Российский рынок электронных денег
Мошенничество в платежной сфере: бизнес-энциклопедия
Предисловие
Платежная сфера - важнейшая область экономики и жизни социума в целом. А поскольку современная социальная жизнь во всех ее проявлениях - и бизнес, и личный план, и медийное пространство - все более базируется на информационных технологиях, вполне ожидаемо в сторону ИТ мутировали и способы мошенничества и его инструменты. Эволюционировало и само преступное сообщество, создавшее настоящую мошенническую индустрию, собственный рынок, на котором можно купить не только специальный инструментарий, но и заказать взлом любой системы или массированную атаку на тот или иной информационный ресурс. Поэтому информационная безопасность, защита информации становится все более острой проблемой, требующей особого внимания со стороны здоровых общественных сил. Различным аспектам обеспечения информационной безопасности, методам противодействия преступлениям в платежной сфере и посвящена бизнес-энциклопедия "Мошенничество в платежной сфере".
Представляем авторский коллектив книги с указанием наименований разделов, написанных каждым из авторов:
- Леонид Лямин (начальник отдела электронных банковских технологий департамента банковского надзора Банка России) - "Использование современных форм платежей для легализации преступных доходов и организация противодействия";
|
|
|
- Николай Пятиизбянцев (начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка) - "Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт", "Гражданско-правовые вопросы в случае несанкционированного использования платежных карт", "Безопасность банкоматов";
- Антон Пухов (директор по развитию Центра исследований платежных систем и расчетов) - "Процедуры минимизации рисков при работе с платежными картами";
- Павел Ревенков (д.э.н., профессор кафедры экономического анализа и бухгалтерского учета Одинцовского гуманитарного университета) - "Электронные платежи: риск возможного использования для легализации преступных доходов";
- Илья Сачков (генеральный директор Group-IB), Валерий Баулин (руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB), Дмитрий Волков (руководитель отдела расследования инцидентов информационной безопасности Group-IB) - "Практика мошенничества в системах ДБО", "Распространенные виды мошенничества в сфере электронных денег" (в соавторстве);
- Максим Кузин (главный архитектор продукта БПЦ) - "Методы и инструменты оценки рисков на базе мониторинга карточных транзакций";
|
|
|
- Ирина Лобанова (руководитель департамента исследований банковского сектора Национального агентства финансовых исследований) - "Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт".
С уважением,
Алексей Воронин,
руководитель проекта,
редактор-составитель (ЦИПСиР)
Мошенничество в системах дистанционного банковского обслуживания (ДБО) и электронных денег
Практика мошенничества в системах ДБО
Рост количества и сумм безналичных операций естественно привлек внимание сначала компьютерной, а потом уже организованной преступности к этому рынку.
Первые масштабные хищения начались в России в 2007 г. Когда суммы хищений стали достигать миллионов долларов, участники преступных групп, которые занимались обналичиваем денежных средств, привлекли внимание организованной преступности, так как на "обнал" уходили очень крупные суммы и процент за вывод денежных средств мог достигать 50%.
Анализ работы больших преступных групп, задержанных в 2011-2013 гг., показывает, что это большие, хорошо организованные формирования, которым сложно противостоять даже юридически-уголовным путем. Такие факторы, как огромные доходы, несовершенство законодательства и возможности обналичивания денежных средств привели к росту на 100-200% в год этого типа преступлений. Анализ технических и организационных методов данных преступлений является первостепенной необходимостью для борьбы с этим явлением.
|
|
|
В данной главе представлена необходимая информация, позволяющая специалистам в области безопасности финансовых операций получить основной набор знаний для противодействия подобным типам инцидентов. Глава написана ведущими экспертами-криминалистами Group-IB, которые принимали участия в большинстве резонансных расследований в РФ и СНГ.
В цивилизованном мире регулятором прав и обязанностей, ограничений и мер принуждения является закон. Однако появление и активное развитие информационно-коммуникационных технологий и сферы компьютерной информации доказали обществу, насколько рабочим может быть принцип ubi jus incertum, ibi nullum ("если закон не определен - закона нет").
