{"id":351,"date":"2015-02-15T22:35:44","date_gmt":"2015-02-15T22:35:44","guid":{"rendered":"http:\/\/ijbd.eu\/?p=351"},"modified":"2015-02-17T08:34:53","modified_gmt":"2015-02-17T08:34:53","slug":"carbanak-zorganizowana-przestepczosc-oparta-na-wiedzy","status":"publish","type":"post","link":"https:\/\/ijbd.eu\/?p=351","title":{"rendered":"Carbanak – Zorganizowana przest\u0119pczo\u015b\u0107 oparta na wiedzy"},"content":{"rendered":"

Niedawno pojawi\u0142a si\u0119 wiadomo\u015b\u0107 o najwi\u0119kszym jak do tej pory przest\u0119pstwie komputerowym. Z kliku bank\u00f3w wykradziono du\u017ce sumy, m\u00f3wi si\u0119 o \u0142\u0105cznej kwocie mi\u0119dzy 300 a 1000 milion\u00f3w dolar\u00f3w. Do ataku wykorzystano mechanizm, kt\u00f3ry mo\u017cna uzna\u0107 za konia troja\u0144skiego wspieranego przez zesp\u00f3\u0142 analityk\u00f3w. W ataku niezwyk\u0142a jest skala prowadzonej operacji, kt\u00f3ra trwa\u0142a wiele miesi\u0119cy a nawet lat i dotkn\u0119\u0142a kilkudziesi\u0119ciu bank\u00f3w.<\/p>\n

O sprawie pisa\u0142 NYT<\/a> w walentynki (14.02.2015) i Reuters<\/a>, skala operacji by\u0142a (jest?) olbrzymia. Mechanizm dzia\u0142ania by\u0142 nast\u0119puj\u0105cy:<\/p>\n

    \n
  1. Poczt\u0105 elektroniczn\u0105 rozsy\u0142ano malware zwane Carbanak – to by\u0142 ko\u0144 troja\u0144ski<\/a>, wymaga\u0142 pomocy u\u017cytkownika \u017ceby przej\u015b\u0107 przez \u015bcian\u0119 zabezpiecze\u0144. Celowano w pracownik\u00f3w bank\u00f3w, w ich identyfikacji pewnie pomaga\u0142y sieci spo\u0142eczno\u015bciowe.<\/li>\n
  2. Carbank instalowa\u0142 oprogramowanie monitoruj\u0105ce prac\u0119 komputera, rejestruj\u0105ce co u\u017cytkownik wpisa\u0142, wysy\u0142aj\u0105ce zrzuty ekran\u00f3w. Poszukiwano przede wszystkim komputer\u00f3w u\u017cytkownik\u00f3w uprzywilejowanych (administratorzy) i maj\u0105cych dost\u0119p do systemu bankowego.<\/li>\n
  3. Zainfekowane komputery by\u0142y \u015bledzone przez wiele miesi\u0119cy a zbierane dane analizowane. Na ich podstawie grupa odtwarza\u0142a bankowe procedury i uczy\u0142a si\u0119 budowa\u0107 transakcje, na tyle bliskie legalnym, ze system wykrywania nadu\u017cy\u0107 u\u017cywany przez bank uznawa\u0142 je za prawdziwe.<\/li>\n
  4. Maj\u0105c rozpracowane procedury bankowe grupa wykonywa\u0142a szereg transakcji, za pomoc\u0105 kt\u00f3rych wyprowadza\u0142a \u015brodki z banku i przelewa\u0142a je na swoje konta. Czasem s\u0142u\u017cy\u0142y do tego przelewy ale by\u0142y te\u017c przypadki wykorzystywania bankomat\u00f3w. Podobno firm\u0119 Kaspersky zaanga\u017cowano do badania sprawy po tym jak jeden z bankomat\u00f3w w Kijowie zacz\u0105\u0142 spontanicznie wyp\u0142aca\u0107 pieni\u0105dze, kt\u00f3re zgarniali pozornie przypadkowi przechodnie.<\/li>\n<\/ol>\n

    Dlaczego jest to nowa jako\u015b\u0107?<\/p>\n

      \n
    1. \u015awiadomo\u015b\u0107 u\u017cywanych przez bank zabezpiecze\u0144 i systematyczne podej\u015bcie do ich omini\u0119cia wskazuje, na kooperacj\u0119 specjalist\u00f3w z wielu dziedzin (IT, bankowo\u015b\u0107, wywiad). To jest zorganizowana przest\u0119pczo\u015b\u0107 oparta na wiedzy.<\/li>\n
    2. Organizacja przedsi\u0119wzi\u0119cia – d\u0142ugotrwa\u0142\u0105 analiza i opracowanie systemu pozwalaj\u0105cego na wyprowadzanie \u015brodk\u00f3w z banku wymaga\u0142a pewnie sporego zaplecza. Za Carbanak musia\u0142a sta\u0107 du\u017ca dobrze zorganizowana grupa. Ciekawe jak taka grupa powsta\u0142a i dlaczego str\u00f3\u017ce prawa nic o niej nie wiedzieli?<\/li>\n
    3. Skala strat, kt\u00f3re by\u0107 mo\u017ce przekraczaj\u0105 miliard dolar\u00f3w i to, \u017ce (prawdopodobnie) okradziony zosta\u0142 system bankowy (bank nie jego klienci). Banki niech\u0119tnie przyznaj\u0105 si\u0119 do takich zdarze\u0144 jak utrata \u015brodk\u00f3w skutkiem luk w wewn\u0119trznym bezpiecze\u0144stwie, bo to bije w ich reputacj\u0119 i poci\u0105ga za sob\u0105 dzia\u0142ania nadzoru. Czasem wygodniej jest milcze\u0107 i zaksi\u0119gowa\u0107 zdarzenie w straty nadzwyczajne.<\/li>\n<\/ol>\n

