При этом в 2011 г. значительно изменилось соотношение потерь в различных секторах индустрии платежных карточек. Впервые на первое место по относительной доле вышли так называемые банкоматные потери, которые составили 55% от общей суммы. В 2010 г. доля таких потерь составляла 40%.

Также 2011 г. отмечен резким ростом потерь в среде Интернет. В 2010 г. доля интернет-потерь составляла всего 2%, а уже в первой половине 2011 г. — 20—25%. Наиболее тревожными темпами растут потери в области банкоматов. Казалось бы, самая защищенная технология использования платежных карточек — в мире доля таких потерь составляет всего 5% — в России в первом полугодии 2011 г. выросла в 3,5 раза (250%). Рост количества атак на банкоматы подтверждается также и данными АРЧЕ. Если в 2010 г. количество инцидентов по установке скимминговых устройств в России составило 140 случаев, то только за первые девять месяцев 2011 г. таких инцидентов было зарегистрировано 213 случаев, что составляет прирост 217% (98 инцидентов за I—III квартал 2010 г.).

Наблюдается также явное превосходство потерь в области эквайринга (71%) относительно эмиссионных потерь (29%). Несмотря на негативную тенденцию роста потерь в различных областях технологии платежных карточек, общая картина, по сравнению с ситуацией в остальном мире, в России пока все-таки несколько лучше.

В 2010 г. относительные потери в мире составили 9,6 базовых пункта, в России — 4,2. По данным EAST, в 2010 г. в Европе на каждую тысячу банкоматов устанавливалось 26 скимминговых устройств, то по данным АРЧЕ, в России — только 1,5 скимминговых устройств.

Негативная тенденция по росту потерь в сфере платежных карточек вызвана не в последнюю очередь и пробелами в уголовном законодательстве, и откровенно неэффективными действиями органов МВД, и неоправданно мягкими судебными приговорами. С 2009 г. в Государственной Думе находился законопроект № 511793-5, который предусматривал изменение статьи 187 УК РФ, введение статьи 187.1 УК РФ, которая значительно расширяла и увеличивала уголовную ответственность за противоправные действия в области платежных карточек.

Предлагалось: 1) выделить преступления с платежными документами и платежными карточками в различные статьи Особенной части УК РФ; 2) расширить предмет преступления, предусмотренный действующей редакцией ст. 187 УК РФ — «кредитные, расчетные карты», новым предметом — «платежные карты», который включает в себя и предоплаченные карточки; 3) ввести уголовную ответственность не только за изготовление поддельных платежных карточек, но также и за введение в оборот поддельной платежной карточки.

При этом дано разъяснение, что введение в оборот поддельных платежных карточек может быть двух видов: а) Поддельные карточки вводятся в законный оборот, т.е. с их использованием формируются платежные и иные документы, реализуются расчеты и др. В этом случае лицо, владеющее поддельной платежной карточкой, использует ее в качестве инструмента безналичных расчетов, предназначенного для совершения операций с денежными средствами: осуществляются операции по оплате в торгово-сервисных предприятиях, получению наличных денежных средств в банкоматах или пунктах выдачи наличных и т. п., законные участники платежной системы: предприятия торговли, процессинговые центры, банки и др., обрабатывающие данные операции, вводятся в заблуждение, считая карты подлинными. б) Предметом оборота являются собственно поддельные карточки, т. е. осуществляется незаконный оборот поддельных платежных карточек (вне платежных систем, кредитных организаций, предприятий торговли), лицо, ранее изготовившее поддельную платежную карточку либо иным способом получившее ее во владение, осуществляет действия по совершению сделок с указанной карточкой, предполагающие ее переход к иному держателю (продажа, обмен, дарение).

Однако, несмотря на наличие положительных отзывов (с некоторыми замечаниями) Верховного Суда и Правительства России, у Государственной Думы пятого созыва так и не хватило желания и времени рассмотреть данный законопроект.

В МВД РФ отсутствует подразделение, целенаправленно занимающееся данными преступлениями. Не осуществляется накопление и анализ информации о криминальной деятельности. Из-за специфической латентности преступлений необходим большой объем оперативной работы, который практически не ведется. При расследовании преступлений в сфере банковских карточек необходимо выявление всех эпизодов. То есть по номеру карточки необходимо установить все незаконные операции. Данная информация находится в платежных системах и банках.

