Diebstahlsysteme in den RBS-Systemen und fünf Stufen der Gegenwirkung

Published on July 09, 2018

Diebstahlsysteme in den RBS-Systemen und fünf Stufen der Gegenwirkung

    Bild

    Im Mai dieses Jahres verhaftete die K-Abteilung des Innenministeriums Russlands mit Unterstützung der Gruppe IB einen 32-jährigen Einwohner der Region Wolgograd, der beschuldigt wurde, Geld von Kunden russischer Banken mit einer gefälschten Internet-Banking-Anwendung, die sich als Android-Malware erwies, unterschlagen zu haben. -Troyan Jeden Tag stahlen die Benutzer mit ihrer Hilfe zwischen 100.000 und 500.000 Rubel, und ein Teil des gestohlenen Geldes wurde in die Kryptowährung transferiert, um weitere Betrügereien auszahlen und betrügerische Aktivitäten zu verbergen.

    Bei der Analyse der „digitalen Spuren“ der begangenen Diebstähle stellten die Spezialisten der Gruppe IB fest, dass der im Strafverfahren eingesetzte Bank-Trojaner als Finanzanwendung „Banken in der Hand“ getarnt wurde, die als „Aggregator“ für mobile Geräte fungiert
    führende Banken des Landes. Es war möglich, alle Ihre Bankkarten in die Anwendung zu laden, um sie nicht bei sich zu tragen, sondern gleichzeitig die für jede Transaktion eingehenden SMS-Salden einsehen zu können, Geld von Karte zu Karte zu überweisen, Online-Services zu bezahlen und in Online-Shops zu kaufen .

    Interessiert an den Fähigkeiten des Finanzaggregators haben Bankkunden die Banks in der Palm-App heruntergeladen und ihre Kartendaten eingegeben. Der gestartete Trojaner hat Daten von Bankkarten oder Anmeldungen / Passwörtern zur Eingabe der Internetbank auf dem Server an Angreifer gesendet. Danach überführten die Kriminellen Geld in Höhe von 12.000 bis 30.000 Rubel auf vorbereitete Bankkonten. für eine Überweisung durch Eingabe des SMS-Bestätigungscodes der vom Telefon des Opfers abgefangenen Operation. Die Benutzer selbst ahnten nicht, dass sie Opfer von Cyberkriminellen waren - alle SMS-Transaktionsbestätigungen wurden gesperrt.

    Text: Pavel Krylov, Leiter Produktentwicklung,
    Secure Bank Group-IB

    Im Moment ist der "Markt" der Android-Trojaner für Banken der dynamischste und am schnellsten wachsende Markt. Laut dem Group-IB-Bericht für 2017 ist der Schaden durch Malware unter Android OS in Russland im Vergleich zum vorherigen Berichtszeitraum um 136% gestiegen - er belief sich auf 13,7 Mio. USD und deckt den Schaden von Trojanern für Personal Computer um 30% ab.
    Das Grundschema des Diebstahls durch RB , warum Anti - Virus nicht funktioniert

    Gruppe-IB CSU sieben gemeinsame Diebstahl Systeme sind , die Remote - Banking - Systeme in Angriffen auf Cyber - Kriminellen verwendet werden:

    1) Social Engineering;
    2) Überweisungen von Karte zu Karte;
    3) Überweisungen durch Online-Banking;
    4) Abhören des Zugangs zum Mobile Banking;
    5) falsches mobiles Banking;
    6) Einkäufe mit Apple Pay und Google Pay;
    7) Diebstahl durch SMS-Banking.

    Die üblichen Mittel des Virenschutzes sind gegen solche Diebstahlsysteme praktisch unbrauchbar. Im Falle des Einsatzes von Social Engineering glaubte der Antivirus nicht, wenn ein Kunde "an den Köder" gefangen war und dem Betrüger unabhängig Geld auf sein Konto überwiesen hatte (d. H. Die Person selbst "hackte"), oder wenn das Opfer Details von einem externen Gerät erpresst hilfe

    Die letzte Schutzschicht - Betrugsbekämpfung. Die meisten Betrugsbekämpfungssysteme konzentrieren sich auf die Analyse von Transaktionsinformationen oder Daten, die direkt an die Server der Bank gehen (IP-Adresse des Kunden, Informationen zu seinem Browser, Arbeitsgeschwindigkeit in einer Web- oder mobilen Anwendung usw.). Wenn wir davon ausgehen, dass Betrug als solcher ein Prozess ist, der nicht nur den Zeitpunkt der Transaktion, sondern auch die Vorbereitungsschritte und
    Durch den Abzug von Geldern wird offensichtlich, dass transaktionale Betrugsbekämpfungssysteme nur eine begrenzte Anzahl von Betrügern "schließen".

