За последнюю неделю зарегистрировано ещё 7 DDoS атак на российские банки. (Около 30 атак за последние 3 месяца)
Цель атак: блокировка систем ДБО для прикрытия вывода денежных средств по украденным у клиентов ключам.
Рекомендации для банков:
1. Оперативно определять факт DDoS атаки.
- Существуют несколько вариантов программного обеспечения определяющего доступность ресурса. Установить любой из них.
- Внести в договор с ISP требования сообщать в режиме 24/7 о DDoS атаке
- Поставить параллельно с сервером ДБО любой тип IDS (в т.ч. бесплатные snort.org)
2. В момент атаки:
- Обязательно приостановить проведение «подозрительных платежек». (Большие суммы, другие города, физические лица). Если идет DDoS – значит, будет вывод денежных средств.
- Перевести канал на распределенную систему защиты (смена А-зоны) либо включить фильтрацию у ISP (не всегда работает).
3. У клиента с украденными ключами:
- Сделать побитовую копию жесткого диска
- Писать заявление в МВД – обязательно.
4. Превентивные меры:
- Подтверждение крупных платежей по телефону.
- Подтверждение IP адреса клиента (если клиент статичный)
- Запрет проведения платежей у беспроводных операторов связи (Большая тройка, WiMax,) – опционально. Но большинство краж происходит именно через них.
- Запрет иностранных IP, пиринговых систем (TOR), прокси серверов (в Интернете можно подписаться на рассылку активных прокси серверов).
- В системе ДБО создание систем профессионального логгирования событий (возможность получения реального IP адреса в обход прокси серверов и т.п.)
Рекомендации для клиентов опубликованы ранее тут –
http://group-ib.ru/news_2009_11_20.html
В случае атаки пишите в данную рассылку. В режиме 24/7 скоординируем действия с правоохранительными органами и другими банками по похожим делам. Действуют, скорее всего, 2-3 группы лиц по всей России.
В рамках данной рассылки возможна бесплатная защита от DDoS атак в момент атаки в режиме 24/7.
Просьба подписчикам задавать вопросы по пунктам рекомендаций и обмениваться опытом по произошедшим инцидентам.
- Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
10 комментариев
Какое ПО для мониторинга
Какое ПО для мониторинга доступности ресурсов посоветуете?
Запрет платежей через GPRS и WiMax как то жестко.
Относительно ПО, чуть позже
Относительно ПО, чуть позже прямо тут опубликуем список ПО с функционалом и сравнением.
Относителньо GPRS - естественно, полностью его запрещать неразумно с точки зрения бизнеса. Но стоит, может быть, по желанию клиента запрещать транзакции. Или мониторить список IP адресов.
Т.е. например у клиента бухгалтер работает из офиса. IP адрес динамический, но "наземный". И тут оп и платежка с йоты. - Вот подобные моменты нужно как-то мониторить.
Так же можно в банк клиенте (ДБО) прописывать мак адреса модемов с которых разрешены транзакции - очень хороший вариант.
Так же можно в банк клиенте
Так же можно в банк клиенте (ДБО) прописывать мак адреса модемов с которых разрешены транзакции - очень хороший вариант.
В каком смысле? Куда прописывать? Как их потом проверять?
tor ладно, понятно, как
tor ладно, понятно, как автоматически узнать. русские-зарубежные IP в принципе тоже можно отличить. а wifi/wimax/gprs как вы предлагаете? ручными списками?
