технологический грабеж
13415
38
со счета компании по системе ДБО умники умыкнули деньги.
разборки с банком, провайдером, сисадмином, милицией, юристами и прочими продолжаются.
в сухом остатке пока следующее:
на компе обнаружен вирус/троян, с помощью которого скопировали логин, пароль и ключ ЭЦП. дальше все просто - дождавшись достаточной суммы, умники просто перечислили деньги на свой счет на расстояние нескольких часовых поясов.
все требования банка по хранению ключа ЭЦП были выполнены, как и прочие требования по неизменности конфигурации системы (нонсенс - обновления тоже нельзя устанавливать?!).
комп рабочий, никаких разлечений и посещений сайтов с сомнительным содержанием не было, квалификация сисадмина достаточная.
по некоторым слухам, случай далеко не единственный.
вывод - рискует каждый пользователь ДБО, включая частников.
и совет - защищайтесь по полной программе! антивирусов недостаточно.
разборки с банком, провайдером, сисадмином, милицией, юристами и прочими продолжаются.
в сухом остатке пока следующее:
на компе обнаружен вирус/троян, с помощью которого скопировали логин, пароль и ключ ЭЦП. дальше все просто - дождавшись достаточной суммы, умники просто перечислили деньги на свой счет на расстояние нескольких часовых поясов.
все требования банка по хранению ключа ЭЦП были выполнены, как и прочие требования по неизменности конфигурации системы (нонсенс - обновления тоже нельзя устанавливать?!).
комп рабочий, никаких разлечений и посещений сайтов с сомнительным содержанием не было, квалификация сисадмина достаточная.
по некоторым слухам, случай далеко не единственный.
вывод - рискует каждый пользователь ДБО, включая частников.
и совет - защищайтесь по полной программе! антивирусов недостаточно.
все требования банка по хранению ключа ЭЦП были выполненыРаз ключ Эцп хранился на жестком диске-значит не все требования банка выполнил.
вывод - рискует каждый пользователь ДБО, включая частников.
и совет - защищайтесь по полной программе! антивирусов недостаточно.
не надо фантазировать - ключ хранился на подготовленном банком сменном сменном носителе и никаких копий больше не существовало.
на компе обнаружен вирус/троян, с помощью которого скопировали логин, пароль и ключ ЭЦП.Ну вот про это и как раз написано в рекомендациях банков и систем дистанционного обслуживания, например:
----
и совет - защищайтесь по полной программе! антивирусов недостаточно.
-- Установить и своевременно обновлять на компьютере антивирусное ПО
-- При выходе в Интернет использовать сетевые экраны
-- Запретить в межсетевом экране соединение с интернет по протоколам ...
-- Не давать разрешения неизвестным программам выходить в интернет
И так далее.
не надо фантазировать - ключ хранился на подготовленном банком сменном сменном носителе и никаких копий больше не существовало.это дискета что ли)))
значит, Вам повезло с банком больше. у этого категорический запрет на внесение изменений в конфигурации ПО и, во-вторых, (и, как естественное следствие,) полное отсутствие каких-либо инструкций или рекомендаций вроде приведенных Вами, хотя даже сисадмина это озадачило с самого начала.
здесь можно долго смеяться - именно так!
Сейчас читают
Перерегистрация авто
87788
21
Куда идти учиться после школы? Оставаться в 9 или идти до 11?
271615
227
После отпуска осталась валюта. Куда деть?
189353
19
maxON1, ну Вы то в курсе, что большинство банков ключи выдают на дискетах.
Более простого и дешевого решения пока не найдено.
Более простого и дешевого решения пока не найдено.
Ну а если более серьёзно, то ищите у себя. Кто из сотрудников, имевших доступ к ключам, уволился в последнее время? После увольнения ключи, пароли конечно не менялись. Я ещё поверю, про украденные через интернет логин и пароль. Но файл с ключом?! 
Но файл с ключом?!К сожалению уже есть...
Поищите Trojan-Spy.Win32.Zbot.ikh
Крадет как раз ключи
Поищите Trojan-Spy.Win32.Zbot.ikhа коды не везде чтоли?
Крадет как раз ключи
в втб - на карточке пластиковой 100 шт кодов, и при переводе надо очередной код вписать.
они пронумерованы, и без них никак.
такой трояном не украдешь
с сотрудниками все в порядке, с доступом тоже порядок, ключ практически всегда в закрытом сейфе - ДБО установлена недавно и отношение к требованиям достаточно трепетное.
