Информационные атаки на банки

Министерство образования и науки РФ

СЕВЕРСКИЙ ТЕХНОЛОГИЧЕСКИЙ ИНСТИТУТ

Филиал Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Национальный исследовательский ядерный университет «МИФИ»

Кафедра ПИ

Курсовая работа

на тему «Информационные атаки на банки»

по курсу «Информационные системы в банковском деле»

Выполнил студент

Гр Д-358 Быканов Д.А.

Проверил преподаватель

Попова И.Г.

Северск 2011

Содержание

Введение ……………………………………………………………………………………...3

1 Основные тенденции ………………………………………………………………………………4

1.1 Умение скрываться от антивируса…………………………………………………….6

1.2 Денежные мулы ………………………………………………………………… ……..6

2 Фишинг……………………………………………………………………………………………....8

3 Автоматизированные атаки…………………………………………………………………….......9

3.1 Перенаправление трафика………………………………………………………………9

3.2 Атака “man-in-the-middle……………………………………………………………….10

3.3 Следующее поколение………………………………………………………………….11

4 Задача защиты информации от несанкционированного доступа (НСД)………………………...13

4.1 Кто такие хакеры?.............................................................................................................14

4.2 Возможные атаки на уровне систем управления базами данных……………………15

4.3 Возможные атаки на уровне операционных систем…………………………………..15

4.4 Возможные атаки на уровне сети……………………………………………………....18

Заключение……………………………………………………………………………………………..20

Литература ……………………………………………………………………………………………..23

Введение

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Практически любая АС может выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Рассмотрим эти свойства более подробно. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. И, наконец, доступность информации определяется как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Так, например, злоумышленник сможет нарушить доступность Интернет-портала если ни один из легальных пользователей не сможет получить доступ к его содержимому. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.

1 Основные тенденции

В 2007 году разработчики антивирусов столкнулись с резким увеличением числа вредоносных программ, нацеленных на банки (т.н. financial malware). Несмотря на то что финансовые организации не предоставляют точной информации, можно сделать вывод, что число атак на банки также возросло.

Рост вредоносного финансового ПО – в процентах

Несмотря на увеличение количества атак, процент обнаруживаемого за месяц вредоносного финансового ПО падает, что отражено на графике. Этому могут способствовать следующие факторы.

 Авторы вредоносного ПО постоянно модифицируют свои программы для того, чтобы сделать их невидимыми для антивирусов. Однако, если изменения незначительны, антивирус может обнаружить новую вредоносную программу, используя сигнатуры предыдущих ее модификаций.

 На приведенном выше графике отражена ситуация только с вредоносным финансовым ПО. Однако атаки на банки – это, как правило, многоступенчатый процесс: социальная инженерия, фишинг, использование троянских программ-загрузчиков, которые затем устанавливают на компьютер-жертву вредоносное финансовое ПО. Увеличение числа атак связано с увеличением числа модификаций троянцев-загрузчиков. Злоумышленникам проще модифицировать троянца (который, как правило, меньше по размеру и не столь сложный), чем сами вредоносные финансовые программы.

Помимо того, что увеличилось число вредоносных программ, нацеленных на финансовые организации, выросло и количество программ, которые могут разом атаковать два банка и более. Но, как показывает приведенный ниже график, процент вредоносного ПО, нацеленного более чем на три финансовых организации одновременно, также снижается.

 
Количество вредоносного ПО, способного атаковать более трех финансовых организаций одновременно, – в процентах

Таким образом подавляющее большинство такого рода вредоносных программ предназначены для проведения атак на 1-3 банка. Причина этого в том, что вредоносное финансовое ПО имеет своего рода "региональный" характер: вредоносные программы разрабатываются с целью поразить конкретные банки или финансовые организации в конкретном регионе. Каждая программа пишется в расчете на наиболее популярные банки в одном из таких регионов, как США, Германия, Мексика или Великобритания.

В основном в сфере интересов авторов вредоносного финансового ПО оказывается сравнительно небольшое число банков (см. график ниже). Судя по всему, выбор банков, обусловлен двумя факторами: большим количеством клиентов и относительной легкостью получения параметров доступа к счетам этих банков из-за низкого уровня защиты.

 
"Горячая десятка" банков, подвергшихся атакам вредоносного финансового ПО

В 2007 году произошло также резкое увеличение числа троянских программ, занимающихся кражей данных, которые пользователь вводит в веб-форму. Эти программы нацелены на наиболее популярные браузеры, такие как Internet Explorer, Opera и Firefox. Такие троянцы легко приспособить для кражи реквизитов кредитных карт, и их использования может оказаться вполне достаточно, чтобы взломать систему защиты банка: здесь все зависит от степени надежности принятых мер информационной безопасности. Многие банки, использующие однофакторную аутентификацию пользователей, уязвимы для относительно простых видов атак.

1.1 Умение скрываться от антивируса

Финансовые вредоносные программы отражают общие тенденции вредоносного ПО в выборе векторов заражения. Подавляющее большинство вредоносных программ, нацеленных на банки, заражают компьютеры через интернет. И хотя некоторое количество подобных программ по-прежнему доставляется на компьютер жертвы по электронной почте, у злоумышленников, атакующих финансовые организации, есть веские причины, чтобы предпочесть интернет.

