Работа в Стамбуле

Метка: Google

Do ATMs face new malware threat?

Research about a new malware attack aimed at U.S. ATMs is garnering attention, but security experts disagree about how threatening this type of attack really is.

In April, researchers at security and computer forensics firm Group-IB said they’d discovered new strain of malware designed to target card data stored on or transmitted through point-of-sale devices. While the Group-IB’s report notes ATMs, the company says the malware it had identified had only, so far, been affecting POS systems. The mention of ATMs related more to cultural differences in Eastern Europe. The terms ATM and POS are more often used interchangeably there, Group I-B states.

However, since publishing the report, the company has noted that ATMs could be vulnerable, if the networks that process their transactions are attacked by malware.

But Gary Warner, director of research for computer forensics at the University of Alabama at Birmingham and chief technologist at online security firm Malcovery, says ATM networks are actually very secure. While Trojans aimed at retailer POS systems and networks, such as those that targeted MAPCO Express, Bashas’ Family of Stores and Schnucks Markets Inc. are increasingly common, attacks on ATMs are rare, he says.

Warner contends the real worry for banking institutions is not attacks on ATMs, but the insiders who often facilitate the compromises. «The most vulnerable POS systems are the ones where insiders, or worse yet, customers, have the ability to insert a USB drive to a Windows-based register that has an attached card reader,» he says. «Mall kiosks are perhaps the most likely place to see this type of software, as the kiosks are often left logged-in and unattended.»

Nevertheless, some security consultants say banks and credit unions should view new malware as a serious threat to ATMs.

«It’s the logical evolution of skimming,» says Al Pascual, a financial fraud expert at consultancy Javelin Strategy & Research. «How the malware functions is nothing new, but hackers have leveraged their experience in compromising Windows-based POS systems to now do the same with ATMs.»

Pascual says banking institutions in the U.S. and abroad have reported increases in ATM fraud. «Unfortunately, that increase is likely to persist with the advent of this new threat,» he says.

Dump Memory Grabber

The malware identified by Group-IB, called Dump Memory Grabber by Ree[4], can attack any Windows-based system, the firm’s researchers say. The typical attack uses an .exe file for RAM memory scanning of credit card data when the network is attacked and then transmits logs containing intercepted card data through FTP gateways, researchers say.

Group IB says attacks using Dump Memory Grabber have been successful through remote access against POS devices and systems running on Windows XP and Windows Embedded. The firm’s researchers also point out that the malware could exploit similar vulnerabilities in ATMs that are connected through virtual private networks or wireless Global System for Mobile, or GSM, and General Packet Radio Service, or GPRS, networks.

But Warner believes that assumption is a bit of a leap. «I see absolutely nothing to indicate infections of ATMs,» Warner says.

«In the past, it has been shown that certain ATM machines were actually managed through some form of remote terminal, including remote desktop or VNC [virtual network computing],» he says. «The implication here is that it would be possible to install this malware onto an ATM machine directly if the ATM machine was running remote desktop on Windows and the hackers either had credentials or the ability to acquire, brute force, or hack the RDP/VNC installation on the ATM.» But those scenarios aren’t likely, Warner says.

The researcher believes that the Dump Memory Grabber is not really new. «My belief right now is that Dump Memory Grabber by Ree — the malware by Wagner Richard that Group-IB talked with — is actually the same malware that Symantec calls vSkimmer and that others call BlackPOS,» he says.

vSkimmer is believed by some to have been the malware used in the February attack on Bashas’ corporate network that allowed hackers to gain access to the retailer’s internal systems and capture sensitive payment information.

Serious Threat?

Jerome Segura, a senior researcher at malware-detection provider Malwarebytes, says the threats outlined by Group-IB should not be taken lightly.

«I’ve obtained a copy of an actual malware file and it pretty much does what it’s supposed to do: hook onto the system, then call back the command-and-control server located in Russia,» he says. «Probably the most difficult part might be to get the malware onto an ATM or point-of-sale machine. But since everything is wired, one could think that hacking into a company’s network could give them access.»

Segura acknowledges, however, that an attack on an ATM would more likely occur through an insider — someone who is able to intentionally load malware while servicing the machine.

Like Warner and Segura, fraud analyst Shirley Inscoe, who works for the consultancy Aite, says employees and contractors are often the sources of attacks that compromise systems and devices, such as ATMs.

