Страницы

Семинар Юго-Западного Сбербанка по безопасности банкоматов и ДБО


Интересность:       ▃ ▄ ▅ ▆ 
Организация:        ▃ ▄ ▅ ▆ ▇
Питание:               ▃ ▄ ▅

В пятницу 25 октября мне довелось выступать на семинаре Сбербанка, посвященном вопросам противодействия кардерам и мошенничеству в системах ДБО.
С программой семинара можно ознакомиться тут.
Семинар проходил в шикарном ростовском зале Юго-Западного филиала Сбербанка и собрал около сотни специалистов по безопасности с Кубани, Ставрополья и Ростовской области.

Центральной темой совещания было противодействие взлому (физическому) банкоматов и борьбе со скиммингом.


Мероприятие начала Светлана Васильевна Бакуменко - начальник сектора по противодействию мошенничеству Юго-Западного банка ОАО "Сбербанк".  Женщина на высоком посту, связанном напрямую с ловлей преступников, - это уже практически фантастика. А тут ещё и свободная речь без бумажки, отличный доклад и превосходное знание своего дела - я был впечатлен :), а семинару уже с первых минут был задан отличный позитивный тон.

На юге России ситуация со скиммингом неутешительная. Количество инцидентов растёт, технологии злоумышленников совершенствуются. Поэтому Юго-Западный филиал Сбербанка с июля  полностью перешел на выпуск чиповых (EMV) карт, подделать которые значительно трудней.

Современный скиммер по дизайну не отличим от банкомата, оборудован камерой с диаметром объектива не больше иголочного ушка и может использовать беспроводные технологии передачи информации. Обнаружить скиммер теперь непросто и профессионалу. 

Новый для России и популярный в Европе способ кражи денег - Cash Trapping.
Деньги блокируются в окошке выдачи наличных специальной "вилкой". Хозяин карты в растерянности уходит ни с чем, а злоумышленник извлекает затем "вилку" вместе с деньгами. 

Еще одна новая угроза - фальшивые банкоматы, которых изъято по региону уже 2.
Не отстают так же и фальшивомонетчики. Вот так из 5110 рублей можно сделать 10 000.
В банкоматах по всей стране уже обновляют прошивку в купюроприемниках чтобы распознать купюры-зомби. В качестве временной меры во многих терминалах ограничили прием пятитысячных купюр, имейте ввиду. 

Еще одна качественная подделка с отличительными признаками.

Вообщем главным видом "внешнего" мошенничества в банковском деле сегодня является скимминг и физический взлом/кража банкоматов.
Есть и изощренные мошеннические схемы с обманом кассира, в которых по словам Светланы Васильевны могу применять и гипноз (!).

Дальше выступали представители УСТМ (Управление "К") Ставрополя, Ростова и Краснодара. 

Очень любопытная проблема, которая перед ними сегодня встает - это отказ клиента, у которого с помощью банковского трояна украли деньги, от написания заявления в полицию (заявление необходимо для возбуждения уголовного дела). Пострадавшие мотивируют это тем, что деньги украли не у них, а у банка (!), и что они писать заявление не будут, так как пострадавший в этом деле банк, пусть он заявление и пишет.

Еще интересный момент - чтобы заблокировать мошеннический СМС номер другого региона (который, к слову, часто "маскируется" под местный код), необходимо работать через Управление К этого региона, а не напрямую с оператором связи. Из-за этого на блокировку номера уходит 24 часа, и мошенники обычно успевают вывести средства.

В Краснодаре вопрос взаимодействия между банками и операми стоит хорошо. Благодаря тесному сотрудничеству в этом году удалось взять двух профессиональных кардеров за которыми охотились несколько месяцев. Круто.

Потом выступал гендир АНСЕР ПРО с презентацией активного антискиммингового оборудования - генератора электро-магнитного шума. Докладчик был скучный, но тема интересная.

Антенна генератора располагается вокруг картоприемника и в момент "втыкания" карты - забивает шумом работу возможного скиммера.

Вот как то так:

В скором будущем такими генераторами (или аналогами от конкурентов) будут оснащены все банкоматы. По словам разработчика, эта штука способна эффективно давить даже аудиоскиммеры, но не стереоскиммеры. Правда последних в России ещё пока нет.