    Gartner-Analysten identifizieren fünf Stufen der Betrugsprävention. Wir analysieren und analysieren jede davon detailliert:

    1) Analyse des Benutzergeräts (infizierte Geräte, Geräteidentifikation);
    2) Überwachen von Benutzeraktionen auf Sitzungsebene (Anomalien in der Arbeit des Benutzers: Navigation, Zeit, Geografie);
    3) Verhaltensanalyse des Benutzers in einem bestimmten Kanal (welche Aktionen werden im Kanal ausgeführt? Wie (Verhalten)? Wer legt sie fest?);
    4) Kanalübergreifende Analyse der Benutzer und ihres Verhaltens (Analyse des Benutzerverhaltens in verschiedenen Kanälen, Datenkorrelation);
    5) Analyse der Beziehung zwischen Benutzern und Konten (Verhalten auf verschiedenen Ressourcen, globales Profil des Kunden).

    Erste Ebene: Wir analysieren das Gerät des Benutzers


    Diese Betrugspräventionsebene umfasst alle Client-Protection-Technologien (Endpoint Protection-Technologien), z. B. Antivirus-Programme, Token zur Erzeugung elektronischer Signaturen, Zwei-Faktor-Authentifizierungstools, zusätzliche Geräteidentifikationstools usw. Diese Stufe umfasst auch biometrische Identifizierungsmethoden mittels Sprache, Fingerabdruck oder Gesicht.

    Eines der deutlichsten Beispiele für Angriffe auf RBS-Systeme war die Aktivität der Lurk-Gruppe, die am Ende ihrer „Karriere“ im Jahr 2016 ein ziemlich beeindruckendes Ausmaß erreichte: rund 50 Personen arbeiteten dafür. Beginnend mit avtozaliva für Desktop-Versionen von Remote Banking (Thick Client) implementierte sie Ende 2014 diese Diebstahlmethode für Internetbanken (Thin Clients, die keine Installation auf dem Benutzer-PC erfordern), wodurch der Anwendungsbereich erheblich erweitert wurde Gruppierungsaktivitäten. Der Kunde hat mit den gleichen Angaben des Begünstigten eine Zahlung geleistet, die jedoch bereits bei der Bank mit den Angaben zum Trojaner-Programm eingegangen ist. Viele Experten erkennen diese Art von Angriffen immer noch als die gefährlichste an, da Sie ihr Verhalten und ihre Daten auf dünnster Ebene direkt vom Clientgerät aus manipulieren können. Wie ist das passiert?

    Der Trojaner wurde direkt in den Browser des Kunden eingeblendet und änderte seinen Code im Speicher. Dadurch konnte der Kunde die offizielle Website der Bank besuchen, um die ursprünglichen HTML-Seiten auf die für den Betrüger notwendige Weise abzufangen und zu modifizieren, selbst wenn eine HTTPS-Verbindung verwendet wurde.

    In fig. 1 zeigt ein Beispiel für eine schädliche Injektion, die ein Trojaner dem Seitencode hinzugefügt hat. Graue Linien sind die URLs, über die das Skript mit den Befehlsservern des Betrügers interagierte. Hier wurden Anmeldungen / Passwörter, Salden und andere Informationen gesendet und die Zahlungsdetails des Scams als Antwort gesendet, um die ursprüngliche Clientzahlung zu ersetzen.

    Bild
    Abb. 1 Skript, das von einem Trojaner auf der ursprünglichen Internetbankseite im Browser des Kunden eingeführt wurde.