Этот принцип можно применить к ситуации с разделом законодательства, регулирующим сферу компьютерной информации в РФ: пробелы в действующих законах, отсутствие понятийного аппарата или его некорректное обозначение препятствуют должному применению закона или не допускают его вовсе.
|
|
|
Используя пробелы в законодательстве, ошибки в реализации программного обеспечения и применяя простейшие способы социальной инженерии, мошенникам удалось украсть в сфере интернет-банкинга $ 446 млн. (результаты получены из ежегодного отчета компании Group-IB за 2013 г.). Общее количество похищенных денежных средств за 2013 г. представлено на рисунке 1.1.
Мошенничество в системах дистанционного банковского обслуживания основано на получении несанкционированного доступа к пользовательской информации, необходимой для работы и авторизации.
Принципиально методы совершения хищения денежных средств различаются способом получения доступа к ключам электронно-цифровой подписи (ЭЦП) для авторизации в системе ДБО: инсайд или злонамеренные действия третьих лиц (внешнего злоумышленника).
Остановимся более подробно на наиболее распространенных методах совершения преступлений, связанных с системами ДБО.
Инсайд. В случае сговора сотрудников, имеющих доступ к системе ДБО, или по инициативе одного сотрудника, проводятся операции, как правило платежи с использованием легитимных ключей и аутентификационных данных. Также инсайдер может завладеть ключами ЭЦП и логином/паролем как физически, например в случае несоблюдения сотрудниками компании правил политики парольной защиты, так и с помощью применения специализированного программного обеспечения для слежки за действиями пользователей (кейлоггер) на автоматизированном рабочем месте.
Лица, имеющие доступ к данным аутентификации в системе ДБО, это чаще всего: бухгалтер, генеральный директор, системный администратор, а также любой сотрудник, имеющий доступ к ПК, с которого производится работа с системой ДБО.
Внешний злоумышленник действует с помощью специализированных вредоносных программ, которые зачастую недоступны широкой массе людей. Выбор вредоносной программы злоумышленником зависит от того, как будет происходить подтверждение платежа (с помощью SMS-сообщения или электронного носителя с заранее записанным сертификатом), в каком банке находится клиент и какими возможностями должна обладать вредоносная программа.
Внешние злоумышленники для совершения хищений денежных средств используют следующие популярные способы распространения вредоносных программ: электронную почту, покупку загрузок и эксплуатацию уязвимостей на тематических сайтах. Рассмотрим особенности каждого из способов.
Электронная почта. Данный метод актуален для проведения целевых "заражений", когда у злоумышленника имеются адреса электронных почт лиц, работающих с системой интернет-банкинга. Схема распространения следующая:
- злоумышленник готовит электронное письмо с вложением. В тексте письма указываются причины для открытия файла, прилагаемого к письму. Например, с просьбой проверки документов финансовой отчетности (в частности, актов сверки);
- после открытия файла из вложения вредоносная программа устанавливается в систему и сообщает на удаленный сервер злоумышленника свой статус об успешной установке ("отстукивается");
- злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Покупка загрузок. Данный метод является одним из самых простых, но наименее эффективных, поскольку установленные таким способом вредоносные программы быстро удаляются и зачастую продавцы не могут обеспечить требуемую целевую аудиторию. Схема распространения следующая:
- злоумышленник ищет лиц, у которых уже имеется сеть зараженных компьютеров с загруженной и установленной вредоносной программой (бот-сеть);
- владелец зараженной бот-сети дает необходимому количеству компьютеров команду на загрузку вредоносного программного обеспечения, которое он получил от злоумышленника;
- вредоносная программа загружается и запускается, а затем сообщает на удаленный сервер злоумышленника свой статус об успешной установке;
- злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Эксплуатация уязвимостей на тематических сайтах. Данный метод является наиболее эффективным, поскольку дает возможность осуществлять массовое распространение вредоносного программного обеспечения, а также выбирать целевую аудиторию для распространения. Схема распространения следующая:
- осуществляется компрометация тематического сайта (например, buhgalter.ru);
- в сайт встраивается вредоносный код (iframe), который вместе с содержимым сайта загружает вредоносные компоненты;
- при посещении пользователями такого сайта осуществляется анализ установленных компонентов (браузера и его плагинов) и их версий в системе. В случае обнаружения осуществляется загрузка и запуск заданной вредоносной программы;
- после запуска вредоносной программы на удаленный сервер злоумышленника сообщается статус об успешной установке;
- злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Изображение панели управления связки эксплойтов Black Hole показано на рисунке 1.2. Основным параметром, характеризующим связку эксплойтов, является коэффициент "пробива" - это отношение количества загрузок вредоносной программы к количеству пользователей/хостов, посетивших вредоносную ссылку. На изображении коэффициент "пробива" равен 15,1% за весь период его использования.
