چگونه هکرها پول اشخاص حقوقی را سرقت می کنند یک میلیون در چند دقیقه چگونه هکرها از بانک های سراسر جهان سرقت می کنند هکرها دقیقا چگونه از حساب های بانکی پول می دزدند؟

17.01.2022

برای آلوده کردن شبکه های شرکتی بانک ها، هکرها از حملات فیشینگ هدفمند، ارسال ایمیل با پیوست های مخرب یا استفاده از سوء استفاده از Niteris استفاده می کنند که آسیب پذیری های مرورگرها را هدف قرار می دهد. در صورت عفونت موفقیت آمیز، برای "تثبیت موفقیت"، مهاجمان از فناوری های قانونی طراحی شده برای آزمایش استفاده می کنند. در نتیجه، هکرها موفق می شوند به کنترل کننده دامنه محلی دسترسی پیدا کنند و سپس به رایانه های کارمندان بانک که مسئول پردازش تراکنش های کارت هستند دسترسی پیدا کنند.

اما گروه متل نه به این دلیل، بلکه به دلیل اختراع روشی جالب برای برداشت پول سرقت شده از دستگاه های خودپرداز قابل توجه است. مهاجمان همدستان خود را به دستگاه های خودپرداز بانک های دیگر می فرستند تا از یک حساب بانکی معتبر در بانک آلوده پول برداشت کنند. از آنجایی که در این مرحله مهاجمان از قبل منابع داخل بانک آلوده را کنترل می کنند و به سیستم هایی که تراکنش های پولی را مدیریت می کنند (مثلاً رایانه های پشتیبانی مشتری) دسترسی دارند، تراکنش های انجام شده از طریق دستگاه های خودپرداز را پس می زنند. بنابراین، حتی اگر مجرمان دائماً از دستگاه های خودپرداز پول برداشت کنند، بدون توجه به تعداد تراکنش های خودپرداز، موجودی حساب آنها ثابت می ماند. از دست دادن وجوه بعداً کشف می شود، زمانی که هکرها قبلاً سرد شده اند.

متخصصان GreAT گفتند که هکرها به شهرهای مختلف روسیه سفر کردند و تنها در طول یک شب، مبالغ هنگفتی را از کارت های صادر شده توسط یک بانک در معرض خطر از طریق دستگاه های خودپرداز برداشت کردند. تنها در یکی از این شب ها، مجرمان چندین میلیون روبل دزدیدند. این نشان می‌دهد که مرحله فعال حملات سایبری به طور کلی کوتاه‌تر شده است: هنگامی که مهاجمان متوجه می‌شوند همه چیزهایی را که برای رسیدن به هدفشان نیاز دارند آماده کرده‌اند، همه چیزهایی را که نیاز دارند در اختیار دارند و در عرض چند روز یا حتی چند ساعت عملیات را متوقف می‌کنند.

در حال حاضر بیش از 30 موسسه مالی تحت تاثیر بدافزار متل قرار گرفته اند.

GCMAN

هکرهای GCMAN متفاوت عمل می کنند - نقطه قوت آنها پنهان کاری است. نام این گروه از GCC (مجموعه کامپایلر GNU) گرفته شد که در بدافزار سفارشی آنها استفاده می شود. این افراد ترجیح می دهند بی سر و صدا و بدون جلب توجه بانک ها را آلوده کنند و سپس با استفاده از خدمات مختلف ارزهای دیجیتال وجوه را در مقادیر کم منتقل کنند.

مهاجمان همچنین از فیشینگ ایمیل هدفمند برای آلوده کردن شبکه های موسسات مالی استفاده می کنند. اگر قربانی بایگانی RAR مخرب ارسال شده به عنوان پیوست را باز کند، می توان کار را انجام شده در نظر گرفت - رایانه به بدافزار GCMAN آلوده شده است.

با این حال، کارشناسان خاطرنشان می کنند که هکرها همیشه از فیشینگ استفاده نمی کردند. این گروه حملات موفقیت آمیزی را بدون استفاده از هیچ بدافزاری انجام می دهد و تنها بر فناوری های قانونی و ابزارهای نفوذی تکیه می کند. بنابراین، در تعدادی از موارد، مهاجمان از ابزارهای Putty، VNC و Meterpreter استفاده کردند که به آنها اجازه می‌داد به رایانه‌ای دسترسی پیدا کنند که می‌توانست بدون اطلاع سایر سیستم‌های بانکی در انتقال پول به خدمات ارزهای دیجیتال نقش داشته باشد.

برخلاف Metel، GCMAN عجله ای ندارند و به طور کامل به مسائل نزدیک می شوند. در یک مورد، مهاجمان قبل از اینکه شروع به سرقت پول کنند، یک سال و نیم در سیستم آلوده ماندند. اما زمانی که حمله وارد فاز فعال می شود و انتقال وجوه آغاز می شود، هکرها دریغ نمی کنند. در هر دقیقه، گروه GCMAN می تواند تا 200 دلار - حد مجاز برای پرداخت های ناشناس در روسیه - انتقال دهد. تمام پول‌های دزدیده شده به حساب‌های مختلف ارزهای دیجیتال به اصطلاح «افت» می‌رود - افرادی که مخصوصاً استخدام شده‌اند و مشغول نقد کردن وجوه هستند. دستورالعمل تراکنش در چنین مواردی مستقیماً به درگاه پرداخت بانک ارسال می شود، اما در هیچ یک از سیستم های بانکی داخلی نمایش داده نمی شود.

چگونه روسیه به "سرزمین هکرها" تبدیل شد. هکرها چقدر پول را از جیب اشخاص حقیقی و حقوقی به سرقت می برند؟ "Itogi" این سوال را از مدیر عامل Group-IB، ایلیا ساچکوف، که با او به پیشینه مشکلات اخیر با LiveJournal ("Itogi"، شماره 15) پرداختیم.

- ایلیا کنستانتینوویچ، چند وقت یکبار حساب های بانکی با استفاده از حملات DDoS از بین می روند؟

- چنین حملاتی بسیار رایج هستند، اما چیزهایی وجود دارند که جدی تر هستند. رایج ترین مورد در اینترنت کلاهبرداری از طریق سیستم های بانکداری آنلاین و به عبارت دیگر سرقت وجوه از حساب اشخاص حقوقی و حقیقی است. اولا اشخاص حقوقی چون پول بیشتری در حسابشان دارند. مطبوعات سرقت های منفرد را منعکس می کنند، اما در واقعیت وضعیت بسیار بدتر است: هر روز ما به تنهایی با 10 پرونده برخورد می کنیم و در کل کشور، فکر می کنم روزانه 60 تا 70 سرقت از حساب اشخاص حقوقی صورت می گیرد. سیستم های بانکداری از راه دور (RBS) متاسفانه آمار رسمی در این زمینه وجود ندارد.

- آیا می توانید سودآوری این "کسب و کار" را تخمین بزنید؟

- هکرهای روسی - کسانی که در کشور ما زندگی می کنند - طبق برآورد ما، تنها در سال 2010 در روسیه 1.3 میلیارد دلار درآمد داشته اند. اگر مهاجران روسی زبان از کشورهای اتحاد جماهیر شوروی سابق را ترکیب کنیم، در حال حاضر 2.5 میلیارد دلار خواهد بود. به عنوان مثال، من عصاره ای از کیف پول اینترنتی یک هکر واقعی ساکن مسکو را که در حال حاضر تحت بررسی است، به شما نشان می دهم. نگاه کنید: رسیدن پول در یک روز در 11 آگوست 2010: 40 هزار دلار، 31 هزار دلار، 40 هزار دلار دیگر و غیره. و این فقط برای یک روز!

- احتمالاً همه این مبالغ از طریق سیستم های بانکی از راه دور نمی رود؟ به عنوان مثال، کارت های بانکی شرکت ها وجود دارد که برای کلاهبرداران نیز مورد توجه است.

- طبق برآوردهای ما، سرقت از کارت های شرکتی در مقایسه با کلاهبرداری در بانکداری از راه دور، سکه است. این هک سیستم های مشتری-بانک است که بخش عمده ای از درآمد مجرمان را تشکیل می دهد. آنچه روی صفحه دیدید درآمد واقعی کل گروه جنایتکار است. صاحب کیف پول اینترنتی سازمان دهنده گروه است، او حدود 80 درصد دریافت خواهد کرد. بیایید بیشتر نگاه کنیم: درآمد یک ماه و نیم 24 میلیون دلار است. این حجم از سرقت ها از حساب های اشخاص حقوقی روسیه است. اکثراً کسب و کارهای کوچک آسیب می بینند، گاهی اوقات مشاغل بزرگ. این مورد یک استثنا نیست، بلکه قالب جدیدی از واقعیت است. در روسیه، جایی که همه چیز با شواهد قانونی جرایم رایانه ای بسیار دشوار است، این یک منبع بالقوه فساد در سازمان های اجرای قانون است.

