В ближайшее время в России можно ожидать всплеска автоматизированного хищения денежных средств при дистанционном банковском обслуживании. Об этом 10 сентября в ходе пресс-конференции «Киберпреступность: состояние и тенденции 2013 года» сообщил генеральный директор компании Group-IB Илья Сачков. С места события передает корреспондент Клерк.Ру Сергей Васильев.
«Автозаливом» на сленге компьютерных преступников называют функциональность вредоносного ПО (так называемых «web-инжектов»), которая предусматривает автоматическую отправку несанкционированных платежных поручений при входе пользователя в систему, подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей, а также коррекцию страниц с историей переводов и доступного баланса с целью скрыть факт хищения.
Технология автоматического проведения мошеннических платежей. родилась в 2005 году и в последние два года, по словам Сачкова, стала массово доступна на черном рынке. В 2012 году специалисты Group-IB впервые зафиксировали случаи использования автозаливов в России - в отношении систем ДБО, работающих по технологии «толстого клиента». («Толстый клиент» - приложение, при работе которого сервер является лишь хранилищем данных, а вся их обработка переносится на компьютер пользователя. «Тонкий клиент», в свою очередь - компьютер или программа-клиент, который переносит все или большую часть задач по обработке информации на сервер).
Как правило, отметил Сачков, на начальном этапе технология «автозалива» используется в отношении отдельно взятого банка, причем злоумышленники действуют в партнерстве с мошенниками из числа штатных сотрудников самого банка.
Технические возможности web-инжектов чаще всего сводятся к следующим сценариям:
- подложные пользовательские диалоги от лица банковского приложения предлагают пользователю ввести дополнительную информацию для получения доступа к аккаунту. Это могут быть данные по кредитным картам, номер SSN, ответы на секретные вопросы, TAN-коды и так далее.
- программа извлекает информацию о доступном балансе, кредитном лимите и о структуре размещенных в банке денежных средств. Кроме этого, она собирает со страниц ДБО время и IP-адрес последнего входа, телефоны, номер SSN, адрес и прочие персональные данные, доступные на страницах приложения.
- непосредственно «автозалив», то есть автоматическая отправка несанкционированного платежного поручения при входе пользователя в систему. Чаще всего существует в формате подложных диалогов, предлагающих пользователю ввести TAN-коды (в том числе сгенерированные на аппаратных токенах) якобы для входа в систему. Необходимость вводить TAN-код несколько раз реализуется в виде диалогов, сообщающих о том, что код был введен неверно и нужно повторить действие.
Очень часто после отправки подложного платежного поручения модуль «автозалива» блокирует дальнейшую работу пользователя с системой ДБО, чтобы скрыть факт хищения. Продвинутые реализации автозаливов могут еще и подменять информацию о балансе с тем, чтобы пользователь видел на страницах банковского приложения «корректную» (по его мнению) сумму. В этом случае информация о подложном платеже полностью скрывается из истории переводов.
Поскольку в России чрезвычайно распространены «коробочные» системы ДБО (iBank, BSS, Inist и др.), работа злоумышленников в части создания модулей «автозаливов» значительно упрощена, полагают в Group-IB. Для написания модуля, функциональность которого покроет сразу десятки банков, достаточно проанализировать работу единственной системы.
России грозит всплеск автоматизированного хищения денежных средств при ДБО
Коробочные системы ДБО облегчают киберпреступникам автоматическое хищение средств при переводах.
Начать дискуссию