Наиболее приоритетными программными компонентами (плагинами) для эксплуатации уязвимостей являются: Java, Flash, Internet Explorer и Adobe Acrobat Reader.
Компанией Group-IB приведена обзорная статистика уязвимостей веб-приложений, полученная в ходе оказания услуг по аудиту информационной безопасности и проведения тестов на проникновение в 2012 г. и в I квартале 2013 г. Стоит отметить, что в ходе проводимых исследований оценивалась защищенность не только целевого приложения, но и всей инфраструктуры, в рамках которой было развернуто целевое приложение. Таким образом, поверхность атаки включала в себя всё стороннее ПО, а также компоненты, используемые веб-приложением и размещенные на одной с приложением площадке.
Чаще всего специалистами Group-IB выявлялись уязвимости, связанные со следующими недостатками:
- недостаточная проверка входных данных;
- раскрытие чувствительной информации;
- использование паролей недостаточной сложности.
По результатам отчета компании Group-IB за 2013 г. (http://report2013.group-ib.ru/), самые распространенные уязвимости в компонентах, используемые злоумышленниками, представлены на рисунке 1.3.
В результате успешного использования вредоносных программ все дальнейшие действия злоумышленников будут направлены на закрепление в системе, дальнейшее хищение ключевой информации, а также получение удаленного управления компьютером.
Существуют две основные схемы, с помощью которых осуществляется кража денежных средств: специализированное вредоносное программное обеспечение, похищающее пароли, сертификаты, ключи ЭЦП, и фишинг.
В настоящее время можно выделить несколько основных способов совершения хищений в системах ДБО при помощи вредоносных программ, рассмотрим их далее.
Троянская программа на компьютере жертвы. Самый распространенный способ. Возможно хищение из любого банка, как у юридических, так и у физических лиц, а также проведение платежа в автоматическом режиме (автозалив). Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.4.
┌─────────────┐
│ Троянская │
│ программа ├─◄───────────┐
│ (Троян) │ │
└──────┬──────┘ │
▼ │
┌────────┴────────┐ │
│ Наличие │ Нет ДБО │
│ интернет-банка ├───────────┘
│ (ДБО)? │
└────────┬────────┘
│
│ Есть ДБО
▼
┌───────┴────────┐
Можно │ Можно ли │ Нельзя
┌───────────┤ украсть ├──────────┐
│ │ автоматически? │ │
│ └────────────────┘ │
▼ ▼
┌───────────────┴─────────────┐ ┌───────────┴─────────────────┐
│ Троян передает на сервер │ │Троян устанавливает средство │
│ злоумышленника сведения о │ │ удаленного доступа │
│ счетах и балансах │ │ │
└──────────────┬──────────────┘ └───────────┬─────────────────┘
▼ ▼
┌──────────────┴──────────────┐ ┌───────────┴─────────────────┐
│Троян получает настройки для │ │Злоумышленник подключается к │
│ проведения платежа │ │ ЭВМ │
│ │ │ │
└─────────────┬───────────────┘ └────────────┬────────────────┘
▼ ▼
┌─────────────┴───────────────┐ ┌────────────┴───────────────┐
│ Троян ожидает подключения │ │ Злоумышленник ожидает │
│ токена │ │ подключения токена │
└─────────────┬───────────────┘ └────────────┬───────────────┘
▼ ▼
┌─────────────┴───────────────┐ ┌────────────┴───────────────┐
│Троян создает и отправляет в │ │ Злоумышленник создает и │
│ банк платежное поручение, │ │отправляет в банк платежное │
│ либо заменяет реквизиты во │ │ поручение │
│ время его создания │ │ │
│ пользователем │ │ │
└──────────────────┬──────────┘ └────────────┬───────────────┘
└─────────────────┬───────────────────┘
▼
┌────────────────────┴─────────────────────────┐
│ Начинает процесс обналичивания денежных │
│ средств │
└──────────────────────────────────────────────┘
Рис. 1.4. Блок-схема хищения денежных средств с помощью троянской программы
Троянская программа на компьютере жертвы для перенаправления на фишинговый сайт. В данном случае троянская программа используется только для перенаправления пользователей на фишинговый сайт. Применяется для хищения денежных средств только у физических лиц. Данный способ зачастую требует осуществить звонок пользователю зараженной машины. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.5.
