Попытки взлома систем "Клиент-Банк"

В компанию «БИФИТ» поступила информация о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены.

Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены постоянно (круглосуточно) подключенными к компьютеру.

Поскольку использование USB-токенов исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.

Для этого злоумышленники использовали следующие механизмы:

* Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer и др.).

Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.

* Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения «iBank 2 UA».

При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему «iBank 2 UA» и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.

Выводы:

1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена . Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к «расшаренным» USB-портам компьютера клиента.

2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — бесконтрольным постоянным подключением USB-токена к компьютеру.

3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо:

* подключиться к банковскому Серверу Приложения «iBank 2 UA» и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене;

* сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.

То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.

Для противодействия новой угрозе банкам рекомендуется:

1. Информировать клиентов о новой угрозе — о появлении новой разновидности трояна с поддержкой удаленного доступа к USB-портам компьютера и туннелированием трафика.

2. Информировать клиентов о недопустимости постоянного подключения к компьютеру USB-токенов и смарт-карт .

USB-токены и смарт-карты должны быть подключены к компьютеру только на время работы с системой «iBank 2 UA».

3. Информировать клиентов о необходимости строго соблюдать порядок работы в системе «iBank 2 UA», а именно:

* соблюдать регламент доступа к компьютеру, к USB-токенам и смарт-картам с секретными ключами ЭЦП;

* использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;

* использовать и регулярно обновлять специализированное ПО для защиты информации — антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;

* соблюдать правила информационной безопасности при работе в Интернете — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.;

* немедленно информировать банк о внештатных ситуациях и подозрениях на нарушение безопасности рабочего места (заражение компьютера трояном).

4. Использовать в банке системы Fraud-мониторинга электронных платежей.

5. Использовать SMS-информирование клиентов о входе в систему, о поступлении платежных поручений, о движении средств и т.д.

6. Использовать расширенную многофакторную аутентификацию клиентов в дополнение к USB-токенам и смарт-картам . Данный механизм для корпоративных клиентов будет встроен в систему «iBank 2 UA» в ближайшее время.

При использовании расширенной многофакторной аутентификации корпоративным клиентам для входа в Internet-Банкинг, Mobile-Банкинг, ЦФК-Онлайн и для синхронизации в PC-Банкинге требуется ввести одноразовый пароль. В качестве источника одноразового пароля может выступать OTP-токен и/или SMS-сообщение на мобильный телефон.

Таким образом, при использовании расширенной многофакторной аутентификации злоумышленник не сможет подключиться к банковскому Серверу Приложения «iBank 2 UA» от имени клиента, поскольку не имеет возможности получения одноразового пароля.

Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.
http://bifit.com.ua/company/news/vazhno4.html

Забавненько. Лишний раз подтверждается тезис о хитройь и винтах с резьбой.

Очередной инструмент для любителей чужих денежек в работе:


Новый BlackEnergy грабит банки России и Украины

Группа злоумышленников использует новую версию трояна BlackEnergy для кражи паролей к системам онлайн-банкинга ряда российских и украинских банков. О своём исследовании этого вредоноса рассказал на конференции FIRST Джо Стюарт (Joe Stewart) из SecureWorks, сообщает The Register.

BlackEnergy в своё время был хорошо известен как DDoS-троян. Однако в августе 2008 года появился новый троянский инструментарий, который Стюарт называет BlackEnergy 2. Он имеет много общего с предшественником и явно написан тем же человеком, однако представляет собой значительно более сложную и гибкую программу.

Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на заражённых компьютерах самые разные действия. Более того, разработкой плагинов может заниматься кто угодно, имеющий в своём распоряжении копию этого тулкита.

У Стюарта такой копии не было, он изучал лишь конечные исполняемые модули, поэтому в некоторых случаях ему приходилось строить догадки. В частности, он полагает, что набор плагинов "по умолчанию" включает три модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

Однако в руки исследователя попали и другие, менее распространённые плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов "большого количества российских и украинских банков". О каких именно банках идёт речь, Стюарт не уточняет, однако говорит, что всех этих системах онлайн-банкинга используется Java-апплет, который загружает со съёмного носителя пользовательский приватный ключ, необходимый для аутентификации.

Если вы работаете со своим банком по такой схеме, проверьте, не начинается ли файл с вашим приватным ключом с последовательности символов "iBKS". Открытие именно таких файлов очень интересует банковский плагин knab (модуль "ibank.dll"). Кроме того, он следит за набираемыми пользователем заражённого компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин, пароль и приватный ключ) и собираются использовать её для опустошения банковского счёта, они дают команду на порчу всех разделов жёстких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счёту.

Интересно, что в конце прошлого года The Wall Street Journal, ссылаясь на анонимные источники, уверял, что злоумышленники "нагрели" клиентов Citibank на десятки миллионов долларов — как раз при помощи модифицированной версии BlackEnergy. Тогда мы предположили, что журналисты издания что-то напутали, тем более что Citibank всячески отрицал факт кражи. Однако, учитывая, что BlackEnergy действительно обзавёлся новым функционалом, не исключено, что доля правды в том сообщении всё-таки была.
http://www.webplanet.ru/news/security/2 ... ergy2.html

"..."Последнее ноу-хау - клиенты воруют деньги сами у себя,— рассказывает начальник службы информационной безопасности Банка24.ру Андрей Ерин,— клиент создает видимость хищения денежных средств со своего счета третьими лицами, тогда когда сам является непосредственно прямым участником аферы". По словам эксперта, прямым подтверждением этого является то, что клиент не предпринимает никаких действий для возврата средств — не привлекает правоохранительные органы для возбуждения уголовного дела и не обращается в суд.
"В этом случае мошенники не хотят решать проблему в правовом поле, а используют интернет, СМИ, шантажируя банк ущербом репутации для того, чтобы "полюбовно" договориться. В своих предложениях мошенники апеллируют к тому, что банк большая организация и выплатить несколько сот тысяч рублей для банка гораздо проще, чем проводить расследование"..."

http://www.securitylab.ru/news/395074.php