Останні 10 коментарів
RiannHic: Паркетная доска из дуба является одним из самых популярных материалов для напольных покрытий благодаря своей прочности, естественной красоте и долговечности. В этой статье мы доско
антирус: російська мова в Україні має бути заборонена так щоб ті східняки і даунбасія думати боялись нею.
Оксі: Книга буде в топі. Яке ж там дійсно пекло. За це росіяни мають бути теж в пеклі і всі хто їх підтримує
Киянка: А ще я хочу, щоб у всьому світі за російське слово російське чувирло били так, щоб воно більше не розмножувалося. Вибачте за культуру висловлювання, але інакше не дійде
Вадим Аксенов: Вранье. Может и что-то покупал, но воровал миллиардами и вся его команда тоже. И не смейте говорить, что Зеленский тоже ворует. У него самая честная команда
Історик: В Україні основна маса людей - жертви Кашперовського. Логічне мислення у них відсутнє як і здатність самонавчатися. Тому основне джерело свідомості - телевізор. Тому телевізори м
Денис Київський: Українець зрозуміє і виключить рускій мір з свого життя, але є ще діти асвабадітєлєй, які ніколи не зроблять це, бо ненавидять Україну і готові її зрадити і дехто і чекає окупант
Черников Вася: А почему нет Липецкой фабрики? И как трубу с Медведчуком украсть хотел? И уголь в ЛНР ДНР воровал. Надо всю правду писать
Оксана Володимирівна: Від відокремлення філії швейної фабрики від основного заводу, вона не почне виробляти холодильники. Але український народ в основній масі затурканий і що агент КГБ на проповіді с
Галя: Все російське повинне бути знищене, в тому числі і їх бидлокультура. А всі їх дикі племена закриті непрохідним кордоном без права виїзду в цивілізований світ
5 найбільш відвідуваних
Армия России - патриоты или фашистский сброд
Сімейно- побутове життя населення Західної Європи в період Середньовіччя.
Ким насправді був Іван Сірко? Містика та факти.
15 міфів російської історії - правда і брехня. Альтернативна історія Русі.
Русь і Московія, слов'яни і татари. Невідома справжня історія нашого минулого.
5 найбільш обговорюваних
Українське Різдво не має ніякого стосунку до юліанського чи григоріанського календарів!
Кардіохірург розказує про справжні причини серцевих захворювань
«Добро пожаловать в ад!». Год, 8 месяцев и 26 дней в плену российских боевиков провела учительница
Ким насправді був Іван Сірко? Містика та факти.
Пост поляка - «Не кажіть поляку, як він має ставитися до українців та росіян і що про них думати…»
Напишіть свою статтю без реєстрації та цензури! Натисніть меню "Моя стаття"
|
Автор: Олекса Довбуш 09-04-2013 11:46:05
Крадіжка грошей з банківських рахунків шляхом злому систем
Написати статтю спонукало те, що останнім часом значно збільшилася кількість атак з боку хакерів на системи «Клієнт-банк» з метою крадіжки грошей з рахунків клієнтів.
Природно, з міркувань конфіденційності, дуже мала частка таких випадків отримує суспільного розголосу. Одну з небагатьох публікацій на дану тему надає газета Ділова столиця (посилаючись на заяву МВС), витяги з якої наведені далі.
У Міністерстві кажуть, що за минулий рік в їх підрозділ по боротьбі з кіберзлочинністю надійшло біля 100 заяв від суб'єктів підприємницької діяльності, які скаржилися на злом систем "клієнт-банк".
Правоохоронцям вдалося попередити більше 30 фактів заволодіння коштами компаній на суму понад 50 млн грн.
За оцінками ПАТ «АКТАБАНК», насправді випадків крадіжки грошей з рахунків в Україні значно більше.
Якщо клієнт оперативно зауважує крадіжку грошей і відразу ж повідомляє про це банк, в значній частині таких випадків вдається перехопити несанкціонований платіж, навіть повернути гроші з рахунків в іншому банку, куди їх перерахували зловмисники і не встигли ними скористатися.