┌───────────────────────────────────┐
│Троянская программа (Троян) ├─◄──┬────────────────────────────────┐
└────────────────┬──────────────────┘ │ │
▼ │ │
┌────────────────┴──────────────────┐ │ │
│Пользователь заходит на сайт │ │ Нет │
│банка? ├────┘ │
└────────────────┬──────────────────┘ │
▼ Да │
┌────────────────┴──────────────────┐ │
│Троян перенаправляет пользователя │ │
│на поддельный (фишинговый) сайт │ │
└────────────────┬──────────────────┘ │
▼ │
┌────────────────┴──────────────────┐ │
│Пользователь вводит логин, пароль │ │
│и номер мобильного телефона │ │
└────────────────┬──────────────────┘ │
▼ │
┌────────────────┴──────────────────┐ │
│Злоумышленник входит в │ │
│интернет-банк от имени │ │
│пользователя │ │
└───────────────┬───────────────────┘ │
▼ │
┌───────────────┴───────────────────┐ │
│Злоумышленник создает и отправляет │ │
│в банк платежное поручение │ │
└───────────────┬───────────────────┘ │
▼ │
┌───────────────┴───────────────────┐ │
│Банк отправляет SMS-код для │ │
│подтверждения платежа │ │
│ │ │
└───────────────┬───────────────────┘ │
▼ │
┌───────────────┴───────────────────┐ │
│Злоумышленник от имени банка │ │
│отправляет SMS-пользователю с │ │
│просьбой ввести код в появившееся │ │
│окно на фишинговом сайте │ │
│ │ │
└────────────────┬──────────────────┘ │
▼ │
┌────────────────┴──────────────────┐ Нет │
│Пользователь вводит SMS-код от ├─────────────────────┐ │
│банка дна фишинговом сайте? │ │ │
│ │ ▼ │
└─────────────────┬─────────────────┘ ┌────────────────┴─────────────┐ │
│ Да │Прозвонщик звонит клиенту и │ │
│ │просит ввести SMS-код от банка│ │
│ │на сайте либо продиктовать по │ │
│ │телефону │ │
▼ └───────────────┬──────────────┘ │
│ ▼ │
┌─────────────────┴─────────────────┐ ┌───────────────┴──────────────┐ │Нет
│Злоумышленник подтверждает платеж │ │Пользователь вводит SMS-код от│ │
│SMS-кодом, который ввел │ │банка на фишинговом сайте либо├─┘
│пользователь ├◄───┤диктует, по телефону? │
│ │ Да │ │
└─────────────────┬─────────────────┘ └──────────────────────────────┘
▼
┌─────────────────┴─────────────────┐
│Начинает процесс обналичивания │
│денежных средств │
└───────────────────────────────────┘
Рис. 1.5. Блок-схема хищения денежных средств с помощью троянской программы (фишинговый сайт)
Троянская программа на компьютере жертвы - перевыпуск SIM-карты. Способ аналогичен двум предыдущим. Отличием является лишь то, что злоумышленник осуществляет перевыпуск SIM-карты, используя фальшивые документы и доверенность. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.6.
┌──────────────────────────────┐
│ Троянская программа (Троян) ├─◄─────┐
└─────────────┬────────────────┘ │
▼ │
┌──────────────────┴─────────────────┐Нет │
│ Пользователь заходит на сайт банка?├──────┘
└──────────────────┬─────────────────┘
▼ Да
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Троян перенаправляет пользователя на поддельный (фишинговый) сайт либо │
│ создает поддельную форму ввода на настоящем сайте банка │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Пользователь вводит логин, пароль и номер мобильного телефона │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Злоумышленник по поддельным документам перевыпускает SIM-карту │
│ пользователя в салоне сотовой связи │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Злоумышленник входит в интернет-банк от имени пользователя │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Банк отправляет SMS-код для подтверждения платежа │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Злоумышленник получает SMS-код на новую SIM-карту │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Злоумышленник подтверждает платеж SMS-кодом │
│ │
└─────────────────────────────────┬───────────────────────────────────────┘
▼
┌─────────────────────────────────┴───────────────────────────────────────┐
│ Начинает процесс обналичивания денежных средств │
└─────────────────────────────────────────────────────────────────────────┘
Рис. 1.6. Блок-схема хищения денежных средств с помощью троянской программы, перевыпуск SIM-карты
Троянская программа на компьютере и мобильном устройстве жертвы. Наименее популярный способ. В основном он предназначен для хищения денежных средств у физических лиц. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.7.