ну, например, у йоты врядли
ну, например, у йоты врядли что-то поменятеся ближайший год
Адреса по ЙОТЕ (обслуживающая сеть SCARTEL Ltd):
В Санкт-Петербурге:
94.25.208.0 - 94.25.211.255
94.25.212.0 - 94.25.215.255
94.25.248.0 - 94.25.255.255
94.25.192.0 - 94.25.207.255
94.25.224.0 - 94.25.247.255
94.25.216.0 - 94.25.223.255
188.162.72.0 - 188.162.79.255
188.162.144.0 - 188.162.159.255
188.162.64.0 - 188.162.71.255
188.162.80.0 - 188.162.95.255
188.162.176.0 - 188.162.191.255
В Москве
94.25.128.0 - 94.25.191.255
188.162.0.0 - 188.162.31.255
188.162.56.0 - 188.162.63.255
188.162.48.0 - 188.162.55.255
188.162.40.0 - 188.162.47.255
188.162.32.0 - 188.162.39.255
188.162.224.0 - 188.162.255.255
188.162.96.0 - 188.162.127.255
109.188.0.0 - 109.188.63.255
В Уфе
188.162.216.0 - 188.162.223.255
188.162.208.0 - 188.162.215.255
188.162.192.0 - 188.162.199.255
В Сочи
188.162.128.0 - 188.162.135.255
В Краснодаре
188.162.160.0 - 188.162.167.255
а по другим провайдерам только ручные списки.
По хорошему можно догоовриться с поставщиками ISP подобных услуг эти списки публиковать и обновлять. Но это вопрос взаимодействия. У нас его получается решить только с некоторыми филиалами большой тройки.
Вы можете рассписать пример
Вы можете рассписать пример проведения платежа с привязками ко времени по реальному событию?
т.е. типа хронологии типового преступления
1 декабря главбух зашёл на сайт такой-то и подцепил даунлоадер (или как-то по другому утёк ключ и ещё что там нужно)
2 декабря в 10-00 произошло то-то
потом то-то
потом то-то
если есть варианты действия людей и роботов и они сильно отличаются - будет просто превосходно
заранее спасибо
Да конечно. Вот хронология
Да конечно. Вот хронология реального инцидента, произошедшего летом:
16 Июля 2009 года - Заражение ПК через проайвреймленный сайт, посвещенный свадебной тематике. На ПК поселился даунлоадер, который загрузил еще 3 модуля, один из которых - кастомизированная сборка клиента TeamViewer. Ежедневно с этого момента даунлоадер проверял обновления ПО и отправлял информацию о своем статусе.
28 Июля - с Помощью TeamViewer было инициализировано внешнее подключение к ПК жертвы с целью кражи банковских ключей, дампы которых лежали на HDD. Ключи были успешно скопированы на удаленный ПК злоумышленников. В тот же день они проверили достаточность полученной информации для совершения мошеннического перевода
29 Июля - в 14.20 - Мошенническая плтежка отправлена в банк. Банк ее провел без всяких вопросов, хотя деньги шли на физическое лицо и подобных платежей со стороны клиента до этого не было ни разу
29 Июля 14.26 - Преступники через TeamViewer подключатся к ПК жертвы и запускают процесс очистки диска и портят MFT таблицу, чтобы помешать оперативно получить доступ к ДБО.
ОБналичивались деньги в Екатеринбурге и Челябинске
ПРомежуток времени между заражением и кражей ключевой информации может варьироваться от суток до нескольких недель. Это не столь важно. Важна оперативность, с которой действуют злоумышленники, когда к ним в руки попадают ключи.
Дополнительные вопросы: 1.
Дополнительные вопросы:
1. срок вывода денег какой?
2. почему не заблокировали перевод - банк не пошёл на встречу или поздно обнаружили?
3. обращение в мвд было? что дало расследование?
4. если я правильно понял - действия по переводу осуществлял человек. отследили концы или они указали в никуда (на анонимный прокси например)?
заранее спасибо.
Прошу прощение за задержку с
Прошу прощение за задержку с ответом.
1) Обычно деньги выводятся со счетов в течение ближайших 5 часов, как деньги приходят.
2) Блокировку не сделал, т.к. клиент через 3 дня только заметил, что деньги ушли. Банк тоже не особо старасля помочь, но это скорее исключение, чем правило. В основном банки идут на встречу своим клиентам и помогают им.
3) Заявление было. Расследование еще продолжается.
4) Платежку отправляли с Билайновского хотспота, поэтому тут ничего не поделаешь. Сейчас расследование двигается по пути анализа сетевых взаимодействий преступников с ПК жертвы и сервером ДБО банка до момента отправки платежки. Здесь есть куда копать и перспективы хорошие.
Понятно, спасибо. Не думал,
Понятно, спасибо. Не думал, что расследование может так затянуться. успехов