    Eine weniger raffinierte, aber effektive Methode, um Geld zu stehlen, ist die Fernsteuerung eines Clientgeräts (Abbildung 2). Nach automatisierter Erfassung mit dem Keylogger-Programm (wörtlich "Key Interceptor") alle erforderlichen Anmeldungen / Passwörter, PINs von Tokens usw. Der Betrüger stellt über die Fernbedienung eine Verbindung zum Clientgerät her (Abb. 3) und erstellt eine betrügerische Zahlung direkt vom Clientgerät aus und in seinem Namen.

    Bild
    Abb.
    Abbildung 2. Beispiel einer mit einem Ranbayas-Trojaner infizierten Computerschnittstelle

    Bild
    . 3. Implementieren eines VNC-Fernsteuerungsprogramms im Explorer

    Welche Technologien zur Betrugsprävention gibt es also auf der ersten Ebene? Zuallererst diejenigen, mit denen Sie die Fernsteuerung beim Arbeiten in RBS-Systemen mit mehreren unabhängigen Methoden effektiv erkennen können. Sie müssen jedoch keine zusätzliche Software auf dem Clientgerät installieren.

    Zu der Kategorie der Technologien auf der ersten Ebene gehören auch die Technologien und Lösungen, mit denen das Gerät und der Benutzer identifiziert werden. Auf diese Weise können Sie Informationen zu den Geräten sammeln und analysieren, die von einem bestimmten Client verwendet werden (links in Abb. 4 ist ein Ausschnitt des Diagramms der Beziehung zwischen den Konten und den von ihnen verwendeten Geräten). Beispielsweise ist das Erscheinen eines unbekannten Geräts in einem uns bekannten Client ein wichtiger Faktor für die Entscheidung, die Zahlung auszusetzen und zusätzliche Kontrollverfahren durchzuführen.

    Bild
    Fig.4. Grafische Links zwischen Konten

    In fig. Abbildung 4 rechts zeigt ein weiteres Beispiel für die Identifizierung eines Geräts zur proaktiven Erkennung von für Geldwäsche bestimmten juristischen Personen. In diesem Beispiel haben Mitarbeiter der Bank anhand einer Finanzanalyse ein Unternehmen identifiziert, das an der Geldwäsche beteiligt war (der untere Teil des Diagramms rechts). Zusätzlich können Sie anhand der Kennung der juristischen Person die Kennungen der verwendeten Geräte abrufen (Mitte der rechten Spalte). Und dann alle anderen Konten, die von den gleichen Geräten (dem oberen Teil der rechten Spalte) verwendet wurden und von denen aus der identifizierte "Wäscher" arbeitete. Es fügt sich sehr gut in die Arbeit der Betrüger ein. Ein Betrüger hat immer Unternehmen auf Lager, die noch nicht zur Geldwäsche verwendet wurden. Die Bank sollte sich auf die Geschäftstätigkeit der identifizierten juristischen Personen konzentrieren.

    Zweite Ebene: Wir überwachen Benutzeraktionen


    Auf dieser Ebene wird analysiert, was eine Person während einer Sitzung in einem Remote-Banking-System oder einem anderen System direkt macht. Auf dieser Ebene können wir ein ungewöhnliches Benutzerverhalten oder typische Szenarien des Betrügers erkennen. Insbesondere ermöglicht eine solche Analyse bereits eine effizientere Erkennung von Betrug mithilfe von Social Engineering (d. H. Wenn ein Betrüger die Leichtgläubigkeit, Nachlässigkeit oder Unkenntnis des Benutzers verwendet, um Informationen von ihm zu locken oder ihn zu zwingen, dem Betrüger vorteilhafte Maßnahmen zu ergreifen).

    Ein häufiger Fall ist beispielsweise das Anlocken von Kartendetails und SMS-Codes beim Kauf teurer Waren über beliebte Anzeigenseiten unter dem Vorwand einer Einzahlung. Tatsächlich verwendet der Betrüger diese Daten, um das Registrierungsverfahren in der RBS zu durchlaufen und Zugang zu den Konten des Opfers zu erhalten. Ein reales Beispiel für ein solches Szenario ist in Abb. 4 dargestellt. 5.

    Bild
    Abb. 5. Bestehen des Anmeldeverfahrens für Betrüger in der RBS und Zugang zu den Konten des Opfers.

