+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Хакеры без труда взламывают счета клиентов крупнейших банков

Хакеры без труда взламывают счета клиентов крупнейших банков | О банках и финансах

Хакеры без труда взламывают счета клиентов крупнейших банков

Хакеры – банковская угроза! Взлом банков хакерами

Небольшой бизнес необходимо оберегать от хакеров и пользоваться интернетом с целью банковских операций максимально с опаской. Подобно бессчётным малым предпринимателям, Майк и Марша Шеймс-Йекел не удосужились поделить счета в банке на два – коммерческий и персональный.

Прошел год с того времени, как они начали пользоваться онлайн-банкингом и это их погубило. С их квитанции были «уведены» 27 тысяч долларов в малоизвестном направлении. Не забывайте, стоит лишь вам стать объектом воров в сети, риск утратить «родные» весьма велик.

Пять способов самозащиты

Безопасность денежных вложений стоит во главе угла борьбы с хакерами. Банки выделяют огромные средства на то, дабы их клиенты имели возможность нормально доверить им собственные деньги . Но тут все идет способом постоянной борьбы умов. Стоит лишь придумать на первый взгляд красивую защиту, как отыщется юный гений, талантливый её хитроумно обойти.

Директор SecureWorks, компании, чьей задачей есть расследование правонарушений в сфере финансов, говорит «на данный момент у преступников не следует задачи взломать множество квитанций для 10 долларов с каждого.

 На сегодня преследуются иные цели».

 В соответствии с закону Соединенных Штатов, при утери финансов физическими лицами все издержки возлагаются на банк, но юридическим лицам (коммерческим потребителям) возврат средств не производится.

Простые люди в этом случае приобретают больше пользы от общения с банком. Но нужно учесть, что небольшой бизнес строится на труде частных предпринимателей. Бывают обстановке деловых счётов и смешения частных, как в вышеупомянутом случае с женами Шеймс-Йекел.

На данный момент проходит судебное дело данной пары с банком.

Бухгалтерские услуги, предоставляемые данной супружеской парой, основаны на работе в собственном чикагском доме. На протяжении работы они взяли нужный кредит от Citizens Financial Bank, а после этого совместили его со своим деловым счетом.

Зимний период 2007-го года интернет-воры смогли вскрыть данный счет и перевести 26,5 тысяч долларов на гавайский счет компании JV Financial – очевидно, вымышленный. Прошло 10 дней и жены осознали, что их финансы были уже в австрийском банке. Последний, очевидно, воспрепятствовал их возвращению.

 В случае если разглядеть обстановку в целом, то остается тайной, как банк не смог выявить мошенников, если они пробрались через другой IP-адрес, а им пара не пользовалась ни при каких обстоятельствах. Потом, направляться кроме этого поразмыслить, откуда у хакеров были логин и пароль.

Как вариант, возможно применять письмо с вирусом либо перехватить не зашифрованные эти, исходящие по беспроводной сети. Такая информация востребован, её перепродают лучшему клиенту – в большинстве случаев из Восточной Европы. Наряду с этим, до сих пор остается не ясным при четы Шеймс-Йекел, кто будет восполнять утраты, они либо банк.

История завязалась плачевная. Банк, следуя примеру собственных собратьев, объявил, что супругам направляться получить функции по погашению похищенной суммы, в виду разновидности кражи, которая была произведена с их счета.

По окончании отказа возмещать убытки, Citizens направил все данные в агентство по кредитным историям, где эта пара была представлена как неплательщики.

А спустя полгода по окончании вышеописанного мошенничества, банк начал угрожать лишением права выкупа закладного имущества – дома супругов.

 В соответствии с распоряжению федерального суда, данное судебное дело возможно совершено и потом, ввиду наличия личного счета.

 Но это был не столь далекий, 2007-ой год.

С течением времени интернет-воры вышли на новую ступень развития. на данный момент целью мошенников стали сайты, владеющие многоуровневой структурой, на каковые подсаживается вирус типа троян. Простой пользователь, посмотрев, допустим, на страничку погоды либо новостей, разрешает вирусу поселиться на его машине.

Затем преступники отслеживают все

действия человека и ожидают, в то время, когда он воспользуется онлайн-банкингом. «Троянец» сохраняет в собственной памяти комбинацию надавленных клавиш, считывает так логин и пароль, а после этого пересылает интернет-ворам. Это и разрешает им без неприятностей перевести финансы с одного счета на другой прямо из-под носа у ничего не подозревающих работников банка.

Но и банки не спят. на данный момент отслеживание подлинных хозяев квитанций является следствием считывания IP-адресов. Но и тут преступники умудряются уводить необходимые адреса. Всё происходит по принципу обращения в техподдержку.

