Как стать автором
Обновить

Group-IB и Alseda помогут белорусским банкам вывести защиту онлайн-банкинга на мировой уровень

Блог компании Group-IB Информационная безопасность *

Технологические партнеры — компания Group-IB, один из лидеров в сфере кибербезопасности, и разработчик мобильных и web-решений Alseda — представили новое решение для безопасности систем дистанционного банковского обслуживания в рамках закрытого мероприятия партнеров Fraud Hunting Platform Day, состоявшегося в Минске при участии представителей банков, финтех-компаний и регуляторов финансового рынка Беларуси.

Читать далее
Всего голосов 13: ↑11 и ↓2 +9
Просмотры 640
Комментарии 0

Эксперты перепрошили «хакерский» Nokia 1100

Информационная безопасность *
Пару недель назад в СМИ проскочила информация от голландской полиции, которая раскрыла банду хакеров, скупавших за десятки тысяч долларов старые модели телефона Nokia 1100, произведённые на уже давно закрытом заводе в Бохуме в 2003 году. Как сообщалось, в этих моделях присутствует некая недокументированная функция, позволяющая получать какую-то секретную банковскую информацию из служебных сообщений от сервиса онлайн-банкинга. Честно говоря, это было похоже на «утку» и очень слабо верилось, что такое действительно возможно.

Но сейчас информация подтвердилась. «Хакерские» телефоны попали на исследование специалистам, в результате чего открылись новые технические детали.

В раритетных телефонах устанавливалась особая версия прошивки, которую было относительно легко перепрограммировать, чтобы получать SMS, отправленные на любые номера. Как известно, через SMS некоторые банки Германии и Нидерландов отсылают одноразовые пароли mTAN (mobile Transaction Authentication Number), которые необходимы для доступа к счёту и проведения банковских транзакций. Чтобы воспользоваться чужим mTAN, хакер уже должен знать имя пользователя и пароль к сервису онлайн-банкинга. Но их узнать гораздо легче, чем получить чужую SMS.

Cпециалисты из Ultrascan приобрели копию глючной модели Nokia 1100 и сообщают, что смогли с её помощью успешно перехватить чужой mTAN. Для изменения прошивки они нашли по своим хакерским каналам программу, которая на обычном ПК осуществляет дизассемблирование прошивки Nokia 1100, позволяет поменять номера IMEI (International Mobile Equipment Identity) и IMSI (International Mobile Subscriber Identity). Измененённая прошивка копируется обратно в ROM-память телефона, которая в этой модели допускает перезапись. После этого клонируется SIM-карта жертвы (это технически тривиальная задача) — и телефон готов к работе под чужим номером.

Компания Nokia официально пока не комментирует эту информацию. Но раньше она выступала с заявлением, что не верит в существование уязвимости в прошивке Nokia 1100.
Всего голосов 62: ↑48 и ↓14 +34
Просмотры 19K
Комментарии 79

Для преступников ботнет Зевс (ZeuS) становится все удобнее и удобнее

Информационная безопасность *
Перевод
Да, я знаю что недавно про него было, и скоро будет еще. Но вот что думают буржуины.

image
Какой-то ботнет

Краткая справка
  • № 1 в списке самых разыскиваемых ботнетов Америки
  • Зараженные компьютеры: 3.6 миллиона
  • Использование преступниками: воровство вводимой пользователем информации (кейлоггер), вставка поддельных HTML форм в системы онлайн-банкинга
За 10 000 $ можно приобрести модуль Зевса, дающий полный контроль над зараженными компьютерами
Читать дальше →
Всего голосов 104: ↑86 и ↓18 +68
Просмотры 17K
Комментарии 210

У ВТБ24 «слетели пароли» банк-клиента для юрлиц

Чулан
Ниже — история, случившаяся сегодня около 16-40 и прочувствованная мной как пользователем системы онлайн-клиента банка ВТБ24.
Читать дальше →
Всего голосов 29: ↑24 и ↓5 +19
Просмотры 747
Комментарии 47

Троян меняет цифры в онлайн-банкинге

Антивирусная защита *
Немецкая криминальная полиция BKA (Bundeskriminalant) сообщила об обнаружении «нового трояна». Он не ворует логин и пароль от счёта онлайн-банкинга, а использует более хитрую схему, заставляя пользователя самостоятельно перечислить деньги на чужой счёт.

