Ataki na wschodnioeuropejskie banki

Slides:



Advertisements
Podobne prezentacje
Ewidencja Wyposażenia PL+
Advertisements

niemiecki z ekonomią w tle
Dla każdego ucznia i studenta w wieku od 18 do 26 lat oferujemy
Bezpieczeństwo informatyczne Informatyka śledcza
Bezpieczeństwo aplikacji WWW
Czym jest HotSpot w Hotelu ?
w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB
Krajowy Plan Implementacji i Migracji SEPA
Jak najlepiej wykorzystać ? środki finansowe z Unii Europejskiej? 6 kwietnia 2006.
Platforma A2A PA2A.
I FORUM FUNDUSZY EUROPEJSKICH Fundusze Europejskie – efekty, możliwości i perspektywy Program Bloku Finansowego PIENIĄDZ ROBI PIENIĄDZ… Czyli rola i wsparcie.
KONTO BEZ KANTÓW z Programem Premiowym
Mgr inż. Marcin Kulawiak Katedra Systemów Geoinformatycznych, WETI PG Urodzony: r. Wykształcenie: 2006-studium doktoranckie ETI PG
Strategia rozwoju systemu płatniczego i obrotu bezgotówkowego w Polsce
Zastosowanie programu EPANET 2PL do symulacji zmian warunków hydraulicznych w sieci wodociągowej Danuta Lis Dorota Lis.
SIECI KOMPUTEROWE PIOTR MAJCHER PODSTAWOWE POJĘCIA.
Dlaczego rachunek Nordea Spektrum ?
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Kredyt - jest pożyczką pieniężną zaciągniętą w banku na określony cel i czas oraz za określony procent. Udzielanie kredytów przez banki jest jednym z.
Bezpieczeństwo rodzinne w Windows 8
Hybrydowy Kontroler NetAXS™
E-Safety.
Na co oszczędzamy? rower studia waciki gitarę komputer wycieczki
E – safety – bezpieczny Internet Mariusz Bodeńko Sandomierz,
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
BANKOWOŚĆ DLA MŁODZIEŻY
dr Michał Macierzyński Biuro Innowacji, PKO Bank Polski
Główne cechy systemu Integracja z systemem RCP Przejrzysty moduł raportowania pozwalający wyświetlać zarejestrowane zdjęcia wraz z raportem czasu pracy.
ZBIOROWY SYSTEM ZARZĄDZANIA JAKOŚCIĄ W GRUPIE PFRN PREZENTACJA PROGRAMU DGA QUALITY SŁUŻĄCEGO DO PREZENTACJI SZJ UŻYTKOWNIKOM ORAZ DO NADZORU NAD SZJ.
Bezpieczny Internet.
Konferencja "Bezpieczeństwo dziecka w świecie multimediów"
Warszawa, 28 lutego 2012 Bank Pekao SA Bank Pekao SA – wspiera wzrost ubankowienia Współpraca Banku Pekao SA i ZUS w zakresie obsługi emerytów i rencistów.
Dostęp do własnego konta przez 24h na dobę bezpieczne miejsce do przechowywania zaoszczędzonych pieniędzy darmowa karta płatnicza (możliwość dokonywania.
KARTY BANKOWE.
WPŁATY I WYPŁATY GOTÓWKOWE Wykonały: Ewelina Kaszowska
Karta członkowska ZHP.
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Pieniądz Elektroniczny
Wprowadzenie w tematykę konferencji
Rodzaje zagrożeń komputerowych.
Rodzaje zagrożeń komputerowych
Rodzaje kart płatniczych.
„Bezpieczeństwo w Internecie”
Rodzaje kart płatniczych w Polsce
Kick-off meeting PROJEKT „Poprawa zdolności administracyjnych
Rodzaje kart płatniczych w Polsce
BEZPIECZNIE Z KARTĄ BANKOMATOWĄ Mysłowice 2014 r..
Uprawnienia w Windows Server
Przygotowali: Anna Farion Dariusz Droździel
Bankowość elektroniczna
Zarządzanie stacjami roboczymi przy wykorzystaniu urządzeń i oprogramowania KACE serii 1000, 2000, 3000 Adam Pura, IT Projekt Jacek Gralik, Quest Dystrybucja.
1 Kwotoreduktor Stacjonarny w sieci Plus. 2 Wszystkie stawki brutto Oferta z telefonem - umowa na 24 miesiące Opłaty za połączenia naliczane są za pierwszą.
E-FORMY. e-bank Jak założyć e-konto: Jak założyć e-konto: Najczęściej wystarczy wypełnić formularz umieszczony na stronie banku i przesłać go do siedzibyNajczęściej.
Zintegrowany monitoring infrastruktury IT w Budimex
Urządzenia do obsługi kart
Automatyczna linia galwanizerska Zarządzanie procesem galwanizerskim w linii automatycznej – sterowanie i wizualizacja.
Zintegrowane systemy informatyczne
1 ANDRZEJ MAREK LENART STAROSTA KONECKI Wpływ projektu „e-Świętokrzyskie” na rozwój informatyzacji w powiecie koneckim Kielce, 6 październik 2009r.
1 Oferta dla Wybranej Grupy Zawodowej. 2 Kredyt Bank na rynku od 1990 r Grupa KBC w Europie Środkowej i Wsch. Fundusze z ochroną kapitałuNo. 1 Ubezpieczenia.
Porozumienia w sprawie wspólnego ustalanie stawek krajowej opłaty interchange: postępowanie UOKiK Nikodem Szadkowski Departament Analiz Rynku UOKiK.
Mój pomysł na bezpieczeństwo wokół mnie 9 pomysłów na bezpieczeństwo.
“Lokalny rynek pracy z perspektywy migrantów”
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
PROGRAMY DO KONTROLI RODZICIELSKIEJ
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Tematy prac magisterskich
II Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni Cyber Kill Chain.
Ewidencja Wyposażenia PL+
„Bezpieczeństwo informacji w IPN.
Zapis prezentacji:

