4 марта, четверг 09:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

iBank 2 - о новой разновидности вредоносных программ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • iBank 2 - о новой разновидности вредоносных программ

    В начале июля 2011г. в российских банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы.

    Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в JVM, подменяла вызовы JVM для сокрытия мошеннических действий и предоставляла злоумышленнику удаленное управление компьютером клиента.

    С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно на инфицированном компьютере клиента.

    При этом все мошеннические действия выполнялись невидимо для пользователя.

    После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения:

    - При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался.

    - При работе на инфицированном компьютере операция списания средств не отображалась в выписке. При работе с обычного компьютера проводка отображалась.

    - При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток.

    В результате действия вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.

    Для противодействия новой угрозе банкам необходимо принять следующие меры:

    1. Полное и корректное информирование корпоративных клиентов о новой угрозе.

    2. Напоминание корпоративным клиентам о необходимости строго соблюдать порядок работы в системе "iBank 2":

    - соблюдать правила информационной безопасности, регламент доступа к компьютерам для работы в системе "iBank 2", регламент работы с секретными ключами ЭЦП клиента;

    - использовать только лицензионное системное и прикладное ПО, оперативно его обновлять;

    - использовать и оперативно обновлять персональный межсетевой экран (firewall), антивирусное ПО, средства обнаружения вредоносных программ;

    - при использовании клиентом двух секретных ключей ЭЦП (ключ ЭЦП директора с правом первой подписи, и ключ ЭЦП главного бухгалтера с правом второй подписи) осуществлять работу с системой "iBank 2" на двух отдельных компьютерах с хранением секретных ключей ЭЦП на двух отдельных USB-токенах или смарт-картах.

    3. Использование банком встроенного в систему "iBank 2" механизма дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS.

    При включенном механизме дополнительного подтверждения после подписи платежного поручения необходимым количеством ЭЦП документ получает статус "Требует подтверждения".

    Для перевода документа в статус "Доставлен" клиенту необходимо ввести одноразовый пароль, полученный в SMS-сообщении.

    SMS-сообщение с одноразовым паролем содержит также критичные реквизиты подтверждаемого платежа: сумму, наименование получателя, счет получателя, БИК банка получателя. Это обеспечивает защиту от подмены отображаемых клиенту реквизитов документа вредоносной программой.

    Подтверждение одноразовым паролем в Internet-Банкинге может быть выполнено как сразу после подписания документа, так и позднее. В PC-Банкинге подтверждение документов выполняется в ходе синхронизации.

    Настройка механизма дополнительного подтверждения осуществляется администратором банка. Клиент не имеет возможности отключить данный механизм, изменить номера мобильных телефонов или пороговую сумму платежных поручений, требующих подтверждения одноразовым паролем. Пороговая сумма настраивается индивидуально для каждого корпоративного клиента.

    Механизм дополнительного подтверждения платежных поручений с помощью одноразовых паролей, рассылаемых по SMS, встроен в систему "iBank 2" начиная с версии 2.0.22.22. Для его использования приобретать Лицензию на серверный модуль "SMS-Банкинг для корпоративных клиентов" не нужно. Банк может подключиться к любому SMS-центру, в том числе и к SMS-центру "ИБАНК2.РУ".

    С целью противостояния новым угрозам компания "БИФИТ" рекомендует банкам для всех корпоративных клиентов осуществить принудительное включение в системе "iBank 2" дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS, с настройкой лимита платежа индивидуально по каждому клиенту.

    В случае добровольного подключения клиентов процесс может затянуться на несколько месяцев. В течение всего этого срока у клиентов будут сохраняться повышенные риски хищений.

    Принудительное включение дополнительного подтверждения всем корпоративным клиентам без возможности выбора позволяет банку быстро и радикально противодействовать новой разновидности вредоносных программ.
    Последний раз редактировалось Димитрий; 28.07.2011, 20:23.
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    в старых версиях Java - это в каких?
    Семь раз отпей - один отъешь.

    Комментарий


    • #3
      Подробностей не будет - не только банковские админы читают этот форум.

      Всегда ставьте у клиента последний апдейт (сейчас это Java 1.6 update 26).

      И оперативно обновляйтесь.
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        Тут народ пошел еще дальше

        Троян меняет цифры в онлайн-банкинге
        Немецкая криминальная полиция BKA (Bundeskriminalant) обнаружила интересный новый троян. Он не ворует логин и пароль от счёта онлайн-банкинга, а использует более хитрую схему, заставляя пользователя самостоятельно перечислить деньги на чужой счёт.