- چگونه هکرها موفق می شوند وارد یک سیستم بانکی امن شوند؟

- از طریق رایانه های شخصی اشخاص حقوقی، مشتریان بانکی که نرم افزار مدیریت از راه دور حساب های بانکی روی آنها نصب شده است. اغلب این کار با استفاده از بدافزار انجام می شود. اساساً دو راه اصلی برای آلوده کردن رایانه حسابدار با یک ویروس خاص وجود دارد - یک تروجان بانکی. یا این ویروس توسط یک همدست جنایتکارانی که در شرکت کار می کنند، یک قزاق بی جا معرفی می شود. یا تروجان توسط خود حسابدار انتخاب می شود که از طریق رایانه کاری خود در اینترنت گشت و گذار می کند و می تواند از سایت آلوده بازدید کند. در هر صورت، آلودگی رایانه نتیجه یک نگرش سهل انگارانه نسبت به قوانین اساسی امنیت اطلاعات است. از این گذشته، در حالت ایده آل، برای انجام پرداخت ها، یک حسابدار باید یک رایانه شخصی لپ تاپ داشته باشد که باید در یک گاوصندوق ذخیره شود و فقط برای کار در سیستم های بانکداری اینترنتی خارج شود. اما این ایده آل است، اما در عمل، ویروسی که به نرم افزار حسابداری نفوذ کرده است، یک دستور پرداخت نادرست برای انتقال پول از حساب قربانی به حساب یک شرکت پوسته ثبت شده خاص ایجاد می کند.

- اما بعید است که بتوانید بلافاصله از کل مقدار استفاده کنید؟

- البته می تواند جلب توجه کند. بنابراین، گروه جنایتکار نه تنها شامل هکرها، بلکه افرادی هستند که مسئول برداشت پول از حساب های بانکی و نقد آنها هستند. در این بخش، هکرها با جرایم سنتی تعامل نزدیک دارند. بنابراین ، پولی که از حساب های اشخاص حقوقی منحرف می شود اغلب به یکاترینبورگ یا چلیابینسک ارسال می شود - گروه های جنایتکار سازمان یافته در آنجا به فعالیت خود ادامه می دهند که از دهه 90 به انتقال پول نقد مشغول بوده اند. آنها مبلغ اولیه را تقسیم کردند و آن را به حساب سایر شرکت های پوسته یا افراد جعلی منتقل کردند. وظیفه این است که مبلغ اولیه را بین بسیاری از حساب های افراد (به آنها قطره می گویند، معمولاً دانش آموزان فقیر، افراد بی خانمان و غیره هستند) توزیع شود تا این قطره ها بتوانند به راحتی در دو یا سه بار مراجعه به دستگاه خودپرداز، مبلغ "خود" را برداشت کنند. در طول روز. در ازای مبلغی اندک این کار را انجام می دهند و پول نقد را به فرد خاصی از باند تحویل می دهند. طرح‌های نقدی، به طور طبیعی، از قبل توسعه یافته‌اند، اما بازاری برای، مثلاً، خدمات کلید در دست وجود دارد. اگر باور نمی کنید، عبارت «پول نقدی» را در هر موتور جستجو تایپ کنید...

- پس پول نقد چه می شود؟

- سپس حافظه پنهان به مسکو منتقل می شود و وارد یک سیستم پرداخت الکترونیکی می شود، به عنوان مثال WebMoney یا Yandex. پول". از این گذشته ، لازم است به نحوی پول نقد را به حساب مجرمان منتقل کنید و در عین حال ردیابی آنها را کاملاً بپوشانید. در اینجا کیف پول الکترونیکی بهترین گزینه است، زیرا پس از این مرحله دیگر نمی توان پول را ردیابی کرد. بعد، صاحب کیف پول را بین کیف‌های دیگر پراکنده می‌کند: هکرهایی که مسئول ارتباط با گروه‌های مختلف جنایت سازمان‌یافته و غیره هستند. این آسان نبود، زیرا بسیاری از این سیستم های پرداخت الکترونیکی وجود دارد و توسط دولت کنترل نمی شوند.

- اینجا بهشت جنایتکاران است!

- در کلمات زیباتر به آن می گویند - مفهوم اقتصاد بازار آزاد. این بر سه پایه استوار است: بدون کنترل توسط دولت (قراردادهای مستقیم)، بدون مالیات، و با این پول می توانید هر چیزی را که می خواهید خریداری کنید. البته، شما نمی توانید به طور مستقیم برای مثال، املاک و مستغلات با ارز الکترونیکی پرداخت کنید، اما می توانید به راحتی پول را نقد کنید و ویلایی را که دوست دارید خریداری کنید. به دلیل فقدان چنین کنترل دقیقی که در محیط بانکی وجود دارد، طرح های نقدینگی ارزهای الکترونیکی بسیار ساده تر از برداشت پول از حساب های بانکی است.

- در کشورهای دیگر چگونه با این مشکل برخورد می کنند؟

- در ایالات متحده، بسیاری از مردم می دانند که اگر یک هکر در ایالات متحده باشد و بر خلاف منافع کشور عمل کند، به احتمال 90 درصد در آینده نزدیک دستگیر خواهد شد. در اروپا، در بسیاری از کشورها عملاً غیرممکن است که پول یک شخص حقوقی را نقد کنید. اساساً سه عامل محدود کننده وجود دارد: احساس مجازات، عدم مصلحت اقتصادی و عدم امکان فنی. ما یک وضعیت متناقض داریم: هر سه گم شده اند. بر این اساس فردی که زیر بار وجدان نباشد به راحتی می تواند یک تجارت مجرمانه راه اندازی کند و روزانه یک میلیون دلار درآمد کسب کند، زیرا از نظر فنی کار چندان سختی نیست.

- بیشتر بگو!

- بیایید فوراً موافقت کنیم که دستورالعمل‌هایی را برای یک هکر تازه کار نمی‌نویسیم. آنچه ما در مورد آن صحبت می کنیم جرم است و این کار حتی از روی کنجکاوی طبیعی نیز قابل انجام نیست. درآمدی که روی صفحه دیدید فقط اعداد نیست، کسب و کار گمشده یک نفر، تراژدی خانوادگی یک نفر است.

اکنون در مورد نکات کلیدی طرح جنایی. اولین کاری که یک مهاجم باید انجام دهد این است که یک بات نت از رایانه های آلوده و یک ویروس ایجاد کند که این رایانه ها را آلوده کند. اگر هدف کسب درآمد است، به ویروسی با کلاس بالا نیاز دارید که توسط آنتی ویروس ها شناسایی نشود و نوعی سازنده باشد. قیمت آن 5-6 هزار دلار است. همچنین باید هاست بخرید، جایی که دسترسی به محتویات سرورها برای هر سازمان مجری قانون تضمین شده است. این یک حوزه خاص از فعالیت دنیای جنایی است - ایجاد محیط های میزبانی تخصصی برای ارائه خدمات غیرقانونی.

- آیا انتخاب زیادی وجود دارد؟

- بزرگ. و چنین میزبانی ارزان است: 150-200 دلار در ماه. اکثر مراکز داده تجاری (DPC) چنین نیستند، اما در تجربه خود با مراکز داده کاملاً قانونی روبرو شده ام که مخفیانه به عنوان میزبان مجرمان مهتابی می شوند، زیرا بسیار سودآور است. متأسفانه از جمله در روسیه.

- و چگونه ویروس در سراسر اینترنت پخش خواهد شد؟

- به یک توزیع کننده بدافزار در اینترنت نیاز داریم. برای انجام این کار، گروه های کاملی از مهاجمان به نام سیلاب وجود دارند. اینها افرادی هستند که بدافزار را برای پول توزیع می کنند. آلوده کردن 1000 دستگاه 20 دلار، تقریباً 600 روبل هزینه دارد. اما معمولاً مشتری بیشتر، 500 دلار، برای آلوده کردن ماشین‌های بیشتری خرج می‌کند. این ویروس که یک ماژول بوت کوچک است، وارد رایانه ها می شود و آنها را به ربات های آلوده تبدیل می کند. و خود سازمان دهنده با استفاده از کنترل پنل نحوه رفتار ربات هایش را نظارت می کند.

آخرین صدای جیر جیر در این زمینه: خود ویروس تلاش می کند بفهمد چه چیزی را می توان از یک رایانه به سرقت برد. اول از همه، به دنبال ورودی های سیستم های پرداخت بانکی است. در صورت وجود، ماژولی را برای کار با نرم افزار حسابداری بانک بر روی رایانه بارگذاری می کند. در غیر این صورت، او سعی می کند نرم افزار پرداخت را برای افراد پیدا کند: WebMoney، Yandex.Money، و غیره. آن را پیدا کرد و ماژول مربوطه را دانلود کرد. اگر هیچ یک از این ها را ندارید و نمی توانید مستقیماً از رایانه خود درآمد کسب کنید، همچنان می توانید از آن استفاده کنید: به عنوان مثال، برای ارسال هرزنامه یا برای حملات DDoS. حداکثر 8000 دلار هزینه ورود به بازار جرایم سایبری است.

- ویروس چگونه کار کثیف خود را بدون مجازات انجام می دهد، زیرا بانک ها مبالغ هنگفتی پول در سیستم های امنیتی سرمایه گذاری می کنند؟

- مجرمان ویروس‌های باکیفیت را سفارش می‌دهند که قادر به دور زدن آنتی‌ویروس‌ها و سایر انواع حفاظت هستند. علاوه بر این، تروجان های بانکی مدرن نه تنها به هکرها امکان دسترسی از راه دور، بلکه همچنین پنهان کردن آثار جنایات را می دهند. چگونه انجام می شود؟ پس از ارسال دستور پرداخت نادرست، وظیفه اصلی مجرمان محدود کردن دسترسی حسابدار به سیستم بانکداری اینترنتی است. اغلب آنها یکی از اجزای سیستم عامل رایانه آلوده را حذف می کنند. در زمانی که تمام تلاش مشتری بانک صرف بازیابی عملکرد رایانه می شود، پول از حساب او خارج می شود.