Необходим постоянный публичный контакт и оперативность (сроки расследования) со стороны платежных систем и банков о предоставлении информации по запросам следователей (дознавателей). Согласно ст. 26 Федерального закона № 395-I от 02.12.90 г. «О банках и банковской деятельности» справки по счетам и вкладам физических лиц выдаются кредитной организацией даже по возбужденным уголовным делам только органам предварительного следствия, то есть закон не предусматривает предоставление информации, составляющей банковскую тайну по уголовным преступлениям, органам дознания. Несмотря на то, что Уголовно-процессуальный Кодекс предусматривает две формы предварительного расследования: в форме дознания (ст. 150 УПК РФ) и предварительного следствия (ст. 151 УПК РФ).

В РФ отсутствует система для проведения экспертиз поддельных банковских карточек. Отсутствует общепринятая методика. Существует только методика проведения компьютерной экспертизы, но информация, необходимая для ее проведения, носит гриф «конфиденциально» и может быть предоставлена только по отдельному запросу. При этом ту же информацию, хотя и не в полном объеме, можно найти в открытом доступе в Интернете.

Данную экспертизу могут проводить сами банки, но банк потерпевший (по уголовному делу) не может проводить экспертизу, а другой банк в этом не заинтересован (только добрая воля).

Благодаря такой ситуации уровень латентности (скрытости) по уголовным преступлениям колоссальный. По данным, озвученным представителями МВД, в 2011 г. ущерб в данной сфере составил всего 1 млн 600 тыс. руб. Если сравнить с данными платежных систем за тот же период времени — 1 млрд 53 млн руб., то латентность составит 99,85%. То есть из похищенного миллиарда рублей МВД искала немногим более полутора миллионов. Остальные противоправные действия выпали из зоны внимания правоохранителей.

При такой безнаказанности судебные приговоры по уголовным делам удивляют своей мягкостью. 8 ноября 2008 г. в течение 30 минут банк Royal Bank of Scotland по поддельным карточкам в более чем 130 банкоматах 49 городов мира потерял 9 млн долл. ФСБ России задержала Виктора Плещука и Евгения Аникина, которым были предъявлены обвинения по пункту «б» ч. 4 ст. 158 УК РФ («Кража в особо крупном размере» — до 10 лет лишения свободы). Виктор Плещук приговорен Калининским райсудом Санкт-Петербурга к шести годам лишения свободы условно, Евгений Аникин — Заельцовским районным судом Новосибирска приговорен к пяти годам лишения свободы условно.

17 июля 2009 г. Приморский районный суд Санкт-Петербурга признал виновными четырех человек, осуществлявших заражение банкоматов вредоносным программным обеспечением, несанкционированное копирование информации, составляющей банковскую тайну, изготовление поддельных карточек (без сбыта) и краже денежных средств организованной группой и в особо крупном размере (пункты «а», «б» ч. 4 ст. 158 УК РФ — до 10 лет лишения свободы). Приговор: 4 и 5 лет лишения свободы условно.

21 сентября 2011 г. Преображенский районный суд города Москвы приговорил Назарова А. А. признать виновным в совершении 87 преступлений, предусмотренных ст. 159 ч. 4 УК РФ, (мошенничество, совершенное организованной группой либо в особо крупном размере — до 10 лет лишения свободы), 26 преступлений, предусмотренных ст. 30 ч. 3 и ст. 159 ч. 4 УК РФ (покушение на мошенничество), и назначил ему наказание в виде лишения свободы сроком на 2 года и 6 месяцев.

Источник: Журнал «Мир карточек», №01, 2012 г.

Психологи назвали тревожные сигналы, которые могут заранее предупредить вас о краже корпоративных данных. Согласно последним исследованиям, большинство атак проводится 37-летними мужчинами европейской расы.

А теперь выбросьте это утверждение из головы: на нём зацикливаются слишком многие организации, запутывая собственные служебные расследования.

«Проблема в том, что это всего лишь статистика, а не психологический портрет. На самом деле вы, возможно, ищете 57-летнюю афроамериканку», – говорит в одном из интервью Гарри Сток, дипломированный психолог-криминалист, а также управляющий партнёр Incident Management Group (Группы управления инцидентами). Поэтому он предлагает не фокусироваться на демографии, а обратить внимание на поведение подозреваемого в подготовке инсайдерской атаки, в том числе на нарушения правил в прошлом.

