05.09.2013 - Компания Фродекс приняла участие в конференции КОД ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ в г. Екатеринбург

В рамках конференции была предусмотрена отдельная сессия - "Информационная безопасность в банках", в которой директор компании Фродекс Андрей Луцкович рассказал об актуальных проблемах современной теневой индустрии кибермошенничества и причинах наращивания ее потенциала.

В докладе Мошенничество в системах дистанционного банковского обслуживания были отмечены следующие моменты:

  • снижение стоимости входного билета на рынок киберпреступности ("дешевле - значит доступнее");

  • увеличение специализации, разделение выполняемых преступных функций положительно сказывается на их качестве;

  • всевозможные формы сотрудничества, используется масса партнерских программ для получения максимальной прибыли.

Как следствие, наблюдается рост интереса со стороны традиционного криминального мира - фактически, уже можно говорить о полном их слиянии с киберпреступностью: последние обеспечивают технологии и предварительные операции, традиционный же криминальный мир занимается офф-лайн поддержкой, организует вывод и обналичивание украденных электронных денег.

Считается, что преступники самостоятельно развивают высокие технологии. С этим хотелось бы не согласится. По нашему мнению, разработчики высоких технологий прикладывают массу усилий по доступности их преступникам. Сейчас уже можно говорить о наличии всех современных атрибутов ведения бизнеса в преступной среде. В первую очередь - о распространении модели B2B (англ. Business to Business, или бизнес для бизнеса). Продается и покупается все: от пулов зараженных ПК (клиентов), готовых получить "полезную" нагрузку (банковского трояна), до сервиса по обналичиванию средств.

Наблюдается масса примеров привлечения инвестиций в разработку новых технологий. В отличие от традиционного мира бизнеса здесь наблюдается высокая эффективность, все участники ориентированы на конечный результат.

Еще одной из современных тенденций является дистанцирование разработчиков вредоносного ПО от непосредственного участия в преступной деятельности. Разработчики редко принимают участие непосредственно в краже средств со счетов клиента - после известных громких случаев по поимке киберпреступников такая деятельность связана с большими рисками.

Необходимость постоянного совершенствования инструментов, с помощью которых возможно совершить кибермошенничество, приводит к неизбежному удорожанию конечного продукта, а следовательно - к уменьшению числа потенциальных покупателей банковского трояна. Чтобы не терять прибыль, вирусописатели поменяли свою бизнес-модель зарабатывания денег - теперь она заключается в разработке, продаже и техподдержке инструментов, с помощью которых возможно совершить кибермошенничество - более известная как модель SaaS (англ. software as a service, или программное обеспечение как услуга). Таким образом, в настоящее время аренда мошеннического ПО с помесячной оплатой становится нормальной практикой.

Таким образом, мы сталкиваемся с новым явлением - "мошенничество как сервис" ("Fraud as a Service").

Что же можно увидеть по другую сторону баррикады?

Логично предположить о симметричности ответа. Но к сожалению, защищающаяся сторона демонстрирует традиционность подходов и разрозненность усилий. Это верно как для банковского сообщества, так и для профессионалов рынка ИБ.

Банки по-прежнему строят свою оборону исходя из предпосылки "один против всех": каждый банк пытается защитить своих клиентов сам, самостоятельно занимаясь разработкой и тонкой настройкой собственных фильтров по выявлению подозрительных платежей, а клиенты вынуждены использовать дополнительные средства аутентификации.

Но, как известно, один в поле не воин. Очередной раз в этом можно убедиться, занявшись анализом исходных кодов банковского трояна Carberp, публично доступных в сети Интернет. Среди прочего в них можно найти скриншоты с атакованных ПК клиентов банков, что и было продемонстрировано в ходе доклада вместе с интересными фактами, обнаруженными в исследовательской лабаратории компании Фродекс.

Отметим, что банки в последнее время понимают, что предпринимаемых ими собственных мер явно недостаточно - поэтому все больше банков участвуют в "Антидроп-клубе", целью которого является налаживание обмена информацией по случаям мошенничества и минимизации совместных потерь. Понятно, что еще есть над чем работать, самое очевидное - необходимость избавиться от проблемы человеческого фактора.

Опыт борьбы с киберпреступностью компании Фродекс привел в выработке и внедрению в своих продуктах подхода "Антифрод как сервис". Что подразумевается под этим термином?

В нашем понимании это:

  • доступность и простота использования средств борьбы с кибермошенничеством

  • непрерывность совершенствования методов и способов обнаружения мошеннических платежей

  • возможность оперативного и автоматизированного обмена информацией по выявленным случаям мошенничества

  • использование консолидированного опыта по выявлению мошеннических платежей.

Понимание вышеперечисленных принципов не только реализовано в нашем решении FraudWall, но и привело к созданию сервиса по борьбе с кибермошенничеством - FraudWall as a Service.

Продукт FraudWall позволяет автоматизировать получение и использование информации "антидроп-клуба" и системы "FraudMonitor", кроме того максимально упрощается процесс обратного опубликования информации о выявленных мошеннических получателях ("дропах").

Нельзя не отметить, что логика обнаружения мошеннических платежей доступна как неотъемлемая часть сервиса FraudWall as a Service. Банк избавляется от необходимости разработки собственными силами правил обнаружения. Поставляемая логика обнаружения является результатом консолидированного опыта специалистов компании "Фродекс" и обеспечивает эффективную защиту с первых дней после установки решения.

Как не прекращается состязание брони и снаряда, так и не останавливается работа специалистов компании "Фродекс" над совершенствованием правил обнаружения. Только постоянный мониторинг трендов киберпреступности, участие в расследовании инцидентов и постоянное обновление логики обнаружения смогут обеспечить достаточный уровень борьбы с мошенничеством.

Необходимо признать, что реализуемый подход не является уникальным: аналогичный подход демонстрирует компания Group-IB в своих продуктах FraudMonitor и Bot-Trek, компания RSA предлагает сервис RSA FraudAction и т.д.

Сейчас уже можно говорить о понимании необходисти модернизации мышления противостояния со стороны проффесионалов рынка ИБ, осталось донести это понимание до клиентов.

Более подробную информацию о подходе FraudWall as a Service можно узнать из нашей презентации.