Мошенничество в ДБО: эволюция глазами экспертов

Мошенничество в ДБО: эволюция глазами экспертов

Артём Хафизов, технический директор компании "Фродекс"

Евгений Царев, эксперт и специалист в области ИБ


Примерно за 6 лет рынок мошенничества в системах дистанционного банковского обслуживания (ДБО) прошел путь от единичных случаев краж до криминального бизнеса с оборотом примерно в $100 млн в год.

Первые массовые случаи кражи средств через системы ДБО в РФ были зафиксированы в 2006–2007 гг. Жертвами мошенников в то время были клиенты – физические лица. Выбор был не случаен – заботясь об удобстве работы клиентов, для подтверждения платежа в большинстве случаев банки требовали от клиентов ввода обычного "секретного" пароля. Скретч-карты, ключи ЭЦП, и тем более отправка одноразовых паролей на мобильный телефон широкого распространения не имели – поддержка таких средств защиты была реализована в ДБО ограниченного числа банков.

Уровень защиты, который обеспечивал обычный пароль, не выдерживал никакой критики. Даже школьник мог установить и настроить кейлоггер (мошенническое ПО, идентифицирующее набор символов с клавиатуры), чтобы узнать "секретный" пароль потенциальной жертвы.

Следует отметить, что использование небезопасных средств подтверждения платежа компенсировалось ограниченным функционалом системы ДБО. В большинстве случаев клиенту предоставлялась возможность посмотреть остаток на своих счетах, оплатить коммунальные услуги или пополнить счет мобильного телефона.

Последний функционал (оплата услуг сотовых операторов) и использовался злоумышленниками для кражи средств со счета клиента: изначально они направлялись на счет мобильного телефона (SIM-карта которого, как правило, покупалась в подземном переходе), затем средства выводились на другие счета через специализированные шлюзы. После кражи SIM-карта выбрасывалась, и найти злоумышленников было почти невозможно.

Небольшая сумма платежа, которую могли украсть злоумышленники у одного клиента, была связана с лимитами на сумму платежа, которые устанавливали сотовый оператор и банк.

Отличительной особенностью мошеннических платежей того времени было то, что злоумышленники всячески перестраховывались, и поэтому работали в системе ДБО через анонимные proxy-серверы, находящиеся в других странах. Такой поход являлся своеобразным организационным барьером, затрудняющим работу правоохранительных органов для проведения оперативно-розыскных мероприятий и поиска злоумышленника.

Однако эта особенность позволяла антифрод-системам просто и эффективно обнаруживать факт работы злоумышленника, а соответственно, предотвращать хищения средств.

Развитие мошенничества: воровство у юрлиц

Ограниченность функционала ДБО физических лиц не позволяла злоумышленникам воспользоваться всеми преимуществами дистанционного обслуживания, а именно, осуществлять платежи на большие суммы непосредственно на банковские карты. Поэтому, функционал специализированного программного обеспечения, с помощью которых похищались данные для аутентификации в ДБО, расширился новой возможностью – помимо логина и пароля, злоумышленники могли копировать файлы, содержащие ключи ЭЦП.

Как следствие этого, на рубеже 2007–2008 гг. начался взрывной рост мошенничества в ДБО юридических лиц.

Первые случаи хищения средств со счетов юридических лиц мало чем отличались от кражи в ДБО физических лиц – мошеннический платеж пополнял средства на мобильном телефоне, либо счета виртуальных кошельков электронных платежных систем (в основном "Яндекс.Деньги" и WebMoney). Первоначальные суммы, которые злоумышленники похищали со счетов юридических лиц, были незначительно больше аналогичных мошеннических платежей со счетов физических лиц.

В большинстве случаев злоумышленники, как и раньше, совершали мошеннический платеж с одного и того же компьютера, продолжая подключаться к ДБО через IP-адреса других стран, используя анонимные proxy-серверы.

Такие мошеннические платежи эффективно обнаруживались антифрод-системами: как правило, юридические лица редко осуществляют платеж в пользу электронных платежных систем либо пополняют счет на мобильном телефоне.

Кроме того, зафиксировав всплеск мошеннических платежей, большинство платежных систем, позволявших пополнить виртуальные кошельки банковским переводом, выставили собственные лимиты. Например, система "Яндекс.Деньги" в настоящий момент позволяет пополнять электронный кошелек платежным поручением на сумму не более 15 тыс. руб., что делает ее неудобной для вывода средств.

Автоматизация криминала

Прогресс развития вредоносного программного обеспечения, используемого злоумышленниками, предоставил возможность автоматизированной кражи секретной информации клиента, требуемой для входа и создания платежа в системе ДБО (т.е. логин, пароль, секретный ключ клиента, а также IP-адрес сервера ДБО, с которым работает клиент).

Вся собранная информация автоматически консолидировалась на центральном сервере, и злоумышленникам достаточно было последовательно заходить под собранными учетными записями клиентов и красть с их счетов средства.

Характерно, что такая автоматизация привела к некоторому "разделению труда": стали формироваться группы, специализирующиеся на получении данных для совершения преступления, и группы, специализирующиеся непосредственно на краже средств со счета клиента (используя данные, купленные на "черном рынке" у первой группы).

Одной из особенностей этого периода было то, что, несмотря на общий "почерк" мошеннических платежей у разных клиентов, в подавляющем числе случаев это была работа с разных "чистых" компьютеров. Можно предположить, что злоумышленники работали с виртуальных машин, каждый раз восстанавливая операционную систему из "чистого" образа (так, например, работает опция "Revert to snapshot when power off" в свойствах виртуальной машины VMWare). Скорее всего, это было сделано не с целью уничтожить какие-либо доказательства противоправной деятельности, а несовместимостью различных версий надстроек для браузеров, которые должны быть установлены для работы в системе ДБО.

Новый функционал вредоносного программного обеспечения позволил не только копировать содержимое секретных ключей, но и информацию о расположении соответствующих файлов на диске. Если ранее злоумышленнику приходилось сохранять файлы с ключами во временную папку на диске и перенастраивать клиентскую часть ДБО на новое местоположение файлов (что было одним из эффективных "сигнализаторов" для антифрод-системы о подозрительных действиях клиента), то теперь эти файлы стали автоматически помещаться в то же самое место на диске, которое использовалось на компьютере клиента. Даже если клиент хранил ключевые файлы на дискете (в операционной системе этот диск был виден как B:), то на компьютере злоумышленника эмулировался диск B:, на котором создавались аналогичные директории, и интерфейс ДБО не замечал подмены компьютера клиента.

Вы можете также ознакомиться с другими статьями из цикла "Мошенничество в ДБО":