банки табл. Тема 6 Хищение денежных средств со счетов физических лиц

ТЕМА 6
Хищение денежных средств со счетов физических лиц - списание денежных средств со счета физического лица без согласия клиента или путем обмана клиента в результате неправомерных действий.
Целью неправомерных действий является получение доступа к конфиденциальным данным владельца банковской карты или банковского счета для последующего хищения денежных средств через каналы удаленного доступа.
Основные способы хищения денежных средств со счетов физических лиц в банках:
1. хищение с использованием методов социальной инженерии;
2. хищение с использованием вирусного заражения мобильного устройства;
3. хищение с использование вирусного заражения компьютера клиента;
4. хищение с заменой SIM-карты.
5. скимминг и шимминг.
Социальная инженерия - метод несанкционированного получения доступа к конфиденциальной информации, аутентификационным данным, данным банковских картах и т.п., основанный на знании особенностей психологии людей.
Основные способы социальной инженерии:
1. SMS-мошенничество: ваша карта заблокирована + действия по разблокировке карты;
2. Покупка товаров/оплата услуг («самопереводы»);
3. Обман в социальных сетях: от имени друга клиента; от имени сотрудника банка; третьи лица предлагают быстрый заработок ( цель - информация о банковской карте);
4. Обман пенсионеров;
5. Помощь в получении кредита;
6. Родственник в беде;
7. Помощь в получении визы;
8. Романтическое знакомство или мошенничество
«невеста».
9. Рекламные кампании от имени банка.
Фишинг - вид кибермошенничества, целью которого является получение доступа к конфиденциальным данным владельца банковской карты или банковского счета.
Кибермошенничество - преступления в сфере информационных технологий, цель которых кража конфиденциальных данных банковских карт, платежных реквизитов, паролей, а также распространение вредоносного программного обеспечения. Фишинг осуществляется путём проведения рассылок sms-сообщений и электронных писем от имени популярных брендов, внутри различных сервисов или социальных сетей, а также от имени банков.
Фишинг - одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности.
Хищение с использованием вирусного заражения мобильного устройства
Источниками заражения, как правило, являются ссылки на установку трояна, приходящие через мессенджеры и личные сообщения в социальных сетях, а также размещенные на стенах пользователей соцсетей.
Троянская программа, которую злоумышленники используют, как правило, после установки на мобильное устройство запрашивает баланс привязанной к номеру SIM- карты банковской карты, скрывает поступающие SMS- уведомления и осуществляет переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.
Хищение с использование вирусного заражения компьютера клиента
Цели вирусного заражения компьютеров клиентов банков:
1. получение несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
2. кража конфиденциальной информации с использованием вредоносных программ;
3. кража средств со счетов электронных платежных систем;
4. перехват данных (в том числе используемых для аутентификации пользователя) при помощи троянцев-шпионов;
5. использование троянцев-шифровальщиков, способных уничтожить ценные файлы.
Хищение с заменой sim-карты
Злоумышленники заполучают дубликат SIM-карты, к которой подключен мобильный банк. Для этого они предоставляют в обслуживающий офис сотового оператора или партнёрской сети фальшивые документы, якобы удостоверяющие личность потенциальной жертвы. SIM-карта, используемая в мобильном устройстве клиента, неожиданно перестает работать.
Скимминг (от англ. skimming) - кража данных карты при помощи специального считывающего устройства (скиммера).
Злоумышленники копируют всю информацию с магнитной полосы карты (имя держателя, номер карты, срок окончания срока её действия, CVV- и CVC-код), узнать ПИН-код можно с помощью мини-камеры или накладок на клавиатуру, установленных на банкоматах.
Скиммер - инструмент для считывания данных магнитной полосы банковской карты.
Скимминговые устройства:
1. устройство, устанавливаемое в картридер
2. специальная накладка на клавиатуру банкомата, либо миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру
Шимминг представляет собой разновидность скимминга.
Шиммер - электронное устройство (гибкая плата толщиной примерно 0,2 мм), абсолютно незаметное для держателя карты. Шиммер помещается через щель картридера и считывает данные введенных карт.
Основные способы хищения денежных средств со счетов юридических лиц в банках:
1. подмена реквизитов банковских расчетных (платежных) документов.
2. замена получателя в счёте на оплату.
3. мошенничество «возврат денежных средств».