    Durch die Analyse der vom Benutzer in der RBS ausgeführten Schrittfolge können Sie das oben beschriebene Szenario identifizieren. Dieser Prozess berücksichtigt die Ergebnisse der Arbeit der First-Level-Technologien (Analyse des Benutzergeräts): Welches Gerät verwendet wurde, ist es typisch für den Kunden, hat sich die Geografie geändert; Die Sitzungszeit wird berücksichtigt und zusätzlich das Skript, das der Betrüger verwendet.

    Dies gilt auch für andere Betrugsprogramme. Bei Verwendung einer ähnlichen Methode werden beispielsweise einige Arbeitsszenarien für "Waschmaschinen" identifiziert. Es ist klar, dass nur durch Verhaltensmerkmale nicht von allen Fällen der Geldwäsche weit entfernt werden kann. Wenn ein Unternehmen beispielsweise im Transitgeschäft tätig ist, reicht eine Verhaltensanalyse - was eine Person im Internet-Banking durchführt - nicht aus, um zu verstehen, ob es sich um eine Transitzahlung oder eine Standardzahlung handelt. In den meisten Fällen wird jedoch immer noch klargestellt, dass etwas Ungewöhnliches passiert und diese Aktivität höchstwahrscheinlich betrügerisch ist.

    Bild
    Abb. 6. Vorbereitung auf die Umsetzung des betrügerischen Systems: Eintritt von mehr als 100 juristischen Personen mit der Aufforderung zur Ausstellung einer Bankkarte.

    Also auf fig. 6 auf der rechten Seite ist ein Beispiel, wenn ein Gerät unter mehr als hundert Konten juristischer Personen erfasst wurde. Die einzige Aktivität bestand darin, eine Bankkarte anzufordern und das Limit zu erweitern. Wie später bestätigt wurde, wurde die Basis für Karten zur Geldwäsche auf diese Weise vorbereitet. Das Problem der Bots kann auch der zweiten Ebene zugeschrieben werden. Wenn der Kunde über kein Bots-Schutzsystem verfügt, führen in der Regel sehr einfache Bots (direkt zur API) alle erforderlichen Aktionen (Brutforce, Kennwortprüfung) aus, wobei die Webanwendung der Bank umgangen wird. Es gibt jedoch mehr „intelligente“ Bots, mit denen Betrüger die Anti-Bot-Abwehr umgehen.

    Solche Bots ahmen die Arbeit des Benutzers nach. Hierfür werden häufig Botnetze verwendet. Das heißt, die Arbeit der Bots wird verteilt und nicht auf ein bestimmtes Hosting konzentriert. Solche Bots werden anhand der Szenarien ihrer Arbeit an den Standorten und der Art der Aktion identifiziert. Dies führt uns reibungslos zur dritten Ebene.

    Die dritte Ebene: Analysieren Sie das Verhalten des Benutzers in einem bestimmten Kanal


    Wenn wir auf der zweiten Ebene analysieren, was der Benutzer im System macht, wird auf der dritten Ebene zusätzlich analysiert, wie der Benutzer bestimmte Aktionen ausführt. Lassen Sie uns dies an einem echten Beispiel zeigen (Abb. 7).

    Bild
    Fig.7. Vergleich der Arbeit im System eines legalen Benutzers und eines Betrügers: Identifizierung ungewöhnlicher und verdächtiger Handlungen

    Im oberen Teil der Abbildung ist die Reihenfolge der Aktionen eines legalen Benutzers sichtbar. Das heißt, er betritt die Seite für den Zugriff auf das RBS-System, gibt über die obere Zifferntastatur Login und Passwort ein und drückt dann auf "Login". Im unteren Teil der Abbildung befindet sich eine typische Version eines Betrügers, der Benutzernamen und Passwörter auf eine bestimmte Art und Weise sammelte, z. B. mithilfe von gefälschten (Phishing-) Sites oder mithilfe eines Trojaners. Er hat eine ganze Basis von ihnen. Natürlich druckt der Betrüger seine Daten nicht neu, sondern kopiert sie beim Betreten der RBS aus der Zwischenablage. Und das ist im Screenshot deutlich zu sehen.

