lexakot

Воровство электронных денег. Кто предупрежден то вооружен

Последнее время воровство денег со счетов банков растет просто катастрофическими масштабами. Начало этой эпидемии — примерно 2009 год. Почему это происходит и как обезопасить себя — читаем ниже:

1. Это специфика России, ее законов, дыр в финансовом законодальстве
2. Воруют как у физических так и юридических лиц.

Специфика в том, что у нас любой бомж либо человек с чужим паспортом может открыть счет в банке. За границей — сложнее на порядок.
Об этом ниже.
В мире действует несколько ОПГ  занимающихся воровством денег со счетов. Как правило это хорошо организованная группа, с разделением обязанностей.
1 отдел — пишет трояны, модифицирует их, а так же занимается продажей их определенным людям.
2 отдел — занимается внедрением этих эксплойтов на сайты в интернете
3 отдел — занимается контролем за компьютерами жертв. Они могут около месяца следить за тем, что делает тот же бухгалтер на компе, когда появляется на работе, когда вставляет-вынимает рутокен, если его конечно используют. (И вынимает ли после проведения транзакции)

4 отдел — занимается открытием счетов в крупных банках (типа Сбера), на подставных лиц, и обналичиванием бабла через банкоматы

Итак, как происходит типичное воровство денег со счета вашего банка.
1. Ваш компьютер заражается определенным типом трояна/ов. Заражение происходит через уязвимость в вашем браузере (неважно, IE, Firefox, но через IE гораздо чаще). Последнее яркое заражение было через портал mail.ru. Было около 200 000 инфицированных компов. Плюс заражают спецефичные сайты, куда ходят бухгалтеры и финансисты, то есть те люди, кто имеет доступ непосредственно к клиент-банкам.
Например finmarket.ru

После этого в дело вступает отдел 2, который следит за компом
В нужный момент (после собирания детальной статистики по жертве) — происходит хищение денег.
Я лично знаю 2 варианта:
1. т.н. «Человек в браузере»
Это означает следующее — в скрытом режиме на компе жертвы запускается скрытая копия браузера Internet Explorer. Внешне ее не видно. В ней преступник полностью повторяет платежку бухгалтера, при этом с другой суммой, назначением платежа и реквизитами. При нажатии кнопки подписать и отправить в банк происходит подмена платежки, и подписывается «чужая» вместо своей. Для банка она является подлинной, так как подписана ЭЦП клиента

2. Удаленное управление машиной жертвы.
Если нерасторопный бухгалтер хранит ключ ЭЦП в компе, все еще проще. Кейлоггером собираются все логины пароли для банк клиентов.
После того как бухгалтер ушел пообедать, оставив токен в компе, злоумышленники заходят на компьютер (возможно под параллельным пользователем), заходят в банк клиент, делают платежку, подписывают ее, используя пароль и пинкод токена, и меняют пароль на вход в клиент банк
Пока бухгалтер суетится звонит в техподдержку, там ему предлагают заказать новые пароли через сутки, комп виснет, с него удаляется вся информация полностью

3. Деньги уходят траншем на счет в другом банке. Если платежка была сделана вечером, и сменены пароли, то деньги уходят утром первым траншем, и в районе 16 00 они будут на счете например Сбербанка.
В клиент банке Сбера сидит преступник, через какую нибудь йоту в парке, и ждет поступления денег. Платежки по 100-150 000 руб уже набиты, для перевода подставным физлицам в том же сбере.
При поступлении денег одним нажатием подписывается пакет платежек, и деньги внутри банка мгновенно приходят на счета физлиц.
Эти «физлица» уже ждут команды у банкоматов, и снимают бабло. 150 000 это как раз стандартное ограничение на снятие в день с обычной карты сбера

4. Усё ))

Что надо делать если вы пострадали (особенно если внезапно обнаружили что не мождете войти в клиент банк)
Бегом бежать в свой банк, подымать всех на уши, узнавать куда ушли деньги, и САМОМУ мчатся в тот банк. Искать любого из службы безопасности, озвучить историю. У них есть возможность блокировать счет, и в принципе это делают. Это самый лучший вариант.

Если деньги уже обналичили:
Милиция, экспертиза жесткого диска, и бутылочка вискаря, потому что уже поздно. Ваша инфа может помочь милиции, но не поможет вам вернуть деньги. Такова специфика РФ. Если вы физлицо — не пожалейте денег немного, застрахуйте свой счет от мошенничества.

