Мошенничество в системах ДБО. Анализ и контроль...
Post on 08-Aug-2015
65 views
TRANSCRIPT
МОШЕННИЧЕСТВО В СИСТЕМАХ ДБО.
АНАЛИЗ И КОНТРОЛЬ ОПЕРАЦИЙ
Евгений Чугунов
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
СОДЕРЖАНИЕ
• Злоумышленники — с кем приходится
бороться
• Типовые схемы мошенничества:
внешнего и внутреннего
• Ключевые этапы — почему
мошенничество возможно
• Обнаружить и предотвратить — методики
и технологии
• Заключение и рекомендации
– БД клиентов, профили, окружение и пр.
• «Сборщики» информации
• Вирусописатели– Заказные разработки под конкретную задачу
• Посредники
Организованное
сообщество
• Распространители
– Получение контроля, сбор аутентификационных данных и т.п.
– Покупка/продажа БД, рассылок, «троянов», «закачек» и пр.
• Конечные исполнители– Перевод и обналичивание денег
ЗЛОУМЫШЛЕННИКИ
ЗЛОУМЫШЛЕННИКИ. ЦЕЛИ
Задача — несанкционированное распряжение чужими
средствами
Цели
• … Физические лица — владельцы счетов
• ... Физические лица — держатели карт
• … Юридические лица — клиенты банка
Расстановка приоритетов: средства на счетах
юридических лиц
ТИПОВАЯ СХЕМА. ЭТАПЫ
Этап 1. Сбор информации об объектах
• Создание и иследование тематических форумов
• Наличие помощников в банке
• Анализ общедоступных источников
• Массовые рассылки и случайные заражения
Результат — база данных клиентов: контакты,
используемые сервисы и услуги и пр.
Основной сценарий — выставление базы на продажу
ТИПОВАЯ СХЕМА. ЭТАПЫ
Этап 2. Получение пула контролируемых объектов
• Массовые рассылки и случайные заражения
• Профилирование уже зараженных объектов
• и пр.
Результат — «закачки»: возможность контроля
тематической выборки объектов
Основной сценарий — выставление на продажу
ТИПОВАЯ СХЕМА. ЭТАПЫ
Этап 3. Подготовка специального инструментария
• Исследование уязвимостей систем ДБО
• Разработка специализированного вредоносного кода
• Создание фишинговых сайтов
• Исследование уязвимостей объектов воздействия
Результат — специализированный инструментарий
Основной сценарий — выставление на продажу
ТИПОВАЯ СХЕМА. ЭТАПЫ
Этап 4. Проведение адрессных атак
• Адрессная доставка специализированного
вредоносного контента
• Сбор и накопление данных аутентификации с помощью
специализированых средств
• ...
Результат — база данных аутентификации, адрессные
«закачки»
Основной сценарий — выставление на продажу
ТИПОВАЯ СХЕМА. ЭТАПЫЭтап 5. Кража и снятие средств
• Подготовка способов снятия
• Перевод средств
– В электронные платежные системы (до 15 т.р.
без идентификации)
– На карточные счета физ. лиц
– На счета физ. лиц
• Снятие средств
• С карт сообщниками за рубежом
• Со счетов по поддельным документам
ТИПОВАЯ СХЕМА. ЭТАПЫ
Этап 6. Прикрытие
• Выведение из строя рабочего места клиента
• Блокирование SIM-карты клиента
• Затруднение работы системы ДБО — DDoS атаки
Результат — дополнительное время на снятие средств
Основной сценарий — покупка услуг у третьих лиц
КЛЮЧЕВЫЕ ЭТАПЫ. ПОЧЕМУ
МОШЕННИЧЕСТВО ВОЗМОЖНО
Этап 5
Кража и снятие средств
Этап 3
Подготовка специального инструментария
Причина• Возможность снять средства:
поддельные карты, документы и пр.
• Возможность переводов: украденные или фиктивные счета, множество платежных систем, необязательность идентификации и т.д.
• Возможность доступа к ДБО с украденными данными
Обоснование
• Возможность перехватить данные аутентификации: ключи, пароли и пр.