Один парни и звонок из «помощи» начинают управление вашим металлическим втором на расстоянии.

Вышеописанные техники дают нам представление о том, как, например, компания Unique Industrial Product Co, утратила 200 тысяч долларов.

Comercia, банк несущий ответственность за счета компании, не заподозрил подвоха, в то время, когда интернет-воры показали интерес к деньгам данной компании.

 Громадным сюрпризом стало для денежного инспектора Unique Industrial, в то время, когда на следующее утро он взял целых ворох факсов из банка, где стояло подтверждение переводов в целом на 1 200 000 долларов.

Наряду с этим, часть из них имела адресатом страны наподобие Украины.

Преступники замечательно совершили работы по подготовке. Трансферты были организованы под конец рабочего дня; большая часть переводов не превышала сумму в 10 тысяч, что позволяет не позвать внимания банка.

В конечном итоге, банку было нужно вернуть 1 миллион долларов компании. Последняя сама компенсировала нехватающую сумму. Генеральный директор компании заявляет, что они проводили переговоры с банком, относительно ответчика по этому делу и узнали ответ, что виновна сама компания, потому, что не позаботилась о достаточной защите собственных компьютеров.

Все это не нонсенс. Подобные случаи достаточно распространены. Миссурийский банк, имя которого мы не можем упомянуть, говорит о двух коммерческих жертвах русских хакеров.

Из них, одна компания понесла убытки в 142 тысячи, возвратив только 107 тысяч.

Вторая компания по постройке, лишилась 50 тысяч и это на протяжении предпринятой акции по похищению в размере 115 тысяч.

Представитель банка бескомпромиссен в собственных словах – «В то время, когда взламываются компьютеры клиента, важный плательщик сама коммерческая структура».

 Возможно ли с уверенностью утверждать, что технологическое оснащение на высоком уровне это выход из неприятности? Жены Шеймс-Йекел считают, что выход.

В соответствии с апелляционному иску пары, банк обязан был выдать им электронный ключ.

Подобные приспособления позволяют клиентам оперировать квитанциями, применяя особенные неповторимые пароли, смена которых происходит каждые пара секунд либо мин.. А представитель SecureWorks на это отвечает, что русские хакеры в далеком прошлом создали новый вирус, талантливый инсталлировать код передающий мгновенные сообщения.

По окончании ввода собственного неповторимого ключа пользователем, этот вирус отсылает его ворам, а те со своей стороны нормально входят в совокупность, задерживая сообщение подлинного хозяина. Настоящий клиент может только выяснить, что происходит притормаживание связи, а средства в итоге улетают в небытие.

И имеется ответ! Для подтверждения переводов возможно применять мобильные телефоны, как звонки, так и SMS. Но, на сегодня только малая часть банков, около 10 процентов, применяет эту возможность.

 Все упирается в затраты, опасение лишних затруднений для клиентов, и недостаточная апробация всей совокупности – в соответствии с заявлению юриста по банковским делам Джозефа Йесутиса.

Кроме этого, возможно проводить счета конкретно при очной ставке с клиентом, обладателем счета. Но тут снова, к примеру, Citibank может дать подобный сервис, а Bank of America – нет. Причем оба банка не применяют совокупность сообщений по SMS.

© Сергей, TimesNet.ru

29 марта 2013 года, в рубрике «Всё про банки »

Источник: timesnet.ru

Подборка статей, которая Вас должна заинтересовать:

Источник: http://kapitalbank.ru/hakery-bez-truda-vzlamyvajut-scheta-klientov/

Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ тематических ссылок про взломы банков

Хакеры без труда взламывают счета клиентов крупнейших банков

12.10.2018

О чем исследование

При подготовке материалов для следующих статьей набралась довольно обширная коллекция ссылок на темы:

  • хакерских атак на банки,
  • технического анализа банковских взломов,
  • обзора типовых уязвимостей в банковских сетях,
  • судебной практики,
  • аналитики, прогнозов и других статей по банковской безопасности.

В какой-то момент времени количество подобранных материалов переросло в качество, так что данная подборка может заинтересовать уже сама по себе.