спецы (посторонние) обнаружили Crypt.XPACK.Gen
судя по функциям, наиболее подходящий инструмент для такой операции.
судя по функциям, наиболее подходящий инструмент для такой операции.
Вот плохо, что посторонние спецы "закладку" обнаружили. Антивирусов вообще, что ли нет? Сисадмина, айтишника тоже?
вот и ответ на Ваш вопрос, а вообще помимо штатных срдеств защиты СВТ с клиент банком можно же и периметр сетевой хоть как то защитить если уж не удается на эту СВТ установить межсетевой экран.
К сожалению отечественный дистанционный банкинг ещё не слишком повзрослел и пока мало заботится о безопасности, что, будучи помноженным на отвратительное отношение к безопасности самих клиентов (Windows, без качественных обновляемых антивирусов, использование незащищённых носителей ЭЦП) приводит к тому, что преступления в сфере "высоких технологий" у нас пока будут только увеличиваться в банковской среде.
Хацкеры и другие нехорошие люди всегда идут на шаг вперед разработчиков защиты, такова селяви.
Но троян, крадущий prv_key.pfx известен уже скоро как год наверное. А пароль он снимает записывая нажатия клавиш.
Стоит подумать об аппаратной защите, например все та же фактура внедрила ключи на смарт-карте, которые обычным способом не считать. Впрочем это пока только пока.
Но троян, крадущий prv_key.pfx известен уже скоро как год наверное. А пароль он снимает записывая нажатия клавиш.
Стоит подумать об аппаратной защите, например все та же фактура внедрила ключи на смарт-карте, которые обычным способом не считать. Впрочем это пока только пока.
Тот самый троян, о котором вы говорите, действительно уже почти год как определяется всем более-менее приличными антивирусами. Иметь же приличный антивирус на платформе Windows - жизненная необходимость, если компьютер используется не для одних только для игр.
и всем
верно, банки интересуют только деньги клиентов, а остальные проблемы их не касаются.
продолжение разбора открыло новые потрясающие обстоятельства происшествия.
1 банк признал (устно) несовершенство договора и тоже переложил этот баг на плечи клиента - "а зачем Вы подписывали этот договор?" здорово!
2 банк так и не указал пункты договора, нарушенные клиентом.
3 спецы из арниса реконструировали сценарий происшествия - хакерские технологии на недосягаемой высоте и рядовому пользователю ДБО им не противостоять.
4 из разных источников информации стало известно, что такие происшествия в РФ продолжаются более года
5 и самое потрясающее - на протяжении последних двух лет ЦБ РФ издал несколько писем с рекомендациями банкам, что НЕОБХОДИМО ПРЕДПРИНИМАТЬ ДЛЯ ЗАЩИТЫ КЛИЕНТА ДБО. думаете, что-то было выполнено?
большинство банков ограничиваются собственной юридической защитой (в смысле переваливания ответственности), в то время, как хакеры вовсю используют неграмотность пользователей рунета в вопросах безопасности, поэтому отвлекитесь на минуту и подумайте, а ВЫ ДЕЙСТВИТЕЛЬНО УВЕРЕНЫ, что в эту минуту никто не следит за нажатиями Вами клавиш?
я в этом сомневаюсь.
верно, банки интересуют только деньги клиентов, а остальные проблемы их не касаются.
продолжение разбора открыло новые потрясающие обстоятельства происшествия.
1 банк признал (устно) несовершенство договора и тоже переложил этот баг на плечи клиента - "а зачем Вы подписывали этот договор?" здорово!
2 банк так и не указал пункты договора, нарушенные клиентом.
3 спецы из арниса реконструировали сценарий происшествия - хакерские технологии на недосягаемой высоте и рядовому пользователю ДБО им не противостоять.
4 из разных источников информации стало известно, что такие происшествия в РФ продолжаются более года
5 и самое потрясающее - на протяжении последних двух лет ЦБ РФ издал несколько писем с рекомендациями банкам, что НЕОБХОДИМО ПРЕДПРИНИМАТЬ ДЛЯ ЗАЩИТЫ КЛИЕНТА ДБО. думаете, что-то было выполнено?