┌──────────────────────────────┐ Нет
│ Троянская программа (Троян) ├─◄────────┐
└─────────────┬────────────────┘ │
▼ │
┌───────────────────┴────────────────────┐ │
│ Пользователь заходит на сайт банка? ├──────┘
└───────────────────┬────────────────────┘
▼ Да
┌───────────────────────────────────┴─────────────────────────────────────┐
│ Троян создает поддельную форму ввода на настоящем сайте банка с │
│ требование установить приложение на телефон под предлогом повышения ├◄─┐
│ безопасности │ │
└───────────────────────────────────┬─────────────────────────────────────┘ │
▼ │Нет
┌───────────────────────────────────┴─────────────────────────────────────┐ │
│ Пользователь вводит номер мобильного телефона │ │
└───────────────────────────────────┬─────────────────────────────────────┘ │
▼ │
┌───────────────────────────────────┴─────────────────────────────────────┐ │
│ На телефон приходит СМС с ссылкой на загрузку программы для установки │ │
└───────────────────────────────────┬─────────────────────────────────────┘ │
▼ │
┌───────────────────────────────────┴─────────────────────────────────────┐ │
│ Пользователь загружает и устанавливает программу на телефон ├──┘
└───────────────────────────────────┬─────────────────────────────────────┘
▼ Да
┌───────────────────────────────────┴─────────────────────────────────────┐
│ Злоумышленник входит в интернет-банк от имени пользователя │
└───────────────────────────────────┬─────────────────────────────────────┘
▼
┌───────────────────────────────────┴─────────────────────────────────────┐
│ Злоумышленник создает и отправляет в банк платежное поручение │
└───────────────────────────────────┬─────────────────────────────────────┘
▼
┌───────────────────────────────────┴─────────────────────────────────────┐
│ Банк отправляет SMS-код для подтверждения платежа │
└───────────────────────────────────┬─────────────────────────────────────┘
▼
┌───────────────────────────────────┴─────────────────────────────────────┐
│Троян на телефоне пересылает SMS-код от банка злоумышленнику и скрывает │
│ его от пользователя │
└───────────────────────────────────┬─────────────────────────────────────┘
▼
┌───────────────────────────────────┴─────────────────────────────────────┐
│Злоумышленник подтверждает платеж SMS-кодом │
└───────────────────────────────────┬─────────────────────────────────────┘
▼
┌───────────────────────────────────┴─────────────────────────────────────┐
│ Начинает процесс обналичивания денежных средств │
└─────────────────────────────────────────────────────────────────────────┘
Рис. 1.7. Блок-схема хищения денежных средств с помощью троянской программы на компьютере и мобильном устройстве
Троянская программа на мобильном телефоне жертвы. В основном данный способ направлен на хищение денежных средств у физических лиц либо у банков, поддерживающих перевод денег по SMS. Размер хищений ограничен лимитами банка на проведение таких операций. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.8.