Высказывание Стока подтверждается новым эмпирическим обзором существующих исследований инсайдерских атак, который он составил совместно с Эриком Шоу – клиническим психологом, помогающим частным компаниям и федеральным агентствам исследовать служебные происшествия, а также оценивать риски, связанные с персоналом и организацией труда. «Мы попытались объединить результаты лучших эмпирических исследований, а не экспертных мнений», – говорит Шоу в интервью.

В получившемся обзоре, который спонсировала Symantec, сказано, что если компания действительно хочет отследить и предотвратить инсайдерские атаки, особенно связанные с кражей интеллектуальной собственности, то её могут предупредить определённые тревожные сигналы – как при приёме на должность, так и во время работы. Если такие сигналы появятся, их нельзя оставлять без внимания. Лучше заранее подготовить оперативную группу, готовую к расследованию служебных происшествий. Такая группа обычно состоит из специалистов по HR и информационной безопасности, юриста и судебного психолога.

Перечислено много тревожных сигналов, но самые опасные люди – это обиженные сотрудники, готовящиеся к смене работы. «Увольнение, отставка, вообще любой план ухода из компании или слухи о нём – повод для оценки рисков, связанных с инсайдерской кражей интеллектуальной собственности, так как эта информация – настолько мощный инструмент, что люди забирают её с собой даже несмотря на соглашения об интеллектуальной собственности», – говорит Шоу.

Отслеживание подозрительного поведения, конечно, не защитит от всех инсайдерских атак. Но собственный опыт Шоу и Стока, а также обзор исследований инсайдерских атак, говорит, что многие организации не замечали очевидных тревожных сигналов – когда люди не просто меняли работу, но при этом демонстировали возрастающий уровень нарушений правил, вызывающего поведения, сильнейшего стресса, или когда обиженные сотрудники готовились к смене работы.

Вот, например, подозреваемый по делу WikiLeaks, Брэдли Мэннинг, которого обвиняют в крупнейшей утечке правительственных документов в истории. Ведь до этой предполагаемой утечки Мэннинг подал множество поводов для отказа ему в доступе к секретной информации высшего уровня. «Мэннинг влезал в драки, нарушал дресс-код, явно вызывал у людей недовольство, и психологи говорили: «Отстраните его от работы». А его всё-таки не отстранили», – говорит Сток.

Действительно, согласно недавней статье в Guardian, юристы, защищающие Мэннинга, планируют подчеркнуть в суде, как игнорировались многочисленные признаки его неблагоприятного эмоционального и умственного состояния. Защита собираются привлечь множество свидетелей, включая психолога, который рекомендовал отстранить Мэннинга от работы, и психиатра, который «пришёл к выводу, что Мэннинг «представляет риск для себя и окружающих» и не должен иметь при себе действующее оружие».

Кроме того, один из руководителей Мэннинга сообщил, что «у Мэннинга был взрыв гнева во время консультации, когда он перепрыгнул через стол, шагнул к стойке с оружием, и его пришлось удерживать». Тем не менее, никто не принял мер ни по одной из этих проблем и не уведомил о них вышестоящее руководство.

Несмотря на то, что Мэннинг имел доступ к целой сокровищнице секретной информации, оказалось, что не было никакого учёта его информационных запросов. С этим связана ещё одна рекомендация Шоу и Стока: наблюдение и в первую очередь – выяснение характеристик обычного поведения и паттернов запроса информации. «В условиях постоянного наблюдения такие люди практически не будут иметь возможности украсть интеллектуальную собственность, не меняя своего обычного поведения, – говорит Сток. – Как только мы увидим изменения в поведении, мы обратим на них внимание».

Ещё одна рекомендация: узнайте побольше о прошлом своих сотрудников, прежде чем нанимать их. «Например, если человек служил в армии, то данные из его справки о демобилизации (в Америке она называется DD214) имеют большую предсказательную силу, – говорит Сток. – Если он плохо вёл себя в армии, то будет плохо вести себя и на работе». Мало того, по его словам, в ходе расследования инсайдерских краж часто выясняется, что преступника в своё время наняли несмотря на очевидные тревожные знаки, уже тогда заметные менеджерам по персоналу. В ответ на вопрос, зачем было нанимать такого человека, менеджеры отвечали, что у них горели сроки сдачи проекта и новый сотрудник был необходим.