большинство банков ограничиваются собственной юридической защитой (в смысле переваливания ответственности), в то время, как хакеры вовсю используют неграмотность пользователей рунета в вопросах безопасности, поэтому отвлекитесь на минуту и подумайте, а ВЫ ДЕЙСТВИТЕЛЬНО УВЕРЕНЫ, что в эту минуту никто не следит за нажатиями Вами клавиш?
я в этом сомневаюсь.
увы, наличия антивируса и файервола недостаточно, к тому же, повторю, хакеры хорошо осведомлены, что ПДД в рунете нет и грамотность публики в вопросах безопасности нулевая, а также беспощадно используют методы социальной инженерии для внедрения заразы в компы, представляющие для них интерес.
это касается и физических лиц.
это касается и физических лиц.
Мне не совсем понятно, чем банки или кто-либо ещё виноват в том, что сейчас считается, что кухарка может управлять государством, а человек абсолютно ничего не сведущий в ИТ и ИБ работать с системами, которые оперируют реальными деньгами.
Это оборотная сторона "компьютера в каждый дом".
Всё, что может сделать банк - ужесточить условия договора и заставить клиента использовать аппаратные средства защиты. Но при этом половина клиентов возмутится и уйдёт в банк, где никто не заставляет внедрять неудобные и дорогие технологии, не так ли?
Это оборотная сторона "компьютера в каждый дом".
Всё, что может сделать банк - ужесточить условия договора и заставить клиента использовать аппаратные средства защиты. Но при этом половина клиентов возмутится и уйдёт в банк, где никто не заставляет внедрять неудобные и дорогие технологии, не так ли?
именно о таком банке и идет речь! и о последствиях такого выбора.
Ну вот и расскажите нам какой у Вас стоял файрвол, и какой антивирус? Которых оказалось недостаточно.
увы, наличия антивируса и файервола недостаточноНу вот, вы это поняли, правда, не бесплатно. Но так уж принято - человек хорошо усваивает лишь собственные ошибки. Т.е., исходя из известной поговорки, - любой человек все же дурак
А знаете, сколько людей даже не задумываются о безопасности? Причем зачастую директора, т.е. кровно заинтересованные в сохранении своих денег 
хорошо осведомлены ... а также беспощадно используютДык а что бы не использовать? Напрашивается аналогия с впариванием БАДов и "супер-мед-техники".
верно, банки интересуют только деньги клиентов, а остальные проблемы их не касаются.логично - это же банк, а не мясоконсервный комбинат
(шучу)3 спецы из арниса реконструировали сценарий происшествия - хакерские технологии на недосягаемой высоте и рядовому пользователю ДБО им не противостоять.логично. в штате должен быть сведущий специалист, смотрящий за компом, с которого уходят сотни тыщ
4 из разных источников информации стало известно, что такие происшествия в РФ продолжаются более годаворовство - вторая по древности профессия, после проституции
5 и самое потрясающее - на протяжении последних двух лет ЦБ РФ издал несколько писем с рекомендациями банкам, что НЕОБХОДИМО ПРЕДПРИНИМАТЬ ДЛЯ ЗАЩИТЫ КЛИЕНТА ДБО. думаете, что-то было выполнено?вот тут пожалуйста поподробнее можно?
инфа о письмах ЦБ не носит секретный гриф. хотя бы пару-тройку номеров и дат?большинство банков ограничиваются собственной юридической защитой (в смысле переваливания ответственности), в то время, как хакеры вовсю используют неграмотность пользователей рунета в вопросах безопасности, поэтому отвлекитесь на минуту и подумайте, а ВЫ ДЕЙСТВИТЕЛЬНО УВЕРЕНЫ, что в эту минуту никто не следит за нажатиями Вами клавиш?Кто пустил неграмотного пользователя рунета за штурвал кассы? Нереклама - цена вопроса грамотно настроенного КИС - рубль в год (цена лицензии). Немного по сравнению с потенциальным уводом тыщ 300-500 кровных?
я в этом сомневаюсь.
РезумЭ: деньги у клиента увели, потому что он это позволил сделать. Или предлагаете банку возместить вашу потерю?
Metal kыnG
veteran
Ну вот и расскажите нам какой у Вас стоял файрвол, и какой антивирус? Которых оказалось недостаточно.немного в теме именно по троянам. Там такая технология разработки что антивирусы для серьезного проекта практически бесполезны.
Обмен идет по http протоколу (закрытие портов не поможет особо).