┌───────────────────────────────────────┐
│ Троянская программа (Троян) │
└───────────────────┬───────────────────┘
▼
┌──────────────────────────────┴───────────────────────────────┐
│ Троян пересылает все SMS с телефона на сервер злоумышленника │
└──────────────────────────────┬───────────────────────────────┘
▼
┌───────────────────────┴────────────────────┐
│Злоумышленник ищет телефоны с SMS от банков ├◄────┐
└───────────────────────┬────────────────────┘ │
▼ │
┌────────┴───────┐ Нет │
│ Банк имеет ├──────────────────┘
│ SMS-банкинг? │
└────────┬───────┘
▼ Да
┌─────────────────────────────────────┴───────────────────────────────────┐
│ Злоумышленник через трояна с телефона пользователя отправляет в банк │
│ SMS-команду на перевод денег │
└─────────────────────────────────────┬───────────────────────────────────┘
▼
┌─────────────────────────────────────┴───────────────────────────────────┐
│ Банк отправляет SMS-код для │
│ подтверждения платежа │
└─────────────────────────────────────┬───────────────────────────────────┘
▼
┌─────────────────────────────────────┴──────────────────────────────────┐
│Троян на телефоне пересылает SMS-код от банка злоумышленнику и скрывает │
│ его от пользователя │
└─────────────────────────────────────┬──────────────────────────────────┘
▼
┌─────────────────────────────────────┴───────────────────────────────────┐
│ Злоумышленник подтверждает платеж SMS-кодом, отправляя его с телефона │
│ пользователя по SMS обратно в банк │
└─────────────────────────────────────┬───────────────────────────────────┘
▼
┌─────────────────────────────────────┴───────────────────────────────────┐
│ Начинает процесс обналичивания денежных средств │
└─────────────────────────────────────────────────────────────────────────┘
Рис. 1.8. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве
Троянская программа на мобильном телефоне жертвы - фишинговый сайт. Используется для хищений денежных средств у физических лиц любого банка. Отличается от предыдущего способа тем, что нет таких жестких лимитов, как для SMS-банкинга. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.9.
┌──────────────────────────────┐
│ Троянская программа (Троян) ├─◄─────┬───────────────┐
└──────────────┬───────────────┘ │ │
▼ │ │
┌─────────────────────┴────────────────┐ Нет │ │
│Пользователь заходит на сайт банка? ├──────┘ │
└─────────────────────┬────────────────┘ │
▼ Да │
│ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Троян перенаправляет пользователя на поддельный (фишинговый) сайт ││
└───────────────────────────────────┬──────────────────────────────────────┘│
▼ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Пользователь вводит логин, пароль и номер мобильного телефона ││
│ ││
└───────────────────────────────────┬──────────────────────────────────────┘│
▼ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Злоумышленник входит в интернет-банк от имени пользователя ││
│ ││
└───────────────────────────────────┬──────────────────────────────────────┘│
▼ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Злоумышленник создает и отправляет в банк платежное поручение ││
│ ││
└───────────────────────────────────┬──────────────────────────────────────┘│
▼ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Банк отправляет SMS-код для подтверждения платежа ││
└───────────────────────────────────┬──────────────────────────────────────┘│
▼ │
┌───────────────────────────────────┴──────────────────────────────────────┐│
│ Злоумышленник от имени банка отправляет SMS-пользователю с просьбой ││
│ ввести код в появившееся окно на фишинговом сайте ││
│ ││
└─────────────────┬────────────────────────────────────────────────────────┘│
▼ │
┌─────────────────┴────────────────┐ ┌───────────────────────────────────┐│
│ Пользователь вводит SMS-код от │Нет│Прозвонщик звонит клиенту и просит ││
│ банка на фишинговом сайте? ├─►─┤ ввести SMS-код от банка на сайте ││
│ │ │ либо продиктовать по телефону ││
│ │ │ ││
│ │ │ ││
└─────────────────┬────────────────┘ └───────────────────────────────────┘│
│ Да Нет │
│ ┌──────────────────────────────────┐ │
│ │ Пользователь вводит SMS-код от │ │
│ │ банка на фишинговом сайте либо ├─┘
│ │ диктует по телефону? │
▼ └─────────────────┬────────────────┘
│ ▼ Да
┌─────────────────┴──────────────────────────────────────┴─────────────────┐
│ Злоумышленник подтверждает платеж SMS-кодом который ввел пользователь │
│ │
└──────────────────────────────────┬───────────────────────────────────────┘
▼
┌──────────────────────────────────┴───────────────────────────────────────┐
│ Начинает процесс обналичивания денежных средств │
└──────────────────────────────────────────────────────────────────────────┘
Рис. 1.9. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве (фишинговый сайт)
Компрометация системы банка. Данный способ наиболее сложный и редко встречается на практике. Хищение возможно как со счетов самого банка, так и со счетов клиентов этого банка. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.10.