- یک سوال جالب مطرح می شود: چه کسی مقصر این اتفاق است؟ مشتری بانکی که اجازه داده رایانه‌اش آلوده شود، یا بانکی که نرم‌افزاری برای او صادر کرده است که از حملات ویروس محافظت نمی‌شود؟

- از یک طرف، مسئولیت این حادثه بر عهده مشتریان است که اغلب از توصیه های مستدل بانک ها غفلت می کنند. و به هر حال، آنها در هر قراردادی برای ارائه خدمات بانکی از راه دور تجویز می شوند. از سوی دیگر، بانک ها ملزم به نظارت بر پرداخت های عجیب و غریب هستند - به عنوان مثال، انتقال یکباره مبلغ زیادی به حساب یک فرد. اپراتور باید چنین پرداختی را مسدود کند، با شرکت تماس بگیرد و از حسابدار تأییدیه بگیرد. متأسفانه در عمل هر بانکی چنین استانداردهایی را رعایت نمی کند...

- قربانی چه باید بکند؟

- تقریباً هر اقدام هکرها جرم است. بنابراین باید حتما با پلیس تماس بگیرید. درست است، قربانیان به ندرت این کار را انجام می دهند.

- چرا؟ آیا به موفقیت اعتقاد ندارید؟

- تا حدی بله، آنها آن را باور نمی کنند، زیرا نمونه های بسیار کمی از تحقیقات موفق وجود دارد. خوبی این است که چنین شرکت تخصصی مانند ما در کشور ما ظاهر شده است. بسیاری از اینها در غرب وجود دارد؛ این یک بازار کامل خدمات است.

- بیایید تصور کنیم که صاحب شرکت آسیب دیده به اداره پلیس محلی می آید. آنها به او نگاه می کنند که انگار یک احمق است، اینطور نیست؟

"احتمال دارد که آنها سعی کنند درخواست را نپذیرند." و باید از قبل برای این سفر آماده شوید. اولاً، باید به وضوح درک کنید که یک جرم رخ داده است، زیرا سواد قانونی مردم در زمینه امنیت اطلاعات یک کابوس است. و این جرم در قانون جزا شرح داده شده است. ثانیاً، باید به وضوح بدانید که افسر پلیس موظف به پذیرش درخواست است و امتناع در واقع یک تخلف است. ثالثاً تشریح صحیح ارکان جرم ضروری است. توصیه هایی در مورد نحوه نوشتن نامه در اینترنت بسیار آسان است: هم در وب سایت ما و هم در دیگران. اگر یک حمله DDoS رخ داد، توصیه می شود یک صفحه وب محضری نیز درج کنید. در مسکو چنین دفتر اسناد رسمی وب وجود دارد (و در حال حاضر در مناطق ظاهر می شود) که تأیید می کنند رایانه دفتر اسناد رسمی به منبع دسترسی ندارد. اخلاقی این است: اگر شخصی برای بازدید از اداره پلیس آماده شود، این شانس موفقیت آمیز بودن تحقیقات یا حداقل تشکیل پرونده جنایی را افزایش می دهد.

- پس به نظر شما اظهارنظر به پلیس نوشدارویی است؟

- حداقل برای آمار باید درخواست بدهید. نگاه کنید: کارکنان پلیس فقط بر اساس جرایم ثبت شده قابل افزایش هستند، اما اکنون آمار رسمی وزارت امور داخله در مورد جرایم با فناوری پیشرفته کاملاً ناکافی است. بنابراین، کمبود فاجعه بار متخصصان مربوطه وجود دارد: برای یک افسر پلیس در زمینه جرایم رایانه ای، فکر می کنم حدود 100 درخواست وجود دارد، شاید بیشتر. و کار بیشتر روی کاغذ اتفاق می افتد.

"به نظر من، برای افسران مجری قانون ما خیلی خوشایندتر است که دانش آموز فقیری را که نسخه بدون مجوز یک سیستم عامل یا یک برنامه حسابداری را روی رایانه خود نصب کرده است، بگیرند...

"من تمایل مردم برای شرکت در چنین تحقیقاتی را درک می کنم، زیرا از نظر فنی بسیار ساده تر است. اما این کاملاً مزخرف است زمانی که یک نفر 5 میلیون دلار را دزدیده و به خاطر آن پنج سال مشروط می شود، در حالی که دیگری برای یک سیستم عامل بدون مجوز دو سال زندان واقعی می گیرد. دولت باید فوراً در این آشفتگی با جرایم رایانه ای مداخله کند! اگر کاری انجام ندهید، فردا بسیار بدتر خواهد بود: درآمد هکرها در حال رشد است و به همراه آنها فرصت های نفوذ آنها نیز افزایش می یابد. اگر در سال 2000 شرکت‌ها امنیت را نصب کردند و هکرها آن را شکستند، امروز که مجرم 24 میلیون دلار درآمد ماهانه دارد، نقش‌ها تغییر کرده است: هکر مرتکب جرم می‌شود و شرکت‌ها و سازمان‌ها تلاش می‌کنند تا با او برسند. در عرض دو سال، ممکن است به طور کلی کنترل اینترنت را از دست بدهیم، و سپس مبارزه با هکرها بی فایده خواهد بود. زیرا آنها افراد خود را در دومای دولتی خواهند داشت و در آنجا قوانین خود را اجرا می کنند.

- اخیراً انجمن ارتباطات الکترونیکی روسیه اصلاح قانون کیفری فدراسیون روسیه را در مورد مسئولیت جرایم رایانه ای پیشنهاد کرد. آیا این کمک خواهد کرد؟

- من رئیس مشترک کمیسیون RAEC در امنیت اطلاعات و جرایم سایبری هستم و به طور مستقیم در توسعه این اصلاحات مشارکت دارم. انتظار داریم تا پاییز کار را به پایان برسانیم. اما حتی اگر همه چیز طبق برنامه پیش برود، چنین چارچوب نظارتی تنها در صورتی کار می کند که هکر در روسیه باشد و جرم نیز در روسیه انجام شده باشد. هنگامی که یک هکر در خارج از کشور است، بدون همکاری سازمان های مجری قانون کشورهای مختلف هیچ کاری نمی توان انجام داد. به عنوان مثال، یک کنوانسیون بین المللی وجود دارد که به کشورهای امضاکننده آن، به ویژه ایالات متحده، اجازه می دهد تا داده های لازم برای تحقیقات را به صورت آنلاین مبادله کنند. روسیه به این کنوانسیون نپیوسته است و بنابراین ارتباطات فرامرزی ما به روش قدیمی پیش می رود: بوروکراسی، کاغذ، ویزا... درست است، این کنوانسیون تفاوت های ظریف خاصی دارد. به عنوان مثال، اگر ما به آن وصل شویم، مثلاً، سازمان های مجری قانون ایالات متحده می توانند بدون اطلاع ما تحقیقات خود را در قلمرو ما انجام دهند... پیوستن به اتحادیه های بین المللی اجباری است، اما در عین حال برخی موارد ظریف را کنترل می کند. مسائل

در سال 2017، ظاهرا آسیب از این هم بیشتر خواهد شد. به اندازه کافی عجیب، سرقت از سازمان های مالی آسان تر شده است، اما محافظت در برابر انواع جدید کلاهبرداران به خوبی کار نمی کند.

ولادیمیر روینسکی

سرقت سال

در آخرین روز زمستان 2016، 29 فوریه، متالین وست بانک پایتخت 200 میلیون روبل ضرر کرد. بعدها مشخص شد که آنها توسط هکرها به سرقت رفته اند. همه چیز به سرعت اتفاق افتاد. پایانه هایی که حساب خبرنگاری یک موسسه اعتباری نزد بانک مرکزی از آن اداره می شود، شروع به ارسال غیرمجاز پول از آن به حساب های شخص ثالث کردند. مخاطبین افراد در بانک های تجاری سراسر کشور هستند.

معاون رئیس هیئت مدیره میخائیل اوکونف به دنگی اطمینان داد که رفتار مشکوک رایانه ها در بانک متالین وست بانک بلافاصله کشف شد. او گفت: «این هک کانال ایستگاه کاری خودکار یکی از مشتریان بانک روسیه، محل کار خودکار KBR بود. به گفته اوکونف، این هک حدود یک ساعت به طول انجامید. حتی بانک برای جلوگیری از نقل و انتقالات از بانک مرکزی درخواست کرد که آن را از سامانه تسویه قطع کند. در این زمان، 667 میلیون روبل از حساب خبرنگار Metallinvestbank خارج شده بود. میخائیل اوکونف می گوید: "یک سوم پول بلافاصله بازگردانده شد، حدود یک سوم از حساب های بانکی ضبط شد، ما انتظار داریم که آنها بر اساس نتایج آزمایشی که ما انتظار داریم در آوریل آغاز شود، به ما بازگردانده شوند." حدود 200 میلیون روبل، همانطور که قبلاً ذکر شد، هنوز توسط بانک بازگردانده نشد: مهاجمان یا به سرعت آنها را از حساب های کنترل شده نقد کردند یا آنها را بیشتر منتقل کردند.