Троян как правило написан на рутките - соответственно перехватывает траффик и системные события на достаточно низком уровне (в моем случае разбиралась работа конкретного сайта - для протоколирования логинов/паролей).
Постоянно мониторятся антивирусы и на трояны накатывается обновление. Т.е. если тот же касперский нашел вирус - выпустили обновление антивируса - через несколько часов уже накатывается устойчивое от антивирусов обновление на троян.
У хорошего трояна модуль решающий какуюто задачу накатывается непосредственно перед работой а потом по достижении цели сносится. А такой циклически спящий режим значительно усложняет жизнь антивирусным конторам.
Hokum
veteran
не соглашусь. Описанная ситуация ближе к "ручному" взлому, а не к работе трояном "по площадям". В режиме массового заражения все действия по модификации внедрённого модуля быстро оказывается под анализом благодаря ханипотам антивирусных компаний, и, соответственно, реакция будет очень оперативной.
Однако, рациональное зерно тут есть, действительно, против "ручного" взлома антивирус чаще всего бессилен. Но вот порты блокировать очень даже можно, как и просто соблюдать режим безопасного использования оборудования, которое работает с реальными деньгами.
Но это надо осознавать. Сегодня информационная безопасность требует внимания как и безопасность "физическая", но не все это понимают.
Однако, рациональное зерно тут есть, действительно, против "ручного" взлома антивирус чаще всего бессилен. Но вот порты блокировать очень даже можно, как и просто соблюдать режим безопасного использования оборудования, которое работает с реальными деньгами.
Но это надо осознавать. Сегодня информационная безопасность требует внимания как и безопасность "физическая", но не все это понимают.
так что же делать простым пользователям удаленного доступа у которых нет возможности содержать ИТ специалиста?
Вот банки стали предлагать ключи на смарт картах и дополнительно одноразовые пароли. Это поможет обеспечить безопасность? Смарт карту я бы пережил , а вот под каждый платеж вводить пароль с мобильника совсем не удобно.
Есть уд. доступ в другом банке. Там скретч карта + флешка. Кто что думает о таком варианте? Какой безопасней (при условии что они у меня не валяются у всех на виду)?
Вот банки стали предлагать ключи на смарт картах и дополнительно одноразовые пароли. Это поможет обеспечить безопасность? Смарт карту я бы пережил , а вот под каждый платеж вводить пароль с мобильника совсем не удобно.
Есть уд. доступ в другом банке. Там скретч карта + флешка. Кто что думает о таком варианте? Какой безопасней (при условии что они у меня не валяются у всех на виду)?
Для интернет-банка сейчас защищённый носитель ключа - жизненная необходимость.
Далее, любое усложнение цепочки подписи документа дополнительными подтверждениями, будь то карточки с кодами или же смс пароли повышает безопасность. Из той же оперы и ограничения списка ip адресов, с которых можно заходить. Ну и элементарщину в виде антивирусов и запрету на нецелевое использование рабочего ПК забывать не следует.
Наконец, просто внимательность, регулярный контроль выписки, журнала посещения системы и, возможно, лимиты на платёжные документы также будут снижать риски.
Но так или иначе надо понимать, что все эти системы - компромисс между удобством и безопасностью. В конце концов бумажные документы до сих пор проще подделать, чем электронные.
Далее, любое усложнение цепочки подписи документа дополнительными подтверждениями, будь то карточки с кодами или же смс пароли повышает безопасность. Из той же оперы и ограничения списка ip адресов, с которых можно заходить. Ну и элементарщину в виде антивирусов и запрету на нецелевое использование рабочего ПК забывать не следует.
Наконец, просто внимательность, регулярный контроль выписки, журнала посещения системы и, возможно, лимиты на платёжные документы также будут снижать риски.
Но так или иначе надо понимать, что все эти системы - компромисс между удобством и безопасностью. В конце концов бумажные документы до сих пор проще подделать, чем электронные.
согласен.но не представляю бухгалтера компании отправляюшего например 20 платежек в день и подтверждающих их кодом с мобилы.ужаснах
Двадцать это не смертельно, при нормально работающем сервисе. Тем более, что если отправляет одним пакетом, то и подтверждение может быть одно на все.
может быть, но как возрастает роль мобилы у буха.
Его уже дома без кары за это не забудешь.
Его уже дома без кары за это не забудешь.
