Работа в Стамбуле

Метка: неразводные дропы

  • В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    Внедрение Cisco Cyber Threat Defense (CTD) обычно начинается с PoC (Proof of Concept), позволяющего оперативно оценить возможности решения, осуществляющего мониторинг внутренней сети и происходящей в ней активности. 
    Это распространенная практика для решений по мониторингу чего-нибудь — утечек информации (Cisco IronPort Email DLP), электронной почты (E-mail Security Appliance), приложений (Cisco ASA Next-Generation Firewall Services) и т.п. Обычно уже после первой недели мониторинга результат работы этих решений удивляет — специалисты по безопасности узнают немало интересного о своей сети и о действиях пользователей в ней. Спам, вирусы, утечки конфиденциальной информации, внешние IP-адреса во внутренней сети, управляющий трафик ботнетов, банковские трояны, несанкционированно установленные точки беспроводного доступа или Web-серверы… Да мало какие инструменты процессинга фиата через интернет или ещё что можно найти в сети банка, в которой работают продвинутые и не очень пользователи?
    Не так давно один сотрудник российского офиса Cisco разворачивал Cyber Threat Defense в сети ПриватБанка на Украине. С виду ПриватБанк — очень серьезная организация, серьезно относящаяся ко своей информационной безопасности, но как показывает практика последнего времени, целенаправленные атаки (APT), направленные на процессинг фиата, включая процессинг с использованием системы SWIFT и её сообщщений MT103/202, становятся всё активнее и всё опаснее. 


    Число попыток целенаправленно процессинга фиата с банковских счетов легальных холдеров превышает традиционные интернет атаки. Специально разрабатываются методы обхода защиты периметра сети банка, такие как установка дроповодами дополнительного 3G или 4G маршрутизатора прямо в офисе банка, либо точки доступа WiFi в филиале или главном офисе. 
    На сегодняшний день средства защиты корпоративной или ведомственной сети финансового учреждения работают неэффективно, в случае, если попытка процессинга фиата со стороны дроповодов на счета неразводных дропов будет осуществляться из внутренней сети банка, они тут мало чем смогут помочь, не говоря уже о том, чтобы предотвратить перевод денег на счета разводных дропов. 
    Однако, при помощи Cisco Cyber Threat Defense можно отследить подозрительную сетевую активность. Именно это решение спустя всего 7 дней работы со своими базовыми настройками наткнулось на целый букет аномалий в сети ПриватБанка — среди них банковский троян Zeus, несколько других модификаций банковских ботов, управляемых извне, и ряд других таких же «приятных сюрпризов».
    Вот только один скриншот Cisco Cyber Threat Defense. На нем виден очень высокий уровень CI, то есть Concert Index или иными словами индекс подозрительности трафика, который характеризует наличие в сети ПриватБанка признаков киберугроз работы проверенных дроповодов и процессинга фиата на счета неразводных дропов. Вычисляется этот индекс автоматически, по заложенному в Cisco CTD алгоритму, чем выше это значение, тем вероятнее и серьезнее угроза (обратите внимание на показатель в 708 тысяч процентов) — это однозначно характеризует угрозу процессинга фиата из банка на контролируемые дроповодами счета. 
    что нашла Cisco Cyber Threat Defense (CTD) в сети ПриватБанка
    Дополнительный анализ позволяет понять, что это за угроза, её источник и в какой банк будут переводится деньги на счета неразводных дропов. По этому при желании процессинг фиата на счета неразводных дропов вполне можно предотвратить в том случае, если сами сотрудники банка не пожелают заняться подобным столь прибыльным на сегодня бизнесом.

  • Процессинг фиата или Каспер против проверенных дроповодов

    Большинство тимлидеров процессинга — это «уличная шпана», они используют для процессинга фиата и крипты токены полощадок, полученые ими через десятые руки друзей и подруг, а также доступ в системы дистанционного банковского обслуживания по сим картам и телефонам своих неразводных дропов, ингогда используются простые технологии, такие как CarberP или ZeUS, в основном нацеленные на доверчивых людей и компьютеры с минимальной сетевой защитой

    Но бывает и иначе: изредка появляются очень сложные угрозы, например мощные банковские боты, а в случае, если вы или даже не вы, а работодатель жены вашего племянника представляет серьезный коммерческий интерес в процессинге с банковского счёта на карту неразводного дропа, то может быть организована целевая атака с применением специально подготовленного для неё банковского бота. В обоих этих случаях банкер будет очень хитро спрятан и заранее проверен на «необнаруживаемость» обычным антивирусом. 