Прежде всего, у вредоносных программ, доставляемых по электронной почте, больше шансов привлечь к себе внимание антивирусных компаний и финансовых организаций, не говоря уже о средствах массовой информации и конечных пользователях. Однако залогом успеха атак на финансовые организации является способность вредоносных программ к скрытным действиям, следовательно, загрузка их через интернет с использованием эксплойтов оказывается весьма привлекательным методом. Если пользователь не замечает ничего странного в работе своего компьютера, он будет продолжать работать в обычном режиме, а значит, будет вводить конфиденциальные данные, которые злоумышленники затем похитят и будут использовать в криминальных целях.

Во-вторых, при заражении через интернет быстрому обнаружению антивирусными решениями вредоносных программ препятствует то, что они размещаются на веб-сервере. Следовательно, киберпреступники, которые используют эти программы для проведения атак, могут легко модифицировать вредоносные файлы с помощью автоматических инструментов. Этот метод известен как "серверный полиморфизм". В отличие от обычного полиморфизма, где алгоритм, используемый для модификации кода, содержится в теле самой вредоносной программы, "серверный полиморфизм" не позволяет создателям антивирусов проанализировать алгоритм, изменяющий вредоносный код, поскольку он расположен на удаленном сервере. И хотя существует возможность разработки процедуры generic-обнаружения (обнаружения вредоносного кода по общим признакам, объединяющим вредоносные программы данного типа, а не по сигнатурам каждой конкретной программы) для программ, использующих "серверный полиморфизм", на это уходит больше времени.

Кроме того, некоторые "продвинутые" троянские программы-загрузчики, используемые для доставки вредоносного финансового ПО к месту назначения, самоуничтожаются (или "тают") после удачно или неудачно выполненной загрузки вредоносной финансовой программы. Естественно, это серьезно осложняет проведение антивирусными специалистами аналитических исследований.

1.2   Денежные мулы

Увеличение потока вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Кража данных (номеров кредитных карт, кодов доступа к банковским счетам) - это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы. Очевидно, что они не могут перевести украденные деньги на собственные счета, поскольку это существенно увеличивает риск быть обнаруженными и наказанными.

Банки ответили на увеличение количества атак дополнительным вложением средств, времени и сил в создание механизмов обнаружения мошенничества и нелегальной деятельности злоумышленников. Одной из таких мер безопасности является отслеживание транзакций, при которых крупные суммы переводятся в "подозрительные" регионы.

Для того чтобы обойти ловушки, расставленные банками, злоумышленники прибегают к услугам "денежных мулов", которых на языке киберкриминала называют дропами. Их находят, размещая объявления с предложениями о работе (например, "Требуется финансовый менеджер"), при этом на первый взгляд, предлагаемая работа выглядит вполне легальной. Если соискатель принимает предложение, он получает документы, которые выглядят вполне официально и которые потенциальный "денежный мул" должен подписать для придания законности сделке. После этого его банковский счет начинают поступать деньги, из которых 85-90% "мул" переводит далее через системы электронных платежей MoneyGram или E-Gold. Этот метод гарантирует преступникам анонимность, что, безусловно, снижает вероятность быть пойманными. Деньги, оставшиеся на счету "денежного мула", являются его "комиссией", но по сути это деньги, заработанные незаконным путем с использованием фишинга или вредоносного финансового ПО.

 
Объявление с предложением работы для "денежных мулов"

Работа "денежного мула" может показаться легким способом зарабатывания денег, некоторые "сотрудники" даже уверены, что занимаются абсолютно легитимной деятельностью. Однако закон рассматривает их как соучастников преступления, а не как жертв, попавшихся на удочку злоумышленников. "Мулы" рискуют: их могут выследить и арестовать, особенно если они живут в той же стране, что и жертва.

Привлекать "денежных мулов" выгодно. Во-первых, если и они, и сами злоумышленники действуют в одной стране, то шансы на то, что автоматизированные банковские системы сочтут транзакции подозрительными, весьма незначительны. Во-вторых, преступники могут пользоваться услугами сразу нескольких "мулов" и переводить, например, $50 000 не одной суммой, а разбить ее на десять переводов по $5000. Это снижает вероятность вызвать подозрения и уменьшает потери в случае, если одна или две транзакции все же будут заблокированы.

Естественно, вербуя "мулов", киберпреступники рискуют – они должны быть уверены в своих помощниках. Ведь почти не существует гарантии того, что "мул" не исчезнет вместе с деньгами, переведенными на его счет.

2 Фишинг

Начиная разговор о фишинге, необходимо, прежде всего, дать ему точное определение. Под фишингом мы понимаем следующее: это электронные письма, присланные якобы от имени какой-либо (финансовой) организации и составленные таким образом, чтобы получатель, попавшись на удочку, сообщил свои конфиденциальные данные. Фишинг основан исключительно на методах социальной инженерии, и как только в дело вступают вредоносные программы, атака уже не может более считаться фишингом.