2015

1. “Хакеры из Горного Алтая украли из банка десятки миллионов”, –altapress.ru, 2015
2. “Хакерам из Москвы грозит по 10 лет за хищение 20 млн у банка”, – sobesednik.ru, 2015

2016

3. “Хакеры украли у четырёх банков миллиард рублей с помощью бота”, – Life.ru, 2016 4. Сюжет: «Кража из Русского международного банка (РМБ)»

а) “С корсчета в ЦБ хакеры похитили свыше полумиллиарда рублей», — interfax.ru, 2016

б) “Русский международный банк назвал сумму похищенных хакерами средств”, — rbc.ru, 2016 5. Сюжет: «Кража из Металлинвестбанка»

а) “Хакеры вывели 677 млн руб. со счетов Металлинвестбанка”, – rbc.ru, 2016

б) “Из-за хакерской атаки Металлинвестбанк потерял 200 млн рублей”, — ria.ru, 2016
в) “Пресс-релиз Металлинвестбанка по факту кражи”, — metallinvestbank.ru, 2016
г) “Ограбление по-хакерски”, — kommersant.ru, 2017
6. “АБС не сработала”, – kommersant.ru, 2016
7. “Хакеры украли у банков почти 2 млрд руб. с помощью «писем от ЦБ” – RBC.ru, 2016
8. “Миллион за пару минут. Как хакеры грабят банки по всему миру”, — 21.by, 2016
9. “В Свердловской области перед судом предстанут «хакеры», обвиняемые в хищении более 2,6 млн рублей со счетов банков в различных регионах страны”, — Генеральная Прокуратура РФ, 2016 10. Сюжет: Хакерская группа Lurk

а) “Банковский троянец Lurk: специально для России”, — Securelist.ru, 2016

б) “Сотрудники МВД России и ФСБ России задержали интернет-хакеров”, — МВД России, 2016
в) “Охота на Lurk”, — Securelist.ru, 2016
11. “Суд взыскал 470 млн рублей с процессинговой компании UCS”, — vedomosti.ru, 2016

2017

12. “От Юты до Енисея: хакеры атакуют банки США и России”, — Газета.ru, 2017
13. “Group-IB оценила масштаб деятельности русскоязычных хакеров MoneyTaker”, — rbc.ru,2017
14. “Сооснователь Group-IB рассказал о совершивших кибератаку на банки России”, — rbc.ru, 2017 15. Сюжет: „Кража из банка “Глобэкс»

а) “Хакеры прибежали на SWIFT”, — kommersant.ru, 2017

б) “Хакеры пришли в “Глобэкс”, — kommersant.ru, 2017
в) “Хакеры украли из дочернего банка ВЭБа $1 млн”, — vedomosti.ru, 2017
16. “Хакерские атаки собрали в группировку”, — Коммерсант.ru, 2017
17. “Digital Security опровергает связь участника Zeronights с MoneyTaker”, — anti-malware.ru, 2017 18. Сюжет: Группа из 14 хакеров, грабившая банки

а) “Боксёр с Украины возглавлял группировку хакеров, укравших 1 млрд рублей у банков”, — Life.ru, 2016

б) “У хакера сработала программа раскаяния”, — kommersant.ru, 2017
в) “Суд взламывает хакерскую сеть”, -kommersant.ru, 2017

2018

19. “Хакеры похитили сотни миллионов у банков Мексики”, — SecurityLab.ru, 2018 20. Сюжет: «Преступная группа из Волжского»

а) “В Волжском задержан похищавший средства с банковских карт хакер”,- SecurityLab.ru, 2018

б) “Хакеры зарабатывали до полумиллиона в день”, — Коммерсант.ru, 2018 21. Сюжет: «Подготовка к атаке на российские платежные системы»

а) “В Северске хакера осудили за подготовку атаки на российские платежные системы”, — SecurityLab.ru, 2018

б) “Кибератаку на российские электронные платежные системы предотвратили в Томске”, — ib-bank.ru, 2018
22. “В Ставропольском крае задержан хакер за взлом банкоматов и хищение средств”, -SecurityLab.ru, 2018
23. “В Саратове хакер похитил более 380 тыс. рублей с помощью фишингового сайта”, — SecurityLab.ru, 2018
24. “Питерский хакер похищал средства с банковских карт”, — SecurityLab.ru, 2018
25. “Деньги из ЦБ крадут призрачные хакеры”, — dailystorm.ru, 2018
26. “У начинающих хакеров появились учителя по взлому банкоматов”, — dni24.com, 2018 27. Сюжет: «Арест лидера преступной группы Carbanak / Anunak / Cobalt»

а) “Mastermind behind eur 1 billion cyber bank robbery arrested in spain”, — Европол, 2018 + (тут)

б) “Арестован украинский хакер, предположительно являющийся лидером Carbanak”,-SecurityLab.ru, 2018
в) “Лидер Carbanak попался на нежелании вовремя заплатить за машину”, — SecurityLab.ru, 2018 28. Сюжет: «Продолжение активности преступной группы Cobalt после ареста ее лидера»

а) “Group-IB: несмотря на арест лидера, группа Сobalt продолжает атаки на банки”, — Group-IB, 2018

