Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

В режиме «Ожидание хакера»

Прочитали: 6484 Комментариев: 106 Рейтинг: 107

15 октября 2018

Мне, и не только мне, одна украинская «контора» предлагала взламывать банки (банковские сервисы) под видом работы. Так что такие подходы встречаются и даже оплачиваются по рыночным окладам.

https://habr.com/company/dsec/blog/214351

Перед нами – одна из нечастых новостей об ограблениях банков:

Киберпреступной группировке Cobalt удалось взломать автоматизированную банковскую систему (АБС) БЖФ и увеличить установленные лимиты. Киберпреступники вывели деньги через шлюзы на банковские карты, а затем обналичили их.

Взлом АБС стал возможен благодаря вредоносному ПО, отправленному злоумышленниками в фишинговом письме якобы от «Альфа-банка». В письме мнимые представители «Альфа-банка» хотели решить вопрос с идущими от БЖФ мошенническими транзакциями.

В письмах содержался эксплоит для уязвимости в продуктах Microsoft, использующийся для установки на атакуемый компьютер трояна Beacon. Этот троян предоставляет злоумышленникам удаленный доступ к взломанной системе.

https://www.securitylab.ru/news/495769.php

Но самое интересное, как всегда, осталось за кадром. Считаем должным предупредить: всё сказанное ниже является личным мнением автора выпуска!

Что такое АБС? Это автоматизированная банковская система – совокупность программного и аппаратного обеспечения для автоматизации всей деятельности банка. В частности, она обрабатывает все обращения клиентов. По сути, это – сердце банка.

Типичные функции основных функциональных модулей

Модуль расчетно-кассового обслуживания:

  • учет данных о клиентах банка, заключенных договорах банковского обслуживания, открытие и ведение расчетных и валютных счетов клиентов;
  • обработка банковских документов различных видов, в том числе платежных поручений в рублях и валюте, кассовых, конверсионных, мемориальных, внебалансовых и срочных документов;
  • проведение рублевых расчетов через расчетную сеть Банка России, валютных расчетов через сеть S. W. I. F. T.;
  • автоматизированное ведение картотек документов, в том числе внебалансовых картотек и карточек документов, поступивших на счета невыясненных сумм;
  • автоматический расчет и взимание комиссии за проведение операций;
  • формирование бухгалтерской отчетности в соответствии с требованиями Банка России.

Модуль учета кассовых операций:

  • учет наличных валютно-обменных операций в кассах банка;
  • автоматический учет бланков строгой отчетности (формы 0406007 и др.);
  • взаимодействие касс и хранилищ банка, учет наличных средств по рабочим местам кассиров.

Модуль учета клиентских конверсионных операций:

  • регистрация заявок клиентов по покупку-продажу валюты;
  • операции «обязательная продажа», «покупка-продажа за счет средств банка», «покупка-продажа на бирже».

http://eos.ibi.spb.ru/umk/5_12_11/5/5_R1_T2.html

И это может оказаться неполным перечнем.

Возвращаясь к атаке на банк, нужно отметить, что АБС бывают самописные (разработанные самим банком) и покупные. Единого стандарта для АБС не предусмотрено. А значит, схема «послал письмо – заразил АБС» не сработает. Хотя бы потому, что антивирусов в мире – не два и не три, и, посылая своего троянца «наудачу», хакер с высокой вероятностью нарвется на систему защиты, которая отреагирует на запуск неразрешенного ПО (если кто не знает, то в банке по требованиям ЦБ РФ нужно использовать два антивируса, причем разных).

А если мы хотим отдавать команды банковской системе, то нужно знать, какая именно АБС установлена в банке, какой версии, устанавливались ли на нее обновления и т. д. Довольно большой объем информации, которая на дороге не валяется.

ДБО — это системы дистанционного банковского обслуживания. И их разделяют — на физ. лиц и на юр. лиц. И у вторых в этих системах есть возможность — направлять документы в банк (любые!).

#drweb

Выглядит как-то так

Документ отправляется:

#drweb

Какой-нибудь наш документ после отправки

И приходит к оператору:

#drweb

У оператора специальное десктопное ПО для обработки подобных заявок

document.scr это исполняемый файл в формате Windows PE.

Он его открывает, и после этого на нашем счету 13 млрд рублей:

#drweb

Счет клиента, после того как оператор открыл вложение

Так как пентестеры знали архитектуру атакуемой системы, этот файл содержит механизм получения доступов и соединения с sql базой данных от имени оператора и с машины оператора, с последующим выполнением нужных sql запросов.

https://habr.com/company/dsec/blog/214351

Но это если известна конфигурация атакуемой системы… А если нет? Конечно, мы верим, что хакер, который обошел все системы защиты, даже не зная о них, начинает с зараженного компьютера исследовать, что за АБС использует банк, после чего находит в ней уязвимость и радостно начинает эксплуатировать!

Если речь от чистом взломе, то требуется много подготовительной работы. Нужно получить доступ к внутренней информации, найти слабые места в защите. В 95% случаев такие данные получают через инсайдерскую информацию или, как еще говорят, покупную уязвимость. В этом случае задействовано большое количество людей и подготовка требует времени и денег.

https://therunet.com/articles/21421

#взлом #ущерб #уязвимость #эксплойт #хакер #безопасность

Антивирусная правДА! рекомендует

Мы выяснили, что и пострадавший банк, и других зараженных объединяют низкий уровень информационной безопасности, отсутствие российских антивирусов, лицензионного ПО, обновлений.

https://www.plusworld.ru/daily/cat-security-and-id/hakery-cobalt...

Нет обновлений, нет лицензионного ПО... Сколько еще таких систем ждут своего хакера?

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: