России грозит всплеск автоматизированного хищения денежных средств при ДБО

В ближайшее время в России можно ожидать всплеска автоматизированного хищения денежных средств при дистанционном банковском обслуживании. Об этом 10 сентября в ходе пресс-конференции «Киберпреступность: состояние и тенденции 2013 года» сообщил генеральный директор компании Group-IB Илья Сачков. С места события передает корреспондент Клерк.Ру Сергей Васильев.

«Автозаливом» на сленге компьютерных преступников называют функциональность вредоносного ПО (так называемых «web-инжектов»), которая предусматривает автоматическую отправку несанкционированных платежных поручений при входе пользователя в систему, подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей, а также коррекцию страниц с историей переводов и доступного баланса с целью скрыть факт хищения.

Технология автоматического проведения мошеннических платежей. родилась в 2005 году и в последние два года, по словам Сачкова, стала массово доступна на черном рынке. В 2012 году специалисты Group-IB впервые зафиксировали случаи использования автозаливов в России - в отношении систем ДБО, работающих по технологии «толстого клиента». («Толстый клиент» - приложение, при работе которого сервер является лишь хранилищем данных, а вся их обработка переносится на компьютер пользователя. «Тонкий клиент», в свою очередь - компьютер или программа-клиент, который переносит все или большую часть задач по обработке информации на сервер).

Как правило, отметил Сачков, на начальном этапе технология «автозалива» используется в отношении отдельно взятого банка, причем злоумышленники действуют в партнерстве с мошенниками из числа штатных сотрудников самого банка.

Технические возможности web-инжектов чаще всего сводятся к следующим сценариям:
- подложные пользовательские диалоги от лица банковского приложения предлагают пользователю ввести дополнительную информацию для получения доступа к аккаунту. Это могут быть данные по кредитным картам, номер SSN, ответы на секретные вопросы, TAN-коды и так далее.
- программа извлекает информацию о доступном балансе, кредитном лимите и о структуре размещенных в банке денежных средств. Кроме этого, она собирает со страниц ДБО время и IP-адрес последнего входа, телефоны, номер SSN, адрес и прочие персональные данные, доступные на страницах приложения.
- непосредственно «автозалив», то есть автоматическая отправка несанкционированного платежного поручения при входе пользователя в систему. Чаще всего существует в формате подложных диалогов, предлагающих пользователю ввести TAN-коды (в том числе сгенерированные на аппаратных токенах) якобы для входа в систему. Необходимость вводить TAN-код несколько раз реализуется в виде диалогов, сообщающих о том, что код был введен неверно и нужно повторить действие.

Очень часто после отправки подложного платежного поручения модуль «автозалива» блокирует дальнейшую работу пользователя с системой ДБО, чтобы скрыть факт хищения. Продвинутые реализации автозаливов могут еще и подменять информацию о балансе с тем, чтобы пользователь видел на страницах банковского приложения «корректную» (по его мнению) сумму. В этом случае информация о подложном платеже полностью скрывается из истории переводов.

Поскольку в России чрезвычайно распространены «коробочные» системы ДБО (iBank, BSS, Inist и др.), работа злоумышленников в части создания модулей «автозаливов» значительно упрощена, полагают в Group-IB. Для написания модуля, функциональность которого покроет сразу десятки банков, достаточно проанализировать работу единственной системы.