این داستان پایانی دارد که برای روسیه نادر است. سه ماه بعد، در ژوئن 2016، FSB و وزارت امور داخله گزارش دادند که با هم در 15 منطقه فدراسیون روسیه 50 نفر متعلق به یک گروه هکری به نام Buhtrap را بازداشت کردند. او در سال 2014 زمانی که در حال کار با شرکت‌ها بود مورد توجه قرار گرفت. و در آگوست 2015، این گروه منحصراً به سازمان های مالی تغییر مکان داد:

گروه IB که متخصص در پیشگیری و تحقیق در مورد حملات سایبری است، خاطرنشان می کند که بوهتراپ طی شش ماه تا فوریه 2016، 13 حمله موفقیت آمیز به بانک های روسیه انجام داده و 1.8 میلیارد روبل به سرقت برده است.

این گروه آنطور که منابع پولی در بازار بانکی می گویند، پشت حمله به متالینوستبانک نیز هستند. Group-IB این نظر را دارد.

رشد 300 درصدی

دزدی 667 میلیون روبلی از بانک متالین وست یکی از بزرگترین سرقت‌های فدراسیون روسیه بود - از آن‌هایی که علنی شد. میانگین سرقت هکرها از بانک های روسیه در بازه زمانی ژوئن 2015 تا مه 2016 حدود 140 میلیون روبل بوده است. اگرچه مقادیر زیادی نیز وجود داشت. در گزارش سال گذشته Group-IB آمده است: «در دو مورد، میزان سرقت 2.5 برابر بیشتر از سرمایه مجاز بانک بوده است.

در مجموع، در سال 2016، بانک مرکزی در فوریه 2017 گزارش داد، هکرها 2.2 میلیارد روبل از بانک های تجاری روسیه سرقت کردند.

سرویس مطبوعاتی رگولاتور به دنگا تصریح کرد: "اگر ما در مورد تلاش برای سرقت وجوه از حساب موسسات اعتباری صحبت کنیم، در سال 2016 نه سازمان مورد حملات مشابه قرار گرفتند." مهاجمان سعی کردند حدود 5 میلیارد روبل سرقت کنند. در همان زمان. آنها موفق شدند دزدی هایی را که در مجموع به حدود 2.8 میلیارد روبل می رسید، متوقف کنند." بدیهی است که اگر دستگیری اعضای Buhtrap، گروهی که به گفته Group-IB دو سوم از سرقت‌های بانک‌ها را تشکیل می‌داد، نبود، بانک‌ها در سال 2016 مبلغ بسیار بیشتری را از دست می‌دادند.

با این حال، مجموع سرقت های سایبری از سازمان های مالی در سال گذشته ممکن است بیشتر باشد. حداقل، طبق برآوردهای Group-IB، در بازه زمانی ژوئن 2015 تا مه 2016، هکرها در نتیجه حملات هدفمند (زمانی که قربانی تصادفی نیست، اما با مهارت انتخاب شده است) 2.5 میلیارد روبل از بانک های روسیه سرقت کردند.

میزان سرقت های سایبری هدفمند از بانک ها بر اساس گزارش Group-IB نسبت به مدت مشابه در سال های 2013-2014 292 درصد افزایش داشته است. (طبق گزارش بانک مرکزی، از ژوئن 2015 تا مه 2016، هکرها 1.37 میلیارد روبل از بانک های روسیه سرقت کرده اند.) مدیر اطلاعات سایبری تاکید می کند: "ما اغلب متهم به اغراق در اعداد هستیم، اما من معتقدم که دست کم می گیریم." گروه گروه-IB دیمیتری ولکوف.

این شرکت هنوز آمارهای جدیدتری برای سال 2017 ندارد، اما جامعه بانکی به طور غیررسمی به دنگا تأیید می کند، اگر نه افزایش در مقدار کالاهای دزدیده شده، پس افزایش تعداد حملات سایبری در سازمان های مالی روسیه. (در عین حال، ممکن است مقدار سرقت در یک زمان کاهش یابد.) "حملات به خاطر پول خود بانک ها بیشتر و بیشتر انجام می شود. این نظر وجود دارد که در چند سال اخیر تعداد حملات وجود دارد. المان مهدی اف، معاون اجرایی انجمن بانک های روسیه (EPIRB) تأیید می کند. و شرکت Positive Technologies که همچنین جرایم سایبری را بررسی می کند، پیش بینی می کند که در سال 2017 حملات هکرها به بانک ها در فدراسیون روسیه 30 درصد افزایش یابد. این همچنین در مورد پردازش، ساختارهای کارگزاری و اپراتورهای انتقال پول نیز صدق می کند - ضرر آنها از سرقت سایبری نیز افزایش می یابد.

به رسمیت شناخته نشد

Metallinvestbank یک استثنای نادر از این قاعده است. او علنا به سرقت و میزان خسارت وارده توسط هکرها اعتراف کرد. بانک بین المللی روسیه و آلتین بانک کازان نیز سرقت های سایبری را گزارش کردند (البته بدون جزئیات). بقیه ترجیح می دهند در مورد ضررهای خود صحبت نکنند.

در همین حال، به عنوان مثال، در ایالات متحده، سازمان های مالی، اگر می خواهند از جریمه های سنگین اجتناب کنند، موظفند نه تنها خسارت هکرها را به رگولاتور گزارش دهند، بلکه آن را به صورت عمومی نیز افشا کنند. بانکداران می گویند در کشور ما، موسسات مالی و اعتباری به دلیل ترس از زیان های بزرگ وجهه و شهرت، چنین اطلاعاتی را به طور گسترده منتشر نکردند (و قانون آنها را ملزم به صراحت نمی کند).

هیچ اطلاعات باز و کاملی در مورد میزان سرقت هکرها از حساب های بانک ها و مشتریان آنها - اشخاص حقیقی یا حقوقی - در روسیه وجود ندارد.

آمارهای مربوط به بانک مرکزی از گزارش بانک‌هایی است که تا سال 1394 عجله‌ای برای در میان گذاشتن اطلاعات محرمانه سرقت‌های سایبری با رگولاتوری نداشتند. کمی بیش از یک سال پیش آنها موظف به انجام این کار بودند. رئیس سابق یکی از بخش‌های وزارت امور داخلی که خواست نامش فاش نشود، می‌گوید: «داده‌های کل بانک مرکزی درباره سرقت‌های سایبری در فدراسیون روسیه تصویری را منعکس نمی‌کند.» خیلی بیشتر از آن چیزی که بانک ها می گویند.» با این حال، این در درجه اول مربوط به سرقت های سایبری از مشتریان سازمان های مالی است. طرفداران دنگ مطمئن هستند که پنهان کردن چنین حملاتی علیه خود از بانک مرکزی به نفع بانک ها نیست. اما انجام این کار کاملا امکان پذیر است.

سرویس مطبوعاتی رگولاتور گفت: «بانک روسیه هنگام تهیه گزارش‌های آماری، از این واقعیت استنباط می‌کند که مؤسسات اعتباری با حسن نیت به گزارش‌دهی می‌پردازند.» در پایان سال 2016، آمار بانک روسیه تقریباً به طور کامل با وزارت امور داخلی مرتبط است. آمار این نوع جرایم.»

بانک ها هدف اصلی هستند

چندین هزار روبل دزدیده شده از کارت شما غنایم موچین است. مجرمان رایانه ای حرفه ای صدها میلیون را در یک زمان «گرفتن» می کنند.

کارشناسانی که با Dengi مصاحبه کرده اند می گویند اگر در سال 2013، هدف اصلی هکرهای با تجربه مشتریان بانکی بودند، اکنون آنها خود مؤسسات مالی هستند. حرفه ای ترین مجرمان سایبری که در شرکت ها آموزش دیده بودند، به بانک ها روی آوردند. در آنجا خطرات و هیجان بیشتر است، تجارت پیچیده تر است، اما جکپات بسیار وسوسه انگیزتر است.

بر اساس گزارش Group-IB، درآمد هکرها از حملات هدفمند به بانک‌ها برای دوره ژوئن 2015 تا مه 2016، «کل درآمد حاصل از سایر روش‌های سرقت را پوشش می‌دهد و بانک‌ها را به جذاب‌ترین هدف تبدیل می‌کند». اگر هکرها در مدت زمان مشخص شده 2.5 میلیارد روبل از بانک ها سرقت کردند، از اشخاص حقوقی - 956 میلیون، از افراد از طریق رایانه های رومیزی - 6.4 میلیون، از آنها، اما از طریق تلفن های هوشمند - 348.6 میلیون.

از اشخاص حقوقی، برای یک سرقت در بانکداری اینترنتی، تقریباً 300 برابر کمتر از بانک ها "دریافت" شد: 480 هزار در مقابل 140 میلیون روبل.

واجد شرایط ترین هکرها - "نخبگان" - با هر دوی آنها کار می کنند. حساب های شهروندان عادی توسط گروه جداگانه ای از کلاهبرداران سایبری پاک می شود - به گفته کارشناسان، این در واقع مشابه موچین های کم مهارت در عصر دیجیتال است. آنها به طور متوسط 51.6 هزار روبل در یک زمان از حساب های بانکی شهروندان از طریق رایانه های شخصی رومیزی و به طور متوسط 4 هزار روبل در یک زمان از طریق تلفن های هوشمند اندرویدی سرقت می کنند (خیلی زیاد نیست، اما دزدی ها در اینجا بسیار بیشتر انجام می شود).

بازار سرقت سایبری روسیه برای سه ماهه دوم 2015 - سه ماهه اول 2016

نوع سرقت	تعداد گروه های هکر	مقدار متوسط یک سرقت، مالش.	مقدار کل سرقت، مالش.	رشد نسبت به دوره قبل %
حملات هدفمند به بانک ها	5	140 میلیون	2.5 میلیارد	292
بانکداری اینترنتی برای اشخاص حقوقی	6	480 هزار	956 میلیون	-50
رایانه های شخصی رومیزی برای افراد	1	51.6 هزار	6.4 میلیون	-83
گوشی های هوشمند اندرویدی برای افراد	11	4 هزار	348.6 میلیون	471
نقدینگی وجوه دزدیده شده			1.7 میلیارد	44
جمع			5.5 میلیارد	44

منبع: Group-IB

هیچکس آسیب ناپذیر نیست

در مجموع، در حال حاضر حدود 570 بانک تجاری در کشور فعالیت می کنند و هکرها به احتمال زیاد همه آنها را مورد بررسی قرار داده اند (از جمله بیش از 300 بانک که در جریان پاکسازی بانک مرکزی بسته شدند). المار نبیگایف، رئیس بخش پاسخگویی به تهدیدات امنیت اطلاعات در Positive Technologies می گوید: «هیچ بانکی وجود ندارد که حمله نکند. الکسی گلنیشچف، مدیر نظارت بر تجارت الکترونیک در آلفا بانک، معتقد است: «همه در معرض حملات هکری قرار دارند. اما تعداد کمی از مردم به یک بانک امن مراجعه می‌کنند که از آنجا برداشت پول دشوار است».

بسیاری از سازمان های مالی، در درجه اول سازمان های منطقه ای، آمادگی ضعیفی برای حملات سایبری ندارند. یکی از مدیران ارشد بخش بانکی که خواست نامش فاش نشود، می‌گوید: «بانک‌ها، به‌ویژه در مناطق، هنوز مطمئن هستند که کلاهبرداران سایبری فقط مشتریانی را که قبلاً پول پرداخت کرده‌اند، از بین می‌برند». به گفته المار نبیگاف، به عنوان یک قاعده، پس از اولین سرقت، بانک ها رویکرد خود را تغییر می دهند. او خاطرنشان می کند: «اکنون تعداد آنها کمتر است. کمتر، تا حدی به این دلیل که بخش عمده ای از بانک های بسته منطقه ای هستند.

"آمادگی بسته به اندازه بانک متفاوت است. بانک های بزرگ آماده حمله هستند، متوسط و کوچک همه چیز نیستند... اما شما هرگز نمی توانید صد در صد برای خیانت در یک سازمان، صرف نظر از اندازه، آماده باشید. المان مهدی اف از ARB اشاره می کند. رومن چاپلیگین، مدیر تحلیل و کنترل ریسک امنیت سایبری در PwC، توجه را به کمبود بودجه جلب می‌کند: «در روسیه، بانک‌های زیادی وجود دارند که منابع مالی کافی برای ایجاد یک سیستم امنیت سایبری در سازمان و دفع حملات را ندارند.»

با این حال، مشکل دیگری وجود دارد. ایلیا ساچکوف، مدیرعامل Group-IB می‌گوید: «بعضی بانک‌ها در روسیه و خارج از کشور اعتقاد ندارند که جرایم رایانه‌ای وجود داشته باشد. حتی در سازمان‌های دولتی معتبر نیز افرادی وجود دارند که به آن اعتقاد ندارند.»

تست های نفوذ به سیستم های اطلاعاتی شرکت ها و بانک ها که در سال 2015 توسط Positive Technologies انجام شد نیز نشان از آمادگی ضعیف موسسات اعتباری برای حملات سایبری دارد. 17 موسسه در روسیه و خارج از کشور بازرسی شدند که یک سوم آنها بانک ها و موسسات مالی بودند.

در 82 درصد سیستم ها امکان ورود به شبکه، در هر ثانیه کنترل منابع حیاتی شرکت و در 28 درصد کنترل کامل بر کل زیرساخت سازمان به دست آمد.

به گفته المار نبیگاف، وضعیت تا به امروز تغییر قابل توجهی نکرده است: "در بخش بانکی، از نقطه نظر امنیتی، همه چیز خیلی خوب نیست. اکثر مهاجمان برای به دست آوردن امتیازات کامل در شبکه مشکلی ندارند. نتایج بررسی های ما. وقایع در بانک ها نشان می دهد که در بیشتر موارد این حملات با به خطر انداختن کامل شبکه و سرقت وجوه ختم شده است.

ضعف بانک ها

به نظر می رسد موسسات وام دهنده در حال سرمایه گذاری در امنیت سایبری هستند. حتی با وجود بحران. رومن چاپلیگین از PwC می گوید: «طبق داده های ما، در سال 2017 بودجه امنیت سایبری در روسیه 18 درصد افزایش یافت.

با این حال، افزایش بودجه همیشه کمکی نمی کند. المار نبیگایف توضیح می‌دهد: «بسیاری از بانک‌ها محدود به سرمایه‌گذاری در امنیت در سطح مطابقت با استانداردها هستند. اگر علامت چک در سند بگذارید، معیار امنیتی مناسبی را خریداری کرده‌اید، پس همه چیز خوب است. اما نمی‌توانید این کار را انجام دهید. فقط سخت افزار بخرید و آن را فراموش کنید، امنیت اطلاعات یک فرآیند است، زیرساخت یک سازمان بانکی در حال تغییر است، مجرمان سایبری ابزارها و الگوهای حمله را به روز می کنند، بنابراین امنیت باید دائماً بهبود یابد.

کسانی که محافظت سایبری را ارائه کردند که کمکی نکرد، خود را در وضعیت بسیار سختی دیدند. ایلیا ساچکوف می گوید: "متاسفانه بسیاری از کارمندان امنیت اطلاعات این مشکل را از مدیریت بانک پنهان کردند و این می تواند تا سال های 2013-2014 ادامه یابد." بیشتر با ما حتی با برخی از بانک ها درگیری هایی پیش آمد که از طریق سیستم نظارت توانستیم جرایم را در مرحله آماده سازی شناسایی کنیم، می دانستیم پول از چه کسانی می تواند سرقت شود، این موضوع را به کارکنان حراست اطلاعات گزارش کردیم. خدمات، اما آنها به هیچ وجه از این اطلاعات استفاده نکردند، می ترسیدند آن را به مدیریت نشان دهند. سرقت."

یکی از مدیران ارشد بخش بانکی که مایل به ناشناس ماندن است، می‌گوید: کسانی که مدیریت بانک برای محافظت سایبری به آنها بودجه اختصاص نداده است، از این دلیل برای سلب مسئولیت استفاده می‌کنند: آنها می‌گویند ما پول خواستیم، اما شما آن را ندادید. . همکار ما مطمئن است: "در بانک هایی که امنیت فناوری اطلاعات بخشی از خدماتی است که از خدمات امنیت فیزیکی بیرون آمده است، این اتفاق اغلب رخ می دهد."

سرگئی گولوانوف، کارشناس برجسته آنتی ویروس در آزمایشگاه کسپرسکی، که در بررسی سرقت های سایبری در سازمان های مالی شرکت داشت، موافق است: "بیشتر اوقات، بانک ها نه با بودجه، بلکه با آگاهی از حوادث مشکل دارند.

اگر بخواهید بیشتر حملات به دلیل حماقت، نادیده گرفتن، تصادف اتفاق می‌افتد. و در همه جای دنیا هم همینطور است.

اگر بانکی به طور رسمی از قانون پیروی کند (به اصطلاح امنیت سایبری کاغذی)، باز هم قربانی یک مهاجم خواهد شد."

المار نبیگایف خاطرنشان می‌کند: «خریدن سیستم‌های گران‌قیمت کافی نیست. برای عملکرد و پیکربندی مؤثر آنها، به پرسنل بسیار ماهر و بسیار گران‌قیمت نیاز است و هر بانکی نمی‌تواند از عهده این کار برآید. و تعداد بسیار کمی از آنها وجود دارد. آنها.»

منبع دنگا در وزارت امور داخله می‌گوید: «تقریباً هیچ عامل یا بازپرسی وجود ندارد که بتواند جنبه فنی پرونده‌ها را درک کند، بلکه در سازمان‌های مجری قانون نیز متخصصان آگاه کمی وجود دارد. قسمت ها و ماهیت آنها را برای دادستان و قاضی توضیح دهید.»

دزد از دزد

آنها صرفاً با استفاده از اطلاعات داخلی، پول را در روسیه از بانک های نقدی که وجوه را می پذیرند و دستورالعمل هایی را برای انتقال آنها دریافت می کنند، سرقت می کنند. دیمیتری ولکوف از Group-IB می‌گوید: «گروه‌هایی از مهاجمان وجود دارند - آنها از یک بانک پول نقد یا فرستنده پول به چنین نامه‌هایی دسترسی پیدا می‌کنند. کلاهبرداران مکاتبات را مشاهده می‌کنند و خودشان این دستورالعمل‌ها را از طریق نامه‌های هک‌شده به بانک ارسال می‌کنند. بانک

به عنوان مثال، امروز پول باید به چین برود - مهاجمان چنین نامه ای را رهگیری می کنند و آن را جایگزین می کنند: بله، چین نیز، اما یک شخص حقوقی متفاوت. و 200 میلیون دلار به شرکت اشتباهی می رود.

آنها نامه ها را کنترل می کنند. بانک می پرسد: "آیا باید آن را دقیقاً آنجا بفرستم؟" هکرها پاسخ می دهند: "بله، وجود دارد." همین. مقدار دزدی در اینجا زیاد است و بسیاری از کارها بر اساس نکات انجام می شود.»

و چه کسی به بانک مرکزی، مشتریان یا شرکای خود اعتراف می کند که پول خاکستری به سرقت رفته است، که یک طرح پولشویی یا پول شویی، اساساً مجرمانه، تحت تأثیر قرار گرفته است؟

چگونه بانک ها سرقت می شوند

آیا کارمندان شما اشتراک یک روزنامه کاغذی یا یک هفته نامه معروف را متوقف کرده اند؟ منتظر هکرها و سارقین باشید.

عامل انسانی

حمله به بانک در درجه اول حمله به شخص است.

اول اینکه، نفوذ مهاجمان به رایانه کارمند بانک مهم است.

از آنجا، دسترسی به شبکه‌های محلی باز می‌شود، هکرها امتیازات مدیر را دریافت می‌کنند که به آنها اجازه می‌دهد تا به سیستم‌های مسئول تراکنش‌های مالی حمله کنند: ایستگاه‌های کاری CBD، شبکه‌های ATM، پایانه‌های بورس اوراق بهادار، تسویه حساب‌های الکترونیکی و نقل و انتقالات بین بانکی، SWIFT و سیستم‌های پردازش. که امکان سرقت وجوه را فراهم می کند.

این دقیقاً همان چیزی است که به احتمال زیاد سرقت در Metallinvestbank رخ داده است: پایانه های پرداخت و شبکه شرکتی در اینجا متحد شدند که به دست هکرها بازی کرد. میخائیل اوکونف می‌گوید: «واقعاً دشوار است که بگوییم نقطه ورود اولیه به سیستم بانکی چه بوده است. اما ما تمام آسیب‌پذیری‌ها را بسته‌ایم و دائماً در حال بهبود در این زمینه هستیم. ما شبکه بانکی مشترک و ماشین‌هایی را که به طور فیزیکی جدا می‌شوند، جدا کرده‌ایم. مسئولیت ارسال هرگونه پرداخت را بر عهده دارند. بانک بازسازی کامل سیستم امنیت اطلاعات را انجام داده است."

هک ایمیل

راه های مختلفی برای نفوذ به رایانه کارمند بانک وجود دارد. رایج ترین آنها از طریق ایمیل است. به کارمندان خاص نامه ای ارسال می شود که حاوی یک سند حاوی یک برنامه مخرب با اصطلاحاً سوء استفاده است. آنها با استفاده از آسیب‌پذیری‌های نرم‌افزار، درب پشتی کامپیوتر کارمند را پیدا می‌کنند. برای اینکه یک فایل مخرب باز شود، مهاجمان آن را از طرف مشتریان بانک یا از بانک مرکزی (همانطور که گروه Buhtrap انجام داد) یا از سازمان های دولتی ارسال می کنند.

نامه را می توان با یک تماس تلفنی نیز تأیید کرد: آنها می گویند، جزئیات قرارداد، گزارش آشتی، آخرین سفارشات را بررسی کنید. و لزوماً نامه ای از یک آدرس جعلی نخواهد بود: هکرها می توانند فایل های آلوده را از آدرس های واقعی اما هک شده ارسال کنند. علاوه بر این، این می تواند یک ایمیل واقعی از طرف شرکا باشد، اما با بدافزار.

مجرمان فرصت‌های بیشتری برای انجام حملات از طریق طرف‌های بانکی متعددی دارند که سیستم‌های دفاعی آنها در برابر تهدیدات سایبری اغلب اصلاً توسعه‌یافته نیست.

رومن چاپلیگین می گوید.

بعد چه اتفاقی می افتد؟ یک کارمند یک سند را باز می کند، به عنوان مثال، در قالب pdf.، و یک برنامه مخرب تعبیه شده در آن بررسی می کند که آیا آسیب پذیری در خواننده وجود دارد یا خیر. آنها اغلب وجود دارند زیرا به روز رسانی هایی که نرم افزار را وصله می کنند به طور منظم انجام نمی شوند. با این حال، به روز رسانی ها نوشدارویی نیستند، آنها فقط خطرات را کاهش می دهند: برنامه ها، به خوشحالی هکرها، دارای آسیب پذیری هایی هستند که برای توسعه دهندگان ناشناخته است.

با استفاده از این آسیب پذیری ها، با استفاده از سوء استفاده های تعبیه شده در سند ارسالی، مجرمان سایبری از درب پشتی وارد رایانه قربانی می شوند. ایلیا ساچکوف می‌گوید: «مهاجم برنامه‌ای را نصب می‌کند که به شما امکان می‌دهد پسوردهای مدیر شبکه را به دست آورید، سپس به رایانه‌های مختلف می‌رود و دسترسی کامل به دست می‌آورد.» «ما موردی را بررسی کردیم که در آن مهاجمان کل شبکه بانکی را تحت کنترل داشتند، سرقت یک مقدار زیادی از یک حساب خبرنگار، که آن‌ها سپس در حساب‌های مختلف پراکنده کردند و آن‌ها را نقد کردند. آنها به سرور پست الکترونیکی، سرورهای اصلی دسترسی داشتند و نحوه واکنش بانک به تحقیقات را مطالعه کردند.»

پستی از طریق روزنامه

یکی دیگر از راه‌های دسترسی به رایانه کارمند بانک، انبوه است، که به گفته کارشناسان، چیزی از گذشته است. کلاهبرداران به اصطلاح کلاهبرداری هایی را در سایت های محبوب، مانند نشریات تجاری و خبری، دایرکتوری های قانونی یا دولتی انجام می دهند. هکرها بدون اطلاع صاحبان خود، برنامه کوچکی را در سایت تعبیه می کنند که همه بازدیدکنندگان را بررسی می کند تا ببیند چه مرورگر، سیستم عامل، فلش پلیر، pdf ریدر، نسخه های به روز رسانی آنها و غیره دارند. دیمیتری ولکوف می‌گوید: میانگین 13 تا 15 درصد بازدیدکنندگان. به هر حال، اکنون این روش، به گفته Group-IB، به طور فعال برای آلوده کردن تروجان ها و سرقت پول از تلفن های هوشمند اندرویدی استفاده می شود. سپس، از طریق درهای پشتی شناسایی شده، برنامه هایی بر روی رایانه بارگذاری می شوند که به ویژه بررسی می کنند که آیا با برنامه های بانکی یا حسابداری ارتباط دارد، چه نوع آنتی ویروسی نصب شده است و غیره. برخی از این رایانه ها ممکن است به بانک ختم شوند.

اما مهاجمان نمی دانند به کدام کامپیوتر ضربه زده اند. برای مقابله با این مشکل، آنها، به عنوان مثال، یک بدافزار اصلاح شده را دانلود کردند که متوجه شد آیا آثاری از کار با برنامه های بانکی یا حسابداری وجود دارد یا خیر. "در برخی موارد کار می کند: اگر خوش شانس باشید،

از هر هزار نفری که هک می شوند، یک نفر کامپیوتر یک حسابدار خواهد بود، آنتی ویروس روی آن بد است و فرصتی برای سرقت پول وجود دارد.

ولکوف توضیح می دهد. هنگامی که صحبت از نفوذ به یک شبکه بانکی می شود، کلاهبرداران اخیراً اغلب با استفاده از ابزارهای کنترل از راه دور قانونی یا رایگان به رایانه نفوذ کرده اند. قبلاً نوشتن تروجان ها ضروری بود ، اکنون سیستم سرقت در بانک ها بسیار خودکار و ارزان تر است ، نفوذ به شبکه بانکی ، خاطرنشان می کند Group-IB ، "نیازی به تجربه خاص یا نرم افزار سخت پیدا نمی کند."

سرقت و پول نقد

به گفته یک منبع در وزارت امور داخلی، مجرمان سایبری بسته به "پاک بودن" پول و پیچیدگی طرح ها، 30 تا 60 درصد از پول سرقت شده را برای پول نقد پرداخت می کنند. اگر مقدار زیاد باشد، پول پراکنده می شود: فرض کنید، یک پروژه به اصطلاح حقوق و دستمزد از قبل خریداری می شود، زمانی که 50 میلیون روبل از طریق یک شخص حقوقی به 50 کارت بانکی منتقل می شود.

یا پول مثلا به دو هزار کیف کیف و 100 هزار سیم کارت و از آنها به کارت های بانکی سرازیر می شود. برای برداشت پول، افرادی را استخدام می کنند که باید در دستگاه های خودپرداز «مشاهده شوند». حدود 5 درصد از آنچه برداشت شده است به آنها پرداخت می شود.

در صورت نیاز به دریافت یکباره مقدار زیادی، فرد با مدارک تایید شده مدیر یک شرکت پوسته به شعبه بانک فرستاده می شود و همه چیز را از طریق صندوق دریافت می کند. هنگامی که گروه های نقدینگی از هم می پاشند یا زیر پا می روند، سرقت ها به طور موقت متوقف می شود. با این حال، المار نبیگایف می‌گوید: با این حال، می‌توانید در هر جایی پول نقد کنید: هکرها با موفقیت از حساب‌های خارجی استفاده می‌کنند.

حمله به خودپرداز

فناوری های جدید در حال تغییر این طرح هستند. با نفوذ به شبکه یک بانک می توانید از دستگاه های خودپرداز پول بدزدید. Nabigaev می‌گوید: «اکنون هکرها به شبکه شرکتی بانک نفوذ می‌کنند، شبکه خودپرداز را پیدا می‌کنند، یعنی به رایانه‌های کارکنانی که به این دستگاه‌های خودپرداز سرویس می‌دهند نفوذ می‌کنند و بدافزار را در دستگاه‌های خودپرداز دانلود می‌کنند». همدستان پول نقد هکرها به دستگاه های خودپرداز نزدیک می شوند و هکر از راه دور به دستگاه دستور می دهد که پول نقد را توزیع کند. او گفت که این طرح سرقت پول در حال محبوبیت است. مواردی از این دست سرقت ها در رسانه ها منتشر شد اما میزان سرقت ها و صاحبان دستگاه های خودپرداز مشخص نشد.

این طرح برای هکرها مناسب است زیرا تعداد کمی از صندوق‌داران به آنها اجازه می‌دهد تا بسیاری از دستگاه‌های خودپرداز را سرقت کنند. نبیگاف می‌گوید: «بانک‌ها ممکن است فوراً متوجه این موضوع نشوند، زیرا جمع‌آوری دستگاه‌های خودپرداز روزانه نیست، و سیستم‌های بانکی ممکن است گزارش دهند که هنوز پول در دستگاه‌های خودپرداز وجود دارد. ممکن است یک هفته طول بکشد تا معلوم شود که پول به سرقت رفته است. یافتن مجرمان دشوار است، زیرا زمان از دست رفته است و آثار جنایت آنها معمولاً پنهان می شود - به عنوان مثال، هکرها دوربین های خودپرداز را خاموش می کنند.

با نفوذ به سیستم کامپیوتری یک سازمان مالی، در ژوئیه 2016، گروهی از جوانان نقابدار به 34 دستگاه خودپرداز یکی از بزرگترین بانک های تایوانی، First Bank حمله کردند و 83.27 میلیون دلار تایوان (بیش از 2 میلیون دلار) را با خود بردند.

در ماه اوت، 12 میلیون بات (حدود 350 هزار دلار) از 21 دستگاه خودپرداز بانک های پس انداز دولتی در تایلند با استفاده از یک طرح مشابه به سرقت رفت. در سپتامبر، حملات مشابه، یادداشت‌های Group-IB، در اروپا ثبت شد، اما علنی نشد.

"مراحل سرقت سایبری پول از بانک ها"

صحنه	روش عمل
نفوذ	ایمیل اصلی ارسال یک ایمیل فیشینگ به همراه یک پیوست به شکل یک سند با یک اکسپلویت/ماکرو، یک فایل اجرایی، یا یک آرشیو محافظت شده با رمز عبور با یک فایل اجرایی است. می توانید با استفاده از ابزارهای آماده، یک پیوست با یک اکسپلویت ایجاد کنید. برای ارسال فایل اجرایی به ابزار خاصی نیاز نیست.
دسترسی از راه دور	پس از عفونت موفقیت آمیز، همه گروه ها از ابزارهای مختلف کنترل از راه دور استفاده می کنند. به طور معمول، این ابزارهای قانونی و رایگان هستند.
کسب امتیازات	مهاجمان با دسترسی از راه دور به شبکه بانک، اغلب از ابزار رایگانی استفاده می‌کنند که به آنها اجازه می‌دهد لاگین و رمز عبور را به صورت متنی واضح از رم رایانه آلوده استخراج کنند. کد منبع این ابزار بدون محدودیت در دسترس همه است.
جستجو برای اهداف	با داشتن امتیازات سرپرست دامنه، کلاهبرداران شروع به کاوش در شبکه داخلی بانک در جستجوی سیستم های مورد علاقه می کنند. اهداف ممکن است شامل سیستم های انتقال بین بانکی، سیستم های انتقال فوری برای افراد، شبکه های مدیریت خودپرداز، درگاه های پرداخت و پردازش کارت باشد. جستجو به صورت دستی انجام می شود و به ابزار خاصی نیاز ندارد.
کار با سیستم های هدف	با کشف سیستم های مورد علاقه، مهاجمان با استفاده از ابزارهای کنترل از راه دور مشابه، اقدامات اپراتورهای قانونی را نظارت می کنند تا متعاقباً مراحل خود را تکرار کنند و پول را به حساب های کنترل شده ارسال کنند. گروه‌های پیشرفته‌تر از ابزارهای آماده برای اصلاح اسناد پرداخت استفاده می‌کنند - اسکریپت‌های ساده یا فایل‌های اجرایی که کار اسکریپت‌هایی را تکرار می‌کنند که تولید پرداخت‌های جعلی را خودکار می‌کنند.
نقدینگی	اگر پنج مرحله اول برای بسیاری از هکرها قابل دسترسی است و هر یک از آنها می توانند با حداقل هزینه پیاده سازی شوند، برای نقد کردن مقادیر زیادی پول به افراد با تجربه و منابع نیاز دارید. بنابراین، هنگامی که گروه های حرفه ای درگیر در نقدینگی متلاشی می شوند یا به ته می روند، دزدی متوقف می شود.

بهار امسال، دو تن از سازمان دهندگان گروه هکری کاربرپ به پنج و هشت سال زندان محکوم شدند. بیش از هزار شهروند روسیه قربانی آنها شدند و مجموع دزدی ها به حدود 10 میلیون دلار رسید، علیرغم اینکه همه قسمت ها قابل اثبات نبود. هکرها با استفاده از تروجان بانکی Carberp یک بات نت ایجاد کردند که 72 درصد از آلودگی موسسات مالی در جهان را به خود اختصاص می دهد. این ویروس هنگام بازدید از سایت های آلوده، از جمله درگاه های مالی محبوب، وارد رایانه های کاربران شد. یک برنامه لودر ویژه نوع سیستم بانکداری از راه دور مورد استفاده در رایانه را تعیین کرد و ماژول ویروس مناسب را انتخاب کرد.

اگرچه سازمان دهندگان این گروه دستگیر و تحت تعقیب قرار گرفتند، کد منبع مخرب کارپرپ به صورت عمومی در اینترنت منتشر شد و تغییرات مختلفی از آن در حال حاضر برای بانک های اروپا و آمریکای لاتین ظاهر می شود.

خدمات بانکداری از راه دور (RBS) جذاب ترین هدف برای حمله هکرها است. آنها با دقت بانک هایی را انتخاب می کنند که گردش مالی زیادی در بانکداری از راه دور دارند و به سیستم آنها حمله می کنند.

طبق گزارش Group-IB ، روزانه حدود 28 سرقت در بانک های روسیه انجام می شود که میانگین سرقت از اشخاص حقوقی به 1.6 میلیون روبل و از افراد - 75000 روبل می رسد.

زمانی که کلیدهای امضای الکترونیکی روی درایوهای فلش یا رایانه ذخیره می شدند، سرقت ها آنی و بسیار ساده بودند. سپس بانک ها شروع به تغییر به توکن ها کردند - کلیدهای USB فشرده که برای مجوز کاربر و دسترسی ایمن از راه دور به داده ها خدمت می کنند. اما آنها به یک دارو تبدیل نشدند - توسعه دهندگان گروه هکر Carberp زمان زیادی را برای ایجاد یک ویروس مناسب برای دور زدن سیستم امنیتی و جایگزینی بی سر و صدا جزئیات یک دستور پرداخت قانونی نگرفتند.

بانک‌ها در تلاش برای محافظت از مشتریان خود، شروع به معرفی رمزهای یک‌بار مصرف کردند که از طریق پیامک برای صاحب کارت یا حساب ارسال می‌شوند، اما مهاجمان با موفقیت با آنها با صفحات مهندسی اجتماعی و فیشینگ مشابه صفحات واقعی بانک‌های آنلاین مقابله می‌کنند. این رمزهای یکبار مصرف پیامکی بود که باعث بروز حادثه اخیر با سیستم بانکی از راه دور یک بانک بزرگ روسی شد. کلاهبرداران به سادگی به حساب های شخصی مشترکان در وب سایت های اپراتورهای تلفن همراه هک کرده و یک سرویس ارسال پیامک راه اندازی کردند. با هدایت پیامک های مشتریان به شماره آنها، آنها به حساب های بانکی آنلاین خود دسترسی پیدا کردند و وجوه را به حساب های Dummies - مشتریان بانکی منتقل کردند.

در مورد سرقت هایی که توسط کارمندان شرکت انجام می شود، این طرح بسیار ساده است: مهاجم پول نقد را برداشت می کند، رایانه را با ویروس آلوده می کند و سرقت را به گردن یک ویروس می اندازد.

وجود تعداد زیادی خدمات نقدی در روسیه بخش اقتصادی جرم را تا حد زیادی تسهیل می کند. با این حال، بررسی چنین حوادثی برای یک متخصص بسیار ساده است - معمولاً حتی معاینه اولیه عدم وجود ویروس بانکی را مشخص می کند و اگر وجود داشته باشد، مشخص می شود که از آن استفاده نشده است.

جهت اصلی محافظت در برابر کلاهبرداری در بانکداری از راه دور امروزه ایجاد سیستم هایی است که قادر به تشخیص آلوده بودن ایستگاه کاری مشتری و عملیات در حال انجام یک حمله هکری است.

