20. СПАСИБО ЗА ВНИМАНИЕ!

4. Причины совершения несанкционированных операций со счетов юридических лиц (По отчетности 0403203) 97 3 Вирусы Заставили #CODEIB

3. Соотношение остановленных, предотвращенных и похищенных средств по системам Клиент - Банк По материалам межбанковского обмена 2016 2017 2018 похищено предотвращено возвращено #CODEIB

11. Меры по снижению риска взлома систем ДБО: - По возможности подключите уведомление о проведенных транзакциях. Например, СМС информирование; - Установите второе рабочее место для работы в системе ДБО в режиме чтения. В случае выхода из строя основного рабочего места Вы всегда сможете проконтролировать состояние счета и своевременно отреагировать на возможный инцидент. Контролируйте платежи своевременно #CODEIB

16. В начале расследования инцидента - При наличии необходимой информации обратиться в банк получателя или к оператору соответствующей платежной системы с письменным заявлением о приостановлении платежа и возврате денежных средств; - Оперативно обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств. - Оперативно обратиться в суд с гражданским иском в отношении получателя денежных средств #CODEIB

8. Меры по снижению риска взлома систем ДБО: - Издайте приказ о назначении ответственных за работу с ДБО; - Подготовьте для систем ДБО отдельное рабочее место. На рабочем месте с установленным ДБО разрешена работа только уполномоченных сотрудников; - Разрешено работать только под непривилегированными учетными записями. Важно: Работа с правами администратора ЗАПРЕЩЕНА! - Регулярно меняйте пароли от систем ДБО. Наведите порядок на рабочем месте #CODEIB

19. Примерная стоимость расследования #CODEIB Стоимость анализа содержимого одного утройства ( HDD ) 300 - 400 тыс. рублей Стоимость расследования инцидента От 3 - 4 млн. рублей. Важно: защитится намного дешевле, чем провести качественное расследование и найти злоумышленников

15. Сразу после выявления инцидента Делаем все быстро - Если работает система ДБО и у платежа стоит статус в обработке (не проведен), можно попробовать отозвать платеж; - Немедленно сообщить по телефону в банк о несанкционированных платежах с указанием их реквизитов: номеров, сумм, получателей, назначений платежей . - Написать заявление о блокировке системы ДБО, приостановке исполнения платежа и возврате средств; - Проинформируйте все банки, с которыми используем ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации. #CODEIB

14. Признаки инцидента в системе ДБО: - Средствами антивирусной защиты на компьютере обнаружены вирусы и троянские программы; - На компьютере запущены/обнаружены программы, позволяющие осуществлять несанкционированный удаленный доступ к операционной системе; - Компьютер стал работать заметно медленнее. Задачи, которые раньше выполнялись быстро, работают медленно. Происходит постоянное обращение к жесткому диску и/или ключевому носителю; - В отсутствии ответственного сотрудника, на компьютере с АРМ ДБО замечено движение мышью по экрану, запуск приложений, создание/удаление документов, а также выявлены факты самопроизвольного включения/выключения/перезагрузки Признаки несанкционированного доступа к компьютеру #CODEIB

18. Ошибки при работе в ДБО 1. Использование АРМ ДБО в качестве обычного рабочего компьютера: - свободный доступ работников организации; - удаленное администрированием приходящим ИТ специалистом; - Прямой доступ к сети Интернет. Посещение файлообменников , развлекательных сайтов и т.п. 2. При выходе из строя АРМ ДБО пытаются самостоятельно восстановить работоспособность: переустанавливать операционную систему, проверяют на вирусы, исправляют ошибки на жестком диске и т.п. Во время таких работ уходит драгоценное время и уничтожаются следы преступления. 3. Редкая проверка состояния расчетного счета. Упущенное время при выявлении факта инцидента . #CODEIB

9. Меры по снижению риска взлома систем ДБО: - Уберите с АРМ ДБО любой дистанционный доступ к системе третьих лиц. Даже при обслуживании сотрудниками ИТ подразделений. - Деинсталлируйте (блокируйте) ПО для удаленного доступа: RDP, Radmin , Dameware , TeamViewer и т.п. - Запретите на межсетевом экране работу АРМ ДБО с ресурсами и сайтами сети Интернет, за исключением указанных в договоре ресурсов банков. - Своевременно устанавливайте обновления антивирусных программ и ПО (особенно операционной системы). Защитите компьютер работающий в ДБО #CODEIB

21. 13 сентября 2018 г. г. Иркутск #CODEIB ДМИТРИЙ МИКЛОШЕВИЧ Независимый эксперт по ИБ ТЕЛЕФОН : +7 ( 902 ) 1 7 8 - 54 - 3 9 EMAIL : krosh06@gmail.com

17. В начале расследования инцидента - Подготовить документы для правоохранительных органов и работников банка (описание инцидента в письменной форме, договор на предоставление услуги ДБО, договор на предоставление услуги доступа в сеть Интернет, копии несанкционированных платежных поручений, заявление о преступлении); - Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ - специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности компьютера, не отправлять компьютеры в сервисные службы ИТ для восстановления работоспособности. Важно : все действия производить только на копии жесткого диска компьютера - Провести сбор записей с межсетевых экранов и других средств защиты информации, серверов баз данных и иных компонент клиентского приложения системы ДБО #CODEIB

1. Дмитрий Миклошевич Независимый эксперт по ИБ ТЕЛЕФОН : +7 ( 902 ) 178 - 54 - 39 EMAIL : krosh06@gmail.com «КЛИЕНТ - БАНК» И ОСНОВНЫЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ 13 сентября 2018 г. г. Иркутск #CODEIB