Что интересно, не каждый инсайдер, который ворует информацию, обижен на своего работодателя. Так было в 67% случаев, но Сток сообщил, что «26% воров ничего плохого по отношению к компании не испытывали». Зато во многих таких случаях у сотрудников был «синдром Макиавелли»: сочетание амбициозности и разочарования в работе и зачастую готовность потратить много времени и энергии, чтобы забрать на своё следующее место работы ту интеллектуальную собственность, над которой они работали здесь.

В целом, 65% воров интеллектуальной собственности имеют договорённость о работе на конкурента, а 20% просто кто-то заплатил за эти данные. В 25% случаев данные потом оказывались в иностранной организации, частной или государственной.

Мы делаем тесты на проникновение в различных критических средах более 12 лет и за это время повидали немало серверов интернет-банкинга с самыми разными уязвимостями, включая ошибки, позволяющие клиентам забирать себе деньги с чужих счетов, устанавливать на своих счетах бесконечный овердрафт, переводить на чужие счета отрицательные суммы (фактически высасывая оттуда деньги) и даже, как ни кошмарно это звучит, делать из воздуха деньги в бесконечных количествах. Критические ошибки такого рода вовсе не так редки в финансовых системах, как хотелось бы надеяться – на самом деле, по нашему опыту, хотя бы один подобный дефект присутствует и в вашем интернет-банке, если его не тестируют регулярно и тщательно разные аудиторы, имеющие значительный багаж знаний о банковских атаках и уязвимостях. Как правило, если в техническом задании банка на пен-тест есть слово "сканирование" или список конкретных IP-адресов, которые нужно протестировать, вместо описания программного кода и логики приложений – можно предсказать, что в его системе дистанционного обслуживания хватает логических ошибок безопасности.

Такие ошибки могут позволить сетевому вору забрать много денег со счетов клиентов банка, а то и у самого банка, но в большинстве стран это уголовно наказуемо.

Легальное эксплуатирование проблем безопасности

Однако существуют другие виды проблем безопасности в финансовых системах, которые можно эксплуатировать совершенно легально. Одна такая проблема кроется в способе округления сумм и позволяет пользователю фактически манипулировать курсами валют, чтобы продать, например, 100 долларов США за 100 евро, хотя вообще-то 100 евро стоят около 130 долларов.

Насколько нам известно, эта проблема была впервые описана в 2001 году в статье "Асимметричное округление валют" ("Assymetric Currency Rounding", компания Gemplus), а также в 2008, в статье "Как взломать банк, или Уязвимости обработки цифровых данных в финансовых приложениях" ("Breaking the bank – Vulnerabilities in numeric processing within financial applications", Corsaire). Мы её регулярно находим в системах дистанционного банковского обслуживания, которые тестируем. Работает это так.

Обмен валюты 101

Обычно у банков два курса для каждой валюты: курс покупателя, по которому банк покупает иностранную валюту, и курс продавца, по которой он продаёт её. Эти курсы можно выразить с помощью либо прямой котировки (сколько единиц местной валюты стоит одна единица иностранной валюты), либо косвенной котировки (сколько единиц иностранной валюты стоит одна единица местной валюты). Согласно Википедии, в большинстве стран принято использовать прямые котировки, однако в Евросоюзе и некоторых других странах используются косвенные.В этой статье мы будем пользоваться запятой для отделения дробной части и точкой для разделения разрядов. Например, одна тысяча пишется как 1.000,00 (приносим извинения читателям, привыкшим к другой системе записи).

Предположим, что европейский банк продаёт и покупает доллары США по следующему курсу в косвенной котировке:

• Курс покупателя: 1,388 (вы платите 1,388 USD за 1,00 EUR)
• Курс продавца: 1,364 (вы получаете 1,364 USD за 1,00 EUR)

Очевидно, что банк зарабатывает на разнице курсов, даже если не берёт дополнительной комиссии за обмен. Например, вы покупаете 1.364,00 USD за 1.000,00 EUR и продаёте их обратно банку, получаете 982,71 EUR и теряете на этом 17,29 EUR.

