Курс валют на: 21.10.2017
    Покупка Продажа
USD 57,00 58,00
EUR 67,45 68,45
KZT 0,14 0,18
О попытках хищения денежных средств со счетов корпоративных клиентов с использованием системы электронного банкинга "iBank 2"

За последние несколько месяцев в российских банках были выявлены случаи хищения (предотвращенные и свершившиеся) денежных средств с расчетных счетов корпоративных клиентов путем совершения электронных платежей по системе .

Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов осуществляются:

1. Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.

2. Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-носители, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе электронного банкинга .

3. Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе электронного банкинга .

Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.

4. Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭЦП клиента.

Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному клиенту платежные поручения в большинстве случаев пресекались банковскими операционистами на этапе принятия решения об исполнении документов.

В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

Отдельную группу составляют ситуации, когда банки не соблюдают регламент регистрации сертификатов открытых ключей ЭЦП клиентов. В подобных случаях банковские сотрудники закрепляют за клиентом сертификат открытого ключа ЭЦП, созданного злоумышленником. В результате злоумышленник получает возможность управлять счетом корпоративного клиента. При таких хищениях ответственность за убытки полностью несет банк.


В начале июля 2011г. в российских банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы. Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в JVM, подменяла вызовы JVM для сокрытия мошеннических действий и предоставляла злоумышленнику удаленное управление компьютером клиента.

С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно на инфицированном компьютере клиента. При этом все мошеннические действия выполнялись невидимо для пользователя.

После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения: При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался. При работе на инфицированном компьютере операция списания средств не отображалась в выписке.

При работе с обычного компьютера проводка отображалась. При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток. В результате действия вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.

 


 

07.04.2010 В компанию «БИФИТ» поступила информация о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены «iBank 2 Key».

Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены «iBank 2 Key» постоянно (круглосуточно) подключенными к компьютеру. Поскольку использование USB-токенов «iBank 2 Key» исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.

Для этого злоумышленники использовали следующие механизмы: Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer и др.). Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.

Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения «iBank 2». При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему «iBank 2» и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.

Выводы:

 

  1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена «iBank 2 Key». Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к «расшаренным» USB-портам компьютера клиента.
  2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — бесконтрольным постоянным подключением USB-токена «iBank 2 Key» к компьютеру.
  3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо: подключиться к банковскому Серверу Приложения «iBank 2» и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене; сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.

 

То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.