьютерами в сети осуществлялся длительное время, почему это никак не обнаруживалось? Только полноценный разбор инцидента и адекватное реагирование на него позволит избежать таких же проблем в будущем. А если вы думаете, что «снаряд два раза в одну воронку не падает», то у меня для вас плохие новости. Снаряд может и не падает, а вот дважды поиметь денег с одного и того-же человека – это происходит чаще, чем вы думаете.

Просмотров за день: 0
Просмотров всего: 320

метки: безопасность, банкинг, кража.


Поделиться:

Описанное - сказка. ВУЗовское панибратство умиляет. То-то помню как в РТК амгушники не могли образ винды собрать. Учился в 3ех ВУЗах нашего города, система абсолютно одинаковая, только в АМГУ ЧСВ у преподавателей (а судя по посту и укушенных ими студентов) зашкаливает.

Гораздо проще кидать письма с шифровальщиком, а потом просить биткойны за обратную услугу. А вышесказанное - риск и онанизм.

--
Благовещенск
Криптоаналитик

Описанное - сказка. ВУЗовское панибратство умиляет. То-то помню как в РТК амгушники не могли образ винды собрать. Учился в 3ех ВУЗах нашего города, система абсолютно одинаковая, только в АМГУ ЧСВ у преподавателей (а судя по посту и укушенных ими студентов) зашкаливает.

Гораздо проще кидать письма с шифровальщиком, а потом просить биткойны за обратную услугу. А вышесказанное - риск и онанизм.

Описанное - суровая правда жизни. Если в своей повседневной деятельности вы не сталкиваетесь с подобными кейсами, это не значит, что их нет в природе. Увы, есть.

Про ВУЗ, честно говоря, удивлен вашей реакцией. Вероятно, я не совсем корректно донес свою мысль, сейчас разверну. Я писал уже, что техническое образование в Благовещенске везде одинаково. "Заочник МАПа", это не желание оскорбить и унизить, это всего лишь отсылка к а) качеству заочного образования; б) поправьте если ошибаюсь, но в МАПе же не готовили инженеров? И в этом и есть смысл отсылки, и в) это отсылка к жадности работодателей и абсолютном непонимании необходимости грамотного построения IT-инфраструктуры.

Если вы приняли на свой счет, то не стоит. ВУЗ накладывает отпечаток, но не стоит всё сказанное относить на конкретную персоналию.

--
Цифровой криминалист (автор)
Криптоаналитик

Описанное - сказка. ВУЗовское панибратство умиляет. То-то помню как в РТК амгушники не могли образ винды собрать. Учился в 3ех ВУЗах нашего города, система абсолютно одинаковая, только в АМГУ ЧСВ у преподавателей (а судя по посту и укушенных ими студентов) зашкаливает.

Гораздо проще кидать письма с шифровальщиком, а потом просить биткойны за обратную услугу. А вышесказанное - риск и онанизм.

Описанное - суровая правда жизни. Если в своей повседневной деятельности вы не сталкиваетесь с подобными кейсами, это не значит, что их нет в природе. Увы, есть.

Про ВУЗ, честно говоря, удивлен вашей реакцией. Вероятно, я не совсем корректно донес свою мысль, сейчас разверну. Я писал уже, что техническое образование в Благовещенске везде одинаково. "Заочник МАПа", это не желание оскорбить и унизить, это всего лишь отсылка к а) качеству заочного образования; б) поправьте если ошибаюсь, но в МАПе же не готовили инженеров? И в этом и есть смысл отсылки, и в) это отсылка к жадности работодателей и абсолютном непонимании необходимости грамотного построения IT-инфраструктуры.

Если вы приняли на свой счет, то не стоит. ВУЗ накладывает отпечаток, но не стоит всё сказанное относить на конкретную персоналию.

В кругах этого инфосайта часто используют именно МАП как оскорбление. Инженеров не готовили, но ИБ, ЯП и сети очень даже лучше АМГУшных, такой вот парадокс.

Жаль что не услышать названия пострадавших компаний, но от конкретно цитата "На этапе сбора сведений злоумышленники проанализируют этот момент, и сделают, скажем, 20 платежек по 25 000 рублей. У вас стоит подтверждение вообще всех платёжек? Ну и ладно. Всегда можно по поддельной справке «восстановить» SIM-карту вашего бухгалтера и в момент атаки ввести полученный код. Способ рискованный, т.к. требует физического присутствия людей и оставляет дополнительные следы. Но если потенциальный выигрыш будет большим, отчего бы и не рискнуть?" Я не безопасник, но вот как то из разряда пойманного конторой минёра, который в инстаграмме хвастался. Знаю я эти схемы...