б) “Арест лидера не прекратил деятельность группы Cobalt: хакеры атаковали крупные банки России и СНГ”, — xakep.ru, 2018
29. «В Москве осуждены киберпреступники, похищавшие средства у клиентов банков», — SecurityLab.Ru, 2018
30. «ПИР Банк лишился более 58 млн рублей в результате кибератаки», — SecurityLab.Ru, 2018
31. «Следственными органами МВД России направлено в суд дело о хищении денежных средств с банковских карт граждан», — МВД России, 2018
32. “Кибермошенники осуждены в Москве за кражу денег через интернет-кабинеты банков”, — ИА Интерфакс, 2018 33. Сюжет: «Кража из „ПИР Банка“

а) “ПИР для хакеров”, — kommersant.ru, 2018

б) “Как тебе такое, Carbanak?”, — Gorup-ib.ru, 2018
34.“Прокуратура Республики Башкортостан направила в суд уголовное дело по факту хищения хакерами свыше 8 млн. рублей”, — Генеральная Прокуратура РФ, 2018
35. »В США суд выдвинул обвинения 3 членам хакерской группировки Carbanak”, — SecurityLab.ru, 2018
36. «Екатеринбургские хакеры похитили у банков 1,2 млрд руб.», — SecurityLab.ru, 2018
37. «В Ростове хакер похитил из банкомата более 1 млн рублей», — SecurityLab.ru, 2018
38. «Хакеры вывели из „Банка жилищного финансирования“ около 100 тысяч долларов», — РИА Новости, 2018

2014

1. Доклад: «COMPUTER FORENSIC INVESTIGATION OF {mobile} BANKING TROJAN», — Zeronights 2014, Иванов Борис

Судебная практика

1. “Материалы судебных разбирательств между АО «Кемсоцинбанк» и другими банками, через которые были обналичены украденные у него деньги”, — Арбитражные и апелляционные суды, 2017-18 (тут и тут)

Регулярные обзоры и тематические ресурсы

1. «Преступления в банковской сфере», – amulet-group.ru
2. “Архив securelist.ru, рубрика “Атака на банки”, — securelist.ru
3. “ФинЦЕРТ Банка России”, — Банк России
4. “Расследования высокотехнологичных преступлений”, — Рубрикатор на сайте Group-IB.ru
5.

Сюжет “Хакерские атаки на российские банки”, — РИА Новости
6. Threat Actor Map
7. Рубрика: «Стража со взломом», — Komersant.ru
8. «Рубрикатор: Киберпреступность официального сайта МВД России», — МВД России
9.

Периодические отчеты: «Состояние преступности» — МВД России

2013

1. “Анализ безопасности мобильных банковских приложений за 2012 год”, — Digital Security, 2013

Разное

1. “ИНСТРУКЦИЯ по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания”, — Group-IB, 2012 (анонс)

  • 17 августа 2017 в 12:00
  • 10 мая 2017 в 14:28
  • 18 августа 2016 в 10:09

Источник: https://habr.com/post/413703/

Взлом онлайн-банка

Хакеры без труда взламывают счета клиентов крупнейших банков

Взлом онлайн-банка – получение доступа к денежным счетам граждан с помощью вредоносных программ или мошеннических действий через несанкционированный доступ к системе дистанционного банковского обслуживания (ДБО).

Банки стараются максимально быстро предложить своим клиентам удобные механизмы управления своим счетом, личным кабинетом и максимально удобно организовать финансовое взаимодействие клиентов с их контрагентами.

Для этого разрабатываются специальные веб-приложения, которые и позволяют клиентам производить манипуляции со своими активами, хранящимися в банке.

Веб-приложения, которые позволяют не только получать справочную информацию по счетам, но и давать банку поручения о движении денежных средств, называются онлайн-банкингом.

Однако скорость, с которой выпускаются новые продукты, может сыграть злую шутку.

Если при разработке веб-приложения не было достаточно внимания уделено безопасности, то посторонние злоумышленники вполне могут вмешаться в работу онлайн-банкинга и ограбить компанию-клиента на чувствительные суммы. Таким образом, взлом онлайн-банкинга – это выполнение злоумышленниками несанкционированных транзакций от имени клиента.

При том банк имеет ограниченное влияние на клиента в части обеспечения безопасности. Например, банк не может научить сотрудников клиента правильно хранить пароли от системы онлайн-банкинга или электронные сертификаты, проверять свои компьютеры на вирусы и выявлять другую вредоносную активность.

Поэтому в договорах с банком обычно написано, что ответственность за несоблюдение требований безопасности лежит на клиенте, что не позволяет клиентам в случае инцидентов получать возмещение убытков.

