Кажется будто случаев взлома информационных систем банков не так и много. О них сообщают редко, часто пишут, что преступники уже задержаны. Но на самом деле такие взломы случаются там и тут по всему миру практически каждый день. Просто банкам не выгодно о них сообщать. Чем же пользуются преступники, когда проникают в банк?
Каждый специалист по информационной безопасности, даже такой как я, в своей работе руководствуется моделью угроз активам банка. Это документ, в котором перечисленные все возможные и невозможные способы проникновения в информационную систему банка, получения несанкционированного доступа к его счетам и прочим активам, подлежащим охране. Если кому-то кажется, что хакеры бывают только в кино — это не так. Они существуют на самом деле, они настоящие.
Итак, какие реальные работающие способы взломать банк существуют сегодня? Список не полный, но он включает:
- Заражение любого из банковских компьютеров вирусами
- Получение любым способом копии ключей с дискетки администратора системы отправки платежей
- Получение паролей работников банка
- Перехват и изменение данных в системах связи и т.д.
Этот список можно дополнять и дополнять. Сюда мы намеренно не включали атаки на кредитные карты, системы интернет-банка и другие весьма распространенные методы.
Только за 2016 год и только из достоверных сведений было известно по крайней мере о нескольких крупных взломах коммерческих и государственных банков в России.
Другой случай взломов произошел при использовании платежной системы SWIFT, служащей для передачи денег, главным образом в международных расчетах.
Несмотря на то, что современные творения хакеров по своей сложности не уступают лучшему коммерческому программному обеспечению, на первое место по уровню внимания взломщиков ставится человеческий фактор. Нарушение работниками банков инструкций, неправильные алгоритмы, прописанные в них, слишком большое доверие к коллегам по работе — вот главные причины взломов.
Тетя Дуся, уборщица, или симпатичная коллега из кредитного отдела, которая уже три года работает в одной и той же организации, вполне могут выполнять не только те функции, которые заложены в их должностных инструкциях. Оставленные на время без присмотра ключи или пароль на бумажке, пусть и спрятанной в ящике стола, вполне могут оставить банк и его клиентов без значительного количества денежных средств. И вернуть их в этом случае будет вряд ли возможно.
По данным отчета ЦБ за 2015 год, среди преступлений с банковскими картами абсолютное лидерство держат операции с картами, данные которых были скомпрометированы.
За прошлый год доля утерянных или украденных платежных карт, используемых для совершения несанкционированных операций, не превышает 10% от общего числа карт.
В свою очередь, доля карт, реквизиты которых использовались при осуществлении несанкционированных операций, в 2015 году выросла и составила 84% от общего числа карт, с использованием которых осуществлялись несанкционированные операции в интернете и с помощью мобильных устройств (CNP-транзакции).
Также постоянно снижается доля количества несанкционированных операций, которые совершаются с использованием банкоматов и пунктов выдачи наличных. Половина из всех преступлений с банковскими картами связана с несанкционированными CNP-транзакциями. Суммарно таким способом было похищено более 560 млн руб. за год.
С момента появления пластиковых карт компании, выпускающие их, пытаются найти идеальный способ защиты. Это должно быть нечто не вызывающее дискомфорта у обладателя карты и надежно защищающее его от кражи.
При этом пластиковые карты уже стали привычными для множества людей, из-за чего вопрос сохранности средств на них стоит особенно остро.
В первых популярных банковских картах вся информация хранилась на магнитной полосе, причем бóльшая ее часть никак не была зашифрована, включая номер счета, наименование банка-эмитента и данные о параметрах доступного кредитного лимита. На этой же полосе хранился и PIN-код карты, с помощью которого владелец карты мог авторизоваться в банковских сервисах и обналичивать средства, но уже в зашифрованном виде.
Стоит отметить, что по задумке создателей этой системы защиты владельцу не нужен PIN-код для совершения покупок — достаточно лишь провести картой через считыватель. Это должно было сделать использование карты удобным для владельца, но породило способ взлома, который на протяжении десятков лет позволяет мошенникам оставаться на плаву.
Большинство современных банков уже отказались от таких типов карт, но они, пусть и в малых количествах, продолжают быть в ходу.
Для кражи средств с такой карты необходимо лишь украсть данные с магнитной полосы.
В подобных кражах злоумышленники используют специальное устройство — скиммер, чтобы полностью скопировать данные с банковской карты, после чего сделать ее полную копию. После этого мошенник обычно старается как можно быстрее завладеть деньгами — совершает ряд дорогостоящих покупок и продает товары за наличные.
В настоящее время в банковских картах используется более современная система защиты — чип. Он, в отличие от магнитной полосы, вшит в пластиковую карту и хранит практически всю информацию о владельце в зашифрованном виде. Исключением является номер карты, несколько последних операций и другая информация, которую определяют банк-эмитент и платежная система. При этом данные о покупателе не передаются напрямую через терминал — вместо этого отправляется специально сгенерированный код, который проверяется в базе данных банка.
Однако и эта защита не является абсолютно безопасной. К примеру, во Франции группа хакеров смогла похитить более $680 тыс., обойдя подобную систему защиты. Специалистам из École Normale Supérieure (Высшая нормальная школа) пришлось провести целое исследование, чтобы выяснить, как хакерам удалось осуществить кражу.