--
Благовещенск
Криптоаналитик

Жаль что не услышать названия пострадавших компаний, но от конкретно цитата "На этапе сбора сведений злоумышленники проанализируют этот момент, и сделают, скажем, 20 платежек по 25 000 рублей. У вас стоит подтверждение вообще всех платёжек? Ну и ладно. Всегда можно по поддельной справке «восстановить» SIM-карту вашего бухгалтера и в момент атаки ввести полученный код. Способ рискованный, т.к. требует физического присутствия людей и оставляет дополнительные следы. Но если потенциальный выигрыш будет большим, отчего бы и не рискнуть?" Я не безопасник, но вот как то из разряда пойманного конторой минёра, который в инстаграмме хвастался. Знаю я эти схемы...

Ну названия компаний нельзя разглашать из соображений профессиональной этики. Тут как у венеролога: сохранение тайны клиента - основа репутации.

Про замену сим-карты: это реальный кейс. Именно поэтому никогда не стоит недооценивать находчивость, дерзость и творческий подход преступников. Особенно преступников из сферы IT. Пойманный же минёр - это, скорее всего, просто желание дать что-то положительное в СМИ. Вот и нашли какого-то городского сумасшедшего, который в инстаграмме глупость написал. К угрозам он вряд ли имеет какое-то отношение.

--


Цифровой Криминалист

10 лет работаю в сфере информационной безопасности.
Специализируюсь на поиске цифровых следов, их анализе и ликвидации последствий кибер атак.
Думаете, ваша цифровая жизнь и бизнес под надежным замком? Давайте проверим.

отправить личное сообщение блогеру
Топ авторов за 7 дней все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

Просмотров: 2282

Игорь Волобуев

юрист

Просмотров: 424

Галина Одинцова

Оптимистка. Иногда...

Просмотров: 393

Виталий Злочевский

юрист, риелтор, медиатор

Просмотров: 348

Святослав Шевченко

cвященник и видеоблогер

Просмотров: 282

Авторы блогов все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

вчера, 22:58
Виталий Злочевский

юрист, риелтор, медиатор

20 апреля, 11:46
Игорь Волобуев

юрист

19 апреля, 21:22
Петр Глазунов

директор мебельного ателье

19 апреля, 14:38
Святослав Шевченко

cвященник и видеоблогер

18 апреля, 16:09
Цифровой Криминалист
18 апреля, 15:40
Галина Одинцова

Оптимистка. Иногда...

17 апреля, 11:46
Светослав Ильиных

журналист

12 апреля, 14:13
Марина Синельникова

Амурское отделение "Общества "Россия-Япония"

2 апреля, 16:11
Наталья Калинина

политический хулиган

1 апреля, 01:08
Юрий Сергеев
23 марта, 22:59
Евгений Волков

юрист-идеалист

21 марта, 19:38
Олеся Портнягина

Travel блогер

19 марта, 22:33
Денис Куликов
17 марта, 16:13
Сергей  Труш

Депутат Законодательного собрания Амурской области (ЛДПР), заместитель председателя фракции.

7 марта, 10:41
Правила раздела «Блоги»
  1. Настоящие правила обязательны для соблюдения авторами блогов (далее по тексту – Автор), а также посетителями раздела «Блоги».

  2. Раздел «Блоги» на Амур.инфо, расположенный по адресу http://blogs.amur.info, является интернет-площадкой, предназначенной для размещения Авторами информации и сведений, открытых для дискуссий на освещаемые ими вопросы.

  3. Содержание блога Автора определяется им самостоятельно исходя из его убеждений, является выражением субъективного мнения и суждений Автора, при учёте ограничений, установленных настоящими Правилами. Содержимое блога является интеллектуальной собственностью Автора. Автор обязуется в своих блогах соблюдать законодательство Российской Федерации, положения настоящих Правил. Содержание раздела «Блоги» не является продукцией средства массовой информации информационного агентства «Амур.инфо» или иного другого средства массовой информации.

  4. Автору принадлежат права административного доступа к своей странице, позволяющие ему производить управление блогом самостоятельно без участия и премодерации администрации сайта www.amur.info. Право редактирования содержания блога, в том числе комментариев к постам блога, принадлежит Автору и администрации сайта www.amur.info.

  5. Автор гарантирует, что сведения, распространяемые им в блоге, не нарушают авторских, смежных, патентных прав третьих лиц, права на товарный знак и т. д., а также не наносят ущерба чьим-либо чести, достоинству или деловой репутации.