Схема подмены реквизитов банковских расчетных (платежных) документов:
1. Клиент сформировал в 1С платёжное поручение на ООО «Контрагент».
2. Клиент экспортировал поручение из 1С в ДБО.
3. Клиент из ДБО отправил в Банк.
4. Банк прислал Клиенту SMS с подтверждением платежа. В SMS указаны все реквизиты получателя. Клиент платёж подтвердил.
5. Банк исполнил поручение
Схема замены получателя в счете на оплату:
1. Клиент заказывает счёт на оплату у контрагента.
2. Контрагент высылает клиенту счёт электронной почтой.
3. Клиент оплачивает счёт «не глядя».
Схема мошенничества «возврат денежных средств»
1. Клиент получает на расчетный счёт небольшую сумму от неизвестного ранее контрагента.
2. Клиент получает электронное письмо от этого неизвестного контрагента с просьбой вернуть случайно направленные в адрес клиента деньги. В письме файл с реквизитами.
3. Клиент открывает файл.
4. Клиент вносит в справочник доверенных неизвестного контрагента для возможности возвратить деньги.
5. Клиент возвращает денежные средства.
ТЕМА 6
Хищение денежных средств со счетов физических лиц - списание денежных средств со счета физического лица без согласия клиента или путем обмана клиента в результате неправомерных действий.
Целью неправомерных действий является получение доступа к конфиденциальным данным владельца банковской карты или банковского счета для последующего хищения денежных средств через каналы удаленного доступа.
Основные способы хищения денежных средств со счетов физических лиц в банках:
1. хищение с использованием методов социальной инженерии;
2. хищение с использованием вирусного заражения мобильного устройства;
3. хищение с использование вирусного заражения компьютера клиента;
4. хищение с заменой SIM-карты.
5. скимминг и шимминг.
Социальная инженерия - метод несанкционированного получения доступа к конфиденциальной информации, аутентификационным данным, данным банковских картах и т.п., основанный на знании особенностей психологии людей.
Основные способы социальной инженерии:
1. SMS-мошенничество: ваша карта заблокирована + действия по разблокировке карты;
2. Покупка товаров/оплата услуг («самопереводы»);
3. Обман в социальных сетях: от имени друга клиента; от имени сотрудника банка; третьи лица предлагают быстрый заработок ( цель - информация о банковской карте);
4. Обман пенсионеров;
5. Помощь в получении кредита;
6. Родственник в беде;
7. Помощь в получении визы;
8. Романтическое знакомство или мошенничество
«невеста».
9. Рекламные кампании от имени банка.
Фишинг - вид кибермошенничества, целью которого является получение доступа к конфиденциальным данным владельца банковской карты или банковского счета.
Кибермошенничество - преступления в сфере информационных технологий, цель которых кража конфиденциальных данных банковских карт, платежных реквизитов, паролей, а также распространение вредоносного программного обеспечения. Фишинг осуществляется путём проведения рассылок sms-сообщений и электронных писем от имени популярных брендов, внутри различных сервисов или социальных сетей, а также от имени банков.
Фишинг - одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности.
Хищение с использованием вирусного заражения мобильного устройства
Источниками заражения, как правило, являются ссылки на установку трояна, приходящие через мессенджеры и личные сообщения в социальных сетях, а также размещенные на стенах пользователей соцсетей.
Троянская программа, которую злоумышленники используют, как правило, после установки на мобильное устройство запрашивает баланс привязанной к номеру SIM- карты банковской карты, скрывает поступающие SMS- уведомления и осуществляет переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.
Хищение с использование вирусного заражения компьютера клиента
Цели вирусного заражения компьютеров клиентов банков:
1. получение несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
2. кража конфиденциальной информации с использованием вредоносных программ;
3. кража средств со счетов электронных платежных систем;
4. перехват данных (в том числе используемых для аутентификации пользователя) при помощи троянцев-шпионов;
5. использование троянцев-шифровальщиков, способных уничтожить ценные файлы.
Хищение с заменой sim-карты
Злоумышленники заполучают дубликат SIM-карты, к которой подключен мобильный банк. Для этого они предоставляют в обслуживающий офис сотового оператора или партнёрской сети фальшивые документы, якобы удостоверяющие личность потенциальной жертвы. SIM-карта, используемая в мобильном устройстве клиента, неожиданно перестает работать.