Оказалось, что мошенники встроили дополнительный самодельный чип в украденную карту, что позволило избежать процедуры ввода PIN-кода.
Благодаря дополнительному чипу злоумышленники смогли реализовать атаку man-in-the-middle, при которой хакеры перехватывали запрос PIN-кода и отвечали, что он верен, каким бы код ни был. Даже то, что из-за дополнительного чипа карта стала толще, не мешало хакерам ею пользоваться. Однако баг, позволяющий выполнить подобную атаку, уже исправлен в большинстве стран мира.
Несмотря на высокий уровень защиты, владельцу карты с чипом постоянно требуется вводить PIN-код даже для самых малозначительных покупок. Для решения этой проблемы была создана система бесконтактных платежей, когда для совершения покупки достаточно поднести карту к считывающему аппарату.
Кроме того, вся информация о клиенте банка хранится в базе самого банка, а не на карте. Таким образом мошенник никак не сможет получить доступ к информации, даже если украл карту или смартфон, с которого теперь также стало возможно совершать платежи. Вместе с этим для бесконтактных платежей был создан специальный способ передачи данных, который исключает возможность перехвата информации.
Для совершения небольших покупок, до тысячи рублей, теперь не требуется вводить PIN-код, что и пугает большинство пользователей.
Данный способ оплаты не распространен в России, и далеко не у каждого есть карта, которая может совершать бесконтактные платежи, а смартфоны для совершения платежей так и вовсе почти нигде не принимаются. По этой причине многие были напуганы историей, которая была растиражирована в начале 2016 года, когда в московской подземке был замечен мужчина с включенным считывателем карт.
Максимум что можно сделать с подобной картой — считать по NFC ту самую информацию, которая хранится в незашифрованном виде на чипе. До недавнего времени многие полагали, что эта информация не позволит украсть деньги со счета владельца карты, однако эксперты из Which опровергли эту информацию.
Им удалось декодировать номера десятка карт, а также дату окончания срока их действия. Несмотря на то что во многих интернет-магазинах требуется CVV-код, исследователи все же нашли магазин без необходимости его ввода и смогли продемонстрировать покупку по чужой карте без каких-либо дополнительных усилий. Так, они смогли приобрести телевизор стоимостью £3 тыс. (более 260 тыс. руб.).
Главной целью злоумышленников в России, по его словам, является приложение мобильного банка. Злоумышленники пытаются получить к нему доступ с помощью вирусов на Android- и Windows-смартфоны, а также социальной инженерии, то есть фишинга, и других способов обмана.
Причем, как рассказал собеседник, вирусы распространяются не только через сайты с программами для смартфонов. Также имеют место случаи, когда пользователь загружал себе фотографии и другой медиаконтент, после скачивания которого предлагалось установить программу с вирусом. Пользователи относятся к этому без должной осторожности и сами предоставляют доступ к данным на смартфоне.
При этом проблем с поиском виновных людей, по данным источника, практически нет. Самая главная сложность — доказать их причастность.
Собеседник рассказал, что большинство случаев связано исключительно с тем, что люди пренебрегают простейшими правилами безопасности данных. Давно известные всем способы получения конфиденциальных данных все еще остаются актуальными в России, так как люди сами часто отдают эту информацию злоумышленникам.
Для того чтобы обезопасить себя при использовании пластиковых карт с магнитной полосой, стоит проверять банкомат, который используется для снятия наличных и авторизации в системе. В случае с картами с чипом и бесконтактной оплатой стоит беречь карту и PIN-код от посторонних глаз, а при утере карты нужно незамедлительно ее заблокировать. Что касается смартфонов, то здесь способы защиты не менее традиционны — необходимо лишь установить антивирус и следить за тем, какой именно софт будет установлен на устройство.
О том, что банки периодически взламывают злоумышленники, известно давно. Но как именно это происходит? Чтобы узнать это, мы обратились к специалисту по информационной безопасности, в чьи задачи входит, в частности, взлом банковских систем для выявления уязвимостей. Итак, попробуем взломать банк вместе.
Взлом для борьбы со взломщиками
Тестирование на проникновение (пентестинг) — это, по сути, моделирование действий злоумышленника с целью получения несанкционированного доступа к объекту тестирования.
Начало
Итак, приступим. Для начала попытаемся понять, что мы знаем о ресурсах компании. Пока ничего. Система для нас представляет своего рода черный ящик. Пришло время это исправить. Первым делом идем в банк, открываем счет и подключаем ДБО. Готово!
Теперь осмотримся вокруг на предмет доступных для изучения и анализа ресурсов банка. Здесь сразу интересна сама система ДБО. Далее, для поиска других ресурсов, смотрим, какие еще поддомены прописаны для evilbank.com. Так, после перебора порядка 100 тысяч разных популярных и не очень имен находим интересный поддомен — admin.evilbank.com. Оказывается, что система ДБО построена на популярной программной платформе, которая, конечно, обладает собственным административным интерфейсом.