        Схема такая. Троян ждёт, пока пользователь войдёт в свой аккаунт, после этого выводит на экран сообщение, что якобы на счёт пользователя по ошибке были зачислены средства, и счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно. Когда пользователь заходит на страницу с балансом, троян показывает ему страницу изменённого содержания, в которой действительно присутствует приход крупной суммы. Пользователю предлагают немедленно совершить перевод, показывая уже заполненную форму перевода денежных средств.

        Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.

        По мнению Брайана Кребса, немецкий троян — представитель новой волны программ, которые манипулируют содержимым браузера. Впервые такая тактика была использована программой URL Zone Trojan в августе 2009 года.

        Например, вот фрагмент кода URL Zone Trojan, который вычисляет максимальную сумму для перевода.

        За 22 дня работы URL Zone Trojan авторы программы (вероятно, украинцы) сумели присвоить примерно $438K по курсу. Что интересно, в тот раз атака тоже велась на немецких пользователей.

        Взято отсюда http://habrahabr.ru/blogs/virus/125142/

        Комментарий


        • #5
          Сообщение от Бампер Посмотреть сообщение
          Немецкая криминальная полиция BKA (Bundeskriminalant) обнаружила интересный новый троян.
          Чисто немецкий троян. Наш человек, ежели увидит такой "подарок судьбы" - ринется его обналичивать пулей.

          Комментарий


          • #6
            Сообщение от sergio1969 Посмотреть сообщение
            Наш человек, ежели увидит такой "подарок судьбы" - ринется его обналичивать пулей
            Ключевой аргумент
            счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно.
            Вот главный побудитель.

            И зачем вы так плохо о наших людях думаете? : )
            Были же случаи, когда обнаруживали лишнее на балансе карты
            и честно сообщали в банк.

            ---

            Вообще, идея гениальная.
            Действительно никакая технология не спасёт.
            Еще раз подтверждается: самое слабое звено - человек!

            Надеюсь Наш человек в такой ситуации хотя бы в банк позвонит.

            Хотя интернет-поколение больше поверит цифрам на экране,
            а не человечскому голосу в трубке : (

            Комментарий


            • #7
              Сообщение от Димитрий Посмотреть сообщение
              Всегда ставьте у клиента последний апдейт (сейчас это Java 1.6 update 26).
              Что в целом тоже не безопасно.
              http://www.securitylab.ru/vulnerability/406278.php
              http://blog.acrossecurity.com/2011/0...file-type.html

              Комментарий


              • #8
                Сообщение от Zuz Посмотреть сообщение
                Что в целом тоже не безопасно.
                Что в очередной раз указывает на необходимость создания "спец-вычислительной системы" для систем "Клиент-Банк".

                Комментарий


                • #9
                  Сообщение от sergio1969 Посмотреть сообщение
                  Что в очередной раз указывает на необходимость создания "спец-вычислительной системы" для систем "Клиент-Банк".
                  И ведь можно такую штуку сделать баксов за 30, ну ладно, за 60.

                  http://habrahabr.ru/blogs/DIY/125322/

                  Комментарий


                  • #10
                    Димитрий,
                    а если оба компьютера (директора и главбуха) заражены и левая платежка создана, допустим, на компьютере главбуха, то на компьютере директора она будет видна, или у левого документа есть особый признак по которому его вирус фильтрует? и Банк сможет отфильтровать?
                    Все ли версии iBank2 подвержены этому зловреду? Какими антивирусами этот зловред ловится? Какие версии Java не подвержены этому зловреду?
                    Последний раз редактировалось WildCat; 02.08.2011, 10:16.

                    Комментарий


                    • #11
                      Сообщение от Zuz Посмотреть сообщение
                      И ведь можно такую штуку сделать баксов за 30, ну ладно, за 60.
                      http://habrahabr.ru/blogs/DIY/125322/
                      Можно. Но - "не нужно". Увы, не могу поделиться историями, рассказываемыми знакомыми "ИБ"-шниками из "моего" банка...

                      Комментарий


                      • #12
                        Самое неприятное в этой истории, это то, что данный зловред специально разработан для iBank2, со всеми вытекающими.

                        Комментарий


                        • #13
                          Сообщение от Zuz Посмотреть сообщение
                          Самое неприятное в этой истории, это то, что данный зловред специально разработан для iBank2, со всеми вытекающими.
                          Чем распространенней ОС, тем больше под нее пишется зловредов. Ничего ж удивительного. Увы.
                          А как хорош был бы загрузочный диск с дровами под токены...