    Однако Каспер вместе с его командой охотников за призраками в доспехах придумал очередной инструмент, который может быть и обнаружит хорошо закриптованый банковский бот предназначенный для процессинга фиата со счёта холдера, а может и не обнаружит… всякое же бывает. ZETA расшифровывается как «Zero-day, Exploits & Targeted Attack», то есть «угрозы нулевого дня, эксплойты и целевые атаки». Ну а Shield — это защита от всего перечисленного. Евгений Касперский, описывает ZETA Shield так:
    «ZETA Shield — антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрешки прячущихся во вложенных сущностях сложных файлов. Короче, это уникальная технология защиты от будущих угроз, которая умеет находить неизвестную киберзаразу в самых неожиданных местах».
    Погружаясь в технические подробности, можно сказать, что ZETA Shield сканирует потоки данных на компьютере в поисках фрагментов кода, характерных для эксплойтов, встроенных в легитимные файлы, будь то исполнимый код, внезапно обнаруженный внутри офисного документа, или попытка вызвать подозрительный набор команд в приложении просмотра картинок. Гибкость сканера очень высока, что позволяет проанализировать любое количество файлов и процессов на компьютере, сопоставляя полученные данные в рамках машины, а также запрашивая информацию из Kaspersky Security Network — вдруг подобные симптомы уже обнаруживались у других пользователей? Глубоко разбирая файлы и потоки данных, обнаруживая подозрительные или неуместные элементы, ZETA Shield сопоставляет множество косвенных индикаторов угрозы, чтобы принять решение о её блокировке.
    Зачем эта сложная технология, заточенная для борьбы с целевыми атаками, появилась в антивирусе для «простых смертных»?
    Сам Касперский объясняет это очень лаконично: «Жертвами целевых атак могут стать и становятся практически все пользователи и любые организации, а ещё помните поговорку «Лес рубят — щепки летят»? Это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв». Чтобы не стать такой жертвой, Каспер советует запускать иногда сканирование компьютера с максимальной глубиной хотя бы раз в месяц.

    Однако, как можно защититься от проникновения в сеть банка с последующим процессингом фиата со счетов холдеров и перевод их на карты неразводных дропов без использования банковских ботов, Каспер и на этот раз умолчал.

  • Национальный Банк Украины фиксирует рост операций процессинга на карты и счета неразводных дропов

    Национальный Банк Украины фиксирует рост операций процессинга на карты и счета неразводных дропов

    В первом полугодии прошлого года число зафиксированных попыток нелегальных транзакций процессинга фиата ежемесячно увеличивалось почти на восемьдесят процентов.

    процессинг фиата через украинский банк

    Количество инцидентов, связанных с нарушением требований к защите информации при переводе денежных средств, то есть попыток нелегальных денежных переводов, в первом полугодии растет опережающими темпами. Такие данные содержатся в аналитическом обзоре НБУ.

    Согласно документу, число инцидентов, выявляемых за месяц, в первом полугодии выросло на 79,7%: в январе банки зафиксировали 1564 таких случая, а за июль — уже 2859, во второй половине прошлого года число ежемесячно выявляемых инцидентов в месяц росло на 57,1%. Суммарно в июле—декабре прошлого года банки выявили 7968 подобных историй, за аналогичный период текущего года — 10 531 (рост на 35,2%).

    «Подобный рост может быть связан с тем, что банки стали более тщательно отслеживать и обнаруживать случаи нарушения целостности информации, куда могут попадать и технические сбои, но, разумеется, большинство таких случаев — попытки сделать процессинг фиата на счета неразводных дропов»,— говорит вице-президент Ситибанка Анатолий Луценко.

