-
добавить в избранное
В режиме «Ожидание хакера»
панядзелак, 15 кастрычнік 2018
Мне, и не только мне, одна украинская «контора» предлагала взламывать банки (банковские сервисы) под видом работы. Так что такие подходы встречаются и даже оплачиваются по рыночным окладам.
https://habr.com/company/dsec/blog/214351
Перед нами – одна из нечастых новостей об ограблениях банков:
Киберпреступной группировке Cobalt удалось взломать автоматизированную банковскую систему (АБС) БЖФ и увеличить установленные лимиты. Киберпреступники вывели деньги через шлюзы на банковские карты, а затем обналичили их.
Взлом АБС стал возможен благодаря вредоносному ПО, отправленному злоумышленниками в фишинговом письме якобы от «Альфа-банка». В письме мнимые представители «Альфа-банка» хотели решить вопрос с идущими от БЖФ мошенническими транзакциями.
В письмах содержался эксплоит для уязвимости в продуктах Microsoft, использующийся для установки на атакуемый компьютер трояна Beacon. Этот троян предоставляет злоумышленникам удаленный доступ к взломанной системе.
Но самое интересное, как всегда, осталось за кадром. Считаем должным предупредить: всё сказанное ниже является личным мнением автора выпуска!
Что такое АБС? Это автоматизированная банковская система – совокупность программного и аппаратного обеспечения для автоматизации всей деятельности банка. В частности, она обрабатывает все обращения клиентов. По сути, это – сердце банка.
Типичные функции основных функциональных модулей
Модуль расчетно-кассового обслуживания:
- учет данных о клиентах банка, заключенных договорах банковского обслуживания, открытие и ведение расчетных и валютных счетов клиентов;
- обработка банковских документов различных видов, в том числе платежных поручений в рублях и валюте, кассовых, конверсионных, мемориальных, внебалансовых и срочных документов;
- проведение рублевых расчетов через расчетную сеть Банка России, валютных расчетов через сеть S. W. I. F. T.;
- автоматизированное ведение картотек документов, в том числе внебалансовых картотек и карточек документов, поступивших на счета невыясненных сумм;
- автоматический расчет и взимание комиссии за проведение операций;
- формирование бухгалтерской отчетности в соответствии с требованиями Банка России.
Модуль учета кассовых операций:
- учет наличных валютно-обменных операций в кассах банка;
- автоматический учет бланков строгой отчетности (формы 0406007 и др.);
- взаимодействие касс и хранилищ банка, учет наличных средств по рабочим местам кассиров.
Модуль учета клиентских конверсионных операций:
- регистрация заявок клиентов по покупку-продажу валюты;
- операции «обязательная продажа», «покупка-продажа за счет средств банка», «покупка-продажа на бирже».
И это может оказаться неполным перечнем.
Возвращаясь к атаке на банк, нужно отметить, что АБС бывают самописные (разработанные самим банком) и покупные. Единого стандарта для АБС не предусмотрено. А значит, схема «послал письмо – заразил АБС» не сработает. Хотя бы потому, что антивирусов в мире – не два и не три, и, посылая своего троянца «наудачу», хакер с высокой вероятностью нарвется на систему защиты, которая отреагирует на запуск неразрешенного ПО (если кто не знает, то в банке по требованиям ЦБ РФ нужно использовать два антивируса, причем разных).
А если мы хотим отдавать команды банковской системе, то нужно знать, какая именно АБС установлена в банке, какой версии, устанавливались ли на нее обновления и т. д. Довольно большой объем информации, которая на дороге не валяется.
ДБО — это системы дистанционного банковского обслуживания. И их разделяют — на физ. лиц и на юр. лиц. И у вторых в этих системах есть возможность — направлять документы в банк (любые!).
Выглядит как-то так
Документ отправляется:
Какой-нибудь наш документ после отправки
И приходит к оператору:
У оператора специальное десктопное ПО для обработки подобных заявок
document.scr это исполняемый файл в формате Windows PE.
Он его открывает, и после этого на нашем счету 13 млрд рублей:
Счет клиента, после того как оператор открыл вложение
Так как пентестеры знали архитектуру атакуемой системы, этот файл содержит механизм получения доступов и соединения с sql базой данных от имени оператора и с машины оператора, с последующим выполнением нужных sql запросов.
Но это если известна конфигурация атакуемой системы… А если нет? Конечно, мы верим, что хакер, который обошел все системы защиты, даже не зная о них, начинает с зараженного компьютера исследовать, что за АБС использует банк, после чего находит в ней уязвимость и радостно начинает эксплуатировать!
Если речь от чистом взломе, то требуется много подготовительной работы. Нужно получить доступ к внутренней информации, найти слабые места в защите. В 95% случаев такие данные получают через инсайдерскую информацию или, как еще говорят, покупную уязвимость. В этом случае задействовано большое количество людей и подготовка требует времени и денег.
Антивирусная правДА! рекомендует
Мы выяснили, что и пострадавший банк, и других зараженных объединяют низкий уровень информационной безопасности, отсутствие российских антивирусов, лицензионного ПО, обновлений.
https://www.plusworld.ru/daily/cat-security-and-id/hakery-cobalt...