Округление

Банки обычно используют два знака после запятой, то есть различные вычисления (например, процентных ставок или обменных курсов) выполняются с большей точностью, но окончательный результат округляется до двух знаков после запятой. Если банк честен, то округление выполняется до ближайшего числа, так что 7,237 округляется до 7,24, а 2,221 – до 2,22. В меньшую сторону округляют или в большую (то есть получится ли 1,50 или 1,51 из 1,505), сейчас не имеет значения.

Сколько стоит один цент?

Как видно, вышеописанные обменные курсы в обычном случае обеспечивают банку выгодную бизнес-модель, однако аудиторов безопасности больше интересуют необычные случаи, а в особенности – критические случаи, когда одновременно многие параметры достигают своих граничных значений. Один из таких критических случаев – наименьшая возможная сумма (как правило, 0,01, то есть один цент во многих валютах).

Что произойдёт, если попытаться обменять на доллары США один евроцент? Европейский интернет-банк использует следующий обменный курс:

0,01 EUR * 1,364 USD/EUR = 0,01364 USD

Вам, конечно, это всё равно невыгодно (американский цент стоит дешевле европейского в нашем примере), причём потеряете вы целых 27%, хотя абсолютная потеря не выглядит значительной.

А что, если сделать наоборот и обменять один американский цент на евро? В этот раз курс будет таким:

0,01 USD / 1,388 USD/EUR = 0,0072046109510086455331412103746398 EUR

После округления вы получите 0,01 EUR. Так-то лучше: вы только что мгновенно заработали на округлении 38,8%. Конечно, абсолютная прибыль ничтожна, и на неё нигде нельзя купить даже чашку кофе, но ведь схему можно автоматизировать и повторить множество раз. Если сделать так сто раз, то можно обменять 1 доллар США на 1 евро. Если сделать так сто тысяч раз, можно получить 1.000,00 EUR за 1.000,00 USD (и заработать 280,00 EUR). Даже если сначала купить эту тысячу долларов в том же банке и по его курсу, то есть за 733,14 EUR, чистая прибыль составит 266,86 EUR. И это прибыль от легального использования услуг банка на его условиях и под его контролем.

Но сколько центов можно продать?

Предположим, что интернет-банк может обработать сто запросов в секунду (предположение весьма осторожное: большим банкам приходится иметь дело с тысячами запросов в секунду в часы пик), тогда автоматический скрипт может продать 100*60*60*24 = 8.640.000 центов за день, зарабатывая около 23.000 EUR каждые 24 часа, если этот интернет-банк поддерживает обмен валюты круглосуточно.

Многие интернет-банки позволяют пользователям загружать одним пакетом множество запросов, вплоть до многих тысяч, а потом сервер постепенно обрабатывает их. Очевидно, что это делает схему ещё более удобной.

Другой пример: японская йена

Валюты из примера выше стоят примерно одинаково. Но тот же метод работает для любых двух валют, например для евро и японской йены (JPY). Предположим, что курс покупателя составляет для йены 97,5949. Следовательно, продажа йен за евро будет выглядеть так: 0,50 JPY / 97,5949 JPY/EUR = 0,0051232185288370601332651603721096 После округления вы получите 0,01 EUR (и 95% прибыли).

Максимизация прибыли

Итак, мы выяснили, что прибыль приходит от ошибок округления. Если работать с двумя знаками после запятой, максимальная ошибка округления для каждой отдельной транзакции может составить 0,005. Чем ближе обменная стоимость к 0,005 (притом что она должна быть больше, чем 0,005), тем выше будет прибыль, когда сумма округлится до 0,01, а максимизировать её можно, используя валюты с наибольшей разницей в стоимости (см. пример с йенами), так как это означает возможность более "тонкой настройки", когда стоит задача приблизить стоимость к 0,005.

Это также означает, что на одной транзакция можно в лучшем случае заработать 0,005 единиц покупаемой валюты, поэтому, чтобы получить ощутимую выгоду, необходимо провести сотни тысяч транзакций.

Это действительно легально?