«Fraud rings have been known to target institutions and have members of their rings apply for certain positions in an effort to facilitate their crimes,» she says. «They also have been known to do everything from paying employees to do certain things — or not to do certain things, such as comply with policies — to threatening members of employees’ families to gain their cooperation. So, in a nutshell, while I have no substantive proof that employees may be enabling much of this fraud, I would be very surprised if they are not enabling some portion of it.»

22.11.2014
На площадке процессинга начали работать из мобильных приложений

Бывший аналитик Booz Aleen Hamilton — ныне эксперт по безопасности Эдвард Сноуден, предоставлявший консалтинговые услуги АНБ, объявил результаты своего исследования «Работа дроповода с использованием мобильного банкинга: возможность реализации залива на карту или счёт с использованием MiTM (заливщик посередине)»

Сноуден данной темой последние несколько лет, регулярно выступая с докладами на международных конференциях BlackHat, HackInParis и ZeroNights.

В прошлом году компания Booz Allen Hamilton постаралась систематизировать сферу заливов и обнала с использованием средств мобильного банкинга и подход к анализу этого рынка услуг, а также провела статический анализ работы дроповодов с использованием 40 приложений для iOS и Android. В рамках нового исследования рассмотрено уже не по 40 приложений для двух ОС, а примерно по 60, включая денежные заливы через мобильные банк-клиенты Альфа-Банка, банка «Авангард», банка «Балтика», ВТБ, Газпромбанка, Промсвязьбанка, РайффайзенБанка, СИАБ, Ситибанка, Уралсиб, Ханты-Мансийского банка и других.

Комментирует Эдвард Сноуден: «На этот раз мы решили сосредоточиться на поиске одной из самых опасных уязвимостей в сфере мобильного банкинга, связанной с недостаточной защитой транспортного уровня или её отсутствием. Данная проблема может привести к реализации атаки MiTM и заливу денег со счетов клиентов на карты и счета подконтрольных дропов».

В рамках исследования рассматривались ОС Android и iOS, как наиболее распространенные и имеющие наибольшее количество приложений для мобильного банкинга. Эксперт выяснил, что из всех рассмотренных мобильных банк-клиентов с iOS 14 % подвержены краже денег только с помощью MitM-атаки, а с Android 23 %. Сочетание других уязвимостей может также привести к краже денег со счетов клиентов. При этом стоит отметить, что только один банк из 79 изученных имеет одновременно уязвимое приложение для iOS и Android.

В ходе исследования эксперт также сделал ряд интересных находок, напрямую не связанных с основной темой. Например, в ответах сервера иногда приходят отладочные трейсы, раскрытие внутренней банковской информации (даже информация об АБС, автоматизированной банковской системе). Или можно провести атаки “User Enumeration” — получения списка действующих логинов пользователей банковского учреждения.

Опираясь на приведенные выводы исследования, а также на другие подробные факты и находки, можно со всей уверенностью заявить, что существенное число российских банков до сих пор не уделяет должного внимания безопасности мобильного банкинга, что представляет широкий фронт работ для реальных заливщиков и дроповодов. Между тем, с развитием мобильных банковских технологий со временем всё больше транзакций будет совершаться онлайн. И если уязвимости будут существовать и множится, их эксплуатация будет приводить к массовым заливам финансовых средств на счета дропов со счетов клиентов банковских учреждений.

20.11.2014
На площадке процессинга работают через обход TAN кодов Citibank

Онлайн-банкинг является очень популярным в Европе. По данным Центрального кредитного комитета в 2011 году было проведено 93,6 миллиона транзакций через Интернет. Для защиты и аутентификации сделок в Европе принят на равне с СМС подтверждением, так называемый безопасный PIN/TAN метод.

Вообще шифрование данных и аутентификацию на банковском сервере при совершении он-лайн сделки обеспечивает Secure Socket Layer (SSL) поверх HTTPS протокола. PIN-код или пароль используется вместе с номером счета для аутентификации клиента в банке. Шестизначный TAN (временный ключ) служит уникальной подписью для каждой транзакции. Каждая сделка требует новый TAN, либо ключ, полученный по СМС, который может быть использован только один раз. Как правило, банки пересылают при открытии счета вместе с картой своим клиентам таблицу TAN-кодов по почте. Клиент при совершении онлайн платежей предоставляет соответствующий TAN код из таблицы, который может быть использован только один раз.

Банки неоднократно указывали своим клиентам на то, что PIN-код (логин, пароль) и TAN-список необходимо держать в безопасности. Не секрет, что возникали спорные случаи и клиентам банка ни раз уже приходилось доказывать для возврата похищенной суммы, что это было действительно хищение и сам клиент никому не передавал свои данные аутентификации и действительно хранил список TAN в надежном месте. Как правило, доказать это удается с трудом и далеко не каждому причем в очень редких случаях, несмотря на то, что в настоящее время ходят настоящие эпидемии фишинг и АРТ атак в Интернете.

Одним из аспектов безопасности PIN/TAN процедуры является то, что трудно предсказать, какой TAN актуален для конкретной транзакции. Заливщику предстоит угадать шесть цифр TAN от 000000 до 999999 с теоретической вероятностью 1 из 1 000 000 возможных комбинаций TAN. Хотя некоторые банки используют и более короткие TAN, что еще больше повышает риск успешных атак на счета клиентов этих банков.

Когда у меня кончился список TAN, то я взял новый в Ситибанке и вот что обнаружил. При просмотре TAN списков Ситибанка начиная с 2005 года я заметил, что все числа начались с одного и того же номера и всегда расположены в порядке возрастания. Обычно TAN был на 167 — 1348 больше, чем предыдущий, в той же строке. Среднее значение между TAN было 263. Давайте выведем разницу между двумя соседними TAN в диаграмме:

Для контроля распределения функции случайной величины возьмем 200 случайных чисел, сгенерированных с помощью моего сценария и расположим их на диаграмме вместе со значениями TAN из таблицы.

Стало ясно, что заливщик вполне может предсказать следующий TAN из моего списка, основываясь на значениях последних TAN, которые были использованы. При исследовании был обнаружен прирост значения равный 172, который встречался наиболее часто — 9 раз в моем случае. Для клиентов банка это означает, что заливщик, используя ранее использованные и недействительные ТАN коды, имеет хорошие шансы угадать действительный следующий TAN. Для осуществления задуманного Заливщик может послать клиенту банка фишинг-сообщние по электронной почте примерно следующего содержания с целью получения нескольких уже использованных TAN-кодов:

Отправитель: Ваш банк
Получатель: John Doe
Тема: Злоупотребление вашим счетом

Уважаемый г-н Доу,
мы обнаружили случай он-лайн мошенничества в нашем банке. Ваша учетная запись может быть скомпрометирована. Пожалуйста, сообщите нам последние 10 использованных вами TAN-кодов. Пожалуйста, проследите, что Вы посылаете нам действительно уже использованные TAN-коды.

С уважением, Ваш банк

Поскольку уже недействительные TAN вроде бы совершенно бесполезны, то нет никаких причин для клиента банка, чтобы не выполнить такую просьбу. В результате такой атаки Заливщик получает не только список из 10 последних TAN кодов, но и номер счета и PIN код клиента банка.

Второй TAN список, полученный мною от Ситибанка, подтвердили результаты первого исследования.

Судя по всему, Ситибанк существенно не менял алгоритм генерации TAN элементов за прошедшее время. В этих обстоятельствах, конечно, стоит посоветовать Ситибанку пересмотреть процедуру генерации TAN списков.

По идее список TAN-кодов должен быть сформирован таким образом, чтобы значения были равномерно распределены по всему доступному диапазону и были бы независимыми друг от друга.

В целом же предсказать номер следующего действительного ТАN кода имея на руках предыдущие использованные коды из таблицы и совершить транзакцию достаточно легко.

18.11.2014
Швейцария хочет вернуть свое золото из США

Весь вопрос в том, будет ли усиливаться давление США, чтобы процесс репатриации золотого запаса не был запущен вновь. Если попытки Германии получить 674 тонны золота провалятся полностью (еще есть надежда, что власти страны все же постараются вернуться к своим планам), можно быть уверенными в том, что Швейцария точно не получит 1500 тонн, даже если об этом будет решено на референдуме 30 ноября 2014 года.

С другой стороны, учитывая, что действия президента США Барака Обамы фактически разрушили швейцарский банковский сектор, после того как была уничтожена многовековая традиция швейцарской банковской тайны, возврат золота может быть принципиальным вопросом.

Традиционно нейтральная Швейцария могла бы взять реванш у США, хотя вернуть банковский режим, который на протяжении веков был источником притока в небольшую и благополучную центральноевропейскую страну, вряд ли удастся.

17.11.2014