Международная компания Group-IB подготовила «противомошенническую» инструкцию

chif

Активист
29 Окт 2007
1,135
843
Москва
Международная компания Group-IB подготовила «противомошенническую» инструкцию (есть в распоряжении Банки.ру), в которой объясняет, почему не стоит удалять вредоносное программное обеспечение антивирусом и как правильно доказывать правоохранительным органам, что деньги с расчетного счета организации были списаны мошенническим путем.
В Group-IB отмечают, что за последнее время значительно увеличилось количество инцидентов в системах дистанционного банковского обслуживания (ДБО). В данном случае под инцидентом понимаются любые попытки хищения денежных средств. Финансовые потери от одного такого инцидента в системе ДБО, по расчетам Group-IB, составляют от 300 тыс. до нескольких миллионов рублей (в зависимости от того, сколько денег есть на счете клиента). Как отмечают в самой Group-IB, разработанная компанией инструкция рассчитана главным образом на банковских клиентов — юридических лиц разных сегментов бизнеса.
Расследования показали, что сотрудники служб информационной безопасности многих компаний и другие уполномоченные лица (в том числе и системные администраторы) неосознанно уничтожают криминалистически значимые данные, которые бы помогли привлечь злоумышленников к уголовной ответственности. Нередки и случаи, когда в ходе внутреннего расследования инцидента существенно снижается юридическая значимость данных, необходимых для оспаривания мошеннических операций.
Основная проблема, связанная с безопасностью ДБО, такова: злоумышленники с помощью нецеленаправленных атак на клиентов банков получают доступ к ключам электронной подписи, используемым компаниями для подписи платежных поручений, и передают в банк мошеннические платежные поручения. В результате низкой осведомленности и нерешительности действий работников пострадавшей организации такие платежные поручения исполняются, и счет клиента банка «опустошается».
«Чем крупнее компания, тем выше вероятность, что ее компьютеры хорошо обслуживаются (сисадмины устанавливают необходимое программное обеспечение (ПО), регулярно его обновляют и так далее) и никакие сторонние платежные поручения через ее систему не проскочат, — говорит руководитель экспертной группы банковских технологий СБ Банка Максим Волков. — В средних компаниях, как правило, существуют приходящие администраторы. Но между их приходами может пройти несколько часов и даже недель, в течение которых существующая уязвимость в операционной системе может быть атакована злоумышленниками. В результате атаки злоумышленники, вероятно, могут получить возможность подменять платежные поручения. В мелких компаниях пользователи вообще зачастую обслуживают свои компьютеры сами. В этой ситуации степень опасности сильно зависит от дисциплинированности пользователей. А если руководитель подписывает электронной цифровой подписью несколько документов, что называется, «не глядя», то и количеству подменных платежный поручений тогда удивляться не стоит».
Несмотря на то, что кредитные организации повышают безопасность своих интернет-банков за счет внедрения аппаратных ключей (устройств с неизвлекаемыми криптографическими ключами), создания возможности ограничения доступа в систему ДБО по сетевым адресам или создания особых систем, распознающих подложные платежные поручения перед их исполнением, мошенники находят все новые пути обхода. Например, подменяют реквизиты легитимных платежных поручений перед их подписанием и передачей в банк с помощью вредоносного программного обеспечения, установленного на компьютеры бухгалтеров, а после передачи платежных поручений — корректируют перечень платежных поручений и остаток на счете, чтобы минимизировать вероятность раннего обнаружения бухгалтером факта мошенничества.
Правильное реагирование — залог успеха
В Group-IB уверены: правильное реагирование на инцидент в системе ДБО позволяет в ряде случаев остановить движение похищенных средств и даже вернуть их.