Неотъемлемое свойство этого "эксплуатирования" состоит в том, что вы не делаете ничего особенного, чтобы обойти механизмы безопасности, используемые банком, а просто используете функционал системы так, как положено – невозможно же себе представить, чтобы обменять 1.00 USD было законно, обменять 0.02 USD было законно, а вписать 0.01 в то же поле было бы незаконно.

Обратите внимание, что степень законности существенно снижается, если системе активно "помогали" принять транзакцию на маленькую сумму. Даже если клиент всего лишь обошёл JavaScript, который не давал ему ввести слишком маленькое значение, по закону (по крайней мере, по законам Евросоюза) он обошёл его нелегально. Также подвох может заключаться в договоре между банком и клиентом. Там может быть закреплено аннулирование определённых транзакций, например, транзакций, выполненных физическим лицом не вручную с помощью обычного интерфейса, или ошибочных транзакций, произошедших вследствие логических ошибок в коде.

Мы много раз беседовали с представителями банков, пострадавших от этой логической ошибки, некоторые из которых потеряли более 100.000 евро или долларов, и в конце концов они всегда приходили к выводу, что у них нет юридических средств для преследования "обидчика" и что теперь они вынуждены смиритсья с потерей и добавить в программу превентивные меры, чтобы такого больше не случалось.

Контрмеры

Зная об этой уязвимости, банки могут применить различные контрмеры:

1. Взимать плату за обмен валюты. Это самая простая контрмера, и даже если плата крохотная (например, 0.01 EUR), она уничтожает всю возможную прибыль от округления.
2. Установить минимальную сумму обмена. Так же как большинство реальных обменников отказываются принимать мелкие деньги, виртуальный обменник может отказаться принимать меньшие суммы, чем одна "большая" единица валюты – например, 1 евро в примерах выше. Обратите внимание на то, что обмен 1 евро и больше всё равно может принести прибыль в 0,005 EUR за счёт ошибки округления, но эта прибыль покрывается разницей между курсами покупателя и продавца.
3. Всегда округлять в пользу банка. Это может быть нечестно – и даже запрещено местным финансовым законодательством – но это эффективная контрмера.
4. Разрешить ограниченное количество транзакций. Очевидно, что для получения ощутимой прибыли необходимы сотни тысяч операций. Интернет-банк может ограничить разрешённое количество обменных операций для каждого физического лица, скажем, тысячей в день, без каких-либо проблем для клиентов.
5. Существуют ли другие возможности легально эксплуатировать проблемы безопасности?

   Их много. Мы решили рассказать именно об этой, потому что она общеизвестна уже десять лет, активно эксплуатируется, и мы всё ещё находим её при аудитах интернет-банков. Множество других проблем не общеизвестны, и рассказывать о них было бы медвежьей услугам нашим нынешним и будущим клиентам.

Выводы

Эта ошибка – отличный пример того, какая беда может случиться, если взять простой, хорошо изученный реальный процесс, такой как физический обмен валюты, и превратить его в виртуальную услугу. В этом конкретном случае произошли две критические перемены: во-первых, виртуальный сервис позволяет осуществлять сотни тысяч операций за короткий период, в то время как реальный обменник вряд ли производит больше двух операций в минуту. А во-вторых, виртуальная система принимает самую мелкую мелочь и не чувствует ни подозрений, ни раздражения, когда кто-то хочет обменять один цент, и ещё один, и ещё – она просто дисциплинированно выполняет алгоритм.

На самом деле, если задуматься о множестве разнообразных логических ошибок, которые мы находим в интернет-банках, то многие из них существуют только потому, что трансформация процессов из реального банковского мира в сложное виртуальное приложение принесла множество новых ненужных возможностей, которые вызвали бы беспокойство, подозрения или, по крайней мере, бешеное раздражение у живых людей, обеспечивающих те же процессы в реальности. А ещё говорят, что люди – самое слабое звено в безопасности.

Источник: http://blog.acrossecurity.com/2012/01/is-your-online-bank-vulnerable-to.html

Киберпреступники нашли еще один способ украсть ваши с трудом заработанные деньги: новая фишинговая схема связана со спам-письмами, якобы отправленными Государственной клиринговой ассоциацией (NACHA), Федеральным резервным банком или Федеральной корпорацией по страхованию депозитов (FDIC), которые могут заразить компьютеры получателей вредоносной программой и получить доступ к банковским счетам жертв.