Попробовав наугад пару логин/пароль, мы попадаем внутрь — быстрые взломы до сих пор не редкость. Сочетание двух простых конфигурационных ошибок (простой пароль и административный интерфейс, доступный из Интернета) дает возможность выполнить произвольный код на сервере ДБО. Дело в том, что разработчиками платформы была предусмотрена возможность выполнения различных команд и скриптов в контексте операционной системы. Так мы получаем доступ к банковской сети.
Теперь, когда мы собираемся атаковать инфраструктуру банка, нам понадобятся учетные записи его сотрудников. Для их получения воспользуемся таким классическим методом, как фишинг. Чтобы реализовать подобную схему, нам потребуется зарегистрировать домен, похожий на оригинал, а именно — ev1lbank.com.
Проникновение
Также параллельно мы запускаем сканирование доступных сетевых ресурсов. Это действие также дает нам неплохой улов: несколько машин с SSH (протокол удаленного управления), FTP-сервер, веб-интерфейс системы мониторинга, несколько баз данных, какой-то веб-портал, криптосервис, а также несколько Windows-компьютеров со специфичными портами вроде RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) и SMB (Server Message Block — сетевой протокол, служащий для удаленного доступа к файлам, принтерам и т. п.).
А теперь проверим, что там с протоколом Netbios. Ага, отлично: нашлась пара учетных записей, состоящих из логина и хеша пароля (код, вычисляемый из пароля, из которого нельзя восстановить пароль, но который можно подобрать путем перебора. — Прим. ред.). Ставим хеши паролей на словарный перебор, поскольку с высокой вероятностью пароли не будут слишком сложными и перебор не займет много времени.
Пока выполняется перебор, займемся сервисами. Первым делом стоит повнимательнее взглянуть на обнаруженный нами Apache tomcat. Данный веб-сервер позволяет загружать на него Java-приложения в виде War-файлов и выполнять их в реальном времени. Проэксплуатировав такую особенность, мы можем выполнить произвольный код на данном сервере, если эта возможность не отключена. И мы видим, что возможность есть. Благодаря ей мы получили доступ еще к Linux-серверу с правами веб-сервера. Этого достаточно, чтобы получить пароли для подсоединения к базам данных.
Другое интересное поле — криптографический сервис. Недолгие поиски в Интернете приводят нас к демоверсии данного приложения. Заодно мы понимаем, что оно используется системой ДБО для подписи платежных сообщений.
Что же, отличная цель. После того как мы развернули сервис, быстро понимаем, что при его создании полностью игнорировались правила безопасной разработки. Так, уязвимость переполнения буфера была найдена в функции обработки одного из сообщений от клиента сервиса. В итоге был написан эксплоит, позволяющий выполнять произвольный код на криптосервисе.
Существуют два основных вектора эксплуатации данного сервиса:
1. Мы можем заставить криптосервис подписывать любые платежи, которые мы ему отправим.
2. Мы можем использовать криптосервис для эскалации атаки вглубь сети.
Попробуем подключиться к FTP-серверу. Нам снова везет: на нем забыли настроить какую бы то ни было аутентификацию. Итак, что же интересного можно найти? Различные логи (причем достаточно свежие), включая логи пользовательских операций в ДБО, выгрузки информации о пользователях (включая данные карт) и т. д. Бережно собираем все находки и анализируем логи на предмет строк подключения к базам данных и другой ценной информации вроде паролей.
Получив некоторое количество логинов и паролей из файлов с FTP-сервера, пробуем найти учетные записи для подключения к другим узлам в сети. Перебор нескольких записей позволяет нам подключиться к одному из хостов с правами пользователя и доступом ко всем его файлам.
Кроме того, мы пробуем найденные учетные записи для доступа к Windows-компьютерам, но, к сожалению, ничего не выходит. И это наталкивает нас на мысль, что нужно проверить, не нашлись ли пароли от учетных записей, собранных в процессе атаки на Windows-пользователей.
Как и следовало ожидать, большинство паролей было подобрано успешно, поскольку многие из них попросту не менялись никогда и выглядели шаблонно (например, время года + год).
Пока хеши перебираются, посмотрим еще немного на Windows-сегмент. В частности, попробуем подключиться к различным разделяемым ресурсам, воспользовавшись обнаруженными учетными записями. Как известно, разделяемые ресурсы — кладезь различной информации. Мы обнаруживаем базу данных приложения для хранения паролей KeePass. После ее расшифровки мы получили пароли от большинства внутренних систем, а также парочку интересных файлов, включая защищенный архив с разными полезными данными и пароль от архива в папке рядом.
Итог
Как мы видим, большое количество реально работающих атак завязано на человеческом факторе. Сюда можно отнести как различные ошибки конфигурирования сетей и сервисов, какие-то забытые и уже неиспользуемые ресурсы, так и подверженность людей социальной инженерии. При этом не стоит забывать и про уязвимости в программных продуктах. Ситуация с безопасностью даже в известных банках продолжает удивлять и расстраивать.
Тем не менее в качестве профилактики можно посоветовать своевременное обновление ПО, регулярные аудиты собственных ресурсов и, конечно, повышение уровня осведомленности сотрудников.