                          Комментарий


                          • #14
                            2 Димитрий: Если имеется зловред работающий поверх JRE то он может отдать серверу любой номер версии jre и так же заблокировать автообновление jre. Посему пока есть jre с уязвимостями проблема решаема лишь просмотром списка документов на оплату _не_через_jre_ и подтверждением оплаты списка . Проблема думаю в том что если клиент оплачивает штук 20+ документов за раз (в больших конторах часто начальники визируют это пачкой) то на сколько SMS придется разбивать это сообщение ? Что есть не очень удобно ... может генирировать на стороне сервера этот список в формате который затруднительно редактировать зловредом (например PDF с паролем и отдавать клиенту вне jre - пусть в окне браузера чтобы можно было более комфортно просмотреть список документов и подтвердить/отменить оплату ....). В общем идея примерно такая хотя это надлежит еще обдумать ... но имхо принудительное SMS подтверждение это ни что иное как признание собственного бессили бороться с вирусописателями. Попробуйте разумно обьяснить клиенту который уже имеет ibank2 key + OTP что он в результате остался беззащитен ....

                            Комментарий


                            • #15
                              to Dimerson'у

                              Если на компьютер клиента попал зловред - то на этом компьютере клиент беззащитен по определению.

                              Что касается документа в PDF-формате в отдельное окно Web-барузера... А что мешает нарисовать зловреду нужный документ и показать оный клиенту? Бред, а не идея...

                              но имхо принудительное SMS подтверждение это ни что иное как признание собственного бессили бороться с вирусописателями.
                              Информирование клиента с помощью SMS о совершаемом платеже с реквизитами получателя, суммой платежа и кодом подтверждения - это РЕАЛЬНЫЙ и ДЕЙСТВЕННЫЙ механизм противодействия хищениям средств при использовании злоумышленником инфицированного компьютера клиента.

                              Что касается борьбы со зловредами... Если банки передают нам (в БИФИТ) зловред, то мы делаем реверс-инжиниринг оного и встраиваем детекторы в iBank2. Именно так было сделано для последнего найденного нами зловреда. Банки не одну сотню инфицированных клиентов нашли. Информация - у нашей техподдержки.

                              Проблема думаю в том что если клиент оплачивает штук 20+ документов за раз (в больших конторах часто начальники визируют это пачкой) то на сколько SMS придется разбивать это сообщение ?
                              Для таких клиентов делается всё проще - используется НЕСКОЛЬКО отдельных рабочих мест и на каждую платежку накладывается несколько ЭЦП - главбуха, директора, контролера и пр. (возможно до 8 групп подписей). Вот для таких клиентов с такой схемой документооборота самое правильное организовать отдельное рабочее место и наделить оператора правом третьей подписи. iBank2 это позволяет и многие крупные компании так и делают.
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                2 Димитрий.
                                про обязательное наличие N групп подписей (а при одной подписи система небезопасна) это как бы не очень правильно. надо строить конфигурацию под клиента (количество подписей) а не наоборот.
                                а по бредовости идеи - согласен ... все это так же от легкой безысходности (вызвана тем что все предыдущие навороты на предмет безопасности в тч и OTP и Token уже как мертвому припарка так как небезопасна сама jre - см для изучения http://www.securelist.com/ru/images/...cent_pic05.png)

                                обновляете апплеты ... раз в N месяцев вместе с апдейтом системы ? не помню я частого обновления апплетов (раз в неделю хотя бы - поддерживаю систему с версии 1.xx - номер уже и не помню за давностью лет)

                                Комментарий


                                • #17
                                  про обязательное наличие N групп подписей (а при одной подписи система небезопасна) это как бы не очень правильно. надо строить конфигурацию под клиента (количество подписей) а не наоборот.
                                  Суть моего предложения - организовать у крупного юрика с большим документооборотом и подписью документов "пакетом" отдельное защищенное рабочее место для отдельного ответственного сотрудника клиента - ФИНАНСОВОГО КОНТРОЛЛЕРА, и дать этому сотруднику право третьей ЭЦП.
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    обновляете апплеты ... раз в N месяцев вместе с апдейтом системы ? не помню я частого обновления апплетов
                                    Проблема с нежеланием банков оперативно обновлять свои версии iBank'ов, или даже только клиентские Java-апплеты - действительно существуют.

                                    Действует принцип - "Работает? Ничего не трогай!"

                                    Поэтому обсуждаем внутри БИФИТа доработку клиентского Java-апплета таким образом, чтобы оный при запуске всегда подкачивал с iBank2.RU базу актуальных сигнатур (~50..200 Кбайт) для противодействия или детектирования выявленных нами зловредов. Сервис как всегда будет бесплатным в рамках техподдержки. Будет такая фича восстребована банками? Поддержите?

