10 декабря 2015 года, в г. Киеве, в отеле «Опера» была проведена очередная конференция CS Security Day, организатором которой была компания CS – производитель систем автоматизации банковской, финансовой и страховой деятельности. Как отметили организаторы, участие в мероприятии приняли более 100 представителей украинских банков и компаний.
10 декабря 2015 года, в г. Киеве, в отеле «Опера» проведена очередная конференция CS Security Day [2], организатором которой была компания CS – производитель систем автоматизации банковской, финансовой и страховой деятельности. Как отметили организаторы [1], участие в мероприятии приняли более ста представителей украинских банков и компаний.
Основной «сюжетной линией» конференции было освещение инновационных подходов к использованию систем онлайн-банкинга в условиях прекращения поддержки Интернет-браузерами Java (как известно, активно используемый банками продукт iFOBS как раз полагается на упомянутую технологию).
Компания CyS Centrum, удостоенная чести открывать конференцию, не могла не добавить «ложку дегтя», поэтому, в своем докладе мы продемонстрировали как на практике выглядит и применяется ряд инструментов, используемых злоумышленниками для хищения денежных средств из систем онлайн-банкинга. Во время презентации были освещены базовые понятия «веб-инжектов» и систем «автозаливов» (aka AZ, ATS). Кроме того, был приведен практический пример симбиоза мобильной бот-сети iBanking и классической бот-сети Vawtrak (состоящей из зараженных стационарных компьютеров, ноутбуков), умело применяемых злоумышленниками для обхода двухфакторной авторизации (aka 2FA) при мошенничестве в системах онлайн-банкинга.
Следует отметить, что «веб-инжекты», как один из видов реализации атак, очень давно и активно применяется в Европе, США, Великобритании, Австралии. Вместе с тем, в Украину этот тренд пока еще не пришел (хотя всем известные ZeuS, SpyEye, Rovnix и др. поддерживают «веб-инжекты»). Особенность метода заключается в том, что весь процесс мошенничества является абсолютно прозрачным и «безболезненным» для пользователя. Люди, как правило, привыкли «верить своим глазам», но, в случае с «веб-инжектами», как раз это правило и подводит. Вредоносные программы, применяя «веб-инжекты», обеспечивают подмену содержимого, отображаемого пользователю в окне Интернет-браузера. Подмена может заключаться как в модификации реквизитов отправляемого Вами платежа и остатков на счету в «личном кабинете» (чтобы не было видно пропажи), так и добавления/сокрытия дополнительных окон/элементов меню на веб-страницах (например, чтобы выманить у пользователя персональные данные, ответы на секретные вопросы и т.п.). Информация о подобных атаках может быть найдена, например, в статьях ESET [3][4].
В заключение конференции, одним из специалистов компании CS продемонстрирован инновационный подход к решению проблем, связанных как с Java, так и угроз, реализуемых с применением «веб-инжектов». Компанией активно разрабатывается мобильное приложение iSIGN, призванное вобрать в себя лучшее и быть способным противостоять известным и возникающим кибер-угрозам. Однако, как нам субъективно показалось, не вся аудитория положительно восприняла (отнеслась с доверием) идею замены iFOBS на iSIGN. Из зала звучали примеры про бухгалтера Марью Ивановну, которая «ведёт» десятки предприятий с одного компьютера с Windows XP SP2 (не лицензионной) с ключами, как для первой, так и второй подписи, не вынимаемыми никогда из компьютера, и про то, что она не «пересядет» за гаджет с приложением iSIGN НИ-ЗА-ЧТО. Представители компании CS, попытавшись парировать и предать сомнению применение эдаких «best practices» из сферы бухгалтерского дела, наткнулись на еще один, нами не предвиденный поворот судьбы. Оказывается, что есть и такие Марьи Ивановны, которых, даже имея уже осуществленное мошенничество с реальными убытками, не трогают, возвращая к прежней деятельности все на той же Windows XP.
Конечно, бизнес – дело такое,… да и клиент всегда прав. Вместе с тем, хочется верить, это единичные случаи. В подобных ситуациях мы прибегаем к цитированию наших хороших друзей, говорящих золотые слова: «таких всегда грабят» (с).
Еще раз благодарим компанию CS за предоставленную возможность выступить, а всех присутствовавших – за внимание. Искренне желаем коллегам из CS успехов в этом нелегком деле.
Чтобы внести некое разнообразие, добавляем несколько фотографий с мероприятия. Полный фото-отчет с конференции доступен по ссылке .
Отдел исследования киберугроз CyS Centrum
Использованные материалы
[1] https://www.csltd.com.ua/ru/news/1526-2015-12-15-1...
[2] http://csltd.com.ua/files/Agenda_security.pdf
[3] http://habrahabr.ru/company/eset/blog/254267/
[4] http://habrahabr.ru/company/eset/blog/254775/