Что делать чтобы не влететь в такой вот блудняк.
1. Антивирус (как ни банально звучит) Касперского. У каспера есть договор со всеми айти-службами банков, и любые модификации троянов тут же отправляются им на анализ и вносятся в базы каждые 2 часа

2. Не оставляйте рутокен в компьютере постоянно. Вставляйте только для подписания действия/платежа.

3. Если не подключен сервис СМС-уведомлений и смс-авторизации — в ОБЯЗАТЕЛЬНОМ порядке подключите его.

с смс-паролями тоже может быть засада — позвонят вам на телефон, скажут что из службы безопасности банка, и что у вас была попытка хищения денег, и вам щас пароль придет, продиктуйте, чтобы срочно отменить транзакцию.
Позвонят рано утром или поздно ночью, когда голова у вас не варит

Ну вроде все :)
★44
91 комментарий
… тот вооружён
«воровство денег со счета вашего банка». у двух банков, в которых я обслуживаюсь, авторизация на сайте и выполнение транзакций требуют подтверждения sms-паролем. даже если делаю покупку не на сайте эмитента. как это обойти?
avatar
vfreeman, это наконец то стали вводить в банках. В альфабанке например для юрлиц это сделали только неск месяцев назад.
Для физлиц проще немного ситуация, но тоже есть нюансы
расскажу дальше
avatar
lexakot, «человек в браузере» иначе называется фишинг
avatar
lptrade, ты хотел сказать Фишман?
Дядя Анатоль, нет, фишинг
прогугли
avatar
vfreeman, не переживай и не такое обходили. сигнализации, пароли, замки — это для честных людей
сис не спасет.могут в вашей платежке реквизиты сменить в момент отправки.
avatar
Роман, реквезиты сменить не так легко — обычно требуется подтверждение смены, и верификация в различных институтах разная
avatar
Леха, бывает. что деньги коняют даже не через подставных, а так же через взломанных людей, а те не понимаюч что за такое…
avatar
Роман, либо так
прогресс в преступном мире идет всегда на шаг вперед
avatar
у нас в банке при оплате на новые реквизиты, новому контрагенту операционистки телефонирует клиенту и запрашивают подтверждения + одноразовые пароли + еще какие-то приблуды с IP адресом))) это они сделали, когда у одного клиента лет 5 назад увели калабашки со счета.
avatar
Aleks-Ank, все верно
все банки так делают, если клиент бучу поднял
а если не поднял — кладут болт
avatar
Aleks-Ank, а если крупная контора? там куда только не бросают бабки по 100 раз на день. В целом — банк помогает, но если деньги упрут проблема станет чисто вашей)
avatar
Роман, крупные конторы (типа УЗТМ) платежки до сих пор на бумаге носят ))) может счас уже завели ИБ, но раньше помню вся мелочь через ИБ, а они лично ходили))
avatar
Aleks-Ank, Могу заверить — все давно сидят на банк-клиенте.
avatar
Роман, их тоже ломают. По тойже схеме — направленная атака
У меня втб, ключей нет пароль логин, и карточки там 50 пин-кодов.Никак не подменить, карточки хватает на пару месяцев, ну и антивирус платный тоже много значит.
avatar
Buffetts grandson, к антивирю еще и Firewall стоит добавить он тоже много значит!
avatar
DrGarik, антивирусы мало значат, определяются трояны, которые уже были использованы много раз, а серьезные хакеры постоянно новые пишут/изменяют структуру
avatar
secondi, это сообщение, наверное, было адресовано больше Buffetts grandson чем мне) я не говорил что антивирь спасет, я говорил что нужно еще добавить фаервол к антивирю)
avatar
Что-то все очень просто описано. Таким же простым языком можно описать как стать владельцем нефтяной компании, но это не значит что повторяя описанный алгоритм вы добьетесь желаемого результата.
avatar
IliaM, да ну?
это мой личный опыт и личные переживания
и результат общения со службой безопасности двух банков и экспертами компании, занимающейся расследованием инциндента
может конечно что то новое изобрели, но даже этого минимума хватит чтобы прикрыть 99% дыр через которые деньги упрут
avatar
lexakot, подскажите плиз
как лечит проблему:
вытаскиваешь рутокен с ноута — сразу синий экран
avatar
andry194, глюк винды — раз
глюк usb-порта — два
попробуйте в другой порт подключать
так сложно сходу сказать
может контроллер USB глючит на материнке
avatar