      Zwalczanie tego typu przest\u0119pczo\u015bci b\u0119dzie wymaga\u0107 zmiany podej\u015bcia do bezpiecze\u0144stwa w \u015bwiecie korporacyjnym. By\u0107 mo\u017ce dlatego w USA powstaje CTIIC<\/a> – nowy urz\u0105d zajmuj\u0105cy si\u0119 bezpiecze\u0144stwem cyberprzestrzeni ukierunkowany na wymian\u0119 informacji mi\u0119dzy firmami i rz\u0105dem. Mo\u017ce zobaczymy nawet zmiany w prawie wprowadzaj\u0105ce sankcje za zamiatanie pod dywan skutk\u00f3w dzia\u0142ania cyberprzest\u0119pc\u00f3w? Bez otwartej wymiany informacji mi\u0119dzy ofiarami takich dzia\u0142a\u0144 zwalczanie zorganizowanej przest\u0119pczo\u015bci w sieci b\u0119dzie bardzo trudne.<\/p>\n

      Wed\u0142ug dotychczasowych informacji grupa Carbanak okrada\u0142a banki. Nie znaczy to jednak,\u00a0 \u017ce klienci bank\u00f3w s\u0105 ca\u0142kowicie bezpieczni. Stopie\u0144 penetracji infrastruktury i proces\u00f3w banku by\u0142 olbrzymi, grupa na pewno mia\u0142a dost\u0119p do danych klient\u00f3w (dane osobowe, informacje o rachunkach, kartach kredytowych). Pewnie mia\u0142a tak\u017ce mo\u017cliwo\u015b\u0107 wykonywania transakcji w imieniu klient\u00f3w lub podmiany danych, cho\u0107by takich jak numery rachunk\u00f3w na sta\u0142ych zleceniach, rachunk\u00f3w zdefiniowanych lub rachunk\u00f3w zaufanych. Je\u017celi klient wykona przelew, na podmieniony rachunek udowodnienie, \u017ce wina le\u017ca\u0142a ca\u0142kowicie po stronie banku mo\u017ce by\u0107 w\u0105tpliwe. Mo\u017cna te\u017c sta\u0107 si\u0119 mimowolnym wsp\u00f3lnikiem grupy je\u017celi nasz rachunek b\u0119dzie wykorzystywany jako stacja przesiadkowa do wysy\u0142ania wykradzionych z banku pieni\u0119dzy na rachunek grupy w innym banku. Klient banku mo\u017ce ograniczy\u0107 takie ryzyko i we w\u0142asnym interesie powinien z takiej mo\u017cliwo\u015bci korzysta\u0107:<\/p>\n

        \n
      1. Regularnie kontrolowa\u0107 histori\u0119 swojego rachunku bankowego.<\/li>\n
      2. Sprawdza\u0107 numer rachunku zdefiniowanego kontrahenta wysy\u0142aj\u0105c przelew, zw\u0142aszcza na wi\u0119ksz\u0105 kwot\u0119.<\/li>\n
      3. Ustawi\u0107 powiadomienia o transakcjach je\u017celi bank oferuje tak\u0105 mo\u017cliwo\u015b\u0107.<\/li>\n
      4. Przechowywa\u0107 kopie wyci\u0105g\u00f3w bankowych poza systemem banku.<\/li>\n
      5. Przeczyta\u0107 umow\u0119 rachunku bankowego i regulamin zw\u0142aszcza cz\u0119\u015b\u0107 okre\u015blaj\u0105c\u0105 odpowiedzialno\u015b\u0107 klienta i banku i procedur\u0119 powiadamiania banku o wykrytym ataku<\/li>\n<\/ol>\n

        Klient banku ma umiarkowane mo\u017cliwo\u015bci zapobiegania atakom, ale przez regularne \u015bledzenie aktywno\u015bci na swoim rachunku mo\u017ce szybko wykry\u0107 w\u0142amanie i powiadomi\u0107 o nim bank ograniczaj\u0105c przez to ryzyko du\u017cych strat. W czasach bankowo\u015bci elektronicznej staromodny wyci\u0105g bankowy staje si\u0119 istotnym elementem systemu bezpiecze\u0144stwa.<\/p>\n

         <\/p>\n","protected":false},"excerpt":{"rendered":"

        Niedawno pojawi\u0142a si\u0119 wiadomo\u015b\u0107 o najwi\u0119kszym jak do tej pory przest\u0119pstwie komputerowym. Z kliku bank\u00f3w wykradziono du\u017ce sumy, m\u00f3wi si\u0119 o \u0142\u0105cznej kwocie mi\u0119dzy 300 a 1000 milion\u00f3w dolar\u00f3w. Do ataku wykorzystano mechanizm, kt\u00f3ry mo\u017cna uzna\u0107 za konia troja\u0144skiego wspieranego przez zesp\u00f3\u0142 analityk\u00f3w. W ataku niezwyk\u0142a jest skala prowadzonej operacji, kt\u00f3ra trwa\u0142a wiele miesi\u0119cy a […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[9,1],"tags":[],"class_list":["post-351","post","type-post","status-publish","format-standard","hentry","category-bezpieczenstwo","category-uncategorized"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p4qwq1-5F","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/posts\/351","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ijbd.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=351"}],"version-history":[{"count":6,"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/posts\/351\/revisions"}],"predecessor-version":[{"id":380,"href":"https:\/\/ijbd.eu\/index.php?rest_route=\/wp\/v2\/posts\/351\/revisions\/380"}],"wp:attachment":[{"href":"https:\/\/ijbd.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=351"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ijbd.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=351"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ijbd.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=351"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}