Однак якщо час згаяно разом з можливістю знайти гроші «по гарячих» слідах, ситуація набагато складніше. На жаль, шахраї навчилися замітати сліди, і фінансисти все частіше вдаються до допомоги силових структур.
Найбільш поширені способи отримання доступу до чужого Клієнт-банку, якими користуються хакери:
- Фішинг: «вивуджування» під слушним приводом у клієнтів інформації, необхідної для входу в систему «Клієнт-банк». Хакер розсилає на e-mail клієнтів листи з проханням відповісти на деякі питання (наприклад, ПІН-код, номер картки, одноразовий пароль і т. д.). Довірливі клієнти відповідають на такі листи, своїми руками надаючи зловмисникам всю інформацію, необхідну для входу в систему «Клієнт-банк».
- Фізичне розкрадання паролів і кодів доступу до "клієнт-банку" у компаній сторонніми відвідувачами офісів;
- Впровадження шкідливої програми (вірусу) на комп'ютер користувача системи «Клієнт-банк», яка перехоплює і передає розробнику вірусу інформацію, необхідну для входу в Клієнт-банк (ключі, паролі тощо). Технічно спосіб досить складний, але за відсутності на комп'ютері користувача регулярно оновлюваною антивірусного захисту, завдання для хакерів істотно полегшується;
- Віддалений доступ до комп'ютера, з якого клієнт входить у систему «Клієнт-банк». Спосіб в цілому схожий на попередній, але припускає, що зловмисник через інтернет заходить на комп'ютер користувача, і далі може відстежувати дії користувача, зчитувати будь-які ключі та паролі (в т.ч. з підключених до комп'ютера флешок, токенів і інших пристроїв ідентифікації), запускати від імені користувача будь-які програми і здійснювати будь-які дії на комп'ютері, в т.ч. входити в систему «Клієнт-банк».
Дієвим способом захисту від подібних дії є обмеження функціональності підключення до інтернет на комп'ютері користувача, установка міжмережевих екранів, брандмауера тощо; розумна настройка політик безпеки на комп'ютерах користувача і т.д. Однак, на жаль, на практиці це не завжди виконується.
Останніми двома способами також ризикують клієнти, які користуються системою Клієнт-банк з чужих комп'ютерів, з громадських місць (інтернет-кафе тощо).
Основні методи захисту від зазначених способів несанкціонованого входу в систему «Клієнт-банк»:
- Використання різних систем миттєвого повідомлення про проведення за рахунком операції (наприклад, миттєві SMS-повідомлення по всіх або по великих операціях по рахунку). Як вже зазначалося, можливість повернути вкрадені з рахунку гроші тим більше, чим раніше клієнт повідомить в банк про підозрілу операцію;
- Надійне зберігання паролів, ключів і т.д. (Не записувати паролі в легкодоступних місцях, на загальних дисках, флешках тощо);
- Флешки з ключами, USB - пристрої ідентифікації (токени, персональні ключі тощо) повинні підключатися до комп'ютера тільки під час роботи системи Клієнт-банк. За відсутності необхідності роботи з системою, такі пристрої повинні вилучатись з комп'ютера;
- Установка на комп'ютер користувача систем антивірусного захисту, обмеження доступів, установка міжмережевих екранів в підключенні до мережі Інтернет на комп'ютерах користувачів;
- По можливості використання на громадських комп'ютерах тільки «полегшеної» версії Клієнт-банку, що працює тільки в режимі перегляду;
- Використання різних технічних засобів ідентифікації: токени, ключі USB і т.д. Ці пристрої самі по собі не дають 100%-й захисту, але в сукупності з іншими засобами істотно підвищують ступінь захисту.
Однак, при всій своїй ефективності, дані методи носять «статичний» характер - використання цих засобів одинаково протягом тривалого періоду часу приводить до того, що у зловмисника є багато часу, щоб знайти все ж вразливі місця системи і підібрати метод обходу захисту. В т.ч. знайти, «вивудити», прорахувати паролі, які діють місяці, а то й роки.
