Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ataki na wschodnioeuropejskie banki

OpublikowałWarren Warren Został zmieniony 5 lat temu

Podobne prezentacje

Prezentacja na temat: "Ataki na wschodnioeuropejskie banki"— Zapis prezentacji:

1 Ataki na wschodnioeuropejskie banki
III Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni

2 O mnie Dorota Kulas Senior Red Team Analyst
Gdynia Dorota Kulas Senior Red Team Analyst Absolwentka Politechniki Gdańskiej Ponad 15 lat w IT 6 lat w ITSec

3 Temat prelekcji Raport Trustwave SpiderLabs
Post-Soviet Bank Heists: A Hybrid Cybercrime Study Analiza przeprowadzona przez Turstwave SpiderLabs Wizualizacja własna, hipotetyczne przykłady (“jak to mogło wyglądać”)

4 Przebieg wydarzeń W trzecim kwartale br zespół SpiderLabs przeprowadza śledztwo w sprawie serii włamań do banków w krajach postsowieckich Okazuje się, że z każdego z banków wykradziono sporą ilość pieniędzy (średnia: 5 milionów USD, zakres: 3-10 milionów USD) Środki wypłacane były z kont bankowych zwykłych (zdawało się) klientów za pomocą kart debetowych, z bankomatów zlokalizowanych poza krajem, w którym bank ma siedzibę W niektórych przypadkach banki zorientowały się, że padły ofiarą ataku, już po zakończeniu działań przez atakujących W kilku przypadkach banki zostały powiadomione o ataku przez instytucje płatnicze (centra rozliczeniowe / “pośredników kartowych”)

5 Co właściwie się stało? Adwersarze użyli “słupów”, którzy założyli konta w bankach z zerowych wkładem własnym i kartą debetową Karty zostały rozesłane poza granice kraju wydania Dokonano ataków na systemy IT banków, zmieniono parametry kart debetowych oraz zdezaktywowano mechanizmy obronne przeciw wyłudzeniom Kilka minut później dokonano masowych wypłat z bankomatów z użyciem kart debetowych W ciągu kilku godzin wyprowadzono z banków środki o wysokości około 40 milionów dolarów Overdraft – funkcja oferowana wybranym właścicielom kont – umożliwia wypłaty kartą debetową w wypadku braku dostępnych środków

6 Fazy ataku Źródło schematu: raport SpiderLabs [1]

7 Fizyczna faza ataku Źródło schematu: raport SpiderLabs [1]

8 Dostęp do sieci bankowej
Źródło schematu: raport SpiderLabs [1]

9 Spear phishing – przykład materiały własne
Uwaga: niezwiązany z omawianą kampanią; przykład z jednego ze zleceń biznesowych.

10 Dostęp do stacji roboczych pracowników przykład
Uwaga: zrzut ekranu niezwiązany z omawianą kampanią; przykład pochodzi z bloga Cobalt Strike[2]

11 Przejęcie kontroli nad siecią i systemami banku oraz centrum rozliczeniowego
Źródło schematu: raport SpiderLabs [1]

12 Od pracownika do pośrednika
infrastruktura CR bank centrum rozliczeniowe administrator domeny pracownik banku

13 Od pracownika do pośrednika
4GB / miesiąc serwer umożliwiający zarządzanie kartami przez przeglądarkę Mipko: zrzut ekranu w celu demonstracji, pochodzi od producenta [3]

14 Godzina zero: działania w sieci
Zmiana oceny ryzyka Włączenie możliwości przekroczenia limitu konta (overdraft / OD) Zmiana ustawień bądź wyłączenie mechanizmów przeciwdziałania wyłudzeniom (anti-fraud) Zmiana limitu OD z 0 USD do USD Źródło schematu: raport SpiderLabs [1]

15 Godzina zero: działania w świecie
Skoordynowane wypłaty gotówki (minuty po ataku w sieci) Bankomaty w Rosji i Europie, zlokalizowane w odludnych miejscach Brak kamer i ochrony w pobliżu* Bankomaty z wysokim limitem wypłat lub bez limitu Wypłaty w krajach poza siedzibami banku “Słupy” po wypłacie przekazywały środki dalej 5 godzin Źródło schematu: raport SpiderLabs [1]

16 Oprogramowanie użyte w czasie ataku

17 Zalecenia zespołu SpiderLabs
Banki powinny przygotować procedurę reagowania na incydenty naruszenia bezpieczeństwa (IRP – Incident Response Plan) i regularnie ją testować (audyty, pentesty i symulacje zagrożeń – red teaming) Należy wdrożyć programy wykrywania i reakcji na zagrożenia (“threat hunting”) w celu jak najwcześniejszego wykrycia i zapobieżenia atakowi Ścisła współpraca pomiędzy bankiem a centrum rozliczeniowym Należy wprowadzić zasadę “dwóch par oczu” w procedurach bankowych (np. jedna osoba składa wniosek o zmianę parametrów karty, inna go zatwierdza) Nie należy używać jednakowego hasła lokalnego administratora na wszystkich komputerach w sieci Należy ograniczyć do minimum użycie konta administratora domeny

18 ?

