GD Star Rating
loading...

Поиска “крысы” пост.
Жило-было одно маленькое, но очень гордое предприятие. И обслуживалось оно в одном маленьком, но очень гордом банке. Совместно решив, что настало время перевести их отношения в более современное русло слились они в экстазе Клиент-Банковского обслуживания. До поры до времени всё шло чинно, важно, пока однажды утром предприятие не обнаружило в реестре платёжных поручений ещё одно, которого вчера не было, на довольно существенную сумму по счёту организации, название которой на предприятии видели в первый раз. На все претензии банк ответил в стиле “ничо не знаем, вашими ключами подписано идите лесом”. Сумма, тем временем, через полтора часа после перечисления была успешно снята со счёта получателя платежа, программа предприятия заблокирована, и начато служебное расследование.

Шансы ничтожно малы, но может кто сталкивался с подобной ситуацией? Первое, что я сделал, запросил список адресов, с которых осуществлялось подключение к системе банка (вероятность “крысы” не исключается).

Hardblog.net - linux nix windows размер 500x379, 39.35 kb

Tagged with →  

78 Responses to Поиска “крысы” пост.

  1. Nikmo:

    Как доступ к клиен-банковскому компу осуществляется? Аудит логинов-паролей есть? Защита от НСД? Токены с контейнерами есть? На мой взгляд надо покопать в сторону несанкционированного доступа к клиент-банковскому АРМ

  2. Kcanode:

    : Комп в общей комнате, но на виду. Никто, кроме хозяйки, судя по записям видеонаблюдения, за него не садился. Банк, кстати, выдвинул весьма “оригинальную” версию, что ключи троян похитил.

  3. EnoDead:

    Кстати да, троян вполне реально.

    А что за банк то? веб-морда там или как? Как там с ключами, одноразовыми паролями и тд?

    ибо насколько я знаю, трояны в наших условиях пишутся под конкретного банка, и еще
    пусть оператор вспомнит не было ли случаев, что “одноразовый” пароль не подошёл, пришлось запросить еще раз или что-то подобное, что в последнее время заставило ввести пароли повторно.

  4. RewZZ:

    e-token-ы используются?

  5. Nirblack:

    Самое слабое звено в безопасности это люди. Митник подтверждает.
    Никто, кроме хозяйки, судя по записям видеонаблюдения, за него не садился.
    Тётенька хозяйка бизнеса или или наемная хозяйка компа?

  6. FkNo:

    : Ну, я надеюсь, банальный антивирус, обновляющийся через интернет на компьютере установлен? Ключи хранятся на токене (с паролем)? Пароль знает только непосредственно работающий с токеном человек? Я помню, некоторые клиент-банки предлагают использовать 2 токена: сначала одним подписываются всякие платёжки и потом вторым они уже утверждаются – соотв. задействованы 2 человека.

  7. Kcanode:

    : Выдержка из договора.

    Hardblog.net - linux nix windows размер 499x195, 99.38 kb

  8. Nirblack:

    : я бы проверил время когда была транзакция и посмотрел видео была ли “хозяйка” в этот момент за компом. А потом бы подумал. И подключения тоже проверил. Если подключений в этот момент не было, то это наводит на некоторые мысли.

  9. GibPhone:

    : но при этом, увы, часто бывает, что за обоих подписывает один и тот же человек, просто две дискетки/токена использует по очереди.

  10. GibPhone:

    Или сама “хозяйка” или админ (раз предприятие маленькое, то отдельной структуры, занимающейся ИБ, наверняка нет). Причем админ виноват, даже если не сам лично сделал, а просто прошлёпал необходимые меры безопасности.

  11. Kcanode:

    Итак, действие второе. В договоре обслуживания четко прописаны действия сторон при возниконвении спорной ситуации. Создаётся комиссия, выясняются обстоятельства и всё такое. По приезду в филиал банка (голова, как водится в Москве) нас встречает радостная управляющая с готовым заключением комиссии, что типа вы лохи, у вас винда не лицензированная и вирусы гуляют и вообще вот сообщение и оно подписано вашим публичным ключом. Юриста данная ситуация несколько возмутила. Забрали этот документ, сняли список сессий, покопались в технологической цепочке банка. Документ обрабатывался 37 минут. Счёт получателя – физлицо в Сбере. Через час после перевода деньги сняты со счёта.
    Возникает сразу много вопросов. Те, кто хоть раз пытался перевести деньги на физлицо, тем более в Сбер, надеюсь понимают, насколько нетривиальна эта задача. Обналичить единомоментно в Москве в час дня 500 тысяч, повторюсь в Сбере, по-моему ещё нетривиальнее.

    Сегодня ездил к компьютеру потерпевшего. 350 км в одну сторону. Домен, лицензионная винда со всеми обновлениями. Корпоративный Symantec.
    В автозагрузке на машине клиент-банка сидит Trojan.PWS.Siggen.33038, по версии ДоктораВеба. Отловлен им-же. Касперский и Симантек молчат.

  12. Enisuper:

    : Ну, как представитель IT-отдела одного из банков могу сказать, что в 99% случаев все именно так и выходит, хищение денег происходит непосредственно с клиентской машины хитрым трояном/руткитом и ничего “оригинального” тут нет, действительно сами виноваты.
    Вдобавок у многих банков, используется привязка клиентской машины по mac-адресу, что еще больше сокращает возможность списания денег извне.
    Ну и самое главное – потратьтесь уже, наконец, на выделенную машину у которой нет админских прав у пользователя, нет доступа ни к какому интернету, кроме сайта банка (в этом случае, даже если подхватите трояна, то им некому будет управлять) и не используется какой-либо левый софт. Все эти хлопоты обойдутся в один день работы сисадмина и 10-15 т.р. на дополнительный комп, что не идет ни в какое сравнение с украденной суммой.

  13. Kcanode:

    : А не было у пользователя админских прав.

  14. Enisuper:

    : Для домена логично. Но я бы акцентировал внимание именно на выделенной машине с урезанным интернетом (на уровне маршрутов, а не dns). Это правда охуенно помогает.

  15. Ms_Fcuk:

    : крчяу, Symantec говно, особенно ентерпрайз (которому вдвойне нельзя пропускать что-либо). Dr.Web что-то с Trojan.PWS и Trojan.Carberp очень странно себя ведет: просто блокирует (и неизвестно на каком этапе загрузки блокирует: успевает ли эта хуйня что-то куда-то отправить).
    В случае с Trojan.Carberp рулит, как ни странно, Microsoft Malicious Software Removal Tool.

    Как бы там ни было, наличие Trojan.PWS однозначно равняется жопорукости IT-сектора.

  16. Kcanode:

    : Это и было рекомендовано клиенту ещё в апреле. Сегодня при мне купили. Настроил.

  17. Kcanode:

    : Там ИТ-сектор в лице одного человека, которого ещё и видеонаблюдением с АТСкой озадачили. Но парень – молодец. Убедить босса не лезть в пиратство, брать машины с ОЕМной виндой не так просто. Единственный его проеб, я считаю, бесконтрольный выпуск в интернет всех желающих. Кстати, судя по логам эта гадость сидела у них аж с 15 февраля.

  18. Ms_Fcuk:

    : он молодец ровно до того момента, как проебал 500 тыщ.

  19. Kcanode:

    : Я более склонен винить бухгалтера, проебавшего изменения в сквозной нумерации платёжек и не отследившей входящий баланс.

  20. Kcanode:

    : Счетом редко пользовались и на момент инциндента было всего 12 платёжных поручений.

  21. RuaSwet:

    пару вопросов задам:
    1. заявление по факту в ментовку подано?
    2. дал ли банк IP откуда проводились операции?
    3. в курсе ли вы и банк об ответственности банка на тему хищений в соответствии с недавно принятым законом?

  22. Enisuper:

    : Вот и правильно. Меня всегда поражала эта “экономия на спичках” при многомиллионных ежемесячных оборотах у некоторых клиентов. Что самое обидное – потом эти “экономы” бегут в банк, топочут ногами и грозят банкам судом.
    С другой стороны, вирусописательство – большой и серьезный бизнес, и тут прогресс летит семимильными шагами: современная вирусня подменяет данные прямо в браузере при вводе документа, т.е. вводится платежка с одними реквизитами, а на подпись поступает уже совсем с другими. Вирусы постоянно меняются и совершенствуются, поэтому полностью полагаться на антивирусы не стоит, все равно найдется какая-нить модификация, которой еще нет в базах.
    Поэтому самый надежный метод защиты – самый дубовый: максимально ограничить возможности пользователя и машины, оставить маршрут только до сайта банка, закрыть все порты на выход и http/https на вход, ограничить работу компа во внутренней сети.

  23. Enisuper:

    : Шансов отловить злоумышленника крайне мало, да и в отделе “к” далеко не всегда встречаются даже просто компетентные люди, не говоря уже о действительно классных специалистах (говорю на основе опыта личного общения, не более того). Банк не обязан давать клиенту такие данные, но обычно идет навстречу клиенту. С другой стороны, “вычислить по IP” потенциального похитителя обычному человеку без связей вряд ли удастся. Ну и про закон – он пока только внесен в думу на рассмотрение, и не факт, что он будет принят в таком “драконовском” виде.

  24. RuaSwet:

    : так вот я именно потому и задал все эти три вопроса, по долгу службы я работаю связным звеном между пресловутым отделом “К” (ну и не только) и мало-мальски федеральным провайдером (в рамках свой сферы ответственности). Так вот, во-первых они ща активно занимаются расследованием подобных случаев, во-вторых, там уже немало весьма добротных спецов, в-третьих закон уже принят (если я глючу ткните пальцем).

  25. Kcanode:

    : 1. Да. Это было вторым в списке, после блокирования счета. Заявление принято ГУВД Екб и переслано в Москву.
    2. Да. Список имеется. С печатью и подписью сотрудников банка
    3. Нет. Буду благодарен за ссылку.

  26. GibPhone:

    :
    >вот сообщение и оно подписано вашим публичным ключом
    А должно быть подписано приватным.

  27. Enisuper:

    : Ну по поводу IP – как я уже говорил, в большинстве случаев списание происходит трояном с машины самого клиента, так что вычислять особо и некого. Действия же трояна на компе жертвы отследить довольно сложно.
    Насчет спецов – очень рад, если это так. Сам же я пару лет назад наблюдал за расследованием подобного инцидента и даже принимал со стороны банка в этом расследовании непосредственно участие и уровень компетентности следователей меня тогда крайне неприятно поразил.
    Ну а про закон – последний раз я отслеживал состояние дел в начале этого месяца и тогда он был лишь в проекте на рассмотрении в думе. Сейчас, если честно лень лазать по интернету, поэтому комментировать не буду, может и принят уже. Завтра юриста нашего озадачу. Как мне показалось, закон фактически вводит презумпцию вины для банков в рассмотрении дел хищения средств в системах ДБО и это мне кажется излишне жестким и неправильным, посему надеюсь, что он все-таки будет принят с разумными поправками.

  28. Enisuper:

    : скорей всего, запутались в терминологии

  29. RuaSwet:

    : список стоит приобщить к делу (хотя наверно уже), это ускорит процесс, по третьему пункту… сорри, лоханулся, это действительно еще не принятый закон…

    Ну и собственно по существу, раз все правильно сделали, ждите, ловят, неплохо ловят.

  30. RuaSwet:

    ну и да, поясню, была серия крупных краж через клиент-банки, писмо не то “шмеле” не то “крабэ”, некислые пиздюли, и вот уже второй месяц мой рабочий день начинается с разбора заявок от вышеупомянутого отдела “К”, их реально много, и думаю не только у нас.

  31. Kcanode:

    : Ок. А ссылку на проект можно?

  32. RuaSwet:

    : троян трояном, хреново, но таки прослеживается, хоть и не всегда.
    По отделу “К”, не напоминай мне оных 2-х – 3-х летней давности, это был ужас.
    С законом, факт, – лоханулся, не принят еще, причина данного законопроекта косвенно прослеживается из цепочки в моем предыдущем комменте.

  33. RuaSwet:

    : полный текст не искал (все-таки не совсем мое дело), можно отсюда начать копать. а так, да, если поспрошает своего юриста то, наверное, даст более интересную инфу по этой части.

  34. RuaSwet:

    Подкованность нашей юр. службы в вопросах не связанных с законом о связи, если сказать мягко, то очень мала.

  35. Ag3white:

    : ага айпишник ближайшего макдональдса. кто ж будет с домашнего ip такие штуки проворачивать?

  36. Ms_Fcuk:

    : мне на самом деле очень жаль всех участников.

  37. Enisuper:

    Пообщался с юристом, отчитываюсь насчет закона. Итак, это даже не закон, а большой проект поправок в ГК, относящийся не только к банковской деятельности. Проект вынесен Медведевым в думу и пока не принят, так что ссылок на конкретные материалы у меня нет (в “консультанте” не нашли, туда публикуют, похоже, только готовые законы), так что опираюсь на урывки из прессы.
    Основное содержание, применительно к данному случаю – на банки планируется переложить необходимость компенсации за несанкционированное снятие денег со счетов клиентов. Размер компенсации может быть снижен, если банк докажет(!!!) что клиент вел себя неосмотрительно. В думе, судя по всему, проект в таком виде не очень горят желанием принять, что и логично.
    Не подумайте, что я злорадствую и смотрю на ситуацию только с точки зрения банка – я отлично представляю неприятную ситуацию, описываемую в посте. Но представьте себе ответственность продуктового магазина за понос покупателя, запивающего соленый огурец молоком, особенно, если на упаковке молока написано “не смешивать с огурцом” и наоборот.
    Ну и самое главное для данного поста – в текущей редакции эти поправки касаются именно физических лиц и их операций с пластиковыми картами и платежными системами. Т.е. даже если поправки будут приняты в текущем виде, на случай, описанный в посте это никак не повлияет.

  38. RepSport:

    И всё могла исправить банальная смс верификация ; (

  39. RuaSwet:

    : не везде есть маки с вайфаем, и ты не поверишь, но есть и те кто палят свой домашний IP.

  40. Enisuper:

    : при подмене данных прямо в браузере (см. выше) смс верификация и сеансовые ключи уже не выглядят такой уж панацеей. Вирусописатели нынче очень затейливы.

  41. RepSport:

    : Ну смотри, дал ты номер телефона, и его изменить можно только смс верификацией. Как ты переведешь деньги?
    Доступ к счёту есть, пароль есть, что дальше опиши?

  42. RaeRain:

    : они не имеют смысла без клавиатуры для ввода пина и экрана для просмотра подписываемого содержимого

  43. RaeRain:

    : как представитель IT–отдела одного из банков

    у многих банков, используется привязка клиентской машины по mac–адресу

    oh shi!~

  44. RaeRain:

    : антивирусы не могут гарантировать отсутствие вирусов но могут сигнализировать их наличие

  45. RaeRain:

    : в отделе “к” далеко не всегда встречаются даже просто компетентные люди

    Сами за них работайте, говорите что выяснили и что это значит, они будут давать добро (писать бумаги) на предоставление дополнительной инфы из банков и от провайдеров. И быстро быстро!

  46. RaeRain:

    : GSM ломается, что бы там не кукарекали всякие прокуренные безопасники

  47. RuaSwet:

    : есть нюанс, например мы абы кому инфу не даем, банки тоже… без заявки из МВД не всё можно получить самостоятельно.

  48. RaeRain:

    : именно, поэтому и начинаете с того что доступно (свои логи) потом идёте к ментам, говорите что надо дальше для дальнейшего копания, они пишут бумагу, идетё дальше и дальше и дальше.

    если вам повезет то выйдете на какой-нибудь торговый центр, откуда жулик перевод делал, запросите видео с камер там (в каждом сраном бутике есть камера + камера на входе чтобы морды лица было видно) ну а там может и попадётся ваш деятель

    думайте головой, вам, блин, за это платят :3

  49. RepSport:

    : Всё можно сломать, но ты просто подумай как надо жопу порвать для того что бы поломать телефон и комп одной организации, это тебе не троян подсадить на дырявый писишник.

  50. RaeRain:

    : как только (и если) такую аутентификацию введут дополнительные затраты жуликов единовременно составят всего ~$1500 (ну и немного смекалки). Окупится это с одной операции.

    Так что смс-верификация тут не поможет. Да и отключат её принудительно многие хорошие потенциальные жерты ибо заебет главбуха подтверждать каждый чих при количестве транзакций за пару сотен в неделю.

  51. RepSport:

    : Ты рассказал про затраты коня в вакууме, давай детали.

  52. FkNo:

    : И не только у банков, но в них особенно, да.