Ataki na wschodnioeuropejskie banki III Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni

O mnie Dorota Kulas Senior Red Team Analyst Gdynia Dorota Kulas Senior Red Team Analyst Absolwentka Politechniki Gdańskiej Ponad 15 lat w IT 6 lat w ITSec

Temat prelekcji Raport Trustwave SpiderLabs Post-Soviet Bank Heists: A Hybrid Cybercrime Study Analiza przeprowadzona przez Turstwave SpiderLabs Wizualizacja własna, hipotetyczne przykłady (“jak to mogło wyglądać”)

Przebieg wydarzeń W trzecim kwartale br zespół SpiderLabs przeprowadza śledztwo w sprawie serii włamań do banków w krajach postsowieckich Okazuje się, że z każdego z banków wykradziono sporą ilość pieniędzy (średnia: 5 milionów USD, zakres: 3-10 milionów USD) Środki wypłacane były z kont bankowych zwykłych (zdawało się) klientów za pomocą kart debetowych, z bankomatów zlokalizowanych poza krajem, w którym bank ma siedzibę W niektórych przypadkach banki zorientowały się, że padły ofiarą ataku, już po zakończeniu działań przez atakujących W kilku przypadkach banki zostały powiadomione o ataku przez instytucje płatnicze (centra rozliczeniowe / “pośredników kartowych”)

Co właściwie się stało? Adwersarze użyli “słupów”, którzy założyli konta w bankach z zerowych wkładem własnym i kartą debetową Karty zostały rozesłane poza granice kraju wydania Dokonano ataków na systemy IT banków, zmieniono parametry kart debetowych oraz zdezaktywowano mechanizmy obronne przeciw wyłudzeniom Kilka minut później dokonano masowych wypłat z bankomatów z użyciem kart debetowych W ciągu kilku godzin wyprowadzono z banków środki o wysokości około 40 milionów dolarów Overdraft – funkcja oferowana wybranym właścicielom kont – umożliwia wypłaty kartą debetową w wypadku braku dostępnych środków