Следом выступал Дмитрий Волков из Group-IB. 
Начал Дмитрий со слайда-предупреждения о конфиденциальности своей презентации, и я так и просидел всю презентацию с телефоном наготове, чтобы снять что-нибудь конфиденциальное для моих подписчиков!
Я так ждал какой-нибудь интересный слайд, что пропустил почти всю презентацию и успел напоследок сфоткать только вот это:
Вообщем "конфиденциальность" презентации - это дешевый пиар, ставший уже традицией для выступлений GroupIB.

Дмитрий показывал фотки хакеров из группы Carberp, которых GroupIB помогала поймать в этом году. Рассказал про ботнет из Android телефонов, хозяин которой придумал как красть с телефона деньги: он пополнял счет ботофона с банковской карты жертвы с помощью скрытых СМС  (например, если отправить с телефона СМС с текстом "тел 200" на номер 900, то Сбербанк пополнит твой счет на 200 рублей с твоей карты), затем переводил с помощью СМС деньги на QIWI кошелек и выводил на дропа. 

Интересный вектор атак, по словам Дмитрия, - это взлом внутренней сети банка. Через зараженные трояном машины внутри банковской сети злоумышленники получали контроль над ИТ инфраструктурой банка, наблюдали за действиями операторов и в один прекрасный момент проводили собственные платежи. Кто-то даже торговал доступом к сайтам региональных банков на форумах. В такой ситуации требование банковского стандарта СТО БР ИББС по организации физически изолированного от сети Интернет сегмента локальной сети уже не кажется чрезмерным.

GroupIB активно сотрудничает с Юго-Западным Сбербанком в части расследований киберпреступлений, и в Ставрополе у них даже открылся свой филиал. 

Вендоры банкоматов (NCR, Wincor Nixdorf) рассказывали про технологии борьбы со скиммерами и взломом банкоматов.

В Европе стал популярен способ вскрытия банкомата с помощью... объемного взрыва! В банкомат закачивается взрывоопасный газ и происходит детонация, деформирующая корпус. Для защиты от этого NCR предложил делать стенки банкомата из композита (сталь + бетон). 
Еще одно "ноу-хау" NCR - самоуничтожающаяся кассета с банкнотами! При попытке её извлечь (либо при наклоне банкомата) кассета заливает все купюры краской! Интересно, какой из вендоров первым додумается минировать банкоматы?

Кроме "глушителей" скиммеров вендоры так же выпускают детекторы: кто-то ставит разновидность объемного датчика, кто-то предлагает ставить микровидеокамеры, которые фиксируют изменение контура купюроприемника и клавиатуры. 

Еще один "хинт" - использование кнопок клавиатуры из поликарбоната, так как метал хорошо сохраняет тепло и позволяет считать пинкод, набранный тепленькими пальчиками, спустя несколько секунд.

Общим недостатком всех банкоматов является отсутствие температурного датчика, из-за чего вскрытие банкомата газосварочным оборудованием может долго оставаться незаметным для оператора.

Последним интересным докладом был доклад представителя уголовного розыска Краснодарского края. 
  • в крае за 2013 год зафиксировано 50 случаев физического взлома банкоматов;
  • в 12 случаях ЧОП проморгал взлом;
  • с конца 2011 года медвежатники и квартирники переквалифицировались на банкоматы, и сегодня это действительно "криминальный тренд".

К минусам совещания можно в очередной раз причислить доклады вендоров, которые начинались стандартно: "Мой коллега/конкурент рассказал вам уже какие бывают скиммеры, показал вам всю возможную статистику, рассказал вам о всех способах взлома банкоматов......  но я повторю вам всё ещё раз!!!.." Из-за чего нам с Димой досталась уже порядком сонная аудитория, и первым делом нам пришлось всех будить :)

Наш доклад был посвящен расследованию компьютерных инцидентов, упомянули так же 3007-У и 382-П, рассказали про показательную историю с одним нашим региональным банком и презентовали наш новый сервис (о котором позже будет отдельный пост).

Что еще почитать?

3 комментария:

  1. Я и не знал о данном мероприятии: нам даже приглашение не прислали =(

    ОтветитьУдалить
  2. Артём, про "вилку" поправь описание, немного не точно описал технологию кражи денег не у держателя, а у банка.

    ОтветитьУдалить
    Ответы
    1. Да, описание не совпадает со слайдом :), но оба случая актуальны, да и на слайде все расписано.

      Удалить