Поэтому компании и физические лица, выбирая банки с возможностью дистанционного обслуживания через веб, должны проверять какие инструменты защиты банк может вам предоставить.

Классификация и способы

Методы взлома онлайн-банкинга, аналогичны методам взлома любого веб-приложения:

  • Фишинг. Рассылка спама или публикация на форумах ссылок на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки не рекомендуется переходить по прислаемым или опубликованным на посторонних сайтах ссылкам – только прямой набор адреса или переход из закладок с проверкой наличия защищенного режима браузера (использование протокола HTTPS с правильным написанием имени банка в сертификате).
  • Кража личных индентификаторов (личности). В системах веб-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства куки (идентификатора сессии), что при определенных обстоятельствах позволяет злоумышленнику вмешаться в сессию легитимного ранее авторизованного пользователя. Правда, банки сейчас используют достаточно сложные системы аутентификации, использующие различные коды подтверждения. Однако при определенных обстоятельствах они могут быть перехвачены, что позволяет злоумышленникам при определенных обстоятельствах инициировать несанкционированные транзакции. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя и вмешиваются в работу программы-клиента. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
  • Взлом веб-сайта банка. Поскольку онлайн-банк – это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript манипулировать с интерфейсом приложения. Цель такого манипулирования в том, чтобы либо перенаправить деньги на другой счет, либо навязать какие-нибудь посторонние транзакции, либо даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банка после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет классических ошибок веб-приложений.
  • Социальная инженерия. Собственно, злоумышленники могут использовать в том числе и обман, чтобы заставить вас совершить ненужную вам транзакцию. Например, зафиксированы случаи, когда злоумышленники, представившись сотрудниками ИТ-департамента банка, просили сгенерировать “тестовые” транзакции якобы для отладки приложения. При этом даже не обязательно нарушать работу банковского приложения – неподготовленный к такой атаке сотрудник может сделать все самостоятельно без необходимости взлома приложения или перехвата контроля над приложением. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку, но разделять полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен иметь квалификацию в информационной безопасности.
  •  DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк. Например, если удалить секретный ключ сертификата, то клиент не сможет подключиться к банку. Вывод из строя веб-сайта обычно используется для скрытия другой атаки, чтобы атакованый клиент не мог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то это повод попытаться проверить состояние своего счета другим способом – возможно ваш клиент заблокирован специальным вредоносом.

Жертвы взлома онлайн-банка

Основным объектом воздействия в данном случае является веб-приложение банка – именно его атакуют злоумышленники, пытаясь подделаться под легитимную транзакцию. Однако банки и их сотрудники уже достаточно квалифицированы как в информационных технологиях, так и в ИБ.

Поэтому хакеры обычно атакуют слабое звено – клиентов или их компьютеры. В большинстве случаев, это оказывается более эффективно, чем атаковать информационную систему банков.

Впрочем, вполне возможна атака на банк через клиента – с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку банка с клиентом.

Пользователю клиента онлайн-банка важно понимать что происходит с приложением, когда совершается транзакция – любые подозрительные действия приложения стоит расценивать как попытку мошенничества.

Рекомендуется не вводить идентификационной информации в подозрительные формы, проверять надежность HTTPS-соединения и контролировать вредоносную активность других приложений.

Также стоит иметь второй фактор идентификации, не зависимый от веб-приложения, например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

Источники атак на онлайн-банки

Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов, которые таким приложением пользуются.

Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений – в основном для показа отдельных страниц.

Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются не обязательными расширениями. В частности, куки, которые как раз и предназначены для сохранения информации о сессиях, являются не обязательными для браузеров.

В то же время воровство этого идентификатора позволяет злоумышленникам вмешаться в работу приложения и совершать несанкционированные действия – разработчикам сайтов необходимо иметь это в виду при разработке приложений.

При этом средства защиты на стороне банка могут потребовать достаточно больших ресурсов.

Даже простой переход всего сайта банка на защищённый вариант протокола HTTPS является сложной задачей, требующей преобразования сайта, не говоря уж о нагрузке, которую создаёт шифрование при его массовом использовании.

Традиционно, защищают только наиболее критичные места веб-приложений, а большая часть сайтов банков остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны бы за ними следить.

В то же время всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта – пользователь не может гарантировано определить к какому сайту какое окно относится, что позволяет злоумышленникам открыть поверх сайтов банков собственные запросы идентификационной информации, которые визуально сложно отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом и создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты от манипуляций веб-интерфейсом, и хакерами, придумающими новые методы обхода этих инструментов. Наиболее эффективным инструментом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

Анализ риска

Собственно, защита онлайн-банка нужна с двух сторон – от самого банка и от клиента. Основная цель защиты со стороны банка – выявить и блокировать манипулирование со своим веб-приложением и передаваемым трафиком.