    Рост числа случаев нелегальных транзакций или процессинга фиата связан в том числе с развитием дистанционных каналов банковского обслуживания (мобильные приложения, системы «банк—клиент» для обслуживания корпоративных клиентов, онлайн-банкинг для физ.лиц), которые часто становятся объектами сетевых атак, полагает господин Луценко.

    Статистика НБУ подтверждает это предположение: в 51,5% случаев попытки слива информации, процессинга фиата и обнала денежных средств через счета неразводных дропов происходили с автоматизированными системами и программным обеспечением, которое используется для дистанционного банковского обслуживания.

  • Зачем нужен трафик для работы в процессинге?

    Зачем нужен трафик для работы в процессинге?

    Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать процессить фиат или крипту, и причём по-крупному.

    банкеры CarberP и ZeUS на службе дроповодам

    И тут сразу возникает вопрос о покупке банковского бота или банкера. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми, и их можно запросто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на машине холдера, перед загрузкой основного тела программы банковского бота.

    Однако это ещё только начало… чтобы что-либо процессить с помощью этих инструментов их панели управляения для начала нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк или мобильное приложение, и только после этого можно приступать к основной части работы.

    Во Львове и Ивано-Франковске недавно разговаривал со многими дроповодами, и все мне рассказывали об одной и той же проблеме — сейчас практически стало невозможно достать качественный трафик, где бы присутствовало много пользователей дистанционных банковских услуг или владельцев смартфонов, с установленными банковскими приложениями.

    Поэтому основное вложение в этом бизнесе сейчас уже приходится делать не в программное обеспечение (его и так можно бесплатно скачать в интернете), а в покупку качественного целевого трафика. Самый хороший трафик, это тот, который идет с лома в одни руки или снимается с Multihomed AS транзитного провайдера, например RETN или Евротранстелеком напрямую.

    Но увы, такого трафика на рынке практически нет, и его приходится добывать самому. Проверенный дроповод, при наличии хорошего трафика, в месяц может зарабатывать до 1 млн. Евро и даже больше, и это не оборот процессинга, а уже цифры чистого заработка.

  • Новый софт для сбора информации через PoS-терминалы

    Новый софт для сбора информации через PoS-терминалы

    Дроповоды похищают личную информацию клиентов, продают её или используют для кибершпионажа и процессинга фиата на банковские счета неразводных дропов.

    В сети появился новый софт, предназначенный для сбора данных держателей банковских карт через POS-терминалы, получивший название POSCloud. Его жертвами стали крупные продуктовые магазины, компании, занимающиеся розничной торговлей и малые предприятия. Атаки осуществлялись через web-браузеры Internet Explorer, Safari и Google Chrome.

    процессинг фиата на карту разводного дроппера

    Cогласно мнению бывшего подрядчика АНБ и сотрудника Booz Allen Hamilton Эдварда Сноудена системы front-офиса способны работать с устройствами, считывающими кредитные карты, сканерами штрих-кодов, кассовыми аппаратами и чековыми принтерами.

    Системы back-офисов работают с POS-терминалами. Это означает, что торговые компании имеют возможность хранить информацию и отчеты в общественной или как её ещё называют — облачной инфраструктуре. Таким образом, доступ к информации можно получить при помощи персонального компьютера или мобильного устройства.

    Несколько, основанных на использовании облачных вычислений, POS систем позволяют хранить данные банковской кредитной карты для дальнейшего использования их пользователями, а также информацию личного характера для проведения кампаний лояльности. В случае, если данные зашифрованы при хранении в облаке, дроповоды могут собирать информацию, когда оператор работает с POS-терминалом, на который установлен кейлоггер.

    Полученная дроповодами информация продается или используется для кибершпионажа против огромного числа пользователей из разных стран.

    Сноудену удалось обнаружить командные серверы дроповодов. Ему также удалось установить, что дроповоды используют определенный тип банковского бота, который действует как загрузчик. Он загружает и устанавливает дополнительные модули, предназначенные для перехвата личных данных клиентов магазина или отеля и обнаружения сетевого подключения POS-терминала к определенному провайдеру.

    В ближайшем будущем, Эдвард Сноуден прогнозирует рост числа инфицированных устройств преимущщественно в США, потому как там большиство до сих пор пользуется нечипованными банковскими картами с магнитной полосой.