Pull to refresh

Comments 21

Из приведенных схем хищения совершенно не понятно о чем речь, в чем суть схемы «перевод с карты на карту», мне кажется это не схема, а этап целой схемы, где социальная инженерия которая на первом месте, это как раз первый этап схемы.
Мешают ли вам keepas и прочие которые сами вводят в браузер сохранённый логин и пароль?
Нет, не мешают. Использование KeePass или иных менеджеров паролей детектируется, и отличается от использования копирования из буфера обмена мышкой или клавиатурой. Это все так же учитывается в индивидуальном профиле пользователя и используется при выявлении аномалий в поведении.
Мешают ли вам keepas и прочие которые сами вводят в браузер сохранённый логин и пароль?

Гугль на Андроиде запретил, к сожалению.
Что мешает злоумышленникам обучиться и поделать ваши запросы от ваших js модулей в ваш антифрод с проставлением нужных параметров и обхода тем самым анализа?
Отличный вопрос. Во-первых, JavaScript-код обфусцирован и в нем не так-то просто разобраться. Во-вторых, запросы закодированы и содержат код проверки целостности. Очевидно, что можно потратить время и разреверсить обфусцированный js-код. Для того, чтобы отбить аппетит делать это, в арсенале есть динамическая обфускация с переменными параметрами кодирования и вычисления кода целостности отправляемых данных.

Алгоритм динамической обфускации все равно же прописан в этом же js

Нет, это полностью делается на серверной стороне.
В этом случае патчится браузер.
Зачем злоумышленнику вообще загружать ваш JS? Интернет-банкинг без него не заработает?
Как вы обходите запрет на передачу кому либо банковской тайны (передачу вам в смысле) особенно по тому примеру что указан в последнем разделе, особенно какие заявления или согласия подписывает клиент? Было бы интересно для наших приложений внедрить.
Обходим очень просто — мы не собираем банковскую тайну. И для гарантии мы передаем js-код заказчику для размещения и распространения в составе веб-приложения с его ресурсов. Так же заказчик имеет возможность самостоятельно ознакомиться с содержимым передаваемых данных. Часть данных может быть отнесена к пользовательским данным, поэтому мы рекомендуем внесение собираемого перечня данных в соглашение с пользователем. Часто это делается в форме оферты.

Параметры платеже вам не передаются?

Верно, платежная информация из скрипта (или Mobile SDK) в облачную инфраструктуру не поступает.

Такая реклама… Клавиатурный анализ и возможность единой базы для программы работающей в разных банках ужасает возможностями. При этом для физиков это полная идентификация личности.


Естественно, мошенник не перепечатывает полученные им данные, а копирует их из буфера обмена при входе в ДБО.

Часто копи-пастой минимум логина пользуется лигитимный пользователь.


P.s. интересно что за минусатор ходит

По копипаст все понятно, она полагаю не вносит сильный вклад в итоговую оценку и наоборот, если нормальный пользователь вставляет через копипаст, а злоумышленник нет, то это тоже отклонение, просто обратное. Общая база между банками это ещё и объединение баз данных ПДн предположительно в обработки ПДн в целях несовместимых между собой.

если нормальный пользователь вставляет через копипаст, а злоумышленник нет, то это тоже отклонение, просто обратное

Злоумышленник будет копи-пастой работать.
Просто в тексте


В верхней части рисунка видна последовательность действий легального пользователя. То есть он заходит на страницу для доступа в систему ДБО, использует верхнюю цифровую клавиатуру для ввода логина и пароля, далее нажимает «Войти»… У него их целая база. Естественно, мошенник не перепечатывает полученные им данные, а копирует их из буфера обмена при входе в ДБО. И это отчетливо видно на скриншоте.

Замечание было на попытку поймать на такое различие.


Общая база между банками это ещё и объединение баз данных ПДн предположительно в обработки ПДн в целях несовместимых между собой.

Почему между банками; единую базу имеет разработчик/продавец услуги защиты в которую должен лесть программный комплекс из банка (ихмо). И не думаю что ПДн (персональные данные) в виде ФИО, счетов и прочего должны передаваться, обезличенные они будут для продавца услуги. Упор на единую базу делают в пятом уровне.


Читая заголовок про ДБО ожидал прочитать совсем другое.

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области <...> Ежедневно <...> похищали от 100 000 до 500 000 руб.

А можете написать детали, как выслеживают и ловят подобных преступников? А точнее — как доказывают, что пойманная группа людей — это действительно те самые организаторы, а не просто наемные пешки, которые обналичивали криптовалюту.


Далее: как происходит анализ оборудования экспертом? Как происходит проверка того, что эксперт (или полицейский) ничего не подбросил?

Подробнее о кейсе «Банки на ладони» можно прочитать здесь www.group-ib.ru/media/fake-bank-app-detention. Если вас интересуют расследования, как выслеживают и ловят киберпреступников, посмотрите вот эти публикации: vc.ru/38583-true-cyberdetective и habr.com/company/group-ib/blog/412895
1. Реклама это конечно хорошо, но давайте начнем c простого вопроса — сколько процентов мошеннических операций на компьютерах пользователей (не организаций) ловит антифрод?
На основе статистики ЦБ?

2. «5) поддельный мобильный банкинг;…
Привычные средства антивирусной защиты практически бесполезны»
Почему? Троян как троян, в статистике пойманных их вагон

3. «сейчас банковских троянов под десктопные компьютеры или iOS крайне мало». Позвольте вам не поверить. Trojan.Dimnie.5 сейчас на втором месте в статистике. А для iOS вирусов просто почти нет
Добрый день, спасибо за вопросы. Давайте попорядку.

1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
1. Тоесть получаем, что для частных лиц есть антифрод, нет антифрод разницы нет и полагаться приходится на антивирус — так как ничего более в большинстве своем на личном компьютере нет.

2. Да, новые трояны лезут постоянно. На это есть превентивная защита и прочее. Но ее надо настраивать. И права по запуску программ надо ограничивать. Да антивирус пропускает (и не может не пропускать). Но ставят то трояны и отключают антивирусы пользователи. По статистике Microsoft порядка 60% антивирусов на компьютерах отключено. А виноват антивирус. Для понимания. Я не превозношу антивирус — я отлично знаю все его недостатки и с удовольствием бы заменил на что-то более надежное. Но в реальности для простого пользователя, не знатока ИБ, могущего настраивать спецпрограммы — есть альтернатива?

3. Ущерба возможно, но не самих троянов. И вторые они не только в почтовом трафике, но и в общей статистике. А если вырубить из статистики всякие Downloaderы, которые универсальны, то банковские трояны сейчас вместе с майнерами лидируют
Sign up to leave a comment.