در دو سال گذشته، بخش راه حل های کلاس TrustScreen نیز بسیار فعال در روسیه توسعه یافته است. آنها به شما امکان می دهند جزئیات سفارش پرداخت را روی صفحه دستگاهی که بین ایستگاه کاری و توکن نصب شده است نمایش دهید و عملیات امضا را تا زمانی که مشتری صحت آنها را تأیید کند و دکمه تأیید را فشار دهد مسدود می کند. این معماری به کاربر قانونی اجازه نمی دهد بدون توجه به هیچ سندی در سیستم بانکداری اینترنتی جایگزین کند. در غرب، چندین سال است که از راه حل هایی با عملکرد مشابه استفاده می شود و خود را به خوبی ثابت کرده است.

اگر چه اگر بی توجهی و ساده لوحی بسیاری از کاربران سیستم های بانکداری از راه دور را در نظر بگیریم، بانک ها همچنان از محافظت 100 درصدی در برابر حملات برخوردار نیستند. کار هکرها روز به روز پیچیده‌تر می‌شود؛ نه تنها از ابزارهای فنی در همه جا استفاده می‌شود، بلکه از مهندسی اجتماعی نیز استفاده می‌شود. علاوه بر این، ممکن است داده ها بدون تقصیر بانک به سرقت رفته باشد، اما همچنان متحمل ضرر خواهد شد. بنابراین، در ایالات متحده، هکرها اطلاعات کارت های پلاستیکی تقریباً 70 میلیون مشتری را از زنجیره خرده فروشی آمریکایی Target سرقت کردند و بانک ها مجبور شدند برای انتشار مجدد آنها 200 میلیون دلار هزینه کنند. با این حال، با رویکرد صحیح به فرآیند، کاهش خطرات تا حد قابل قبول و ساخت سیستمی که در صورت حمله، به بررسی سریع حادثه و به حداقل رساندن آسیب ناشی از آن کمک کند، نسبتاً آسان است.

بانک ها موانع نسبتاً مؤثری برای محافظت در برابر حملات خارجی ایجاد کرده اند، اما آماده مقاومت در برابر متخلفان در شبکه داخلی نیستند. مهاجمان با غلبه بر محیط با استفاده از مهندسی اجتماعی، آسیب‌پذیری‌های برنامه‌های وب یا اینسایدرها، خود را در محیطی راحت می‌بینند که سطح امنیت آن هیچ تفاوتی با شرکت‌های دیگر مناطق ندارد.

متخصصان فناوری های مثبت با دسترسی به شبکه داخلی بانک توانستند در 58 درصد موارد به اپلیکیشن های مالی دسترسی پیدا کنند. در 25 درصد بانک‌ها، گره‌هایی که دستگاه‌های خودپرداز از آن‌ها کنترل می‌شوند به خطر افتاده است، به این معنی که پیروان گروه Cobalt با استفاده از روش‌های هک مشابه می‌توانند از این بانک‌ها پول برداشت کنند. انتقال وجه به حساب های شخصی شما از طریق سیستم های انتقال بین بانکی که توسط گروه های Lazarus و MoneyTaker هدف گذاری شده اند، در 17 درصد بانک ها امکان پذیر است.

در 17 درصد از بانک‌ها، سیستم‌های پردازش کارت به اندازه کافی محافظت نمی‌شوند، که به مهاجمان اجازه می‌دهد تا موجودی حساب‌های کارت خود را دستکاری کنند، همانطور که در اوایل سال 2017 در حملات به بانک‌ها در اروپای شرقی شاهد بودیم. گروه Carbanak که به دلیل توانایی خود در انجام موفقیت آمیز حملات به هر برنامه بانکی متمایز است، می تواند وجوه بیش از نیمی از بانک های آزمایش شده توسط کارشناسان را سرقت کند. به طور متوسط، مهاجمی که به شبکه داخلی بانک نفوذ کرده است، تنها به چهار مرحله برای دسترسی به سیستم های بانک نیاز دارد.

این گزارش خاطرنشان می کند که سطح حفاظت از محیط شبکه در بانک ها به طور قابل توجهی بالاتر از سایر شرکت ها است: طی سه سال، به عنوان بخشی از آزمایش نفوذ خارجی، دسترسی به شبکه داخلی در 58 درصد سیستم ها به دست آمد و برای بانک ها این رقم فقط 22 درصد با این حال، با توجه به انگیزه مالی بالای مهاجمان و عدم تمرین در بسیاری از بانک ها برای تجزیه و تحلیل امنیت کد سرویس آنلاین در مراحل طراحی و توسعه، این سطح بسیار دور از ایده آل است. در طول تست‌های نفوذ، در همه موارد، دسترسی با آسیب‌پذیری در برنامه‌های کاربردی وب تسهیل شد (از روش‌های مهندسی اجتماعی استفاده نشد). چنین روش های نفوذ در فعالیت های خود، به عنوان مثال، توسط گروه ATMitch و Lazarus استفاده شد.

دسترسی از راه دور و رابط های مدیریتی که اغلب برای هر کاربر خارجی قابل دسترسی است نیز خطر بزرگی برای بانک ها به همراه دارد. از جمله رایج ترین پروتکل های SSH و Telnet هستند که در محیط شبکه بیش از نیمی از بانک ها یافت می شوند و همچنین پروتکل های دسترسی برای سرورهای فایل (در 42٪ از بانک ها).

اما ضعیف ترین حلقه کارمندان بانک هستند. مهاجمان به راحتی با استفاده از یک روش ساده و موثر - فیشینگ، که بدافزار را به شبکه شرکت می‌رساند، سیستم‌های حفاظت محیطی شبکه را دور می‌زنند. ایمیل های فیشینگ هم در محل کار و هم به آدرس شخصی برای کارمندان بانک ارسال می شود. این روش برای غلبه بر محیط تقریباً توسط هر گروه جنایتکاری از جمله Cobalt، Lazarus، Carbanak، Metel، GCMAN استفاده شد. به گفته Positive Technologies، به طور متوسط حدود 8 درصد از کاربران در بانک ها روی پیوند فیشینگ کلیک کرده و 2 درصد یک فایل پیوست را راه اندازی می کنند. این مطالعه همچنین نمونه‌هایی از تبلیغات را از انجمن‌های هکر ارائه می‌دهد که خدمات مهاجمان داخلی در بانک‌ها را ارائه می‌دهند. به گفته کارشناسان، در برخی موارد، برای یک حمله موفقیت آمیز، امتیازات یک کارمند تنها با دسترسی فیزیکی به خروجی های شبکه (نظافتچی، نگهبان) کافی است. یکی دیگر از گزینه‌های انتشار اولیه بدافزار، هک کردن شرکت‌های شخص ثالثی است که در حفاظت از منابع خود جدی نیستند و سایت‌هایی را که اغلب کارمندان بانک هدف از آنها بازدید می‌کنند، آلوده می‌کنند، مانند مورد Lazarus و Lurk.

هنگامی که مجرمان به شبکه محلی بانک دسترسی پیدا کردند، برای توسعه بیشتر حمله باید امتیازات مدیر محلی را در رایانه ها و سرورهای کارمندان به دست آورند. بردارهای حمله معمولی مبتنی بر دو نقص اصلی هستند - سیاست های رمز عبور ضعیف و محافظت ناکافی در برابر بازیابی رمزهای عبور از حافظه سیستم عامل.

اگر تقریباً در نیمی از بانک ها رمزهای عبور فرهنگ لغت پیرامونی شبکه یافت می شود، در شبکه داخلی هر سیستم مورد مطالعه از یک خط مشی رمز عبور ضعیف رنج می برد. تقریباً در نیمی از سیستم‌ها، گذرواژه‌های ضعیف توسط کاربران تنظیم می‌شوند، اما حتی بیشتر اوقات با حساب‌های استانداردی مواجه می‌شویم که مدیران هنگام نصب DBMS، سرورهای وب، سیستم‌عامل یا هنگام ایجاد حساب‌های سرویس از آن‌ها خارج می‌شوند. یک چهارم بانک ها رمز عبور را روی P@ssw0rd قرار می دهند؛ رمزهای عبور رایج شامل admin، ترکیباتی مانند Qwerty123، رمزهای خالی و استاندارد (مثلاً sa یا postgres) است.

در داخل شبکه، مهاجمان با استفاده از آسیب‌پذیری‌های شناخته‌شده و نرم‌افزار قانونی که باعث ایجاد شک در مدیران نمی‌شود، آزادانه و بدون شناسایی حرکت می‌کنند. مهاجمان با بهره گیری از نقایص امنیتی در شبکه شرکتی، کنترل کاملی بر کل زیرساخت بانک در مدت زمان کوتاهی به دست می آورند.

اکاترینا کیلیوشوا، تحلیلگر Positive Technologies می گوید: "شما باید درک کنید که اگر حمله به موقع شناسایی و متوقف شود، مهاجم نمی تواند به هدف خود دست یابد و پول سرقت کند، و این در هر مرحله ممکن است اگر اقدامات حفاظتی مناسب انجام شود." . - لازم است پیوست های ایمیل را در یک محیط ایزوله و بدون تکیه بر راه حل های آنتی ویروس نصب شده در ایستگاه های کاری کاربر اسکن کنید. دریافت به موقع اعلان‌ها از سیستم‌های امنیتی و پاسخ فوری به آنها با استفاده از نظارت مستمر رویدادهای امنیتی توسط یک واحد SOC داخلی یا خارجی و همچنین راه‌حل‌های SIEM که می‌تواند به طور قابل توجهی کارایی پردازش اطلاعات را تسهیل و افزایش دهد بسیار مهم است. رویدادهای امنیتی.»