Схема такая. Троян ждёт, пока пользователь войдёт в свой аккаунт, после этого выводит на экран сообщение, что якобы на счёт пользователя по ошибке были зачислены средства, и счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно. Когда пользователь заходит на страницу с балансом, троян показывает ему страницу изменённого содержания, в которой действительно присутствует приход крупной суммы. Пользователю предлагают немедленно совершить перевод, показывая уже заполненную форму перевода денежных средств.

Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.
Читать дальше →
Всего голосов 39: ↑29 и ↓10 +19
Просмотры 3.9K
Комментарии 52

«Попробуй угадай», или за что получают деньги юзабилити специалисты

Интерфейсы *Usability *
Попытка отменить автоплатёж в интерфейсе онлайн-банкинга Сбербанка России (Сбербанк-онлайн)

Отменить или продолжить?
Всего голосов 103: ↑66 и ↓37 +29
Просмотры 1.7K
Комментарии 55

Новый Интернет-банк Тинькофф Кредитные Системы

Блог компании TINKOFF
Привет всем! Тема создания финансовых приложений сейчас довольно актуальна, разные банки выпускают и обновляют свои веб-интерфейсы. Всем хочется дать клиентам простой и приятный способ работы со счетами.

Для нас создать новый Интернет-банк было одной из самых важных целей за прошедший год. У нас уже было несколько подобных решений в прошлом и нужно было сделать что-то сильно лучшее.

Мы изучали лучшие мировые продукты, смотрели что из этого подойдёт нашим клиентам, проектировали, разрабатывали, пытались пользоваться сами, если что-то не нравилось, делали заново. Было много дискуссий. И вот этим летом запустили свой новый Интернет-банк для клиентов.

Самое приятное, что с первой нашей попытки журнал Global Finance признал наш новый Интернет-банк лучшим в России за 2012 год, похоже, мы оказались на верном пути.

Ниже предлагается краткий обзор функционала и интерфейсов с большим количеством иллюстраций.

Читать дальше →
Всего голосов 28: ↑21 и ↓7 +14
Просмотры 37K
Комментарии 61

Сравнение клиент-банков разных эпох

Usability *
Моя компания уже почти семь лет обладает расчетным счетом в ВТБ24. Когда-то клиент-банк ВТБ24 был одним из лучших в мире, но, сказать по правде, в нем немного поменялось за это время. Мне нравится ВТБ24 и мне хотелось бы, чтобы он был более удобным и дружелюбным для онлайн-пользователя. Два года назад я, как частное лицо, начал работать с Банк24.ру, и потом открыл в нем расчетный счет для второго юрлица. Удивительно, но несколько моих знакомых, совершенно независимо, сделали такой же выбор. В этой статье я хотел бы показать отличия между клиент-банком двух разных эпох (начало 2000 и современных) и то, насколько сильно мелкие улучшения в юзабилити могут улучшить впечатление от работы с веб-сервисом.
Итак, начнем! По ходу дела я буду оценивать клиент-банки, исходя из своего личного мнения.
Читать дальше →
Всего голосов 29: ↑14 и ↓15 -1
Просмотры 12K
Комментарии 47

Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

Блог компании Group-IB Информационная безопасность *
Tutorial
Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.

image

Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов.
Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Просмотры 11K
Комментарии 8

Win32/Spy.Ranbyus нацелен на модификацию Java-кода систем удаленного банкинга Украины

Блог компании ESET NOD32
Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.

Читать дальше →
Всего голосов 24: ↑21 и ↓3 +18
Просмотры 14K
Комментарии 11

Главные уязвимости онлайн-банков: авторизация, аутентификация и Android

Блог компании Positive Technologies Информационная безопасность *Разработка под Android *


Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего злоумышленника, что может привести к существенным финансовым и репутационным потерям. Такие выводы содержатся в исследовании уязвимостей ДБО, обнаруженных экспертами Positive Technologies в 2013 и 2014 годах в ходе работ по анализу защищенности для ряда крупнейших российских банков. В данной статье мы представляем некоторые результаты этого исследования.

В рамках исследования было рассмотрено 28 систем дистанционного банковского обслуживания физических (77%) и юридических лиц (23%). Среди них были и мобильные системы ДБО, представленные серверной и клиентской частью (54%). Две трети систем (67%) являлись собственными разработками банков (использовались Java, C# и PHP), остальные были развернуты на базе платформ известных вендоров. Большинство систем ДБО (74%) находились в промышленной эксплуатации и были доступны для клиентов, а четверть ресурсов составляли тестовые стенды, готовые к переводу в эксплуатацию.
Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Просмотры 27K
Комментарии 12

Олег Тиньков намерен купить Рокетбанк за $1 миллион, если его сообщение в соцсети наберет 2 тысячи лайков

Развитие стартапа
Сегодня, 9 сентября, российский миллиардер Олег Тиньков заявил, что предложит основателям Рокетбанка продать его за $1 миллион, если пост предпринимателя о возможной покупке этого приложения соберет 2 тысячи лайков.

«Делаю публичную оферту на покупку Рокетбанка (а-ка «Смузи Банк») за $1 000 000. Заметьте, пока не за рубль! Рубль будет по истечении оферты, т.е. 15 сентября. Это НЕ Tinkoff People & Тинькофф Банк предлагает, такое им не нужно, это я сам для детей куплю, пусть развлекаются и карточки раздают в школе и колледже. Рома СЕО назначу, ему нравится перечить и все время мне что-то доказывать. Пашу СТО пусть будет, ему нравится играть на компе постоянно и троллить одноклассников. Если будет 2000 лайков, забираем!», писал Тиньков на своей странице в Facebook.
Читать дальше →
Всего голосов 24: ↑21 и ↓3 +18
Просмотры 11K
Комментарии 19

В СМИ попала информация о планах ФК «Открытие» выкупить Рокетбанк за $4,5 миллиона

Бизнес-модели

Банк ФК «Открытие» купит онлайн-сервис банковских услуг Рокетбанк за $4,5 миллиона. В рублях эта сумма составляет примерно 300 миллионов. Сделка должна быть закрыта через несколько дней. Об этом сообщил источник, близкий к ФК «Открытие», источники, близкие к Рокетбанку и банку «Интеркоммерц».

Источник: Виктор Лысенко
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 8.5K
Комментарии 7

Банкир-пивовар Тиньков рассказал, почему с его подходом смузи не нужен: высказывания бизнесмена и комментарии экспертов

Бизнес-модели
За девять лет своего существования Тинькофф Банк стал одним из ведущих игроков на финансовом рынке. Банк входит в топ-4 российских банков по объему портфеля кредитных карт. По словам Олега Тинькова, это один из самых крупных полностью онлайн-банков в мире.

Мало кому удается повторить успех Тинькофф Банка, несмотря на то, что в последнее время крупнейшие банки инвестируют огромные суммы в дистанционные сервисы.

«Стартаперы привлекают инвестиции, снимают новый офис, смузи пьют в коворкинге, тыкают в планшетики свои. Никто не думает про прибыль и экономическую целесообразность. Инвестиционные деньги развращают».
В марте 2015 года такое заявление сделал Олег Тиньков в интервью изданию «Секрет Фирмы».

Теперь господин Тиньков рассказал порталу Digital Russia о том, как Тинькофф Банк добился успеха и о стратегии его развития на ближайшие 5 лет.

«Мегамозг» приводит наиболее интересные высказывания предпринимателя.
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 11K
Комментарии 24

Банковская карта от «МегаФона»

Блог компании МегаФон Разработка под e-commerce *Биллинговые системы *

Количество доступных средств для оплаты электронных (и не только) услуг и проведения банковских операций растет с каждым годом. Сейчас почти у каждой крупной IT-компании есть собственные сервисы электронных кошельков (Apple Pay, Google Wallet, Яндекс.Деньги, WebMoney, Деньги Mail.ru, Рамблер.Деньги, RBK Money, QIWI и прочие), не говоря уже о количестве банков.
Читать дальше →
Всего голосов 73: ↑46 и ↓27 +19
Просмотры 76K
Комментарии 322

Повальная регистрация устройств для онлайн-банкинга отменяется

Информационная безопасность *
После публикации статьи о регистрации устройств, с которых клиенты банков пользуются онлайн-банкингом, со мной связался начальник управления безопасности информационных технологий АО «СМП Банк» Головлёв Павел Михайлович. Он читает GeekTimes и его раздосадовало то, как журналисты «Известий» (по материалу которых я писал статью) исказили смысл происходящего.

Головлёв спешит успокоить общественность. По его словам, ЦБ не обязывает банки принудительно регистрировать все устройства клиентов. Наоборот, клиент теперь имеет право потребовать у банка ограничить доступ к его онлайн-банкингу определёнными устройствами. А уже банк обязан на основании заявления клиента думать о том, каким образом он это будет делать.
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры 11K
Комментарии 24

Преступники за год похитили 2,5 миллиарда рублей через системы онлайн-банкинга. Выросли атаки через вирусы для Android

Смартфоны
В России с июня 2014 года по июнь 2015 года мошенники украли 2,6 миллиарда рублей. Жертвами стали как компании, так и физические лица. Более шестидесяти миллионов рублей похитили с помощью троянов для устройств на Android.

На конференции «Тенденции развития преступлений в области высоких технологий 2015» компания Group-IB рассказала о деятельности кибермошенников за последний год.

image
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 9.5K
Комментарии 7

Схемы хищений в системах ДБО и пять уровней противодействия им

Блог компании Group-IB Информационная безопасность *Платежные системы *
image

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту.

Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного
банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах.

Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины/пароли для входа в интернет-банк на сервер злоумышленникам. После этого преступники переводили деньги на заранее подготовленные банковские счета суммами от 12 000 до 30 000 руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников, — все SMS-подтверждения транзакций блокировались.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 11K
Комментарии 21

Почему комплексные предложения скоро составят основу ритейла

Блог компании Wirex Исследования и прогнозы в IT Статистика в IT Финансы в IT
Перевод
Чтобы повысить качество клиентского обслуживания и предоставить потребителям широкий выбор, ритейлеры разбивают крупные торговые предложения на узконаправленные услуги. Автор статьи рассуждает, насколько эффективны такие стратегии, и почему продуманные комплексные решения могут оказаться более прибыльными.


Банковские услуги разбиваются на отдельные сегменты


Реализация концепции открытого банкинга началась вместе с выпуском законодательного акта PSD2. Согласно концепции, лицензированные третьи лица могут получить доступ к банковской инфраструктуре, чтобы сделать свои сервисы удобнее для держателей банковских счетов.

Такими изменениями регуляторы стремились уравнять правила игры для инноваторов в финансовой сфере и предложить клиентам большее количество специализированных решений, которые отличались бы от предлагаемых банками.

Сфера кредитования отходит от традиционных кредитных линий и карточных продуктов


В магазинах вот уже несколько десятков лет действуют схемы рассрочки, однако сейчас инноваторы сегмента магазинного кредитования предлагают совершать покупки в офлайн и онлайн-магазинах с помощью брендированных кредитных продуктов. Так, решение о выдаче кредита принимается в зависимости от способности потребителя в течение полугода ежемесячно выплачивать 349 долларов за купленную в Tradesy дамскую сумочку, а не исходя из того, достаточно ли его кредитного рейтинга для получения займа в 2500 долларов у традиционного банка.
И тому подобное.

Эксперты полагают, что практика разделения на отдельные элементы или малые продукты достигнет апогея в ближайшем будущем. Так потребители получат широкий выбор, удовлетворяющий их индивидуальным нуждам и предпочтениям. Разделение на опции станет новой нормой, и к успеху придут те компании, которые позволят клиентам принимать решения на собственных условиях.

Все инструменты для поиска альтернатив у современных потребителей есть буквально на кончиках пальцев — прямо в смартфонах.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 3.2K
Комментарии 0

Вебинар «167-ФЗ. Как банки могут выполнить требования ЦБ к антифрод-системам» — 26 февраля 2019, 11:00 МСК

Блог компании Group-IB Информационная безопасность *


Cпециалисты Group-IB и «Инфосистемы Джет» подготовили вебинар на тему «167-ФЗ: Как банки могут выполнить требования ЦБ к антифрод-системам».

Вебинар состоится 26 февраля 2019 года в 11:00 (МСК), проведут его Павел Крылов, руководитель направления по защите от онлайн-мошенничества Group-IB, и Алексей Сизов, руководитель направления противодействия мошенничеству Центра прикладных систем безопасности, Инфосистемы Джет.

Что интересного будет на вебинаре?


Вы узнаете:

  1. Почему банкам важно следовать 167-ФЗ;
  2. Какие антифрод-технологии выявляют признаки мошеннических платежей, установленные Банком России;
  3. Как банки могут выполнить требования регулятора.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 1.9K
Комментарии 0
1