┌─────────────────────────────┐
│ Троянская программа (Троян) │
└─────────────┬───────────────┘
▼
┌──────────────────────┴─────────────────────────┐
│Троян устанавливает средство удаленного доступа │
└──────────────────────┬─────────────────────────┘
▼
┌──────────────────────────────────┴─────────────────────────────────────┐
│Злоумышленник подключаются к ЭВМ банка и начинает процесс исследования ├◄──┐
│ сети │ │
└──────────────────────────────────┬─────────────────────────────────────┘ │
▼ Нет │
┌──────────────────────────────────┴─────────────────────────────────────┐ │
│ Находит серверы для перевода денежных средств? ├───┘
└──────────────────────────────────┬─────────────────────────────────────┘
▼ Да
┌──────────────────────────────────┴─────────────────────────────────────┐
│ Доступ позволяет украсть у клиентов банка или самого банка? │
└────────────┬────────────────────────────────────────┬──────────────────┘
▼ У банка ▼ У клиентов банка
┌────────────┴───────────────────┐ ┌───────────────┴─────────────────┐
│ Злоумышленник наблюдает за │ │Злоумышленник выбирает клиентов с│
│ действиями оператора системы │ │ наибольшими балансами │
│ для изучения процесса работы │ │ │
└────────────────┬───────────────┘ └───────────────┬─────────────────┘
│ ▼
│ ┌───────────────┴─────────────────┐
│ │Злоумышленник перевыпускает ключи│
│ │ ЭЦП и меняет пароли │
│ └───────────────┬─────────────────┘
▼ ▼
┌────────────────┴─────────────────┐ ┌───────────────┴─────────────────┐
│ Злоумышленник осуществляет │ │ Злоумышленник создает и │
│ переводы через банковские │ │ отправляет в банк платежное │
│ системы │ │ поручение │
│ │ │ │
└──────────────────┬───────────────┘ └───────────────┬─────────────────┘
└─────────────────┬────────────────┘
▼
┌────────────────────────────────────┴──────────────────────────────────┐
│ Начинает процесс обналичивания денежных средств │
└───────────────────────────────────────────────────────────────────────┘
Рис. 1.10. Блок-схема хищения денежных средств через компрометацию системы банка
Процесс обналичивания похищенных денежных средств является завершающей стадией хищения. Он, как правило, выполняется преступной группой, не входящей в состав той, которая похитила денежные средства с банковского счета. Если процесс обналичивания успешно завершен, то группе, которая похитила денежные средства с банковского счета, возвращается от 40 до 60% от обналиченной суммы. Процент зависит от условий работы и оговаривается в начале взаимодействия.
На рисунке 1.11 представлено несколько основных вариантов движения денежных средств в зависимости от похищаемой суммы. Однако схема может быть представлена значительно сложнее, если процессом обналичивания занимаются несколько разных групп и единовременный объем хищений, как правило, более 5 млн. рублей.
┌──────────────┐
│ Начало │
│ процесса │
│обналичивания │
│ денежных │
│ средств │
└──────┬───────┘
▼
Сумма менее 100 000 ┌──────┴───────┐ Сумма от 1 до 5 млн. рублей
рублей┌────────────────┤Сумма хищения?├──────────┬───────────────────┐
│ └──────┬───────┘ │ │
▼ ▼ Сумма менее │ │
│ │1 млн. рублей ▼Сумма более 5 млн. ▼
┌─────┴────────┐ ┌──────┴───────┐ ┌──────┴────────┐ ┌───────┴──────┐
│ Вывод на 1 и │ │ Вывод │ │ Вывод на │ │ Вывод на │
│более SIM-карт│ │ на │ │юридических лиц│ │ пластиковые │
│ │ │ пластиковые │ │ ├┬►┤ карты │
│ │ │ карты │ │ ││ │ │
│ │ │ │ │ ││ │ │
└───────┬──────┘ └──────┬───────┘ └───────┬───────┘│ └───────┬──────┘
│ │ ▼ │ │
▼ │ ┌───────┴───────┐│ │
┌───────┴──────┐ │ │ ││ │
│ Вывод на │ │ │ Вывод на ├┘ │
│ пластиковые │ │ │юридических лиц│ │
│ карты │ │ │ │ │
│ │ │ └───────────────┘ │
└───────┬──────┘ │ │
▼ ▼ ▼
┌───────┴──────┐ ┌──────┴───────┐ ┌───────┴──────┐
│ Съем денег │ │ Съем денег │ │ Съем денег │
│дропами с карт│ │дропами с карт│ │дропами с карт│
│ в банкоматах │ │ в банкоматах │ │ в банкоматах │
│ │ └──────┬───────┘ └────┬─────────┘
└──────────┬───┘ └──────────┐ │
└─────────────────────────────┼────────────────────────┘
▼
┌────────────────────────────────────────┴──────────────────────────────────┐
│ Возврат снятых денег дроповоду для их последующего распределения │
└───────────────────────────────────────────────────────────────────────────┘
Рис. 1.11. Процесс обналичивания похищенных денежных средств
Российский рынок электронных денег
Чтобы получить представление о механизмах мошеннических схем и методах борьбы с ними в сегменте электронных денег, необходимо рассмотреть подробнее этот рынок, а также поведение и "портрет" пользователей электронных кошельков.