  6. Не подлежат распространению в блогах сведения, содержащие государственную или иную специально охраняемую законами тайну; способствующие разжиганию расовой, национальной, социальной, религиозной нетерпимости или розни; призывающие к захвату власти, насильственному изменению конституционного строя или разрушению целостности Российской Федерации; пропагандирующие культ насилия или жестокости; побуждающие граждан к агрессивным и иным опасным действиям, способным нанести вред здоровью физических лиц или угрожающим их безопасности; содержащие текстовую, зрительную, звуковую информацию, нарушающую общепринятые нормы гуманности и морали путем употребления оскорбительных слов, сравнений, образов или унижающую честь, достоинство и деловую репутацию физических и (или) юридических лиц, а также избирательных объединений; порочащую государственные или религиозные символы Российской Федерации и иных государств, а равно использующую заведомо ложные сведения и умышленно вводящую в заблуждение относительно существующих или не существующих событий, обстоятельств, решений, характеристик.

  7. Не допускается распространение в качестве сообщений/материалов блогов сведений, являющихся предвыборной агитацией, политической рекламой/антирекламой.

  8. В период проведения избирательной кампании по выборам (вне зависимости от территории проведения) не допускается распространение в качестве сообщений/материалов блогов сведений, содержащих любое указание на наименование, символику, действия (бездействия) избирательных объединений, выдвинувших кандидатов, содержащих любое указание на персональные данные, изображения, действия (бездействия) выдвинутых кандидатов, проведение/опубликование результатов опросов общественного мнения, связанных с проводимыми выборами.

  9. В случае однократного нарушения Автором положений настоящего пункта, Администрация сайта www.amur.info производит блокировку блога Автора до дня окончания соответствующей избирательной кампании.

  10. В случае предъявления к администрации сайта  www.amur.info претензий/требований относительно противоправного использования сведений или результатов интеллектуальной деятельности, средств индивидуализации, использованных в блоге Автора, и/или вынесении решений уполномоченными органами государственной власти о наличии в размещаемых сведениях нарушений законодательства Российской Федерации Автор обязуется удовлетворить упомянутые претензии/требования за счет своих сил и средств.

  11. Администрация сайта www.amur.info не берет на себя обязанности, но оставляет за собой право осуществления контроля за содержанием блогов и размещаемых к ним комментариев, в том числе в целях пресечения нарушений законодательства Российской Федерации, положений настоящих Правил.

  12. Осуществление контроля со стороны Администрации сайта www.amur.info предполагает возможность без направления какого-либо уведомления удаления сообщений/материалов блогов и комментариев к ним, редактирования сообщений/материалов блогов и комментариев к ним, блокировки блога в случае неоднократного нарушения Автором положений настоящих Правил.

  13. Автор имеет возможность осуществлять постмодерацию комментариев к блогу. Автор обязан осуществлять контроль за содержанием комментариев к постам его блога и пресекать распространение сведений, предусмотренных п. 5-7 настоящих Правил.

  14. Комментарии к постам блога, не совпадающие с мнением Автора, являющиеся отражением критической позиции оппонента, выражающие критику в отношении позиции Автора, оценочные суждения, удалению не подлежат.

  15. Для участия в дискуссиях в разделе «Блоги» посредством оставления комментариев к постам необходима регистрация на форуме www.amur.info. При комментировании постов обязательными к соблюдению являются настоящие Правила и Правила общения на форуме Амур.инфо.

  16. Предметами дискуссий в разделе «Блоги» являются темы, поднимаемые их авторами. Обсуждение личностей авторов в комментариях к их записям не приветствуется, а в случае явных злоупотреблений пресекается. Не допускается распространение участником дискуссии сведений, предусмотренных п. 5-7 настоящих Правил.

  17. Участникам дискуссии рекомендуется соблюдать правила уважительного общения и внимательно прислушиваться к рекомендациям (указаниям) модераторов.

  18. В случае несоблюдения участником дискуссии настоящих Правил, правил Форума модератором или Автором подлежит применению способ контроля над действиями пользователей. Это  бан, заключающийся в лишении прав пользователя на создание/отправление новых сообщений или создание новых тем на Форуме, на комментирование в блогах. В случае если способ контроля применяется Автором, срок бана составляет 72 часа. В случае если его применил модератор, срок бана определяется им на свое усмотрение. По истечении периода времени бана ограничение автоматически снимается. Повторное применение указанного способа контроля по инициативе Автора может быть осуществлено снова только по истечении суток с момента снятия предыдущего бана.