Одними из самых важных при раскрытии мошенничеств в системах интернет-банкинга являются технические мероприятия. Их задача состоит в том, чтобы сохранить данные, имеющие отношение к мошенническим действиям, в полном объеме. Для этого необходимо в первую очередь отключить от электропитания все компьютеры, с которых осуществлялся вход в ДБО. Далее следует отсоединить, упаковать и опечатать с прикреплением пояснительной записки с печатью организации и подписями присутствовавших при опечатывании лиц соответствующие носители информации (например, накопители на жестких магнитных дисках, флеш-накопители и аппаратные ключи для подписи платежных поручений). Хранить запечатанные носители лучше в сейфе. Немедленное отключение компьютера от сети электропитания сводит к нулю риск того, что вредоносная программа самоликвидируется с вашего устройства, а злоумышленник успеет удалить все следы собственной деятельности.
«Очень сложно найти подобные «следы», — рассуждает Волков. — Как правило, профессиональные мошенники одновременно с подменой платежного поручения организуют DDoS-атаку, чтобы осложнить ситуацию. Кроме того, программа, принесенная на компьютер «червем» или вирусом, сразу же постарается удалить себя с данного устройства».
Одновременно необходимо уведомить руководство организации, а также службы информационной безопасности организации и банка о факте мошенничества в системе ДБО с передачей им реквизитов поддельных платежных поручений. Настоятельно рекомендуется привлечь стороннего незаинтересованного специалиста, имеющего опыт реагирования на подобные инциденты.
Документы, составленные в виде заявлений, докладных записок и т. п. в рамках организационных мероприятий, могут использоваться как основание для возбуждения уголовного дела, а затем и для грамотной формулировки вопросов, решаемых в ходе судебных экспертиз. Нелишним будет зафиксировать факт инцидента в системе ДБО в правоохранительных органах, написав заявление по факту хищения денежных средств с расчетного счета. Это поможет избежать ряда проблем с налоговой при необходимости отчитаться за переводы со счета организации крупных сумм.
Предупрежден — значит вооружен
Распознать попытку проведения мошеннической операции через дистанционный канал обслуживания банка, в принципе, можно. Следует обратить внимание на платежные поручения, которые передавались в банк неуполномоченными работниками организации, а также на сообщения банка с требованием подтвердить исполнение того или иного платежного поручения. Также «сигнальным звонком» должна стать невозможность входа в систему ДБО без видимых на то технических причин на стороне банка и невозможность загрузки операционной системы компьютера, используемого для работы с ДБО.
«Платежные поручения клиентов всегда проходят контроль операционистов, — обращает внимание Максим Волков. — Компьютер автоматизированной банковской системы подсказывает сотруднику, если распоряжение сильно отличается от привычной деятельности клиента. Для платежных распоряжений юридических лиц контроль всегда проводится до совершения операции. Но есть ряд других документов, которые могут исполняться до «ручного» контроля. К таким документам относятся распоряжения на оплату услуг, таких как услуги сотовой связи. Есть риск, что мошенник отправит деньги со счета клиента на «свой» мобильный телефон. Этот риск понятен и ограничен».
Примечательно, что в Group-IB настоятельно не рекомендуют проводить антивирусную проверку компьютера, с которого осуществлялся вход в интернет-банк, после обнаружения инцидента, так как антивирус удалит вредоносные файлы, которые могут стать доказательством мошеннической атаки в судебной инстанции. По этой же причине не стоит переустанавливать на компьютере операционную систему.
 
  • Мне нравится
Реакции: САБУР

A.V

Местный
2 Ноя 2008
148
133
ничего полезного не увидел. рекомендаций кроме "отключите питание компов" нет. одна вода
 

zloff

Активист
23 Авг 2012
1,009
401
Как правило, профессиональные мошенники одновременно с подменой платежного поручения организуют DDoS-атаку, чтобы осложнить ситуацию.

Бред какой-то. ДДоС куда? На клиента (задрипанный роутер / ПК буха), или на сервер банка? Ддосы - дело дорогостоящее, вряд ли кто станет таким заморачиваться.

ПК буха (или тот, где клиент-банк развёрнут) надо отключать от интернета (кроме айпишников банка) файерволами + запрет на установку программ пользователям. В идеале - снести Виндовз и поставить Линукс (во избежание вирусов). Флешку с ключами и инфу на ней кому попало не давать. Вот и все рекомендации.

Добавлено через 12 минут 54 секунды
И да, совсем забыл про пароли. А то ж некоторые ставят что-то типа "123" (особо одарённые ещё стикером на монитор наклеивают) в целях экономии и без того дюже короткой памяти, а потом удивляются, куда вся инфа с компьютера пропала. :) Злобный вирус съел, ага-ага.