Разделы

Цифровизация ИТ в банках

Мошенничество в ДБО видоизменяется

Практически трехкратный прирост ущерба от мошенничества в ДБО в 2009 г. вынудил банковские организации создавать собственные внутренние подразделения по контролю транзакций. Тогда же стали разрабатываться первые автоматизированные системы мониторинга транзакций. Тема обсуждается в рамках цикла материалов, начатого со статьи «Мошенничество в ДБО: эволюция глазами экспертов».

Характерной особенностью мошеннических платежей 2009–2010 гг. была ярко выраженная поведенческая составляющая, которая также позволяла эффективно обнаруживать мошеннические платежи. Чтобы выиграть время и не дать возможности клиенту своевременно зафиксировать факт кражисо своего счета, после отправки мошеннического платежа в банк злоумышленники меняли пароль клиента. За время, которое клиент решал проблему с доступом в ДБО, мошеннический платеж исполнялся на стороне банка, а украденные средства снимались злоумышленником в банкомате.

В редких случаях, особенно когда была украдена значительная сумма, мошенники устраивали DDOS-атаку на сервера ДБО банка. С одной стороны, жертва больше не могла зайти на сервер ДБО и увидеть мошеннический платеж, чтобы предпринять какие-либо действия. С другой стороны, это действие вызывало фактическую недоступность телефонов технической поддержки (все клиенты в этот момент звонили в банк, чтобы узнать, когда заработает ДБО), и жертва, даже если она успела обнаружить мошеннический платеж, не могла дозвониться в банк и сообщить о случившемся.

Впрочем, волна DDOS-атак на российские банки продолжалась недолго. Очень быстро банки поняли, что если на сервер ДБО началась DDOS-атака, то нужно перепроверить все полученные платежи от клиентов и оперативно получить подтверждение у клиента по телефону.

Тактика меняется

Поэтому злоумышленники вскоре сменили тактику – после отправки мошеннического платежа, на компьютер клиента посылалась команда уничтожения содержимого жесткого диска. Так как в большинстве случаев клиенты работают с ДБО банка только с определенных компьютеров (особенно это характерно для небольших клиентов – юридических лиц), это позволяло злоумышленнику выиграть один–два дня и успеть обналичить украденные средства.

Большинство случаев массового мошенничества раннего периода совершалось с IP-адресов, принадлежащих либо интернет-провайдерам в другой стране, либо с IP-адресов сотовых операторов московского региона. Как уже было сказано ранее, это делалось с целью усложнить расследование преступления правоохранительными органами.

Довольно быстро большинство российских банков приспособилось ограничивать допустимый диапазон IP-адресов, с которых можно было работать в системе ДБО. Первоначально это делалось средствами межсетевого экрана на стороне банка (создавалось соответствующее правило, разрешающее подключится к серверу ДБО только с IP-адресов местных провайдеров), что могло вызывать определенное неудобство для некоторых "мобильных" клиентов, путешествующих как по РФ, так и за ее пределами. Однако, разработчики систем ДБО довольно быстро отреагировали на ситуацию с мошенничеством, выпустив новые версии, позволяющие банку более гибко ограничивать клиента, устанавливая ограничения по допустимым IP-адресам (а в некоторых случаях и по допустимым MAC-адресам) на уровне конкретного клиента.

Столкнувшись с ограничениями по допустимым IP-адресам, злоумышленники также сменили тактику – функционалвредоносного банковского программного обеспечения дополнился функцией прокси-сервера, позволяющего подключаться к серверу ДБО с IP-адреса зараженного компьютера, минуя какие-либо ограничения. Фильтрацию по MAC-адресу можно легко обойти, выставив вручную на сетевом интерфейсе то же значение MAC-адреса, которое указано в свойствах сетевого интерфейса компьютера клиента-жертвы.

Любопытно, что даже если компьютер клиента был выключен, злоумышленники могли подключиться к серверу ДБО с настроенной защитой. Каким образом? Так как большинство клиентов использует динамические IP-адреса в сети интернет, банки разрешали работу не с определенного IP-адреса, а со всего диапазона IP-адресов провайдера, которым пользуется клиент. Злоумышленникам ничего не оставалось, как искать другие зараженные компьютеры, работающие через того же провайдера, что и компьютер потенциальной жертвы. Как оказалось, это не составило большого труда – большая статистика по таким случаям показывает, что заражение специализированным трояном носило массовый характер.

Нюанс "толстого" клиента

В отличие от online-интерфейса клиента с ДБО (более известного как "интернет-клиент", или "тонкий" клиент), программное обеспечение типа "клиент-банк" позволяет создавать платежные поручения без подключения к серверу банка (такое программное обеспечение еще носит название "толстый" клиент ДБО). Исходя из специфики этого программного обеспечения, полностью создать идентичную конфигурацию компьютера потенциальной жертвы затруднительно – размер файлов, которые необходимо скопировать, довольно большой, и для копирования требуется значительное время.

В тех случаях, когда злоумышленникам все же удавалось скопировать "толстого" клиента, антифрод-системы могли с большой вероятностью обнаружить мошеннический платеж по нарушению сквозной нумерации платежных поручений. В "тонком" клиенте порядковый номер платежного поручения хранится и формируется на стороне сервера ДБО, и любое созданное злоумышленником платежное поручение будет всегда иметь корректный номер. В "толстом" клиенте этот номер хранится в конфигурационных файлах на компьютере клиента. Если злоумышленнику удалось скопировать файлы "толстого" клиента, то в промежуток времени между копированием конфигурационных файлов и созданием мошеннического платежа, клиент мог создать несколько своих документов, тем самым изменив следующий номер платежного поручения, которое ожидает банк.

Остановило ли это злоумышленников? Нет. Наступила… Эра мошеннических платежей, созданных непосредственно на компьютере клиента.

Евгений Царев, Артем Хафизов