Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

В режиме «Ожидание хакера»

Прочитали: 1090 Комментариев: 110 Рейтинг: 94

Мне, и не только мне, одна украинская «контора» предлагала взламывать банки (банковские сервисы) под видом работы. Так что такие подходы встречаются и даже оплачиваются по рыночным окладам.

https://habr.com/company/dsec/blog/214351

Перед нами – одна из нечастых новостей об ограблениях банков:

Киберпреступной группировке Cobalt удалось взломать автоматизированную банковскую систему (АБС) БЖФ и увеличить установленные лимиты. Киберпреступники вывели деньги через шлюзы на банковские карты, а затем обналичили их.

Взлом АБС стал возможен благодаря вредоносному ПО, отправленному злоумышленниками в фишинговом письме якобы от «Альфа-банка». В письме мнимые представители «Альфа-банка» хотели решить вопрос с идущими от БЖФ мошенническими транзакциями.

В письмах содержался эксплоит для уязвимости в продуктах Microsoft, использующийся для установки на атакуемый компьютер трояна Beacon. Этот троян предоставляет злоумышленникам удаленный доступ к взломанной системе.

https://www.securitylab.ru/news/495769.php

Но самое интересное, как всегда, осталось за кадром. Считаем должным предупредить: всё сказанное ниже является личным мнением автора выпуска!

Что такое АБС? Это автоматизированная банковская система – совокупность программного и аппаратного обеспечения для автоматизации всей деятельности банка. В частности, она обрабатывает все обращения клиентов. По сути, это – сердце банка.

Типичные функции основных функциональных модулей

Модуль расчетно-кассового обслуживания:

  • учет данных о клиентах банка, заключенных договорах банковского обслуживания, открытие и ведение расчетных и валютных счетов клиентов;
  • обработка банковских документов различных видов, в том числе платежных поручений в рублях и валюте, кассовых, конверсионных, мемориальных, внебалансовых и срочных документов;
  • проведение рублевых расчетов через расчетную сеть Банка России, валютных расчетов через сеть S. W. I. F. T.;
  • автоматизированное ведение картотек документов, в том числе внебалансовых картотек и карточек документов, поступивших на счета невыясненных сумм;
  • автоматический расчет и взимание комиссии за проведение операций;
  • формирование бухгалтерской отчетности в соответствии с требованиями Банка России.

Модуль учета кассовых операций:

  • учет наличных валютно-обменных операций в кассах банка;
  • автоматический учет бланков строгой отчетности (формы 0406007 и др.);
  • взаимодействие касс и хранилищ банка, учет наличных средств по рабочим местам кассиров.

Модуль учета клиентских конверсионных операций:

  • регистрация заявок клиентов по покупку-продажу валюты;
  • операции «обязательная продажа», «покупка-продажа за счет средств банка», «покупка-продажа на бирже».

http://eos.ibi.spb.ru/umk/5_12_11/5/5_R1_T2.html

И это может оказаться неполным перечнем.

Возвращаясь к атаке на банк, нужно отметить, что АБС бывают самописные (разработанные самим банком) и покупные. Единого стандарта для АБС не предусмотрено. А значит, схема «послал письмо – заразил АБС» не сработает. Хотя бы потому, что антивирусов в мире – не два и не три, и, посылая своего троянца «наудачу», хакер с высокой вероятностью нарвется на систему защиты, которая отреагирует на запуск неразрешенного ПО (если кто не знает, то в банке по требованиям ЦБ РФ нужно использовать два антивируса, причем разных).

А если мы хотим отдавать команды банковской системе, то нужно знать, какая именно АБС установлена в банке, какой версии, устанавливались ли на нее обновления и т. д. Довольно большой объем информации, которая на дороге не валяется.

ДБО — это системы дистанционного банковского обслуживания. И их разделяют — на физ. лиц и на юр. лиц. И у вторых в этих системах есть возможность — направлять документы в банк (любые!).

#drweb

Выглядит как-то так

Документ отправляется:

#drweb

Какой-нибудь наш документ после отправки

И приходит к оператору:

#drweb

У оператора специальное десктопное ПО для обработки подобных заявок

document.scr это исполняемый файл в формате Windows PE.

Он его открывает, и после этого на нашем счету 13 млрд рублей:

#drweb

Счет клиента, после того как оператор открыл вложение

Так как пентестеры знали архитектуру атакуемой системы, этот файл содержит механизм получения доступов и соединения с sql базой данных от имени оператора и с машины оператора, с последующим выполнением нужных sql запросов.

https://habr.com/company/dsec/blog/214351

Но это если известна конфигурация атакуемой системы… А если нет? Конечно, мы верим, что хакер, который обошел все системы защиты, даже не зная о них, начинает с зараженного компьютера исследовать, что за АБС использует банк, после чего находит в ней уязвимость и радостно начинает эксплуатировать!

Если речь от чистом взломе, то требуется много подготовительной работы. Нужно получить доступ к внутренней информации, найти слабые места в защите. В 95% случаев такие данные получают через инсайдерскую информацию или, как еще говорят, покупную уязвимость. В этом случае задействовано большое количество людей и подготовка требует времени и денег.

https://therunet.com/articles/21421

#взлом #ущерб #уязвимость #эксплойт #хакер #безопасность

Dr.Web рекомендует

Мы выяснили, что и пострадавший банк, и других зараженных объединяют низкий уровень информационной безопасности, отсутствие российских антивирусов, лицензионного ПО, обновлений.

https://www.plusworld.ru/daily/cat-security-and-id/hakery-cobalt...

Нет обновлений, нет лицензионного ПО... Сколько еще таких систем ждут своего хакера?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: