Разделы

Цифровизация ИТ в банках

Мошенничество в ДБО видоизменяется

Практически трехкратный прирост ущерба от мошенничества в ДБО в 2009 г. вынудил банковские организации создавать собственные внутренние подразделения по контролю транзакций. Тогда же стали разрабатываться первые автоматизированные системы мониторинга транзакций. Тема обсуждается в рамках цикла материалов, начатого со статьи «Мошенничество в ДБО: эволюция глазами экспертов».

Характерной особенностью мошеннических платежей 2009–2010 гг. была ярко выраженная поведенческая составляющая, которая также позволяла эффективно обнаруживать мошеннические платежи. Чтобы выиграть время и не дать возможности клиенту своевременно зафиксировать факт кражисо своего счета, после отправки мошеннического платежа в банк злоумышленники меняли пароль клиента. За время, которое клиент решал проблему с доступом в ДБО, мошеннический платеж исполнялся на стороне банка, а украденные средства снимались злоумышленником в банкомате.

В редких случаях, особенно когда была украдена значительная сумма, мошенники устраивали DDOS-атаку на сервера ДБО банка. С одной стороны, жертва больше не могла зайти на сервер ДБО и увидеть мошеннический платеж, чтобы предпринять какие-либо действия. С другой стороны, это действие вызывало фактическую недоступность телефонов технической поддержки (все клиенты в этот момент звонили в банк, чтобы узнать, когда заработает ДБО), и жертва, даже если она успела обнаружить мошеннический платеж, не могла дозвониться в банк и сообщить о случившемся.

Впрочем, волна DDOS-атак на российские банки продолжалась недолго. Очень быстро банки поняли, что если на сервер ДБО началась DDOS-атака, то нужно перепроверить все полученные платежи от клиентов и оперативно получить подтверждение у клиента по телефону.

Тактика меняется

Поэтому злоумышленники вскоре сменили тактику – после отправки мошеннического платежа, на компьютер клиента посылалась команда уничтожения содержимого жесткого диска. Так как в большинстве случаев клиенты работают с ДБО банка только с определенных компьютеров (особенно это характерно для небольших клиентов – юридических лиц), это позволяло злоумышленнику выиграть один–два дня и успеть обналичить украденные средства.

Большинство случаев массового мошенничества раннего периода совершалось с IP-адресов, принадлежащих либо интернет-провайдерам в другой стране, либо с IP-адресов сотовых операторов московского региона. Как уже было сказано ранее, это делалось с целью усложнить расследование преступления правоохранительными органами.

Довольно быстро большинство российских банков приспособилось ограничивать допустимый диапазон IP-адресов, с которых можно было работать в системе ДБО. Первоначально это делалось средствами межсетевого экрана на стороне банка (создавалось соответствующее правило, разрешающее подключится к серверу ДБО только с IP-адресов местных провайдеров), что могло вызывать определенное неудобство для некоторых "мобильных" клиентов, путешествующих как по РФ, так и за ее пределами. Однако, разработчики систем ДБО довольно быстро отреагировали на ситуацию с мошенничеством, выпустив новые версии, позволяющие банку более гибко ограничивать клиента, устанавливая ограничения по допустимым IP-адресам (а в некоторых случаях и по допустимым MAC-адресам) на уровне конкретного клиента.

Столкнувшись с ограничениями по допустимым IP-адресам, злоумышленники также сменили тактику – функционалвредоносного банковского программного обеспечения дополнился функцией прокси-сервера, позволяющего подключаться к серверу ДБО с IP-адреса зараженного компьютера, минуя какие-либо ограничения. Фильтрацию по MAC-адресу можно легко обойти, выставив вручную на сетевом интерфейсе то же значение MAC-адреса, которое указано в свойствах сетевого интерфейса компьютера клиента-жертвы.

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

Любопытно, что даже если компьютер клиента был выключен, злоумышленники могли подключиться к серверу ДБО с настроенной защитой. Каким образом? Так как большинство клиентов использует динамические IP-адреса в сети интернет, банки разрешали работу не с определенного IP-адреса, а со всего диапазона IP-адресов провайдера, которым пользуется клиент. Злоумышленникам ничего не оставалось, как искать другие зараженные компьютеры, работающие через того же провайдера, что и компьютер потенциальной жертвы. Как оказалось, это не составило большого труда – большая статистика по таким случаям показывает, что заражение специализированным трояном носило массовый характер.

Нюанс "толстого" клиента

В отличие от online-интерфейса клиента с ДБО (более известного как "интернет-клиент", или "тонкий" клиент), программное обеспечение типа "клиент-банк" позволяет создавать платежные поручения без подключения к серверу банка (такое программное обеспечение еще носит название "толстый" клиент ДБО). Исходя из специфики этого программного обеспечения, полностью создать идентичную конфигурацию компьютера потенциальной жертвы затруднительно – размер файлов, которые необходимо скопировать, довольно большой, и для копирования требуется значительное время.

В тех случаях, когда злоумышленникам все же удавалось скопировать "толстого" клиента, антифрод-системы могли с большой вероятностью обнаружить мошеннический платеж по нарушению сквозной нумерации платежных поручений. В "тонком" клиенте порядковый номер платежного поручения хранится и формируется на стороне сервера ДБО, и любое созданное злоумышленником платежное поручение будет всегда иметь корректный номер. В "толстом" клиенте этот номер хранится в конфигурационных файлах на компьютере клиента. Если злоумышленнику удалось скопировать файлы "толстого" клиента, то в промежуток времени между копированием конфигурационных файлов и созданием мошеннического платежа, клиент мог создать несколько своих документов, тем самым изменив следующий номер платежного поручения, которое ожидает банк.

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Остановило ли это злоумышленников? Нет. Наступила… Эра мошеннических платежей, созданных непосредственно на компьютере клиента.

Евгений Царев, Артем Хафизов