Скимминг (от англ. skimming) - кража данных карты при помощи специального считывающего устройства (скиммера).
Злоумышленники копируют всю информацию с магнитной полосы карты (имя держателя, номер карты, срок окончания срока её действия, CVV- и CVC-код), узнать ПИН-код можно с помощью мини-камеры или накладок на клавиатуру, установленных на банкоматах.
Скиммер - инструмент для считывания данных магнитной полосы банковской карты.
Скимминговые устройства:
1. устройство, устанавливаемое в картридер
2. специальная накладка на клавиатуру банкомата, либо миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру
Шимминг представляет собой разновидность скимминга.
Шиммер - электронное устройство (гибкая плата толщиной примерно 0,2 мм), абсолютно незаметное для держателя карты. Шиммер помещается через щель картридера и считывает данные введенных карт.
Основные способы хищения денежных средств со счетов юридических лиц в банках:
1. подмена реквизитов банковских расчетных (платежных) документов.
2. замена получателя в счёте на оплату.
3. мошенничество «возврат денежных средств».
Схема подмены реквизитов банковских расчетных (платежных) документов:
1. Клиент сформировал в 1С платёжное поручение на ООО «Контрагент».
2. Клиент экспортировал поручение из 1С в ДБО.
3. Клиент из ДБО отправил в Банк.
4. Банк прислал Клиенту SMS с подтверждением платежа. В SMS указаны все реквизиты получателя. Клиент платёж подтвердил.
5. Банк исполнил поручение
Схема замены получателя в счете на оплату:
1. Клиент заказывает счёт на оплату у контрагента.
2. Контрагент высылает клиенту счёт электронной почтой.
3. Клиент оплачивает счёт «не глядя».
Схема мошенничества «возврат денежных средств»
1. Клиент получает на расчетный счёт небольшую сумму от неизвестного ранее контрагента.
2. Клиент получает электронное письмо от этого неизвестного контрагента с просьбой вернуть случайно направленные в адрес клиента деньги. В письме файл с реквизитами.
3. Клиент открывает файл.
4. Клиент вносит в справочник доверенных неизвестного контрагента для возможности возвратить деньги.
5. Клиент возвращает денежные средства
ТЕМА 7.
Основными киберугрозами являются:
1. DDoS-атаки, в том числе угрозы DDoS-атак;
2. массовые рассылки почтовых сообщений, содержащих загрузчики ВПО (атаки с элементами социальной инженерии);
3. атаки, направленные на устройства самообслуживания.
Массовые рассылки почтовых сообщений, содержащих загрузчики ВПО
Источники, из которых формируются базы данных о кредитным организациям для последующей рассылки:
1. утечка почтовых адресов из регистрационных баз различных конференций. Подобные базы данных продаются достаточно недорого на специализированных форумах, а в некоторых случаях раздаются бесплатно;
2. поиск в сети Интернет через специализированные ресурсы;
3. документы и веб-страницы кредитных организаций, содержащие почтовые адреса сотрудников организаций, общедоступные адреса;
4. утечки баз данных (списков рассылок) различных неформальных сообществ, объединенных по профессиональному признаку.
Trojan.Downloader – вредоносная программа, главная цель которой – загрузка и установка на компьютер различных вредоносных и «троянских» программ. Такого рода программы содержат в себе заранее прописанные имена и расположение файлов, скачиваемых загрузчиком с управляющего сервера.
Trojan.Encoder – вредоносная программа, шифрующая файлы на жестком диске компьютера и требующая деньги за их расшифровку. В результате зашифрованными могут оказаться файлы *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Backdoor – вредоносная программа, назначение которой – скрытое от пользователя удаленное управление злоумышленником компьютером жертвы (фактически по функционалу это программа удаленного администрирования).
Часто такие программы используются для создания ботнетов.
Exploit – вредоносная программа, содержимое которой позволяет использовать имеющиеся уязвимости в ПО, установленном на компьютере.
Trojan.Dropper – вредоносная программа, предназначенная для установки на компьютер содержащихся в теле
«троянской» программы других вредоносных программ. Обычно установка вредоносных программ происходит без разрешения пользователя и скрытно от него.