  53. RuaSwet:

    : ага, ребята из МВД рассказывали, был у них случай, когда чувак лоханулся и дважды светанул своим макушником в халявной вафле, в первый раз собственно само действо, второй раз хз почему, но на втором его и взяли тепленьким.

  54. RaeRain:

    : блджад, МАК адрес дальше сегмента ethernet сети не уходит.

  55. Enisuper:

    : Браво, КО!
    Но в данном случае все чуть хитрее – о mac-адресе нам (серверу ИК) репортит клиентская часть – пресловутые activex-компоненты в IE. Компоненты достаточно хитрые, чтобы заметить смену mac через драйвер сетевушки – лично проверял. Это, кстати, достаточно широко распространенная практика.

  56. Enisuper:

    : См. мой комментарий выше – набивается в браузере один документ, а подписывается и попадает в банк уже модифицированный. Сеансовые ключи не спасут, верификационная смс при отправке нескольких десятков документов в день в лучшем случае будет игнорироваться.
    Вот тут подробнее.

  57. RaeRain:

    : Чё ты несешь-то вообще? Виндовз головного мозга? Сетевушки вообще может не быть, у неё может быть фейкоадрес 0000000000.

    “Компоненты активикс” закопали уже давно даже в самом микрософте, в лучшем случае оно пишется на говнояве, в худшем – в ФСБшной говноконторке, как её там, где кривой криптографический говнософт делают

    Охуеть бля, привязка к маку. Костыльщики ебучие!!!111

  58. RaeRain:

    : именно

    поэтому, спасут только смарткарты со считывателем с дисплеем и клавиатурой. типа таких

  59. Enisuper:

    : любишь погрубить? займись этим сам с собою:).

  60. RepSport:

    : Но всё равно вероятнось меньше, нет? Ну сломали мобильный, ок, остался пароль в компе, сломали комп, так до мобильного не добрались. На то оно и нужно.
    Кстати рекомендую включить двух этапную авторизацию в гугле.

  61. RaeRain:

    :
    с чего ты взял что вероятность уменьшится? может, наоборот, кулхацкеры укрупнятся?

    и в каком ещё гугле блджад? нахуй, при чем тут гугл?

    еманаврот! вы все реально занимаетесь безопасностью?!

  62. RepSport:

    : Привет, я надеюсь что тебе не чужда логика, и ты поймёшь что вероятность хака телефона и компа одного и того же человека одним кулхацкером меньше чем компа / телефона отдельно?

  63. RaeRain:

    : логика тут не при чем – схема работы жуликов поменяется просто, и вероятность вернётся к тем же значениям (если не увеличится)

  64. VanZero:

    : Ну а что надо было делать на его месте чтоб такой херни не допустить?

  65. VanZero:

    : уровень компетентности следователей меня тогда крайне неприятно поразил.

    Россия – одна из стран-лидеров в киберпреступности именно поэтому.

  66. VanZero:

    : Ну, в США уже давным давно такой закон есть и банки тамошние как то не разорились пока.

  67. RaeRain:

    : да, пиздец, ничего не сделаешь

    работу сменить

  68. VanZero:

    : неее, это для слабаков

  69. Kcanode:

    Третья часть марлезонского балета. Съездили вчера в банк на комиссию. Ребята сочувственно кивали головами, но допустили столько юридических косяков, что наш юрист всю обратную дорогу улыбался. Дело затягивается, из ГУВД Москвы ни слуху ни духу.

  70. RaeRain:

    : то же самое можно cделать с липовой доверенностью у ОпСоСа + троян для USB как у автора поста. Ну, чтобы в банк не ходить, ОпСоСов больше и в плане проверки документов они менее подкованы, так как, в отличие от банка, не подписывались хранить сотни нефти своих клиентов.

    Короче, телефон не предназначен для обеспечения сколько-нибудь серьёзной безопасности

  71. RaeRain:

    Кстати, котаны, как думаете – имела бы успех организация, занимающаяся считыванием инфы из смарткарт и токенов? В мире такие есть а в России не нашёл.

  72. Lacno:

    : Случается, что они и вымогают деньги с домашнего телефона. Несколько лет назад малолетний кулхацкер организовывал школофлуд-атаки на сайты и вымогал у вебмастеров 500$ за “безопасность”. Делал он это с папиного мобильного, пока папа не видит. Очень удивился, когда взяли.

Добавить комментарий