• Уязвимости систем ДБО: уязвимости web-приложения, клиента
МЕТОДИКИ И ТЕХНОЛОГИИ
ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ
Возможность перевести деньги злоумышленником
Проблема Решение
• Карты с чипом
• Дополнительная аутентификация клиентов при закрытии счета, снятии средств и пр.
Возможность доступа в ДБО с украденными данными аутентификации
• Автоматизированный контроль подозрительных операций: системы контроля мошенничества
• Risk-based аутентификация
• Привязка к конкретным АРМ
• OTP и Challenge\Response
• Несколько ЭЦП (ex.: для юр. лиц)
Возможность снять средства злоумышленником
Уязвимости систем ДБО
Проблема Решение
• Виртуальная клавиатура для ввода
• Защищенные хранилища ключевой информации (токены, смарт-карты и пр.)
Возможность перехватить данные аутентификации
• Web Application Firewall (Imperva SecureSphere, Radware AppWall)
МЕТОДИКИ И ТЕХНОЛОГИИ
ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ
КОМПЛЕКС РЕШЕНИЙ
Аутентификационный центр. Задачи и функции
• Единое окно аутентификации клиентов и авторизации
транзакций для всех каналов ДБО (IVR, Web, WAP,
SMS, приложений мобильных телефонов и пр.)
• Реализация принципа однократной аутентификации
в системах ДБО
• Risk-based аутентификация (адаптивный контроль
доступа)
• Реализация аутентификации по OTP
КОМПЛЕКС РЕШЕНИЙАутентификационный центр. Архитектура
Сервисная шина
АБС 3
АБС 4
Интернет-
банк
АБС 1АБС 2
Инфраструктура сервисов банка
Система
управления
доступом
(WEB)
Интеграционные
средства
B2B
Web Application
Firewall
Система
управления
смарт-картами
CMS
Сервер
аутентификации по
одноразовым
паролям
OTP
SMS-шлюз
Центр аутентификации банка
Сервис PKI
Клиенты банка
Adaptive
AM
КОМПЛЕКС РЕШЕНИЙ
Аутентификационный центр. Продукты
• Imperva SecureSphere, Radware AppWall
• Oracle/Sun/IBM Access Manager
• ActivIdentity 4TRESS
• ActivIdentity CMS
• IBM DataPower
• …
Web Application
Firewall
Cистема
аутентификации и
управления
доступом
Сервис PKI
Система управления
смарт-картами CMS
Интеграционные
средства (B2B)
Сервис
аутентификации по
одноразовым
паролям (OTP)
КОМПЛЕКС РЕШЕНИЙ
Системы контроля мошенничества.
Анализ действий и операций
• Rule-based (основа — правила)
• Математическая модель
– Выставление оценки поведению
– Анализ отклонений от профиля, аномалии и пр.
• In-line и off-line размещение
• Универсальные vs. вертикально ориентированные
(on-line banking, e-commerce и пр.)
• Внутреннее и внешнее мошенничество
• Inhouse/Hosted размещение
КОМПЛЕКС РЕШЕНИЙСистема контроля мошенничества. Intellinx
Идентификатор
АРМ
Intellinx sensor,
Analyzer,
Database
Intellinx Rule
Engine
Black/Red/White Lists
Intellinx
Investigation
Center
Auditors
Reports
Web ServerApplication
ServerIntellinx Web Filter
КОМПЛЕКС РЕШЕНИЙ
Система контроля мошенничества. Продукты
• Intellinx: мошенничество в ДБО и внутреннее
мошеничество
• RSA Adaptive Authentication и Identity Verification
• Entrust TransactionGuard и IdentityGuard
ЗАКЛЮЧЕНИЯ И РЕКОМЕНДАЦИИ
Клиент считает, что виноват Банк,
Банк считает, что виноват клиент...
Ситуацию изменит:
• Контроль мошеннических операций
• Подходящий способ аутентификации для каждого
клиента
• ...
СПАСИБО ЗА ВНИМАНИЕ!
Чугунов Евгений Игоревич
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: [email protected]