CERT-UA та ЄMA. Протидія шахрайству в системах ДБО

CERT-UA та ЄMA

Українською міжбанківською Асоціацією членів платіжних систем ЄMA та Державним центром захисту інформаційно-телекомунікаційних систем Держспецзв’язку, на базі якого функціонує
CERT-UA, було підписано Меморандум про співпрацю, який дозволить формалізувати та покращити взаємодію державного та приватного секторів, спрямовану на протидію викраденню грошових коштів з рахунків фізичних та юридичних осіб України, організованого з використанням банківських троянських програм.

Передумовою підписання Меморандуму стала плідна співпраця щодо мінімізації ризику шахрайства в системах ДБО фізичних та юридичних осіб українських банків.

Фахівцями команди реагування на комп’ютерні надзвичайні події України CERT-UA, в рамках виявлення та ліквідації кіберзагроз в українському сегменті мережі Інтернет, протягом першого кварталу 2014 року були зафіксовані численні випадки розсилання електронних листів, начебто, від імені державних органів України (Міндоходів, Державної реєстраційної служби, НАК «Нафтогаз України» та ін.). Зазвичай, як додаток до цього електронного листа, надсилався файл MS Word, що містив програмний код «всередині» для атаки на обчислювальну систему (CVE-2010-3333, CVE-2012-0158). Під час відкриття файлу відбувалася експлуатація вразливості в програмному забезпеченні MS Word (якщо встановлена версія не була оновленою), а комп’ютер уражався шкідливою програмою (банківським трояном). Як було з’ясовано пізніше, всі уражені в подібний спосіб комп’ютери автоматично «долучалися» до складу бот-мережі, призначенням якої було — організація викрадення грошових коштів з систем дистанційного банківського обслуговування за посередництва шкідливої програми.

Результати досліджень цього інциденту надали CERT-UA змогу у середині квітня 2014 року ідентифікувати фактичне місцезнаходження серверу управління бот-мережею та на деякий час припинити її діяльність. Було з’ясовано, що за період з січня по квітень 2014 року ідентифікована бот-мережа налічувала 46234 уражених шкідливими програмами комп’ютерів (ботів), а в базі даних серверу управління бот-мережею було близько 40 000 000 одиниць скомпрометованих даних (сертифікат, логін/пароль, зображення з екрану). Також було з’ясовано, що, здебільшого, жертвами цієї «злочинної кампанії» були переважно громадяни України, адже більше 86 % уражених комп’ютерів знаходились в межах Українського Інтернету та належали бухгалтерам/керівникам українських підприємств (мал. 1).

Результати досліджень CERT-UA

Зважаючи на те, що загроза стосувалася безпосередньо фінансового сектору, CERT-UA спільно з Українською міжбанківською Асоціацією членів платіжних систем ЄMA (далі — ЄМА або Асоціація) розпочато спільний проект щодо ідентифікації скомпрометованих засобів обчислювальної техніки (комп’ютерів) та інформування відповідних кредитно-фінансових установ з метою подальшого вжиття необхідних заходів. Зважаючи на те, що такий формат взаємодії державного та приватного (банківського) секторів було запроваджено вперше, для відпрацювання механізму співпраці та обміну інформацією було обрано 9 банків.

Зазначена взаємодія включала в себе передачу, за координації ЄМА, початкової інформації щодо скомпрометованих комп’ютерів до відповідальних фахівців (переважно, служб безпеки) банків, які, в свою чергу, визначали клієнтів, чиї комп’ютери були уражені шкідливими програмами, та проводили профілактично-превентивну роботу.

Для підрахунку потенційних фінансових ризиків використовувались показники абсолютних або усереднених значень залишків грошових коштів на рахунках клієнтів на момент їхньої ідентифікації представниками служб безпеки банків.

Орієнтовна сума грошових коштів, які могли б бути викрадені з рахунків 1 657 «скомпрометованих» клієнтів склала приблизно 43 567 000 грн.

Зазначений формат взаємодії державного та приватного секторів позитивно вплинув на зменшення рівня можливого шахрайства в системах дистанційного банківського обслуговування.

Слід зазначити, що останнім часом все частіше ураження шкідливими програмами відбувається шляхом надсилання зловмисником на електронну пошту жертви (бухгалтера або керівника) листа, який складається таким чином, щоб отримувач без вагань відкрив його (тобто, застосовуються методи соціальної інженерії), а також містить або посилання на шкідливу програму, або додаток зі шкідливою програмою.

Після проведеного аналізу інциденту фахівцями CERT-UA було встановлено, що реалізації загрози також сприяє те, що, в першу чергу — керівники підприємств, а в другу чергу — відповідальні співробітники, нехтують елементарними правилами інформаційної безпеки, а саме:

— використовують неліцензійне програмне забезпечення (як операційні системи, так і, наприклад, офісні програми);

— не перевіряють джерела надходження інформації (наприклад, шляхом дзвінка відправнику та перевірки факту відправки ним електронного листа);

— не коректно використовують носії ключової інформації (наприклад, замість підключення USB-токена тільки для здійснення транзакції, підключають його до комп’ютера на весь робочий день);

— застосовують комп’ютери, на яких встановлені системи клієнт-банк, для ігор, доступу до Інтернету, перегляду новин, користування соціальними мережами тощо (натомість, такий комп’ютер має бути якого більше ізольованою автоматизованою системою).

Закликаємо керівників та відповідальних співробітників підприємств, установ і організацій України, у разі отримання підозрілого електронного листа та/або виявлення ознак нештатного поводження комп’ютера інформувати банк, послугами котрого ви користуєтесь, та CERT-UA.

З точки зору реагування на загрозу CERT-UA зацікавлена в отриманні:

— підозрілих електронних листів (в т.ч. вихідного коду електронного листа);

— додатків до підозрілих електронних листів (їх слід додавати до архіву з паролем та надсилати до CERT-UA)

Також рекомендуємо розглядати електронну пошту як одне з основних джерел загроз інформаційній безпеці, та вжити всіх необхідних заходів щодо мінімізації загрози. Наприклад, у разі отримання електронного листа від відправника не зі списку ваших контактів, не відкривати додатки та не переходити за посиланнями з листа, перевіряти достовірність відправника за допомогою телефонного контакту з відправником, та ін.

Меморандум CERT-UA та ЄМА

Вам также будет интересно:

Cashless Diges

Cashless Digest 15.08.2017

Веб-сервис Investigate-online: актуальная информация о платежных преступлениях для правоохрани...

No More Ransom: за год преступники «недополучили» 8 миллионов евро

Fraud News Digest

Fraud Digest 4.08.2017