Ради такого дела можно и отдельную мобилу завести, хранить в офисе, в сейфе
Кто пустил неграмотного пользователя рунета за штурвал кассы? Нереклама - цена вопроса грамотно настроенного КИС - рубль в год (цена лицензии). Немного по сравнению с потенциальным уводом тыщ 300-500 кровных?1 помимо технических средств и тонких настроек системы умники, как уже я говорил, учитывают неграмотность публики в вопросах организации ИБ.
РезумЭ: деньги у клиента увели, потому что он это позволил сделать.
2 поголовная инетизация предпринимательства и мало-мальски просвещенного любителя инета - кухарка у руля, как датский пивник.
и все как дети, не представляющие всех опасностей любого нового начинания.
вопрос останется открытым, пока не будет общих инет-ПДД или банки не разработают их подобие.
по поводу заражения - почему-то из возможных вариантов компрометации ключа выпал ИТ-технологический с засаженным трояном/руткитом независимо от ручного или иного способа.
по технологии.
умники, видимо, мониторили работу ДБО и процесс обнуления счета был запущен в наиболее удачный для этого (для них) момент.
противоядие, видимо, пока одно - применение т.н. двухфакторной авторизации, т.е. комбинацией электронных и технических средств, будь то токены, карты, или таблицы обноразовых паролей в довесок к традиционным логинам, паролям и ЭЦП.
ну и клиентам задуматься, что любое технологическое достижение всегда спровождается рядом непревиденных обстоятельств, и, в частности, вопрос о надежности/защищенности/безопасности вначале обычно остается за кадром.
нобель, эйнштейн и тесла - не у всех хватило мужества похоронить свое чудовище.
наверняка, еще не раз придется вспомнить о детище МО США.
по технологии.
умники, видимо, мониторили работу ДБО и процесс обнуления счета был запущен в наиболее удачный для этого (для них) момент.
противоядие, видимо, пока одно - применение т.н. двухфакторной авторизации, т.е. комбинацией электронных и технических средств, будь то токены, карты, или таблицы обноразовых паролей в довесок к традиционным логинам, паролям и ЭЦП.
ну и клиентам задуматься, что любое технологическое достижение всегда спровождается рядом непревиденных обстоятельств, и, в частности, вопрос о надежности/защищенности/безопасности вначале обычно остается за кадром.
нобель, эйнштейн и тесла - не у всех хватило мужества похоронить свое чудовище.
наверняка, еще не раз придется вспомнить о детище МО США.
Вариант защиты для пользователя.
Недорогой маршрутизатор с NAT
компьютер пользователя с ОС Linux, на худой конец с Windows.
На нем стоит виртуальная машина с "голой" Windows только с IE и с фаерволом и антивирусом, настроенным на максимальную защиту.
Там же где-нибудь на виртуальном диске спрятаны ключи.
Используется эта машина только для работы с банком, никаких других приложений не запускается.
Для ввода паролей используется виртуальная клавиатура (мышкой нажимаем кнопки на экране).
Хаккеру придётся сложно. Троян руками пользователя не поставить, по сети если удасться сломать маршрутизатор и комп пользователя можно лишь утащить виртуальный диск размером несколько гигов, что незаметно сделать сложно. А перехватить пароль будет совсем сложно.
Недорогой маршрутизатор с NAT
компьютер пользователя с ОС Linux, на худой конец с Windows.
На нем стоит виртуальная машина с "голой" Windows только с IE и с фаерволом и антивирусом, настроенным на максимальную защиту.
Там же где-нибудь на виртуальном диске спрятаны ключи.
Используется эта машина только для работы с банком, никаких других приложений не запускается.
Для ввода паролей используется виртуальная клавиатура (мышкой нажимаем кнопки на экране).
Хаккеру придётся сложно. Троян руками пользователя не поставить, по сети если удасться сломать маршрутизатор и комп пользователя можно лишь утащить виртуальный диск размером несколько гигов, что незаметно сделать сложно. А перехватить пароль будет совсем сложно.
Вариантов на самом деле много.
Основная проблема - "пробить" непонимание наличия проблемы ИБ у типичного юр или физ лица, которое видит во всём этом лишь трату времени и денег. Конечно, после первого же инцидента сознание меняется, но...
Основная проблема - "пробить" непонимание наличия проблемы ИБ у типичного юр или физ лица, которое видит во всём этом лишь трату времени и денег. Конечно, после первого же инцидента сознание меняется, но...
пока гром не грянет - мужик не перекрестится ТОП 5
1
2
3
4