Тому на сьогоднішній день більше надійними засобами додаткового захисту є динамічні методи, які надають змінюваний у часі захист, і таким чином позбавляю зловмисників наявності часу, необхідного для пошуку методу злому.
Найбільш поширеними на сьогоднішній день є системи одноразових паролів, які міняють пароль доступу до системи «Клієнт-банк» при кожній операції доступу до системи:
- Заздалегідь згенеровані одноразові паролі, надані клієнту на паперових чи інших носіях;
- Динамічно генеровані одноразові паролі, надані поштою, через смс, через банкомат тощо безпосередньо перед проведенням операції в системі «Клієнт-банк»;
- Одноразові паролі, які генеруються незалежними пристроями, які ніяк фізично не пов'язані з комп'ютером і мережею інтернет (пристрої OTP-токен (One Time Password); пристрої DiGiPass та інші).
Далі наводимо короткий опис переваг і недоліків зазначених систем одноразових паролів:
Заздалегідь згенеровані одноразові паролі. Суть методу в наступному: клієнту надається на спеціальній картці або в пін-конверті велика кількість роздрукованих паролів. Кожен пароль закрито спеціальним покриттям, аналогічно як прихований код поповнення на картах поповнення мобільного зв'язку. Ці ж паролі записані на сервері банку.
При кожному вході в систему Клієнт-банк користувач стирає покриття на черговий осередку з паролем або роздруковує черговий пін-конверт, вводить цей пароль в систему - і після входу в систему цей пароль вже не може бути використаний для наступних входів в систему.
Перевагою цієї системи є простота в реалізації.
Однак недоліків значно більше:
картки / пін-конверти з паролями хтось друкував, готував, передавав, можливо навіть відправляв поштою, тощо; значить знову ж можливо людське шахрайство. Адже папір завжди можна скопіювати.
папір дуже легко втратити: носити з собою незручно, а залишати його десь теж небезпечно. І ще є кілька елементарних проблем - наприклад, якщо ви забули замовити новий список, а терміново треба щось проплатити, список буде готовий в кращому випадку за 2-3 дні. А є ще один варіант - я замовив новий список, але у мене ще є старий, і тут важливо не переплутати! Адже запросто можна ввести неправильний код і заблокувати собі доступ до Інтернет-банкінгу.
Динамічно генеруються паролі, що надсилаються клієнту безпосередньо перед входом в систему Клієнт-банк поштою, через банкомат, по SMS і т.д.
Така система позбавляє від недоліку, пов'язаного з можливістю втратити картки з паролями.
Але появляється ризик затримок і злодійства інформації в каналах зв'язку - будь то e-mail, SMS і т.д. Здавалося б, банкомат є вкрай надійним в плані захищеності каналів зв'язку, але банкомати знаходяться у громадських місцях - і інформацію з банкомату можна попросту підглянути, стоячи на невеликій відстані за спиною користувача. Окрема розмова - це швидкість проходження тих же SMS-повідомлень. Ні для кого не секрет, що особливо у великих містах мережі мобільних операторів часто перевантажені і повідомлення іноді приходять зі значною затримкою. Крім того, мобільний телефон може бути вкрадений, втрачений, в самий невідповідний момент може розрядитися батарея і т.п.
Таким чином, дана система по суті є розвитком першої, значно зручніша у використанні, але все ж містить досить вразливі місця з точки зору безпеки.
Одноразові паролі, які генеруються незалежними пристроями (DiGiPass, OTP-token та ін.)
DigiPass - це компактний пристрій (як брелок або маленький калькулятор), який після натискання кнопки генерує одноразові паролі, які використовуються для підтвердження входу або операцій в системі «Клієнт-банк».