Trojan.PSW – класс вредоносных программ, предназначенных для кражи пользовательских авторизационных данных
(логин и пароль, в некоторых случаях – сертификаты пользователей). Phishing – мошеннические письма с отсутствующими вредоносными вложениями, но содержащие различные ссылки, по которым предлагается перейти пользователю.
Атаки на устройства самообслуживания делятся на два основных типа:
1. логические атаки (устройство не повреждается или не вскрывается, не устанавливаются дополнительные аппаратные компоненты с подключением к шинам устройства, все операции выполняются через удаленный доступ с использованием программных средств);
2. физические атаки (повреждение или вскрытие устройства, установка дополнительных аппаратных компонентов, подключение внешних устройств, в том числе для возможности удаленного управления).
ТЕМА 7.
Основными киберугрозами являются:
1. DDoS-атаки, в том числе угрозы DDoS-атак;
2. массовые рассылки почтовых сообщений, содержащих загрузчики ВПО (атаки с элементами социальной инженерии);
3. атаки, направленные на устройства самообслуживания.
Массовые рассылки почтовых сообщений, содержащих загрузчики ВПО
Источники, из которых формируются базы данных о кредитным организациям для последующей рассылки:
1. утечка почтовых адресов из регистрационных баз различных конференций. Подобные базы данных продаются достаточно недорого на специализированных форумах, а в некоторых случаях раздаются бесплатно;
2. поиск в сети Интернет через специализированные ресурсы;
3. документы и веб-страницы кредитных организаций, содержащие почтовые адреса сотрудников организаций, общедоступные адреса;
4. утечки баз данных (списков рассылок) различных неформальных сообществ, объединенных по профессиональному признаку.
Trojan.Downloader – вредоносная программа, главная цель которой – загрузка и установка на компьютер различных вредоносных и «троянских» программ. Такого рода программы содержат в себе заранее прописанные имена и расположение файлов, скачиваемых загрузчиком с управляющего сервера.
Trojan.Encoder – вредоносная программа, шифрующая файлы на жестком диске компьютера и требующая деньги за их расшифровку. В результате зашифрованными могут оказаться файлы *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Backdoor – вредоносная программа, назначение которой – скрытое от пользователя удаленное управление злоумышленником компьютером жертвы (фактически по функционалу это программа удаленного администрирования).
Часто такие программы используются для создания ботнетов.
Exploit – вредоносная программа, содержимое которой позволяет использовать имеющиеся уязвимости в ПО, установленном на компьютере.
Trojan.Dropper – вредоносная программа, предназначенная для установки на компьютер содержащихся в теле
«троянской» программы других вредоносных программ. Обычно установка вредоносных программ происходит без разрешения пользователя и скрытно от него.
Trojan.PSW – класс вредоносных программ, предназначенных для кражи пользовательских авторизационных данных
(логин и пароль, в некоторых случаях – сертификаты пользователей). Phishing – мошеннические письма с отсутствующими вредоносными вложениями, но содержащие различные ссылки, по которым предлагается перейти пользователю.
Атаки на устройства самообслуживания делятся на два основных типа:
1. логические атаки (устройство не повреждается или не вскрывается, не устанавливаются дополнительные аппаратные компоненты с подключением к шинам устройства, все операции выполняются через удаленный доступ с использованием программных средств);
2. физические атаки (повреждение или вскрытие устройства, установка дополнительных аппаратных компонентов, подключение внешних устройств, в том числе для возможности удаленного управления).

ТЕМА 8.
Фрод (от англ. fraud - мошенничество) - несанкционированные действия в каналах дистанционного банковского обслуживания.
Фрод-мониторинг - комплексный набор средств для обнаружения фактов мошенничества в каналах дистанционного банковского обслуживания и эффективной борьбы с ним.
Система фрод-мониторинга операций в каналах дистанционного банковского обслуживания:
- позволяет банку обнаруживать подозрительные операции в системе интернет-банкинга и своевременно предотвращать неправомерные действия со счетами клиентов.
- отслеживает поведение пользователей в сети,
- обнаруживает подозрительные транзакции,
- позволяет банкам контролировать сомнительные действия в режиме реального времени и принимать соответствующие меры для уменьшения и устранения убытков от мошенничества.
Общий алгоритм анализа операции системой фрод-мониторинга Для каждого клиента ДБО в процессе работы системы фрод-мониторинга создается профиль пользователя, в который заносятся данные обо всех событиях по заранее определенным правилам.