19 Bibliografia SpiderLabs Cobalt Strike https://blog.cobaltstrike.com/
A-Hybrid-Cybercrime-Study/ 693/images/TW%20SpiderLabs%20Advanced%20Brief_Post- Soviet%20Bank%20Heists_PDF.pdf Cobalt Strike Mipko

20 Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon
When Red meets Blue... II edycja konferencji związanej z bezpieczeństwem IT Gdynia, 7-11 maja 2018 Skoncentrowana wokół Blue/Red Teaming (obrona/atak) Międzynarodowi goście i trenerzy Zapraszamy! @x33fcon fb/x33fcon

Pobierz ppt "Ataki na wschodnioeuropejskie banki"

Podobne prezentacje

Ewidencja Wyposażenia PL+

Ewidencja Wyposażenia PL+
niemiecki z ekonomią w tle

niemiecki z ekonomią w tle
Dla każdego ucznia i studenta w wieku od 18 do 26 lat oferujemy

Dla każdego ucznia i studenta w wieku od 18 do 26 lat oferujemy
Bezpieczeństwo informatyczne Informatyka śledcza

Bezpieczeństwo informatyczne Informatyka śledcza
Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW
Czym jest HotSpot w Hotelu ?

Czym jest HotSpot w Hotelu ?
w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB

w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB
Krajowy Plan Implementacji i Migracji SEPA

Krajowy Plan Implementacji i Migracji SEPA
Jak najlepiej wykorzystać ? środki finansowe z Unii Europejskiej? 6 kwietnia 2006.

Jak najlepiej wykorzystać ? środki finansowe z Unii Europejskiej? 6 kwietnia 2006.
Platforma A2A PA2A.

Platforma A2A PA2A.
I FORUM FUNDUSZY EUROPEJSKICH Fundusze Europejskie – efekty, możliwości i perspektywy Program Bloku Finansowego PIENIĄDZ ROBI PIENIĄDZ… Czyli rola i wsparcie.

I FORUM FUNDUSZY EUROPEJSKICH Fundusze Europejskie – efekty, możliwości i perspektywy Program Bloku Finansowego PIENIĄDZ ROBI PIENIĄDZ… Czyli rola i wsparcie.
KONTO BEZ KANTÓW z Programem Premiowym

KONTO BEZ KANTÓW z Programem Premiowym
Mgr inż. Marcin Kulawiak Katedra Systemów Geoinformatycznych, WETI PG Urodzony: 15.08.1982r. Wykształcenie: 2006-studium doktoranckie ETI PG 2001-2006.

Mgr inż. Marcin Kulawiak Katedra Systemów Geoinformatycznych, WETI PG Urodzony: r. Wykształcenie: 2006-studium doktoranckie ETI PG
Strategia rozwoju systemu płatniczego i obrotu bezgotówkowego w Polsce

Strategia rozwoju systemu płatniczego i obrotu bezgotówkowego w Polsce
Zastosowanie programu EPANET 2PL do symulacji zmian warunków hydraulicznych w sieci wodociągowej Danuta Lis Dorota Lis.

Zastosowanie programu EPANET 2PL do symulacji zmian warunków hydraulicznych w sieci wodociągowej Danuta Lis Dorota Lis.
29-09-2004 1 SIECI KOMPUTEROWE PIOTR MAJCHER PODSTAWOWE POJĘCIA.

SIECI KOMPUTEROWE PIOTR MAJCHER PODSTAWOWE POJĘCIA.
Dlaczego rachunek Nordea Spektrum ?

Dlaczego rachunek Nordea Spektrum ?
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.

PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.

SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Kredyt - jest pożyczką pieniężną zaciągniętą w banku na określony cel i czas oraz za określony procent. Udzielanie kredytów przez banki jest jednym z.

Kredyt - jest pożyczką pieniężną zaciągniętą w banku na określony cel i czas oraz za określony procent. Udzielanie kredytów przez banki jest jednym z.

Podobne prezentacje

Reklamy Google