                                    Последний пример со встраиванием внутрь клиентского Java-апплета iBank2 механизма детектирования новой разновидности зловреда показал высокую эффективность. По консолидированной обрывочной информации из банков уже не одну сотню юриков реально спасли и продолжают спасать.
                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com

                                    Комментарий


                                    • #19
                                      думаю что автоматическое обновление сигнатур будет востребовано. лучше с сервера банка (он же часть классов подгружает оттуда и заведомо server.ibank:443 открыт для клиентской станции) .... а сервером забирать с bifit.com по шедулеру

                                      Комментарий


                                      • #20
                                        Сообщение от Димитрий Посмотреть сообщение
                                        Будет такая фича восстребована банками? Поддержите?
                                        За всех не скажу, но лично я - за.

                                        Сообщение от Dimerson Посмотреть сообщение
                                        думаю что автоматическое обновление сигнатур будет востребовано. лучше с сервера банка
                                        Ну и смысл? Если многие банки, как говорит уважаемый г-н Репан, и что я лично могу подтвердить по опыту как своему, так и коллег, НЕ торопятся обновлять версии системы ДБО?
                                        С уважением, Антон

                                        Комментарий


                                        • #21
                                          Сообщение от Антон Дёмин Посмотреть сообщение
                                          За всех не скажу, но лично я - за.


                                          Ну и смысл? Если многие банки, как говорит уважаемый г-н Репан, и что я лично могу подтвердить по опыту как своему, так и коллег, НЕ торопятся обновлять версии системы ДБО?
                                          для обновлени сигнатур не надо обновлять версию сервера

                                          Комментарий


                                          • #22
                                            Я вот, к примеру, только что посетил сайт одного банка, который применяет iBank. Так самое весёлое, что даже https нет.
                                            С уважением, Антон

                                            Комментарий


                                            • #23
                                              Димитрий, я Вам про эту технологию атаки еще пару лет назад рассказывал :-)

                                              с детектирование зловредов самим ибанком есть одна проблема: отчет крайне малоинформативен, только о том, что что-то где-то есть. Клиент не всегда даже в банк звонит, а просто тупо пытается зайти заново. А если он и позвонит в банк, то техподдержка банка не может даже подсказать, что искать и где искать. Да и меры противодействия непонятны: достаточно ли JVM обновить или проблему решит строго определенный антивирус и строго от какой даты и выше.
                                              Предлагаю в сообщение об угрозе вставлять код угрозы, состоящий из 2 чисел, рассылать банкам бюллетень, в котором описывается краткий список действий для клиента и банка по первому числу, если же клиент и сапорт банка решить проблемы своими силами не могут, то звонить в БИФИТ (возможно на отдельный номер саппорта) и сообщать им оба числа. У сотрудников БИФИТа должен быть расширенный бюллетень, по которому уже им понятно какой именно крючек сработал. Крючки эти банкам сообщать нельзя, т.к. в банке запросто может трудится соучастник процесса, который просто стучит о мерах защиты.

                                              Комментарий


                                              • #24
                                                Сообщение от sanpriv Посмотреть сообщение
                                                Крючки эти банкам сообщать нельзя, т.к. в банке запросто может трудится соучастник процесса, который просто стучит о мерах защиты.
                                                а разве java не декомпилируется в исходный код ? со всеми вытекающими ...

                                                Комментарий


                                                • #25
                                                  Dimerson, Конечно. Да даже, если не так, то хакера это не остановит. Но пока по телу вирусов и по "скорости" использования дыр там до хакера еще далеко. В основном все делается на зарубежных платформах для вирусописателей и дырки используют только через год-два после их появления. Пока в гонке "брони и снаряда" побеждает iBank, но только результатом данных побед станет очень большое неудобство для конечных пользователей.
                                                  К сожалению тут системная проблема, клиент не озабочен своей безопасностью. У нас саппорт на любой звонок клиента просит уточнить наличие в штате техспециалиста. 10-15% имеют технаря, но и эти "технари" в большинстве своем не знают, что такое IP, default gateway и не знаю чем ping от trace route отличается.
                                                  У нас были попытки увода денег у провайдера, где и айтишники есть и антивирус на компе стоял.... вот только не обновлялся
                                                  так же была попытка увода у компании, которая занимается информационной технической безопасностью... их гуру откровенно считал, что вирус в любом случае оставляет след в логе виндовза, касперски любой вирус найдет, что банк видит MAC компьютера клиента...
                                                  грустно все...
                                                  нельзя эту проблему решить за клиента средствами банка или БИФИТа
                                                  это утопия

                                                  Комментарий


                                                  • #26
                                                    Сообщение от sanpriv Посмотреть сообщение
                                                    рассылать банкам бюллетень, в котором описывается краткий список действий для клиента и банка по первому числу
                                                    Также можно отсылать в банк тревожку, мол, у клиента обнаружен зловред, код: ХХ.
                                                    А лично я - за!