Лучше всего для этого использовать защищённый протокол HTTPS, для чего стоит установить обратный прокси, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси также выполняют функции надёжной аутентификации пользователей, идентификации устройств и выполняют функции Web Application Firewall (WAF).

Они же могут выполнять задачи балансировки нагрузки, оптимизации загрузки приложения и другие, не связанные прямо с безопасностью, но полезными для оптимизации веб-приложений.

Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Лучше если клиент может самостоятельно выбрать для себя наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

https://www.youtube.com/watch?v=6mqCCjB0kAI

Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса – специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности.

Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не использовал, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное.

Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

Для клиентов важно обеспечить защиту от вредоносной активности – проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, а лучше вообще из браузера с минимальным набором дополнений, также не лишним будет использование двухфакторно аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Она может быть постороена на разных технологиях – токены, биометрия, смс-коды, OTP.  Стоит также каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённый дополнительными параметрами – это позволяет сделать любой браузер. А некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, такой режим у “Лаборатории Касперского” называется “Безопасные платежи”. Следует отметить, что клиент отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторнуой аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.

Источник: https://www.anti-malware.ru/threats/online-bank-hacking

Миллион за пару минут. Как хакеры грабят банки по всему миру

Хакеры без труда взламывают счета клиентов крупнейших банков

Сегодня белорусский Альфа-Банк рассказал, что отключил все свои банкоматы «из-за хакерской атаки на программное обеспечение банковского оборудования и попытки хищения наличных денег».

Это первый случай хакерской атаки такого масштаба на банк в нашей стране, о котором стало известно общественности. Деньги граждан, к счастью, не пострадали. FINANCE.TUT.

BY вспомнил пять самых громких и крупных кибер-ограблениях банков в истории.

Изображение: cbsnews.com

В шаге от миллиарда

В феврале 2016 года группа хакеров пыталась получить доступ к средствам центрального банка Бангладеш, который держит счет в Федеральном резервном банке Нью-Йорка (является частью Федеральной резервной системы США). Преступники пытались вывести со счета порядка 1 миллиарда долларов, но украсть им удалось лишь чуть больше 80 миллионов.

Хакерам успешно завершили только четыре транзакции из нескольких десятков запрошенных. На пятой транзакции в 20 миллионов долларов, банкиры заподозрили неладное.

Хакеров выдала опечатка: в названии организации, которой предназначался перевод, вместо «Shalika Foundation» они написали «Shalika Fandation».

Сотрудник Deutsche Bank, через который шла операция, обратил на это внимание и связался с Бангладеш для подтверждения транзакции — так афера и раскрылась.

ФРС говорит, что признаков взлома не обнаружили. Представители банка настаивают, что хакеры знали настоящие учетные данные, а распоряжение о проведении оплаты было подтверждено системой SWIFT. ЦБ Бангладеш удалось вернуть часть похищенных средств. Председатель Центробанка после инцидента ушел в отставку.

Обезумевшие банкоматы

В 2013 году группе хакеров из России, Японии и Европы удалось украсть около 300 миллионов долларов. Воровали они по всему миру: из более чем 100 банков в 30 странах мира — от Австралии до Исландии. При этом, как отмечают эксперты, оценки убытков весьма приблизительные и могут быть втрое выше. Хакеры называют себя «группировка Carbanak».

В Киеве, например, банкомат начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент. Сотрудники банка не могли понять, что происходит, пока за дело не взялась «Лаборатория Касперского».

фото:Сильные новости

Программисты выяснили, что на банковских компьютерах было установлено зловредное ПО, позволявшее киберпреступникам следить за каждым шагом работников банков. ПО скрывалось на компьютерах месяцами — киберпреступники смоги узнать, как банк совершает свои ежедневные операции. Так они получили возможность перепрограммировать банкоматы и переводить миллионы долларов на поддельные счета.

Группировку Carbanak раскрыть и задержать не удалось. Она работе до сих пор, то периодически пропадая, до возвращаясь. Например, в 2015 году хакеры украли из российского банка «Авангард» около 60 миллионов российских рублей.

Схема очень похожа — банкоматы начинали вести себя попросту безумно: «На банкоматы поступала команда „выдать деньги“, люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов».

Обманный ход

В прошлом году группе российских хакеров удалось похитить из пять крупнейших банков страны 250 миллионов российских рублей. Деньги преступники снимали с банкоматов. Такая схема получила название «АТМ-реверс», или «обратный реверс».