Вредоносная программа весьма уместно названа "GameOver" («Игра окончена»), потому что, как только она проникает в ваш компьютер, она может похитить логины и пароли и обойти используемые финансовыми институтами распространенные методы аутентификации пользователя. А как только мошенники получают доступ к Вашему банковскому счету, игра определенно окончена.

GameOver является новым вариантом вредоносной программы Zeus, которая была создана несколько лет назад для похищения банковской информации.

Как работает эта схема: как правило, вы получаете неожиданный e-mail от государственной клиринговой ассоциацией (NACHA), Федерального резервного банка или Федеральной корпорации по страхованию депозитов (FDIC), в котором сообщается, что возникли проблемы с вашим банковским счетом или недавно проведенной транзакцией. Отправитель включил в письмо ссылку на электронный адрес, который, по всей вероятности, должен помочь вам решить все возникшие проблемы. К сожалению, ссылка ведет на фальшивый веб-сайт, и как только вы на него попадаете, ваш компьютер заражается опасной программой GameOver , которая крадет вашу банковскую информацию.

Когда преступники получают доступ к вашему аккаунту, они проводят DDoS-атаку с использованием бот-нета, во время которой множество компьютеров наводняют сервера финансового учреждения трафиком с целью лишить законных пользователей доступа к сайту, возможно, в попытке отвлечь внимание от того, что делают плохие парни.

Но это еще не конец схемы: исследования последних лет показали, что некоторые из украденных средств с банковских счетов идут на покупку драгоценных камней и дорогих часов в ювелирных магазинах высшего класса. Преступниками звонят в ювелирный магазин, говорят им, что они хотели бы купить, и обещают принести деньги на следующий день. А на следующий день лицо, ответственное за отмывание денег – так называемый "денежный мул" – приходит в магазин, чтобы забрать товар. После проверки того, что деньги на счету магазина, ювелирные изделия передаются мулу, который затем относит их организаторы схемы или продает за наличные деньги и использует сервисы денежных переводов для отмывания средств.

Во многих случаях эти мулы – добровольные участники преступной схемы. Но все чаще мы видим в рамках этой схемы ничего не подозревающих мулов, нанятых через рекламу “работы на дому", а в итоге отмывающих украденные средства с банковских счетов. Преступники связываются по электронной почте с потенциальным кандидатом, утверждая, что видели их резюме на сайтах по поиску работы, и предлагают им работу. Наемным работникам обеспечиваются длительные и, казалось бы, законные трудовые договоры и настоящие сайты, с которыми они должны работать. Им поручают либо открыть счет в банке, либо использовать свой собственный счет, для того чтобы получать средства с помощью банковских и ACH-транзакций из многочисленных банков… а затем с помощью сервисов денежных переводов отправлять деньги за границу.

Если вы думаете, что стали жертвой такого рода схемы, свяжитесь с вашим финансовым учреждением, сообщите об этом, а также подайте жалобу в Центр жалоб на интернет-преступность ФБР.

Как можно защитить себя?

● Очевидно, нужно убедиться, что антивирусное программное обеспечение вашего компьютера поддерживается в актуальном состоянии.

● Не нажимайте на вложения электронной почты от неизвестных отправителей. NACHA, FDIC и Федеральная резервная система говорят, что не рассылают писем по электронной почте держателям банковских счетов. Если вы хотите сообщить, что с вашей учетной записью или с какой-то из ваших последних транзакций проблема, свяжитесь с вашим финансовым учреждением непосредственно.

● Не принимайте непроверенных предложений о работе через интернет, где требуется принимать средства от многочисленных банковских счетов, а затем переводить их на зарубежные счета: так вы можете оказаться участником криминальной схемы.

Источник: http://www.fbi.gov/news/stories/2012/january/malware_010612/malware_010612

Рост киберпреступности подталкивает крупные банки делать то, что им совсем не свойственно – обмениваться информацией друг с другом. В этом месяце сотрудники службы безопасности финансовых компаний на Уолл-стрит, включая Morgan Stanley и Goldman Sachs Group Inc, как ожидается, встретятся с исследователями из Политехнического института Нью-Йоркского университета, чтобы обсудить создание нового центра, который бы выявлял потенциальные угрозы банковским данным.