lexakot, спасибо сегодня полдня разбирался
с электронным ключом (смарт ключ)
суть:
сносите все драйвера клиент банка. перегружаетесь
вставляете usb token — нет синего экрана
занчит меняйте драйвер
есть синий экран — меняйте usb
еще раз спасибо за топик — а то почти го не чесался
кстати у нас у же все банки перешли на смарт ключи
а вот брокеры еще нет
файлик с шифром это конечно для честных людей
avatar
lexakot, ты прав. я был на конференции по ит-безопасности. Выступали представители службы безопасности банков и отдела К. для преступного мира нет преград. Человек из отдела К привел пример «студент нашел в интернете простейшего бота и сделал на этом 100 000 руб за день. А так как это был студент, его быстро вычислили». Стырить деньги у наивных пользователей компов ОЧЕНЬ ПРОСТО. Самый надежный вариант — иметь отдельный комп, который включается только для проведения платежей с антивирусом, заходить только на сайт банка. все. никаких одноклассников и др.
avatar
А еще лучше не пользоваться всевозможными клиент-банками. Пока система не будет хорошо защищена от неправомерных посягательств (а это лет 5-10), не ленитесь ходить в банк сами.
Максим Парфенов, не получится, тогда трейдинг теряет смысл. Ограничивается свобода действий и передвижения, что касаемо трейдинга. И в бизнесе очень неудобно обычно деньги приходят после обеда по Москве, а у нас уже почти вечер, гонять бухгалтера что бы оплатила или сняла проблематично.
avatar
Максим Парфенов, Да дело в том, что это постоянный процесс борьбы. Раньше чаше перли с интернет-клиента, то есть где ПО не ставится вообще, а сейчас авто-трояны позволяют везде спереть. Единственная защита -контроль. Постоянный.
avatar
Максим Парфенов,
Это несколько глупо, так как во всем мире существует гармония. Вы выпускаете отличный продукт, через неделю мы знаем как его взломать.
Примеров много. Программы — всегда есть ключи, лечение и тд.
Машины — их легко угонять.
iPhone — всегда делают ему джейлбрейк.
Все просто: держите деньги в валюте, тогда перевод наткнется на валютный контроль)))
I_scalp, Думаешь нет контролей по рублю:) Нуну:)
avatar
Роман, Я не встречал при переводах до 700к.
Роман, старик, есть контроли
но ты сам наверное знаешь как это происходит
а если не знаешь — происходит так:
всем похуй на то что ты переводишь 600, 700 или 2 ляма
просто инфу в конце месяца передают выше
а теперь прикинь сколько в месяц таких траншей?
и кто будет ковырятся в конкретно твоем случае
avatar
используйте инет банк с одноразовыми пинами. или пин-генератором в виде брелка.
avatar
ulti-trade, 1. т.н. «Человек в браузере»
Это означает следующее — в скрытом режиме на компе жертвы запускается скрытая копия браузера Internet Explorer. Внешне ее не видно. В ней преступник полностью повторяет платежку бухгалтера, при этом с другой суммой, назначением платежа и реквизитами. При нажатии кнопки подписать и отправить в банк происходит подмена платежки, и подписывается «чужая» вместо своей. Для банка она является подлинной, так как подписана ЭЦП клиента

Другой варинт, подмена в вашей платежке реквизитов.
avatar
Роман, Есть антивирус аваст, там есть функция safe zone, открывается отдельное окно от операционки и можно делать лоюбые конфиденциальные операции как то платежи по картам, покупки в интернете, не опасаясь что вашу конфиденциальную информацию украдет шпионская программа, или программа считывающая данные с клавиатуры. Сам пользуюсь очень удобно. Вот сейчас хотел скрин сделать показать, не делается из этого окна принтскрином, работает.
avatar
Buffetts grandson, вот именно из за аваста у одного моего знакомого и спи… ли бабло
avatar
lexakot, лицензию он покупал или бесплатным пользовался.
avatar
Buffetts grandson, Да есть. Насчет надежности не могу правда сказать.
avatar
Это не специфика России.На 99% это т.н.человеческий фактор-лень, безответственность и разгильдяйство.
Нельзя с одного и того же компа совершать банковские\биржевые операции и лазить по злачным местам.
На крайний случай используйте live-CD диски с правильными операционками.
avatar
вот инфа, но увы, уже устарела маральною.