Нет обновлений, нет лицензионного ПО... Сколько еще таких систем ждут своего хакера?
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
Поставьте «Нравится»
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
b_ice
09:43:29 2018-10-18
PahomUbuntu
16:47:36 2018-10-17
Sasha50
13:36:47 2018-10-16
Любитель пляжного футбола
10:48:42 2018-10-16
Поджог банков работал на Диком Западе, сейчас уже рукописи не горят, времена другие. :)
Вячeслaв
09:37:25 2018-10-16
Суть использования нескольких антивирусов в том, чтобы по пути к пользователю файл, письмо, вообще любой объект проходили две проверки. Поэтому нужно не просто использовать 2 антивируса, но расположить их так, чтобы выполнялось это правило
- на рабочей станции и файловом сервере должны быть разные антивирусы
- на рабочей станции и почтовом сервере должны быть разные антивирусы
и так далее
Ruslan
09:08:44 2018-10-16
Неуёмный Обыватель
08:03:43 2018-10-16
BigVal
06:01:50 2018-10-16
Sasha50
02:46:17 2018-10-16
Sasha50
02:43:13 2018-10-16
Sasha50
02:34:28 2018-10-16
razgen
00:46:07 2018-10-16
razgen
00:32:50 2018-10-16
04:33:53 2018-10-15
Казалось бы, что у банка должно быть достаточно средств для финансирования защиты своего сервера.
У крупных банков -да. Средств достаточно и защита у них на высоком уровне. А мелкие банки, за последние годы десятками банкротились и позакрывались.
Lia00
23:58:51 2018-10-15
razgen
23:54:33 2018-10-15
Littlefish
22:29:58 2018-10-15
Крайняя степень экономии на всём.
Littlefish
22:18:39 2018-10-15
orw_mikle
22:16:25 2018-10-15
Неуёмный Обыватель
22:15:40 2018-10-15
Littlefish
22:07:08 2018-10-15
Littlefish
22:01:04 2018-10-15
Просто другому банку :-)
Littlefish
21:58:38 2018-10-15
@admin, а как же возможные конфликты между двумя одновременно работающими антивирусами, снижение скорости работы системы и возможные подвисания, баги и т.д.?
Littlefish
21:54:10 2018-10-15
Скорее всего легче посчитать количество организаций у которых установлено исключительно лицензионное ПО, последние обновления и обновлённые и настроенные российские антивирусы, чем количество организаций с низким уровнем ИБ.
Неуёмный Обыватель
21:49:45 2018-10-15
В...а
21:45:40 2018-10-15
vla_va
21:08:24 2018-10-15
kva-kva
20:23:39 2018-10-15
Шалтай Александр Болтай
20:16:22 2018-10-15
Сергей
20:06:56 2018-10-15
Шалтай Александр Болтай
20:04:36 2018-10-15
Alexander
19:57:25 2018-10-15
К сожалению, и разгильдяев, и злодеев, и подлецов ещё не мало встречается на нашем пути... Это, конечно, очень печально...
@Пaвeл, (на 19:13 и 19:29). Стихи-частушки просто прелесть! Мне очень понравились. Порадовали, получил истинное наслаждение. Зацепились!
tigra
19:52:11 2018-10-15
anatol
19:29:14 2018-10-15
Пaвeл
19:29:07 2018-10-15
А вопрос совсем не прост
Как узнать, что в твоем банке
Есть прорехи в полный рост?
Есть ПО, есть обновленья?
По защите есть решенья?
Кто расскажет вам секрет?
Антивирус есть, иль нет?
Вот сейчас нашел решенье!
Заберу все сбереженья
Дома в банку положу
В ванной плиткой заложу.
Dvakota
19:14:23 2018-10-15
Пaвeл
19:13:54 2018-10-15
Ты ножом консервным банку
Ну, а в банке пустота
Ненадежна банка та
Ни какой защиты нет
Вирусам зеленый свет
Пaвeл
19:08:31 2018-10-15
...О, сколько слабых звеньев вкупе
Тревожат мысли подлеца,
Сидит он в банке, денег - уйма,
Шуршат, шуршат всё без конца...
Очень интересная аллегория! Только злодей, наверное, не в банке, в банке - разгильдяй
Andromeda
19:07:57 2018-10-15
GREII
19:00:25 2018-10-15
@EvgenyZ, Поздравляю с Днем рождения! Удачи!
Дмитрий
18:57:14 2018-10-15
Альфа
18:53:02 2018-10-15
Alex_1774
18:32:14 2018-10-15
Татьяна
18:31:19 2018-10-15
mk.insta
18:24:17 2018-10-15
Татьяна
18:22:30 2018-10-15
La folle
17:47:13 2018-10-15
МЕДВЕДЬ
17:44:45 2018-10-15
Людмила
16:58:48 2018-10-15
:)))) и вам всего самого светлого и доброго!
alex-diesel
16:48:02 2018-10-15
спасибо вам всем и Вам лично и удачи.
Людмила
16:38:16 2018-10-15
"я так просто спросил, почти риторически"
вы затронули очень интересный вопрос. Мы попытались разобраться в нем.