В то же время Bank of America начал приглашать экспертов из других крупных банков на ежеквартальную неформальную встречу, на которой соперники попытаются разработать решения кибербезопасности.

Обе инициативы призваны стимулировать банки проводить совместную работу по защите от хакеров, чьи попытки похитить деньги или данные о клиентах вызывают растущую обеспокоенность индустрии. Sony Corp, ЦРУ и Citigroup – вот лишь несколько компаний, которые стали целями киберпреступников в прошлом году.

За последние два года резко возросло количество онлайн-атак, и, согласно новому исследованию консалтинговой компании PricewaterhouseCoopers LLP, финансовые институты являются наиболее вероятными мишенями кибератак. Aвивах Литан, аналитик Gartner Research, в течение следующих двух лет прогнозирует рекордное увеличение расходов финансовых компаний на системы аутентификации клиентов и системы выявления мошенничества – на целых 12%, до $ 1 млрд.

Хотя многие представители банков согласны обмениваться информацией, но некоторые из них обеспокоены тем, что такой подход может обеспечить конкурентов слишком большим количеством внутренней информации.

Представители Morgan Stanley и Goldman Sachs отказались от комментариев. По словам представителей банков, хакеры заставляют их отказаться от этого старого мышление в пользу более комплексного подхода.

"Мы поняли, что, так же как мошенники сотрудничают друг с другом, мы, как отрасль, тоже должны сотрудничать", – говорит Кит Гордон, старший вице-президент по безопасности Bank of America.

Наглядный пример того, насколько уязвимы банки для хакеров, произошел в 2010 году, когда эксперты по безопасности крупных финансовых компаний собрались на конференции в Сан-Франциско.

В то время как эксперты обсуждали киберугрозы и способы защиты от них, хакеры осуществили очередную атаку. Используя вредоносную программу Zeus Trojan, которая заражает компьютеры и тайно следит за данными, вводимыми на клавиатуре, воры преодолели брандмауры на компьютерах банков и похитили миллионы долларов у клиентов участников конференции.

Эксперты по безопасности, участвовавшие в конференции, начали созваниваться и назначать новые встречи, чтобы обсудить атаку. "Это был первый раз, когда люди были настолько открыты к разговору о киберугрозах", – сказал один из участников конференции.

На самой последней встрече, организованной Bank of America в конце лета в Нью-Йорке, руководители обсуждали вид онлайн-шпионажа, который включает в себя долгосрочные постоянные попытки взлома, известные как "продвинутые постоянные угрозы". Такой подход использовался во время последних хакерских атак против RSA, подразделения EMC Corp и Sony, и, по мнению большинства специалистов, является главной угрозой кибербезопасности. Банк Америки отказался от комментариев.

Банки также начали работать с интернет-провайдерами по-новому – для того чтобы не позволить хакерам выдавать себя за сотрудников, таким образом получая доступ к данным клиентов, они стали лучше аутентифицировать почтовый трафик. Банки начали предоставлять провайдерам данные, которые позволяют им лучше проверять сообщения – говорит Келли Вансер, директор клирингового центра для таких данных eCert Inc.

В других областях банковского дела обмен данными мог бы быть запрещен антимонопольным законодательством, но в 1998 году президент Билл Клинтон издал приказ, требующий совместной работы государственного и частного сектора для защиты критически важных инфраструктур, таких как финансовая система. В результате, чтобы стимулировать банки к совместной работе, были созданы центр по обмену финансовой информацией и аналитический центр. Тем не менее, банки начали идти на контакт совсем недавно. Как рассказывает Дэвид Джевонс, основатель IronKey, компании по обеспечению безопасности, на отраслевой конференции в 2003 году главный технический директор крупного банка сказал, что фишинговые атаки используются злоумышленниками для извлечения личной информации и не представляют никакой угрозы.

Дэвид Джевонс подошел к нему позже и спросил: "Если фишинговые атаки не представляют угрозы, то зачем вы тратите 2 миллиона долларов на программное обеспечение для защиты от них?" Представители ответили, что не хотели бы открыто обсуждать проблемы кибератак.

Источник: http://online.wsj.com/article/SB10001424052970203436904577151230598919896.html?mod=WSJ_Tech_LEFTTopNews