Переваги такої системи:
- DigiPass фізично не пов'язаний з комп'ютером або мережею Інтернет, що виключає можливість віддаленого несанкціонованого зчитування паролів;
- DigiPass не передбачає запам'ятовування і зберігання нових паролів, він щоразу генерує новий пароль, відображає його на своєму екрані і користувачеві потрібно просто ввести цей пароль у відповідне поле на комп'ютері в системі «Клієнт-Банк»;
- Термін дії пароля DigiPass - близько 1 хвилини. Навіть якщо зловмисник будь-яким чином отримає цей пароль, він не встигне ним скористатися;
- Кожен пристрій DigiPass унікально і жорстко прив'язаний до конкретного підприємства, тобто якщо зловмисник отримає пристрій іншого підприємства, він не зможе ним скористатися. Інформація про прив'язку пристрою до підприємства зберігається на банківському сервері, який захищений на порядок сильніше, ніж комп'ютери середньостатистичних користувачів системи Клієнт-Банк.
З недоліків можна назвати стандартні недоліки всіх додаткових систем захисту: пристрій потрібно постійно мати при собі; при випадковому фізичному пошкодженні пристрою (розбили, потрапив у воду і т.д.) пристрій потрібно міняти, що може зайняти 1 - 2 дні.
Однак ці недоліки нівелюються тим, що з точки зору безпеки пристрою DiGiPass, OTP-token надають найбільший ступінь захисту з доступних на сьогоднішній день систем додаткового захисту систем Клієнт-банк.
Крім того, хочемо ще раз нагадати, що при застосуванні навіть найкращих систем захисту дуже важливо оперативно контролювати операції по рахунку з метою якнайшвидшого виявлення несанкціонованих операцій (і відразу ж повідомити про них у банк). Для цієї мети добре підходять системи оперативного інформування про операції по рахунку на SMS.
Наведу ще кілька розмов на форумах для більшого розуміння теми:
-Это реальность. Случаев полно. Достаточно украсть цифровую подпись и пароль от входа в клиент банк. Первое обычно даже воровать не надо, многие бухи хранят на компе, либо никогда не достают токен из компа. Пароль можно украсть кейлоггером.
-нужен ли физический контакт с компьютером что бы установить кейлоггер?
-Или получить физический доступ к компу для устновки кейлогера, или заставить (например обманом) установить эту программу.
Да, часто ещё требуется и антивирус отключить на время установки и поставить кейлогер в список "хороших" программ.
-в таком случае, возможно ли незаметно для жертвы компьютера установить удаленный доступ к нему и поместить туда кейлоггер?
-Теоретически можно. Практически зависит от настройки компьютера.
-Не только от настроек компа.
Прежде всего зависит от того, кто сидит за компом. Потом от настроек сети и работы сисдамина в сети.
Наиболее уязвимое звено - тот, кто сидит за компом.
-зависит от того зависит от сего, а предприятия реально страдают от этой проблемы. и вразумительно еще никто не ответил какой алгоритм действий хакера при взломе "клиент-банк"
-Действия хакера?
Ничего нового. Если есть физический доступ - то обычным способом. Внесеним зловреда.
А вот если физического доступа нет, то идёт работа по самому слабому звену - по человеку. Методы социнженерии никто не отменял. И идиоты есть во всех фирмах. Порой достаточно бросить возле офиса штук 5 флешек со зловредами. И всё. Огромное количество бухов просто воют, когда им отключают их вконтактики. И жмут на кнопку "скачать" сразу, как только придёт сообщение от её подруги из другого офиса. А что контакт этой подруги- дуры уже давно взломан она даже и не думает.
И т.д. и т.п.
Або ще один спосіб (цитуємо):
Совсем не обязательно иметь постоянный контроль над машиной, нас интересуют настройки клиент-банка, пароли, вводимые с клавиатуры, и секретный ключ.
Ключ обычно хранится на дискете, многие вполне уважаемые мною программисты считают, что это хорошая защита. Ну а мы не будем их слушать, и напишем троянца, который кроме отправки по почте конфигурации клиент-банка еще и дожидается обращения к дискете (можно взять на www.sysinternals.com исходники filemon и немножко их доработать).