                                                    Комментарий


                                                    • #27
                                                      Сообщение от sanpriv Посмотреть сообщение
                                                      В основном все делается на зарубежных платформах для вирусописателей и дырки используют только через год-два после их появления.
                                                      Вы так в этом уверены?
                                                      Пока в гонке "брони и снаряда" побеждает iBank
                                                      Теоретически, как бы "в попугаях". Потому, что:
                                                      К сожалению тут системная проблема, клиент не озабочен своей безопасностью.
                                                      Бифит, или любой иной производитель может создать сколь угодно хорошо защищенную программу, но если клиент "не озабочен" - то поможет ему только Г-сподь.
                                                      нельзя эту проблему решить за клиента средствами банка или БИФИТа это утопия
                                                      Теоретически, опять-таки - нет. Клиент должен получить защищенный компьютер, в работу которого невозможно вмешательство посторонних.
                                                      И вновь я произношу Magic spell - "Загрузочный диск/флэшка, защищенные от записи".

                                                      Комментарий


                                                      • #28
                                                        Сообщение от sergio1969 Посмотреть сообщение

                                                        Также можно отсылать в банк тревожку, мол, у клиента обнаружен зловред, код: ХХ.
                                                        А лично я - за!
                                                        Дмитрий Репан!!! Обратите внимание!!! Очень разумное предложение, это позволит, если не заблокировать клиенту доступ, так хотя бы перевести его платежи на режим ручной обработки.

                                                        Вы так в этом уверены?

                                                        Теоретически, как бы "в попугаях". Потому, что:
                                                        Бифит, или любой иной производитель может создать сколь угодно хорошо защищенную программу, но если клиент "не озабочен" - то поможет ему только Г-сподь.

                                                        Теоретически, опять-таки - нет. Клиент должен получить защищенный компьютер, в работу которого невозможно вмешательство посторонних.
                                                        И вновь я произношу Magic spell - "Загрузочный диск/флэшка, защищенные от записи".
                                                        Защищенная флешка это хорошо.... а как решить проблему с интеграцией с бухгалтерскими системами? Да и зоопарк техники сейчас такой, что даже не все дистрибутивы линуксовых операционок без бубна ставятся. Но для мелкого клиента это может быть выход. Для крупных я уже в шутку предлагал руководству дарить при открытии счета правильно настроенный нетбук :-)

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Димитрий Посмотреть сообщение
                                                          Сервис как всегда будет бесплатным в рамках техподдержки. Будет такая фича восстребована банками? Поддержите?
                                                          Конечно. Как скоро это будет реализовано ? Потому как это нужно "уже вчера". Апплеты от техподдержки БИФИТА получили в 12-ого, а 16-ого была попытка списания. Так вот апплеты этой попытке даже T1 не присвоили.

                                                          Сообщение от Димитрий Посмотреть сообщение
                                                          Последний пример со встраиванием внутрь клиентского Java-апплета iBank2 механизма детектирования новой разновидности зловреда показал высокую эффективность. По консолидированной обрывочной информации из банков уже не одну сотню юриков реально спасли и продолжают спасать.
                                                          Да. Не панцея, конечно, но реальная помощь в работе.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от sanpriv Посмотреть сообщение
                                                            Защищенная флешка это хорошо.... а как решить проблему с интеграцией с бухгалтерскими системами? Да и зоопарк техники сейчас такой, что даже не все дистрибутивы линуксовых операционок без бубна ставятся. Но для мелкого клиента это может быть выход. Для крупных я уже в шутку предлагал руководству дарить при открытии счета правильно настроенный нетбук :-)
                                                            думаю экспорт-импорт через usb storage device вполне годится для передачи файлов во внешние системы. А про бубен и прочее - согласен - наблюдал не раз как DrWEB live CD или KAV live CD не грузятся на некоторых платформах. например глухо зависают при загрузке ядерного драйвера какого-нибудь IDE. это конечно можно попрвить записав ядру параметр не грузить модуль, но с R/O загрузочным девайсом тут сложнее. В общем придется жестоко вылизывать этот iBank2 Live CD. Не учить же бухгалтеров тормозить GRUB/LILO и говорить ядру какойнить шаманский параметр.

                                                            Комментарий

                                                            Обработка...
                                                            X