5. Банки тоже под прицелом 4 июля 2018 года кибератака группы MoneyTaker на ПИР Банк: - похищено (прямые убытки) 58 млн. руб. - Средства выведены в 22 банка и обналичены в разных регионах страны; - 4 - 5 июля вынужденная приостановить деятельность Банка; - Подготовка атаки (после взлома сети) 2 месяца. - В ходе подготовки получен полный контроль на АРМ КБР (ДБО управления корсчетом банка в ЦБ). 24 мая 2018 года в сеть Banco de Chile хакеры запустили вирусную программу KillDisk - уничтожены данные с 9 тыс. рабочих станций и 500 серверов; - в ходе расследования обнаружен вывод денежных средств на зарубежные счета посредством SWIFT; - Успешно проведены 4 платежа на общую сумму 10,88 млн.$; - Стоимость восстановления инфраструктуры 2,89 млн.$; #CODEIB

6. Постановление Пленума ВС РФ от 30 ноября 2017 г. No 48 «О судебной практике по делам о мошенничестве, присвоении и растрате» - Попытка уточнить применимость УК РФ к электронным деньгам; - Квалификация преступления зависит не только от способа хищения (тайное, путем обмана, открытое, с применением насилия и др.), но и от способа подготовки к хищению. 111 - ФЗ от 23.04.2018. «О внесении изменений в УК РФ» - Часть 3 ст. 158 УК РФ (Кража) была дополнена квалифицирующим признаком воровства средств с банковского счета и в отношении электронных денежных средств; - Размер похищенной суммы для статей 159.3 и 159.6 УК РФ, влияющий на квалификацию (крупный, особо крупный), был снижен с 1,5 миллионов до 250 тысяч и с 6 миллионов до 1 миллиона рублей соответственно; 167 - ФЗ от 27.06.2018 «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств». - Обязательная приостановка платежей клиентов, попадающих под критерии ЦБ, на срок до 2 - х двух рабочих дней; - Блокирование счета получателя на пополнение на срок до 5 рабочих дней. Если за 5 рабочих дней доказательства не предоставлены, платеж возвращается отправителю. Обзор изменений НПА #CODEIB

7. Примерные этапы взлома АРМ ДБО - Взлом одного из компьютеров. Получение доступа во внутреннюю сеть организации; - Анализ сети организации. Выявление уязвимых узлов, компьютеров с установленными системами ДБО; - Заражение АРМ ДБО. Получение паролей, ключей шифрования. Анализ платежей для последующей имитации деятельности клиента; - Проведение атаки и вывод средств со счетов клиента; Важно: Между отправкой платежного поручения до вывода средств из платежной системы проходит 3 - 5 часов!!!! Подготовка (время от взлома до атаки) от 2 до 6 месяцев Атака (время на проведение платежей) несколько минут Обработка платежа банком 1 - 2 часа Перевод средств в другой банк 1 - 2 часа Вывод средств 1 - 2 часа #CODEIB

2. Количество и объем несанкционированных операций со счетов юридических лиц (по данным ФинЦЕРТ Банка России) 3793,6 1894,4 1569,6 0 500 1000 1500 2000 2500 3000 3500 4000 2015 2016 2017 Объем несанкционированных операций по годам, млн . руб - Ужесточение законодательства; - Переход хакеров в другие сферы деятельности (например криптовалюты); - Повышение уровня осведомленности; - Фрод мониторинг на стороне Банков; - Арест ключевых фигур в хакерских группировках #CODEIB

10. Меры по снижению риска взлома систем ДБО: - Храните носители ключевой информации (НКИ) в защищенных местах (сейфах) ; - Используйте защищенные хранилища ключей (Токены) ; - Убирайте НКИ после завершения сеанса работы в системе ДБО ; - Не устанавливайте НКИ в компьютеры, не используемые для работы в системе ДБО ; Правильно храните ключи от ДБО #CODEIB

12. Признаки инцидента в системе ДБО: - Обнаружение отправленных или подготовленных к отправке «Чужих» платежных поручений ; - Просьба банка подтвердить исполнение платежных поручений, которые не передавались уполномоченными работниками организации . Важно : сотрудник Банка знает все необходимые для идентификации платежа реквизиты . И просит подтвердить или опровергнуть платеж . Он не пытается из Вас вытянуть состояние Вашего счета ; - Уменьшение или отсутствие денежных средств на счете при условии, что передача денежных средств не проводилась ; - Обнаружение подготовленного к отправке и/или «замещенного» платежного поручения в АРМ ДБО, которого Вы не составляли (в интерфейсе АРМ ДБО и/или в базе данных) ; - Появление в АРМ ДБО новых сообщений и ответов от Банка на запросы, которые Вы не направляли . Несанкционированные (Чужие) действия в ДБО #CODEIB

13. Признаки инцидента в системе ДБО: - Невозможность загрузки операционной системы ЭВМ, на которой работали с системой ДБО . Некоторое вредоносное ПО выводит из строя операционную систему компьютера с целью временного сокрытия переданных платежных поручений . Особое внимание надо обратить на выход из строя компьютера после обеда в пятницу или предпраздничный день . - Невозможность входа в систему ДБО из - за ошибок, достоверно не связанных с техническими проблемами на стороне банка (ошибки аутентификации, возникающие при корректном вводе логина и пароля, недоступность серверов системы ДБО и т . п . ) ; - отсутствует возможность корректно осуществлять работу в АРМ ДБО, постоянно появляются различные ошибки, которых ранее не было, или при попытке обращения к серверу АРМ ДБО закрывается (сворачивается) и пр .; Неработоспособность ДБО #CODEIB