    Außerdem werden alle in den vorherigen Stufen beschriebenen Methoden zur Analyse des Geräte- und Benutzerverhaltens verwendet. Auf dieser Ebene werden Machine-Learning-Algorithmen aktiv eingesetzt. Eines der klarsten Beispiele ist die Verwendung solcher biometrischer Technologien wie Tastatur- und Cursorhandschrift, die den Verhaltenscharakter und die Gewohnheiten der Arbeit des Benutzers im System berücksichtigen. In fig. 8 zeigt das Szenario der Verwendung der Tastaturhandschrift auf der Benutzerautorisierungsseite, die aus dem Group-IB Secure Bank-System "erfasst" wurde.

    Bild
    Fig.8. Das Szenario der Verwendung der Tastaturhandschrift auf der Benutzeranmeldeseite.


    In der Grafik entlang der Achse wird die akkumulierte Handschrift eines berechtigten Benutzers hervorgehoben, wenn ein Benutzername und ein Kennwort eingegeben werden. Erkennbarere Schwankungen kennzeichnen das Tastaturschreiben des Betrügers. Es ist zu sehen, dass die Tastaturhandschrift anders ist. Über den Grafiken befinden sich zwei integrale Bewertungen der Unterschiede zwischen ihnen. Die Schätzwerte überschreiten die festgelegten Schwellenwerte, was auf ein Verhalten hindeutet, das für einen legitimen Benutzer nicht typisch ist.

    Die Kombination der aufgelisteten Verhaltensanalyse-Technologien ermöglicht es, Betrug mittels Social Engineering zu identifizieren. Diese Technologien können auch die Anzahl der Fehlalarme von Transaktions-Betrugsbekämpfungssystemen reduzieren. Mit einer Genauigkeit von 91% stellte sich beispielsweise heraus, dass 78% der Fehlalarme des Betrugsbekämpfungssystems für Transaktionen in Social-Engineering-Fällen verworfen wurden, wodurch die internen Ressourcen der Bank, einschließlich der Masse der Anrufe von irritierten Kunden, erheblich befreit werden.

    Vierte Ebene: Wir führen eine kanalübergreifende Analyse der Benutzer und ihres Verhaltens durch


    Auf der vierten Ebene werden Technologien verwendet, um Daten über das Verhalten des Benutzers auf seinen Geräten zu analysieren und zu korrelieren, wenn er verschiedene Interaktionskanäle mit der Bank durchläuft.
    Wie effektiv es ist, zeigen wir Ihnen in einem der konkreten Fälle, deren grafische Links in Abb. 1 dargestellt sind. 9.

    Bild
    Fig. 9. Grafische Links, die die Benutzererfahrung mit verschiedenen Geräten zeigen, darunter ein Betrügergerät.

    Anfangs wurde der Betrüger auf einem mobilen Gerät entdeckt. Er nutzte einen mobilen Trojaner, um Logins und Passwörter, Zahlungskartendetails abzurufen und SMS-Bestätigungen von der Bank für unberechtigte Zahlungen abzufangen. Eine Analyse der Verbindungen zwischen den Konten und den von ihnen verwendeten Geräten ermöglichte die Erkennung des mobilen Geräts des Betrügers, das in der Mitte und am unteren Rand des Bildes in der Kontowolke dargestellt ist. Wie Sie sehen, funktionierte nur ein Teil der gefährdeten Konten zuvor mit der mobilen Anwendung. Ein weiterer wesentlicher Teil der identifizierten Konten wurde zuvor im Internet-Banking verwendet. Später stellte sich heraus, dass derselbe Betrüger Social-Engineering-Methoden einsetzte, um sie zu gefährden. Ebenfalls identifiziert wurde das Betrügergerät, mit dem er auf die Online-Bank der Opfer zugreifen konnte.

    Der Betrüger löschte die Geschichte des Browsers, nachdem er 3 bis 8 Konten konsistent verwendet hatte, und versuchte, die Spuren seiner Arbeit zu verdecken. Alle Geräte hatten jedoch den gleichen digitalen Fußabdruck (Rückrufebene 1). Durch dieses Betrugsgerät wurden andere Opfer identifiziert. Darüber hinaus ist durch diese Analyse der Zusammenhänge ein Fall aufgetaucht, in dem der Betrüger mit Social-Engineering-Methoden das Opfer für einen Expresskredit mit dem anschließenden Diebstahl von Darlehensmitteln „gekotzt“ hat.

