Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– самостоятельно при наличии возможности осуществлять с использованием имеющихся на компьютере или устройстве ЭСП несанкционированный перевод денежных средств (так называемый автозалив);
– удалять следы несанкционированного использования ЭСП, удалиться с компьютера или мобильного устройства и вывести его из строя.
Получаемые после установки и в процессе работы данные бот должен передавать в центр управления. Обратно он в определенных случаях получает дополнительные модули (плагины) или настройки, предназначенные для работы с ЭСП выявленных типов. Развитие и усложнение функционала банковских троянов происходят непрерывно с момента их появления, по мере того как кредитные организации и иные операторы по переводу денежных средств развивают программные, аппаратные и организационные средства и меры защиты своих клиентов. Противостояние банковских троянов и защиты от них представляет собой классическую ситуацию противоборства меча и щита или снаряда и брони.
Банковские трояны ранних поколений осуществляли только перехват и копирование аутентификационных данных пользователей операторов по переводу денежных средств и передавали их в центр управления. В последующем при помощи полученных таким образом данных и аналогичных ЭСП (например, доступа к веб-сайту оператора или стандартной клиентской платежной программы), не привязанных каким-либо образом к устройству пользователя, совершались несанкционированные переводы денежных средств. Подобным образом троянские программы использовались преимущественно в 2005–2008 гг., однако простые технологии актуальны и до настоящего времени, так как многие системы перевода денежных средств, особенно электронных, по-прежнему используют простые способы аутентификации.
Постепенно операторы вводили все более сложные системы защиты, ограничивающие возможность совершения переводов денежных средств при помощи ЭСП, установленных (или используемых) на посторонних устройствах. В первую очередь для этого начали применяться различного рода аппаратные ключи (токены, USB-ключи), при помощи которых производятся авторизация и аутентификация пользователей и (или) подписание платежных требований электронной подписью.
Принцип работы большинства аппаратных ключей основан на генерации надежных одноразовых паролей или криптографических ключей, без которых невозможны создание и направление оператору платежных поручений. В результате простое копирование аутентификационных данных стало бессмысленным, так как без использования аппаратного ключа невозможно направить платежное поручение. В ответ на эти меры разработчики банковских троянских программ обеспечили возможность скрытого удаленного управления зараженными компьютерами и устройствами.
Предназначенный для организации такого управления функционал, так называемый бэкдор (от англ. back door — задняя дверь), находится в составе троянской программы или загружается на зараженный компьютер как модуль или дополнительная троянская программа. Для совершения хищения устанавливается скрытое подключение к компьютеру или иному устройству пользователя ЭСП, тайно осуществляется управление этими средствами платежа так же, как это делает законный пользователь, и в нужный момент формируется платежное поручение, которое подтверждается при помощи аппаратного ключа, подключенного к компьютеру. Особенно часто хищения с применением технологии удаленного доступа происходили в 2009–2012 гг.
Дальнейшим этапом развития защитных мер операторов по переводу денежных средств становятся повсеместное внедрение обязательного информирования клиентов о фактах использования ЭСП и совершения переводов денежных средств по дополнительным (так называемым внеполосовым) каналам связи (телефон, SMS), внедрение схем двухфакторной авторизации, подтверждения платежей по внеполосовым каналам, разработка и внедрение более сложных аппаратных ключей с обратной связью и т. п.
При этом банковские трояны также продолжают совершенствоваться. Для обхода усиливающихся мер защиты в последние годы часто применяется технология так называемого автозалива. Она подразумевает автоматическую отправку несанкционированных платежных поручений в процессе штатного использования ЭСП законным пользователем, а также в большинстве случаев подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей, коррекцию страниц с историей переводов и состояния счета в целях сокрытия фактов хищений (технология автоподмены). В случае работы с «тонкими клиентами» для автозалива используются уже упоминавшиеся ранее веб-инжекты – внедрение кода в загружаемые пользователем при помощи программы-браузера страницы платежных веб-сайтов. Пользователь вводит аутентификационные данные, подготавливает и передает платежное поручение, не подозревая, что браузер искажает информацию под воздействием вредоносной программы и на самом деле перевод денежных средств осуществляется на сторонний счет.
Усложнение банковских троянов закономерно приводит к повышению стоимости и длительности их разработки. Современный банковский троян содержит средства обнаружения и модули для большого количества ЭСП различных операторов, а также разнообразный функционал для преодоления средств и мер защиты и совершения переводов денежных средств.
4.2. Организация преступной деятельности
А вы работаете у нас уже десять лет, но так и не осознали простой истины: если есть преступление, значит, есть и преступник…
Аркадий и Борис Стругацкие. Хищные вещи века4.2.1. Особенности преступной деятельности в киберпространстве
Для осуществления хищений денежных средств специализированной вредоносной программы, разумеется, недостаточно. Преступная деятельность такого рода – «биз (бизнес) по заливам», как иногда называют ее сами участники, требует большой организационной работы, привлечения определенного количества исполнителей и пособников, постоянного приобретения и потребления разнообразных криминальных товаров и использования криминальных услуг.
Задача хищения денежных средств в электронных системах настолько сложна, что физически не может быть выполнена одним человеком от начала до конца: от момента создания вредоносной программы до момента получения на руки похищенных денежных средств. Тем не менее, хотя такие хищения и являются результатом коллективного труда, для их совершения необязательно существование устойчивых групп лиц, связанных между собой в реальной жизни. Специфика групповых компьютерных преступлений позволяет большинству их участников, не встречаясь лично, общаться, планировать и координировать преступные действия только посредством интернета и только в период совершения преступления. При этом физически сообщники могут находиться не только в разных регионах, но и в разных странах. В результате возникает большое количество кратковременно существующих преступных групп, не имеющих постоянного состава, каждый из участников которых может одновременно участвовать в деятельности множества других групп. Отличие деятельности подобных групп от обычной организованной преступной деятельности весьма существенно, а выявление и привлечение к уголовной ответственности их участников затруднены по объективным причинам, особенно если деятельность групп имеет трансграничный характер.
Регулярно встречаются и устойчивые преступные группы, состоящие из знакомых между собой лиц, находящихся в пределах физической досягаемости. Участники таких групп в зависимости от их численности выполняют либо весь спектр задач на всех этапах преступной деятельности (что бывает крайне редко), либо только определенную часть задач.
Любопытным моментом является и то, что при всей сложности задачи организатору хищений денежных средств, как и большей части участников группы, не требуются профессиональная компьютерная или техническая подготовка и образование. За исключением разработки компьютерных программ, все криминальные специальности, необходимые для участия в процессе, могут быть освоены лицами без специальной подготовки и опыта работы. Инвестиции (вложения капитала, если это можно так называть) на начальном этапе также являются минимальными либо вообще не требуются.
Отметим некоторые другие особенности и тенденции рассматриваемой преступной деятельности:
1. Хищения денежных средств в электронных системах являются в настоящее время наиболее доходной разновидностью компьютерной преступности. Налаженная систематическая работа