smart-lab.ru/blog/wisdom/8384.php
avatar
Если в компании безалаберно относятся к информационной безопасности, то никакая защита со стороны не банка поможет. Компьютер для Клиент-Банка должен быть обязательно выделенным от корпоративной сети. Закрыты все службы удаленного администрирования. Грамотно настроенное антивирусное ПО, Касперский по умолчанию не обнаруживает последние модификации троянов и вирусов, специализирующихся на кражах со счетов клиентов.
Кузькин Юрий, Все верно, но факт есть факт. Никто( 99.96%) этого не делают.
avatar
Роман, да, за редким исключением. Странно, что люди так относятся к защите своих финансов. Мне кажется волна мошенничества накрыла нас из-за рубежа. Возможно после доберутся и до торговых терминалов.
Кузькин Юрий, киви терминалы заражали уже
avatar
lexakot, что-то слышал. Не удивляюсь, если там винда используется. А уж в ней троян разгуляется.
Кузькин Юрий, винда и использовалась (раньше). ХР. щас не знаю
avatar
lexakot, да, было дело заражали Qiwi и виндовоз там стоял. а что там сейчас стоит тоже не знаю, пора бы уже и на Linux переходить им. Вот кстати, доктор отписывался на эту тему, ссылка как это происходило, сам процесс тоже описывается
www.3dnews.ru/software-news/noviy-troyan-atakuet-platezhnie-terminali/ если кому интересно
avatar
Кузькин Юрий, конечно 100% защиты нет
для корпоративных банк клиентов самый оптимум — отдельный комп, не включенный в сеть, по отдельному каналу имеющий доступ только к айпишнику сервера банка и больше никуда, с минимумом прав пользователя
кока кола вроде как по слухам вобще до сих пор использует модемные соединения
но для частных пользователей антивирь, фаервол и постоянный контроль своего счета — это обязательно
avatar
lexakot, согласен. Но сейчас все банки тащат онлайн-версию (через браузер), модемные Клиент-Банки постепенно вымирают. Последние трояны очень крутые, никакие защитные ПО не могут их обнаружить до сих пор.
Мошенники умудряются вывести деньги и снять их через банкомат менее чем за час. Поэтому оперативность обнаружения выходит на первый план.
Кузькин Юрий, если в том же банке счет открыт — то легко в течение часа слить
avatar
lexakot, не.такое не делают. В другой регион шлют, что бы дольше выходили друг на друга банки.
avatar
lexakot, не обязательно. Сейчас многое автоматизировано и платежи исполняются с большой скоростью, даже если счет в другом банке.
Есть еще вариант (если банк заинтересован в клиенте). Связь модем в модем. Вот это тема.
avatar
Роман, кока кола :)
smart-lab.ru/blog/65501.php#comment1032276
avatar
Роман, встретились айтишник и безопасник )))
половина комментов наших ))))))
avatar
lexakot, Ну народ не активен. Тему не прокачал. Обычно доходит когда бабок уже нет на счете:)
avatar
lexakot, у меня работа как раз в этой сфере ))))
Роман, только инет надо от этого компа отключить, а то не поможет ))))
ну тада так: ВСЕМ ЮЗАТЬ ХРОМ )))
avatar
ulti-trade, боюсь что и это не поможет))
avatar
ulti-trade, хром не всегда катит
если есть activex компоненты то их нормально только IE понимает
avatar
Смешно написано
avatar
Spekyl, да ладно ))
тема то серьезная на самом деле
avatar
Не первый год пользуюсь услугами банка ЮниКредит. Транзакции подтверждаются одноразовыми пин-кодами, выдаваемыми банком на отдельной бумажной карточке.

Пин-коды на карточке идут под номерами и запрашиваются системой для ввода в случайном порядке. Как такое можно хакнуть с компа пользователя? Разве что взломать банковский сервер или кто из домочадцев карту стащит, но это уже совсем другая история.