Удобная конфигурация жертвы: Win9x + dialup + email. В такой ситуации с почтой работают на том же компьютере, на котором установлен клиент-банк. Послав письмо, содержащее нечто среднее между внедренным фреймом, звуковым файлом и exe-аттачем, мы вызовем автоматическое выполнение этого аттача при чтении письма. Обратите внимание, открытии письма, а не аттача, аттача собственно не будет видно.
Вот как может выглядеть заголовок письма, автоматически выполняющего аттач при чтении письма:
From: "coolhatsker"
Subject: mail
Date: Thu, 2 Nov 2000 13:27:33 +0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Content-Type: multipart/alternative;
boundary="2"
Content-Type: text/html;
charset="koi8-r"
Content-Transfer-Encoding: quoted-printable
Content-Type: audio/x-wav;
name="hello.exe"
Content-Transfer-Encoding: base64
Content-ID:
Далее должен идти сам аттач в кодировке base64. Можно написать программу для кодирования, а можно воспользоваться тем же Outlook - создать письмо с аттачем, сохранить его как файл и вырезать нужную часть.
Непропатченный Outlook Express (или Internet Explorer, если письмо сохранить как .eml-файл), читая письмо, щ5видит строчку iframe src, и захочет открыть этот якобы фрейм. Далее будет воспринята строчка Content-type=audio/x-wav, и он посчитает, что перед ним - звуковой файл, который надо без лишних вопросов включить на воспроизведение. Далее строчка name="hello.exe" скажет бедной глючной проге, что перед ним exe-файл, который надо запустить на выполнение, что и произойдет...
Есть основания предплагать, что эта ошибка будет актуально еще долгое время: обычно системные администраторы ограничиваются безопасностью сервера, а о рабочих станциях никто особо не печется.
Аттач должен иметь минимальную длину, чтобы не вызывать подозрений, если не удается уложиться в 30 кб, лучше организовать докачку необходимого. То же самое касается отправки данных о конфигурации: лучше всего отправлять мелкими порциями, и следить за загрузкой канала. Лучше всего снимать "зеркало" конфигурации, и дальше отправлять уже его - чтобы не возникало проблем с блокировкой доступа и изменением конфигурации за время отправления.
Далее - самое главное: после установки себе копии клиент-банка, способной осуществлять платежи от имени жертвы, надо обеспечить собственную безопасность. IP-адрес, с которого был совершен перевод, будет вычислен, далее будет определен провайдер и логин, с которого было подключение. Многие провайдеры обеспечивают такую услугу, как "карточки временного доступа в интернет", т.е. логин на фиксированное время. При покупке такой карточки можно остаться анонимным.
Важно знать, что после перевода жертве придет подтверждение о переводе, и жертва сможет отменить его. Чтобы такого не случилось, нельзя допустить прихода подтверждения, например, можно написать эмулятор клиент-банка, который имитирует его работу, но не совершает реальных операций. Это на некоторое время (на 1-2 суток) введет жертву в заблуждение, и срок отмены перевода успеет закончится. Далее систему можно привести в обычное состояние, и создастся впечатление, что человек совершил перевод по ошибке.
P.S. Счастливо отдохнуть на Канарах (или на нарах, в зависимости от качества исполнения).
Як бачимо сучасна техніка дозволяє багато не тільки добропорядним громадянам, а й зловмисникам, тому вибираємо найкращий захист, виключаєм по-можливості людський фактор та берем консультації в спеціалістів цієї галузі. В такому випадку неймовірні історії з вашим комп'ютером не відбудуться. Всім успіхів!
Коментарі
Автор: Олекса Довбуш 09-04-2013 14:05:41
Знаю що є в ОТП, в інших не цікавився
Автор: Андрій Іванович 09-04-2013 14:04:42
Які банки видають DiGiPass, OTP-token в Україні? Дякую за відповідь.
|
|