Российский рынок электронных денег демонстрирует устойчивый рост: по данным J'son & Partners Consulting, в первом полугодии 2014 г. объем платежей, проходящих через российские электронные платежные сервисы, вырос на 38% по сравнению с тем же периодом прошлого года. Эксперты прогнозируют дальнейшее увеличение числа пользователей онлайн-кошельков, рост количества и размера транзакций. Это обусловлено целым рядом причин.
Во-первых, рост доли крупных платежей через электронные кошельки, таких как погашение кредитов, денежные переводы, платежи за ЖКУ и пр. Технологии онлайн-платежей становятся привычными для пользователей и доверие к ним растет.
Во-вторых, активно развивается онлайн-торговля: российский рынок интернет-коммерции - один из самых быстрорастущих в мире. Причем текущая экономическая ситуация в России может явиться и стимулирующим фактором для его дальнейшего развития. С одной стороны, многие компании сфокусируются на онлайн-реализации, чтобы снизить издержки: уже сейчас многие компании, чья продукция традиционно продавалась в обычных торговых сетях, активно продвигают собственные онлайн-площадки. С другой, покупатели будут более взвешенно подходить к выбору нужных товаров. Интернет-магазины и аукционы предоставляют широкие возможности для поиска наиболее экономичных вариантов, к которым можно также отнести получение скидок и участие в акциях. Так, 24% онлайн-покупателей пользуются скидочными купонами. Онлайн-шопинг открывает и возможности покупок за рубежом: 40% интернет-покупателей делали заказы в зарубежных магазинах.
Вместе с тем растет финансовая грамотность населения. Уже сейчас электронными деньгами при оплате интернет-покупок пользуется почти каждый четвертый покупатель из нашей страны.
Кроме того, существенное влияние на рост объемов интернет-коммерции оказывает развитие новых технологий. Около 85% пользователей Интернета в России пользуются мобильными телефонами для выхода в Сеть, 38% просматривают сайты интернет-магазинов с целью покупки товара, используя мобильные устройства (данные Synovate Comcon, OnLife, ноябрь 2014 г.).
Российские платежные сервисы предлагают приложения для всех типов мобильных устройств, через которые можно быстро и удобно оплатить покупки. Популярность смартфонов, позволяющих использовать возможности платежных приложений, быстро растет. По данным Synovate Comcon, 40% жителей городов-миллионников являются владельцами этих гаджетов, в городах с населением от 100 000 человек аналогичный показатель достигает 32%.
При этом жители некрупных городов активнее замещают свои телефоны более современными коммуникаторами: в 2014 г. число владельцев смартфонов выросло на 60% по сравнению с 2013 г., в мегаполисах - на 40% (данные Synovate Comcon, РосИндекс, 2014 г.).
Наконец, растет уровень проникновения Интернета, активно развиваются мобильные интернет-технологии. В 2014 г. доля пользователей, которые выходят в Сеть с помощью сотовых телефонов, выросла почти вдвое по сравнению с 2013 г.
Все эти факторы позволяют прогнозировать дальнейшее стабильное развитие рынка электронных денег. Кроме того, можно с уверенностью предположить, что в ближайшем будущем онлайн-торговля и электронные платежи все чаще будут производиться с использованием мобильных устройств. Следует ожидать значительного расширения ассортимента технологий и мобильных приложений, связанных с дистанционными продажами и платежами, а также совершенствования уже имеющихся.
Дата добавления: 2019-02-12; просмотров: 188; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!