    In diesem Beispiel können wir die folgenden Ergebnisse zusammenfassen:

    • erstens ermöglichte die kanalübergreifende Analyse von Diebstahlversuchen mit mobilen Trojanern, Diebstahlversuche zu erkennen und zu verhindern, die nicht mit bösartigem Code zusammenhängen, sondern mit Social Engineering durchgeführt werden;
    • Zweitens half er auch dabei, ein umfassendes Bild der Arbeit des Betrügers zu erstellen und eine Unterschlagung des gesamten Kundenstamms zu verhindern, unabhängig vom Remote-Banking-Kanal.
    • Drittens haben wir mehr Daten zur weiteren Untersuchung erhalten.

    Wenn nun nur noch wenige Banking-Trojaner für Desktop-Computer oder iOS vorhanden sind oder gar nicht vorhanden sind, ist es erforderlich, die Arbeit der Benutzer über diese Kanäle zu protokollieren und zu korrelieren, da sie einen größeren Überblick über das Gesamtbild der Benutzer ermöglichen und dadurch die Betrugsbekämpfung wirksamer gestalten .

    Fünfte Ebene: Analyse der Beziehung zwischen Benutzer und Konten


    Die fünfte Ebene ist eine Fortsetzung der vierten Ebene, d. H. Die Analyse der Daten zum Verhalten des Benutzers und seiner Geräte wird nicht nur innerhalb einer bestimmten Bank durchgeführt, sondern breiter - zwischen Banken, E-Commerce, Offline-Operationen usw. Dies ist das schwierigste, aber gleichzeitig das stärkste Betrugsbekämpfungsniveau, da es nicht nur ermöglicht wird, die gleichen Handlungen von Betrügern in verschiedenen Organisationen zu stoppen, sondern auch die gemeinsame Aktionskette des Betrügers zu verhindern, die er durch verschiedene Organisationen durchführt.

    Bild
    Abb. 10. Beispiel für Betrug in Bank A: Der gesamte Pool von Konten und Geräten kann in anderen Banken analysiert werden (Bank B)

    Zum Beispiel sind dieselben Betrüger mit Geldwäsche beschäftigt. Trotz der Tatsache, dass sie juristische Personen ändern, die sie manipulieren, arbeiten sie mit demselben Arsenal an Computern und anderen Geräten. Wenn in einer Bank eine betrügerische Aktivität festgestellt wurde (in Abb. 10 Bank A), kann der gesamte Pool von Konten und Geräten in anderen Banken analysiert werden (in Abb. 10 Bank B). Diese Analyse kann wiederum neue Konten, neue Registrierungsdaten von juristischen Personen und ihre anderen Geräte aufzeigen und dann zwischen Banken wiederverwendet werden, wobei mit jeder Iteration mehr und mehr Details und die vollständige Struktur der Betrüger offengelegt werden. Beachten Sie, dass der beschriebene synergistische Effekt auch im Zusammenhang mit anderen Schemata und Betrugsarten funktioniert.

    Dieses Level umfasst auch Technologien und Plattformen für Cyber ​​Prospecting (Threat Intelligence), mit denen Sie sowohl strategisches Wissen über die Vorbereitungen des Betrugs
    als auch taktische Daten darüber erhalten, was er bereits in Bezug auf bestimmte Benutzer getan hat. Wenn im letzteren Fall die Sicherheitssysteme der Organisation die festgestellten Vorfälle nicht erfüllen, können auf diese Weise nicht nur Maßnahmen ergriffen werden, die bereits gefährdet wurden, sondern auch ihre Verteidigungssysteme eingerichtet werden, um auf die neue Bedrohung zu reagieren.

    Zusammenfassend fügen wir hinzu, dass jede Schutzstufe reibungslos von einander fließt. Durch die Anwendung aller fünf Ebenen der Prävention von Internetkriminalität im Bereich RB werden Banken daher am wirksamsten vor äußeren und inneren schädlichen Auswirkungen geschützt.
    Das Material wurde in der Zeitschrift "Berechnungen und operative Arbeit in einer Geschäftsbank", Nr. 3 (145) \ 2018, veröffentlicht.