Профиль включает в себя такие данные, как:
1. тип клиента (отправитель/получатель платежа, юридическое/ физическое лицо, третье лицо/организация и т.п.);
2. объемы и характер проводимых транзакций (большие/средние и мелкие платежи, время совершения операций и пр.);
3. используемое оборудование/устройство (IP-адрес и т.п.) и территориальные признаки;
4. категория клиента (VIP, обычный пользователь и т.д.).
Скоринг - оценка вероятности мошеннических действий (неправомерных действий) в каналах дистанционного
банковского обслуживания.
Чем выше скоринговое число, тем больше вероятность (риск), что транзакция является мошеннической.
В дальнейшем данные об операциях сохраняются в системе фрод-мониторинга и могут быть запрошены при подсчете скорингового значения для других транзакций клиента.
В настройках системы фрод-мониторинга реализуются следующие механизмы реакции:
1. разрешение на выполнение транзакции или её блокировка;
2. задержка операции для осуществления дополнительных действий, например, передачи на анализ эксперту;
3. внесение изменений в параметры обработки транзакций в информационных системах (автоматизированная банковская система, интернет-банкинг, процессинг и т.п.);
4. оповещение уполномоченных лиц (экспертов, службы безопасности и т.п.) или передача принятия решения уполномоченному специалисту банка;
5. инициация дополнительной/повторной аутентификации;
6. инициация дополнительного анализа данных по транзакции, субъектов и объектов, связанных с ней;
или любая комбинации вышеперечисленных действий:
1. блокировка/задержка транзакции и оповещение уполномоченных лиц;
2. дополнительная аутентификация пользователей и в случае неудачи – блокировка транзакции и т.п.
ТЕМА 8.
Фрод (от англ. fraud - мошенничество) - несанкционированные действия в каналах дистанционного банковского обслуживания.
Фрод-мониторинг - комплексный набор средств для обнаружения фактов мошенничества в каналах дистанционного банковского обслуживания и эффективной борьбы с ним.
Система фрод-мониторинга операций в каналах дистанционного банковского обслуживания:
- позволяет банку обнаруживать подозрительные операции в системе интернет-банкинга и своевременно предотвращать неправомерные действия со счетами клиентов.
- отслеживает поведение пользователей в сети,
- обнаруживает подозрительные транзакции,
- позволяет банкам контролировать сомнительные действия в режиме реального времени и принимать соответствующие меры для уменьшения и устранения убытков от мошенничества.
Общий алгоритм анализа операции системой фрод-мониторинга Для каждого клиента ДБО в процессе работы системы фрод-мониторинга создается профиль пользователя, в который заносятся данные обо всех событиях по заранее определенным правилам.
Профиль включает в себя такие данные, как:
1. тип клиента (отправитель/получатель платежа, юридическое/ физическое лицо, третье лицо/организация и т.п.);
2. объемы и характер проводимых транзакций (большие/средние и мелкие платежи, время совершения операций и пр.);
3. используемое оборудование/устройство (IP-адрес и т.п.) и территориальные признаки;
4. категория клиента (VIP, обычный пользователь и т.д.).
Скоринг - оценка вероятности мошеннических действий (неправомерных действий) в каналах дистанционного
банковского обслуживания.
Чем выше скоринговое число, тем больше вероятность (риск), что транзакция является мошеннической.
В дальнейшем данные об операциях сохраняются в системе фрод-мониторинга и могут быть запрошены при подсчете скорингового значения для других транзакций клиента.
В настройках системы фрод-мониторинга реализуются следующие механизмы реакции:
1. разрешение на выполнение транзакции или её блокировка;
2. задержка операции для осуществления дополнительных действий, например, передачи на анализ эксперту;
3. внесение изменений в параметры обработки транзакций в информационных системах (автоматизированная банковская система, интернет-банкинг, процессинг и т.п.);
4. оповещение уполномоченных лиц (экспертов, службы безопасности и т.п.) или передача принятия решения уполномоченному специалисту банка;
5. инициация дополнительной/повторной аутентификации;
6. инициация дополнительного анализа данных по транзакции, субъектов и объектов, связанных с ней;
или любая комбинации вышеперечисленных действий:
1. блокировка/задержка транзакции и оповещение уполномоченных лиц;
2. дополнительная аутентификация пользователей и в случае неудачи – блокировка транзакции и т.п.