Fazy ataku Źródło schematu: raport SpiderLabs [1]

Fizyczna faza ataku Źródło schematu: raport SpiderLabs [1]

Dostęp do sieci bankowej Źródło schematu: raport SpiderLabs [1]

Spear phishing – przykład materiały własne Uwaga: e-mail niezwiązany z omawianą kampanią; przykład z jednego ze zleceń biznesowych.

Dostęp do stacji roboczych pracowników przykład Uwaga: zrzut ekranu niezwiązany z omawianą kampanią; przykład pochodzi z bloga Cobalt Strike[2]

Przejęcie kontroli nad siecią i systemami banku oraz centrum rozliczeniowego Źródło schematu: raport SpiderLabs [1]

Od pracownika do pośrednika infrastruktura CR bank centrum rozliczeniowe administrator domeny pracownik banku

Od pracownika do pośrednika 4GB / miesiąc serwer umożliwiający zarządzanie kartami przez przeglądarkę Mipko: zrzut ekranu w celu demonstracji, pochodzi od producenta [3]

Godzina zero: działania w sieci Zmiana oceny ryzyka Włączenie możliwości przekroczenia limitu konta (overdraft / OD) Zmiana ustawień bądź wyłączenie mechanizmów przeciwdziałania wyłudzeniom (anti-fraud) Zmiana limitu OD z 0 USD do 25000-35000 USD Źródło schematu: raport SpiderLabs [1]

Godzina zero: działania w świecie Skoordynowane wypłaty gotówki (minuty po ataku w sieci) Bankomaty w Rosji i Europie, zlokalizowane w odludnych miejscach Brak kamer i ochrony w pobliżu* Bankomaty z wysokim limitem wypłat lub bez limitu Wypłaty w krajach poza siedzibami banku “Słupy” po wypłacie przekazywały środki dalej 5 godzin Źródło schematu: raport SpiderLabs [1]

Oprogramowanie użyte w czasie ataku

Zalecenia zespołu SpiderLabs Banki powinny przygotować procedurę reagowania na incydenty naruszenia bezpieczeństwa (IRP – Incident Response Plan) i regularnie ją testować (audyty, pentesty i symulacje zagrożeń – red teaming) Należy wdrożyć programy wykrywania i reakcji na zagrożenia (“threat hunting”) w celu jak najwcześniejszego wykrycia i zapobieżenia atakowi Ścisła współpraca pomiędzy bankiem a centrum rozliczeniowym Należy wprowadzić zasadę “dwóch par oczu” w procedurach bankowych (np. jedna osoba składa wniosek o zmianę parametrów karty, inna go zatwierdza) Nie należy używać jednakowego hasła lokalnego administratora na wszystkich komputerach w sieci Należy ograniczyć do minimum użycie konta administratora domeny

?

Bibliografia SpiderLabs Cobalt Strike https://blog.cobaltstrike.com/ https://www.trustwave.com/Resources/SpiderLabs-Blog/Post-Soviet-Bank-Heists--- A-Hybrid-Cybercrime-Study/ https://www2.trustwave.com/rs/815-RFM- 693/images/TW%20SpiderLabs%20Advanced%20Brief_Post- Soviet%20Bank%20Heists_PDF.pdf Cobalt Strike https://blog.cobaltstrike.com/ Mipko https://www.mipko.ru/employee-monitor/

Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon When Red meets Blue... II edycja konferencji związanej z bezpieczeństwem IT Gdynia, 7-11 maja 2018 Skoncentrowana wokół Blue/Red Teaming (obrona/atak) Międzynarodowi goście i trenerzy Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon