Библибоба

Читаем Мошенничество в платежной сфере полностью

Мошенничество в платежной сфере

авторов Коллектив , Алексей С. Воронин

Эксплуатация уязвимостей на тематических сайтах. Данный метод является наиболее эффективным, поскольку дает возможность осуществлять массовое распространение вредоносного программного обеспечения, а также выбирать целевую аудиторию для распространения. Схема распространения следующая:

• осуществляется компрометация тематического сайта (например, buhgalter.ru);

• в сайт встраивается вредоносный код (iframe), который вместе с содержимым сайта загружает вредоносные компоненты;

• при посещении пользователями такого сайта осуществляется анализ установленных компонентов (браузера и его плагинов) и их версий в системе. В случае обнаружения осуществляется загрузка и запуск заданной вредоносной программы;

• после запуска вредоносной программы на удаленный сервер злоумышленника сообщается статус об успешной установке;

• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.


Изображение панели управления связки эксплойтов Black Hole показано на рисунке 1.2. Основным параметром, характеризующим связку эксплойтов, является коэффициент «пробива» — это отношение количества загрузок вредоносной программы к количеству пользователей/хостов, посетивших вредоносную ссылку. На изображении коэффициент «пробива» равен 15,1 % за весь период его использования.


Рис. 1.2. Панели управления связки эксплойтов Black Hole


Наиболее приоритетными программными компонентами (плагинами) для эксплуатации уязвимостей являются: Java, Flash, Internet Explorer и Adobe Acrobat Reader.

Компанией Group-IB приведена обзорная статистика уязвимостей веб-приложений, полученная в ходе оказания услуг по аудиту информационной безопасности и проведения тестов на проникновение в 2012 г. и в I квартале 2013 г. Стоит отметить, что в ходе проводимых исследований оценивалась защищенность не только целевого приложения, но и всей инфраструктуры, в рамках которой было развернуто целевое приложение. Таким образом, поверхность атаки включала в себя всё стороннее ПО, а также компоненты, используемые веб-приложением и размещенные на одной с приложением площадке.

Чаще всего специалистами Group-IB выявлялись уязвимости, связанные со следующими недостатками:

• недостаточная проверка входных данных;

• раскрытие чувствительной информации;

• использование паролей недостаточной сложности.


По результатам отчета компании Group-IB за 2013 г. (http://report2013.group-ib.ru/), самые распространенные уязвимости в компонентах, используемые злоумышленниками, представлены на рисунке 1.3.

В результате успешного использования вредоносных программ все дальнейшие действия злоумышленников будут направлены на закрепление в системе, дальнейшее хищение ключевой информации, а также получение удаленного управления компьютером.

Существуют две основные схемы, с помощью которых осуществляется кража денежных средств: специализированное вредоносное программное обеспечение, похищающее пароли, сертификаты, ключи ЭЦП, и фишинг.

В настоящее время можно выделить несколько основных способов совершения хищений в системах ДБО при помощи вредоносных программ, рассмотрим их далее.


Рис. 1.3. Статистика уязвимостей приложения, используемых злоумышленниками


Троянская программа на компьютере жертвы. Самый распространенный способ. Возможно хищение из любого банка, как у юридических, так и у физических лиц, а также проведение платежа в автоматическом режиме (автозалив). Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.4.

Троянская программа на компьютере жертвы для перенаправления на фишинговый сайт. В данном случае троянская программа используется только для перенаправления пользователей на фишинговый сайт. Применяется для хищения денежных средств только у физических лиц. Данный способ зачастую требует осуществить звонок пользователю зараженной машины. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.5.

Троянская программа на компьютере жертвы — перевыпуск SIM-карты. Способ аналогичен двум предыдущим. Отличием является лишь то, что злоумышленник осуществляет перевыпуск SIM-карты, используя фальшивые документы и доверенность. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.6.

Троянская программа на компьютере и мобильном устройстве жертвы. Наименее популярный способ. В основном он предназначен для хищения денежных средств у физических лиц. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.7.


Рис. 1.4.Блок-схема хищения денежных средств с помощью троянской программы


Перейти на страницу:
Читать далее

Все книги серии Библиотека Центра исследований платежных систем и расчетов

Мошенничество в платежной сфере
Мошенничество в платежной сфере

Активное использование информационных технологий в платежной сфере привело к появлению разнообразных специфических форм мошенничества, основанных на применении достижений современных ИТ. Мошенничество с банковскими картами, электронными деньгами и при обслуживании клиентов в системах дистанционного банковского обслуживания; способы борьбы с противоправными действиями злоумышленников; вопросы нормативного регулирования — эти и многие другие аспекты данной проблематики рассматриваются в бизнес-энциклопедии «Мошенничество в платежной сфере».Все материалы для книги подготовлены практикующими специалистами — экспертами в финансово-банковской сфере.Авторы: Леонид Лямин, Николай Пятиизбянцев, Антон Пухов, Павел Ревенков, Илья Сачков, Валерий Баулин, Дмитрий Волков, Максим Кузин, Ирина Лобанова. Редактор-составитель, руководитель проекта Алексей Воронин. Менеджер по рекламе Елена Балакшина.

авторов Коллектив , Алексей С. Воронин

Финансы / Энциклопедии / Банковское дело / Финансы и бизнес / Словари и Энциклопедии
Читать бесплатно

Похожие книги

1С: Предприятие в вопросах и ответах
1С: Предприятие в вопросах и ответах

Вы никогда не работали с программой 1С: Предприятие и Вам интересно узнать, что это такое? Вы слышали об этой системе и хотите узнать, какие возможности она имеет? Вас интересует, сможете ли вы освоить программу и использовать ее в дальнейшем? Тогда эта книга для Вас. С помощью нее вы сможете самостоятельно освоить основные приемы разработки программы, научитесь создавать приложения, получите ответы на самые разнообразные вопросы в сфере бухгалтерского учета и научитесь решать любые рабочие задачи с помощью программы 1С: Предприятие 8:0.

Александра Евгеньевна Арсентьева

Финансы / Бухучет и аудит / Финансы и бизнес
Читать бесплатно
Торговый Хаос
Торговый Хаос

Данная книга является одной из первых замечательных работ Билла Вильямса. Надо сказать, что эта книга произвела значительный эффект на профессионалов биржевого дела и в полном смысле этого слова изменила жизнь многих индивидуальных трейдеров, в том числе мою и моих коллег. Эта работа излагает в доступной форме последние достижения в области теории человеческого поведения и жизни экономических систем. Данный подход базируется на практическом применении теории хаоса.  

Билл Вильямс , Билл Уильямс

Финансы / Финансы и бизнес / Ценные бумаги
Без регистрации
50 сокрушительных ударов по бедности. Самый быстрый способ искоренить безденежье до основания
50 сокрушительных ударов по бедности. Самый быстрый способ искоренить безденежье до основания

На рынке уже давно есть такие книги, как «Деньги есть всегда» (автор Роман Аргашоков), «Быстрые деньги на работе» (авторы Андрей Парабеллум и Николай Мрочковский), «Ключ» (автор Джо Витале), «Обновление» (автор Брайан Трейси), «Думай и богатей» (автор Наполеон Хилл) и т. д.Каждая из книг уникальна своей идеей и, бесспорно, полезна. К тому же большая их часть стала бестселлерами, то есть, люди проголосовали за них своими деньгами. К сожалению, в этих книгах нет научного объяснения механизма того или иного применяемого действия. Как оно влияет на организм в целом.Я первый, кто соединил науку о работе мозга, биохимию процессов в организме и науку о работе нервной системы и с их помощью объясняю, как при перестройке мышления и подсознания меняется физическое состояние человека в целом. Все это помогло мне создать систему изменения мышления, использование которой гарантированно приводит к увеличению дохода, улучшению отношений и переходу на принципиально новый уровень жизни.Сам я достиг этого благодаря тому, что учился у таких звезд, как Энтони Роббинс, Брайан Трейси, Джо Витале, Дэн Кеннеди, Андрей Парабеллум, Александр Белановский и т. д. Более того, я создал две книги – «Мышление на миллион» в соавторстве с Александром Белановским и «Раскрой свой потенциал. Рабочая книга для немедленных результатов».В книге «50 сокрушительных ударов по бедности» я даю пошаговые технологии по изменению жизни и увеличению личного дохода. Все методики проверены сотнями людей на тренингах, которые я веду. Некоторые отзывы я разместил в самой книге, чтобы читатели могли убедиться в практичности моих советов.

Алишер Отабаев

Финансы / Личные финансы / Финансы и бизнес
Полная версия
Камасутра для инвестора
Камасутра для инвестора

Мы переживаем уже третий крупномасштабный кризис в России. Мы все привыкли слышать про возможности в кризис, но только почему-то большинство людей теряют свои деньги, вместо того, чтобы увеличивать свое состояние. Но как это сделать, когда вокруг столько рекламы и лишней информации? Известный российский предприниматель и независимый финансовый советник Кирилл Прядухин более шести лет с успехом инвестирует в фондовый рынок, недвижимость и бизнес и обучил этому сотни учеников.В книге: «Камасутра для инвестора» вы найдете ответы на большинство вопросов касательно финансов и инвестиций, которые волнуют любого сознательного человека: от личного финансового планирования до рынка акций, от валютных рисков до инвестиций в недвижимость. А главное – вы научитесь правильно ставить свои финансовые цели и достигать их.

Кирилл Прядухин

Финансы / Личные финансы / Финансы и бизнес
Читать Онлайн
Избранное