Я сам 3 раза опечатался при вводе, причем не сразу подряд, а в течении нескольких месяцев — ввел с ошибкой, прошел еще где-то месяц — еще раз ввел с ошибкой и т.д. И меня заблокировали. Пришлось ехать в офис писать заявление.

Конечно муторно, но надежно.
avatar
ZAKST, написано выше, что делается подмена поручения, валидный пин потерпевший сам вводит
avatar
twoyellowtickets, тогда ОЙ +)

В принципе, наверное, исключительно для этого дела можно пользоваться чистой виртуальной машиной.

Что по этому поводу думают спецы?
avatar
ZAKST, Думаю это какой никакой выход, смотря как соединение с ней будет… Кто бы еще её всем настраивал:)
avatar
Все, не буду ставить себе клиент банк))) кстати сегодня думал об этом надоело смотреть на кислую мину бухгалтера в банке, ну у нас в РБ помоему не воруют
avatar
Пользуйтесь Linux вместо Windows и забудьте о троянах, коллеги!
avatar
rootshell, +! Я согласен, но отчасти, т.к. если бы все было так хорошо, то не было бы и антивирей под Linux) А так, есть и вири и антивири под Linux)
avatar
DrGarik, тот программист, который напишет работоспособный вирус для Linux, может претендовать на лимон долларов США. Антивирусы под Linux существуют для сканирования файлов на серверах (в том числе, почтовых серверах).
avatar
rootshell, Там сложности из-за root прав, но если его включить не составит проблем, и мало смысла туда писать, т.к. очень мало народа на ней сидит. Я слышал про них уже давно, сам правда не встречал и не охотился за ними). Ладно, не буду много говорить проще, вот ссылочка ru.wikipedia.org/wiki/%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B_%D0%B4%D0%BB%D1%8F_Unix-%D0%BF%D0%BE%D0%B4%D0%BE%D0%B1%D0%BD%D1%8B%D1%85_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC просто для подтверждения того что они существуют, кстати android тоже Linux, а там все больше и больше вирей…
avatar
DrGarik, это понятно. Но не нужно в обычной жизни работать под root'ом. Права поменьше, когда нужно, используем superuser
avatar
rootshell, + Согласен!) Я же тоже за Linux! Но я еще и антивиря поставлю)))
avatar
DrGarik, Тогда нужно создать лоббистскую группу, которая будет напрягать разработчиков QUIK и других торговых терминалов о необходимости создания версии ПО для Linux. Под эмилятором wine не все хорошо идет. Лучше уж родное ПО использовать.
avatar
rootshell, Поддерживаю, лучше родное Линуксоидное ПО!) Плюс в профиль))
avatar
rootshell, Тогда уж лучше МАС. )))
avatar
rootshell, к сожалению не все банки работают с альтернативными браузерами (осла как известно в линях нету), про банковский софт я вообще молчу (((
avatar
ZAKST, Когда клиенты начнут массово требовать, программисты напишут нужный софт и все отладят.
avatar
А вообще полезно в случае IT быть параноиком. Системы и технологии все более и более усложняются. А чем сложнее система, тем больше в ней уязвимостей.
avatar
Да если в линухи загнать терминал:) Идея хороша, но не осуществима пока.
avatar
«1. Это специфика России, ее законов, дыр в финансовом законодальстве»
Да нет, у нас тоже воруют. Это криминальное федеральное преступление (расследуют не органы Штата, а ФБР). Другое дело, что банки стараются не афишировать, чтоб не выглядить глупыми в глазах клиентов (особенно, если вор базируется за границей). Часто покрывают из своего кармана, и всё.
Украина, Россия и Китай здесь лидируют. Украина в банковском воровстве, Китай в корпоративном шпионаже.
Троян под линукс это такой гемор!!! легче прийти к буху закрыть дверь дать по башке и руками набрать, платежку, чем трояна под линукс.
avatar
ну спасибо коллеги прям как на работе…
не без дураков спасибо
я за то чтобы на основе поста появилась бы статья в финансовом словаре.
там ничего нет на эту тему
а тема в посте раскрыта ГРАМОТНО плюс коменты профессиональные
avatar
вот еще пример
взлом faktura.ru МДМ банк
forum.academ.org/index.php?showtopic=731848&pid=7951027&mode=threaded&start=
avatar

теги блога lambreken

....все тэги



UPDONW
Новый дизайн