Сергей Балай, TUT.BY

«Преступник получал в банке неименную карту, вносил на нее через банкомат от 5 тысяч до 30 тысяч рублей, а потом в том же банкомате их снимал и получал чек о проведенной операции.

Далее мошенник отправлял чек своему сообщнику, который имел удаленный доступ к зараженным вирусом POS-терминалам, как правило, находившимся за пределами России.

Через терминалы по коду операции, указанной в чеке, сообщник формировал команду на отмену операции по снятию наличных: на терминале это выглядело, например, как возврат товара.

В результате отмены операции баланс карты восстанавливался мгновенно, и у злоумышленника были выданные наличные на руках и прежний баланс карты. Преступники повторяли эти действия до тех пор, пока в банкоматах не заканчивались наличные», — описывает схему подобных преступлений РБК.

Прекратить хищения удалось только после того, как внедрили новую систему защиту совместно с платежными системами Visa и MasterCard.

Также российские хакеры снимали деньги со счетов клиентов банков через мобильные телефоны на платформе Android. Они рассылали СМС с троянской программой внутри, которая и переводила деньги с банковского счета на счета хакеров.

Тайваньская банда

Этим летом на Тайвани хакерам удалось похитить более 2 миллионов долларов из банкоматов, не пользуясь при этом карточками.

Преступники подходили к банкоматам и запускали специальную вредоносную программу — машины охотно выдавали всю наличность, которая в них хранилась.

После этого грабители скрывали улики: во взломанных устройствах не удалось обнаружить никаких следов вредоносных программ. На взлом банкомата уходило около 10 минут.

Всего злоумышленники взломали порядка 30 банкоматов, которые принадлежали крупнейшему банку страны First Bank. Чтобы остановить преступников, банк на несколько дней запретили снимать деньги через свои банкоматы. В целях осторожности несколько банков Тайвани также ввели аналогичный запрет.

Хакер № 1

Фото с сайта stock. xchng

В 1994 году, когда компьютеры и интернет не были так распространены, российский программист Владимир Левин украл более десяти миллионов долларов из американского банка.

Сидя в своей комнате на Малой Морской улице в Петербурге, он взломал систему управления средствами нью-йоркского Citibank — одного из крупнейших банков планеты.

За пять месяцев из банка Левин сумел украсть около 12 миллионов долларов.

Придя на работу утром 30 июня 1994 года, сотрудник гонконгского Philippe National Ваnk Int. Finance Ltd., обнаружил, что со счетов пропали 144 тысяч долларов.

Он увидел, что эти деньги при посредничестве Citibank были переведены на другой счет, только вот неясно, куда именно. В Нью-Йорке сказали, что проблема не в них, так как все транзакции фиксируются, и они никаких денег не переводили.

Через пару недель деньги загадочным образом исчезли со счетов в Уругвае. Тогда Citibank обратились в ФБР, чтобы начать расследование.

Левин переводил деньги на счетов в Финляндию, Германию, Израиль, США и Нидерланды. Сначала ФБР арестовывало его помощников, которые пытались обналичить счета. У всех у них были найдены поддельные паспорта и билеты до Санкт-Петербурга. Самого Левина арестовали в марте 1995 года, в 1998 году его приговорили к трем годам лишения свободы.

До сих пор неизвестно, каким образом Левин проник в компьютерную сеть Citibank. Сам хакер на суде отказался раскрывать подробности взлома. Существует версия, что доступ к системам изначально получила некая группа российских хакеров, после чего один из них продал методику Левину за 100 долларов.

Источник: http://news.21.by/other-news/2016/08/10/1227398.html

Пароль от зарплаты. Как хакеры обчищают счета мобильных банков россиян | Телеканал 360°

Хакеры без труда взламывают счета клиентов крупнейших банков

В последнее время хакеры пристрастились к кражам денег у россиян с приложений онлайн-банков, которые те массово начали загружать в свои смартфоны. По данным Центробанка, в 2018 году доля пользователей интернет-банкинга и мобильных банковских приложений в стране превысила 45%. По сравнению с прошлым годом этот показатель вырос на 14%.

Однако нынешняя структура мобильных кошельков имеет ряд уязвимостей, которыми активно начали пользоваться хакеры, отметили участники конференции OFFZONE 2018, посвященной проблемам кибербезопасности.

Как рассказал в ходе форума ведущий специалист компании Bi.Zone Аркадий Литвиненко, злоумышленники используют несколько способов взлома, которые позволяют украсть средства из мобильных приложений.

Так, к хищению может привести даже используемая рассылка одноразовых паролей по SMS для подтверждения входа в личный кабинет. С помощью специальных перехватчиков сообщений хакеры получают доступ к мобильному банку жертвы, делают поддельную карту и скан паспорта, а потом по этим документам получают копию сим-карты и получают доступ к деньгам, которые хранятся в мобильных приложениях банков.

Раньше подобный способ обеспечивал защиту от взлома, но теперь, когда пользователи заходят в свой личный кабинет со смартфона, его надежность снизилась, подтвердил руководитель аналитического центра Zecurion Владимир Ульянов.

В этом случае защита теряет смысл, поскольку пароль приходит на тот же девайс, с которого пользователь заходит в личный кабинет банка. Этим активно пользуются мошенники и перехватывают данные

Владимир Ульянов руководитель аналитического центра Zecurion.

Особенно небезопасными считаются смартфоны, работающие на операционной системе Android, говорят эксперты. Так, в 2017 году главным трендом стали хищения денежных средств с помощью вирусов.

По данным Group-IB, за прошлый год хакеры украли у владельцев Android-смартфонов более миллиарда рублей, что в полтора раза больше, чем в 2016 году. «Зачастую такие утечки происходят, когда телефон заражен вирусом.

Тогда хакеры могут перехватить пароли и любую переписку с банком», — отметил в разговоре с «360» эксперт по информационной безопасности ЗАО «Монитор Безопасности» Тарас Татаринов.

Перевод хакеру по Wi-Fi

Источник фото: Pixabay

Кроме того, киберпреступники научились взламывать аккаунты при помощи подбора транзакции под пароль.

Дело в том, что в большинстве банков для подтверждения транзакций используются одноразовые пароли в SMS из четырех цифр, при трижды неверно введенном пароле транзакция блокируется.

Но если подбирать денежный перевод под пароль, то есть создать множество операций по списанию средств со счета клиента, то вероятность отгадать пароль равна почти 100%. В этом случае идет речь о так называемой подложной транзакции, объясняет Владимир Ульянов.

«К примеру, вы хотите перевести тысячу рублей своему коллеге, но злоумышленник меняет номер счета и средства уходят другому лицу. В результате пользователь сам отправляет деньги хакеру, поэтому оспорить подобную транзакцию и вернуть деньги бывает проблематично», — говорит собеседник «360».

Чтобы злоумышленники не смогли подменить номера переводом, необходимо устанавливать более длинный пароль и отказаться от подтверждения транзакции путем SMS от банков, советует Тарас Татаринов.

Также нередки случаи, когда злоумышленники получают ключи к личному кабинету клиента банка, если последний подключается к общественным Wi-Fi сетям. Причем хакеры зачастую даже не сами взламывают мобильные приложения, а сливают данные в даркент, где за пару десятков долларов любой желающий может купить пароль от мобильного банка.

Wi-Fi сети в ТЦ или метро не имеют достаточной степени защиты, поэтому опрошенные «360» эксперты по кибербезопасности советуют подключаться к ним при крайней необходимости.

«В теории обмен данных в приложениях онлайн-банкинга должен проходить несколько этапов шифрования, но на практике любое приложение на смартфоне, даже самое защищенное, может быть взломано хакерами.

Поэтому не стоит пользоваться общественной сетью для денежных переводов, поскольку хакеры без труда смогут перехватить ваши данные и затем перевести деньги себе на счет», — подчеркнул Татаринов.

Защита от взлома

Источник фото: Pixabay

По данным Positive Technologies, уязвимости в 52% мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации.

Однако в настоящее время намного чаще хакеры пользуются методами социальной инженерии или попросту получают данные из-за доверчивости людей.

К примеру, распространен способ, когда преступники путем массовой рассылки SMS-сообщений уведомляют пользователей о блокировке их мобильного банка и просят позвонить по указанному номеру.

Мошенник на том конце провода выпытывает у доверчивых пользователей данные карты, которые необходимы ему для «разблокировки» приложения, и за пару минут выводит все средства из мобильного банка.

Чтобы не попасть в лапы преступников, опрошенные «360» аналитики советуют никогда не вступать в переписку с незнакомым контактом. Также стоит установить минимальные лимиты по списанию и переводу средств через онлайн-приложение. И, конечно, нельзя ни при каких обстоятельствах сообщать кому-либо данные карты.

Кроме того, не стоит устанавливать на телефон подозрительные приложения и разрешать им доступ к файлам смартфона. «Иногда приложение, которое выдает себя за калькулятор, просит доступ к вашей переписке или геолокации, хотя объективно эта информация ему не нужна. В этом случае стоит задуматься — не скачали ли вы вредоносное ПО», — предупреждает Татаринов.

Источник: https://360tv.ru/news/tekst/parol-ot-zarplaty-kak-hakery-obchischajut-scheta-mobilnyh-bankov-rossijan/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.