My-library.info
Все категории

Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия. Жанр: Банковское дело издательство -, год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Мошенничество в платежной сфере. Бизнес-энциклопедия
Издательство:
-
ISBN:
-
Год:
-
Дата добавления:
6 сентябрь 2019
Количество просмотров:
501
Текст:
Ознакомительная версия
Читать онлайн
Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия

Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия краткое содержание

Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия - описание и краткое содержание, автор Алексей Воронин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info
Активное использование информационных технологий в платежной сфере привело к появлению разнообразных специфических форм мошенничества, основанных на применении достижений современных ИТ. Мошенничество с банковскими картами, электронными деньгами и при обслуживании клиентов в системах дистанционного банковского обслуживания; способы борьбы с противоправными действиями злоумышленников; вопросы нормативного регулирования — эти и многие другие аспекты данной проблематики рассматриваются в бизнес-энциклопедии «Мошенничество в платежной сфере».Все материалы для книги подготовлены практикующими специалистами — экспертами в финансово-банковской сфере.Авторы: Леонид Лямин, Николай Пятиизбянцев, Антон Пухов, Павел Ревенков, Илья Сачков, Валерий Баулин, Дмитрий Волков, Максим Кузин, Ирина Лобанова. Редактор-составитель, руководитель проекта Алексей Воронин. Менеджер по рекламе Елена Балакшина.

Мошенничество в платежной сфере. Бизнес-энциклопедия читать онлайн бесплатно

Мошенничество в платежной сфере. Бизнес-энциклопедия - читать книгу онлайн бесплатно, автор Алексей Воронин
Конец ознакомительного отрывкаКупить книгу

Ознакомительная версия.

Покупка загрузок. Данный метод является одним из самых простых, но наименее эффективных, поскольку установленные таким способом вредоносные программы быстро удаляются и зачастую продавцы не могут обеспечить требуемую целевую аудиторию. Схема распространения следующая:

• злоумышленник ищет лиц, у которых уже имеется сеть зараженных компьютеров с загруженной и установленной вредоносной программой (бот-сеть);

• владелец зараженной бот-сети дает необходимому количеству компьютеров команду на загрузку вредоносного программного обеспечения, которое он получил от злоумышленника;

• вредоносная программа загружается и запускается, а затем сообщает на удаленный сервер злоумышленника свой статус об успешной установке;

• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.


Эксплуатация уязвимостей на тематических сайтах. Данный метод является наиболее эффективным, поскольку дает возможность осуществлять массовое распространение вредоносного программного обеспечения, а также выбирать целевую аудиторию для распространения. Схема распространения следующая:

• осуществляется компрометация тематического сайта (например, buhgalter.ru);

• в сайт встраивается вредоносный код (iframe), который вместе с содержимым сайта загружает вредоносные компоненты;

• при посещении пользователями такого сайта осуществляется анализ установленных компонентов (браузера и его плагинов) и их версий в системе. В случае обнаружения осуществляется загрузка и запуск заданной вредоносной программы;

• после запуска вредоносной программы на удаленный сервер злоумышленника сообщается статус об успешной установке;

• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.


Изображение панели управления связки эксплойтов Black Hole показано на рисунке 1.2. Основным параметром, характеризующим связку эксплойтов, является коэффициент «пробива» — это отношение количества загрузок вредоносной программы к количеству пользователей/хостов, посетивших вредоносную ссылку. На изображении коэффициент «пробива» равен 15,1 % за весь период его использования.


Рис. 1.2. Панели управления связки эксплойтов Black Hole


Наиболее приоритетными программными компонентами (плагинами) для эксплуатации уязвимостей являются: Java, Flash, Internet Explorer и Adobe Acrobat Reader.

Компанией Group-IB приведена обзорная статистика уязвимостей веб-приложений, полученная в ходе оказания услуг по аудиту информационной безопасности и проведения тестов на проникновение в 2012 г. и в I квартале 2013 г. Стоит отметить, что в ходе проводимых исследований оценивалась защищенность не только целевого приложения, но и всей инфраструктуры, в рамках которой было развернуто целевое приложение. Таким образом, поверхность атаки включала в себя всё стороннее ПО, а также компоненты, используемые веб-приложением и размещенные на одной с приложением площадке.

Чаще всего специалистами Group-IB выявлялись уязвимости, связанные со следующими недостатками:

• недостаточная проверка входных данных;

• раскрытие чувствительной информации;

• использование паролей недостаточной сложности.


По результатам отчета компании Group-IB за 2013 г. (http://report2013.group-ib.ru/), самые распространенные уязвимости в компонентах, используемые злоумышленниками, представлены на рисунке 1.3.

В результате успешного использования вредоносных программ все дальнейшие действия злоумышленников будут направлены на закрепление в системе, дальнейшее хищение ключевой информации, а также получение удаленного управления компьютером.

Существуют две основные схемы, с помощью которых осуществляется кража денежных средств: специализированное вредоносное программное обеспечение, похищающее пароли, сертификаты, ключи ЭЦП, и фишинг.

В настоящее время можно выделить несколько основных способов совершения хищений в системах ДБО при помощи вредоносных программ, рассмотрим их далее.


Рис. 1.3. Статистика уязвимостей приложения, используемых злоумышленниками


Троянская программа на компьютере жертвы. Самый распространенный способ. Возможно хищение из любого банка, как у юридических, так и у физических лиц, а также проведение платежа в автоматическом режиме (автозалив). Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.4.

Троянская программа на компьютере жертвы для перенаправления на фишинговый сайт. В данном случае троянская программа используется только для перенаправления пользователей на фишинговый сайт. Применяется для хищения денежных средств только у физических лиц. Данный способ зачастую требует осуществить звонок пользователю зараженной машины. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.5.

Троянская программа на компьютере жертвы — перевыпуск SIM-карты. Способ аналогичен двум предыдущим. Отличием является лишь то, что злоумышленник осуществляет перевыпуск SIM-карты, используя фальшивые документы и доверенность. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.6.

Троянская программа на компьютере и мобильном устройстве жертвы. Наименее популярный способ. В основном он предназначен для хищения денежных средств у физических лиц. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.7.


Рис. 1.4. Блок-схема хищения денежных средств с помощью троянской программы


Рис. 1.5. Блок-схема хищения денежных средств с помощью троянской программы (фишинговый сайт)


Рис. 1.6. Блок-схема хищения денежных средств с помощью троянской программы, перевыпуск SIM-карты


Рис. 1.7. Блок-схема хищения денежных средств с помощью троянской программы на компьютере и мобильном устройстве


Троянская программа на мобильном телефоне жертвы.

В основном данный способ направлен на хищение денежных средств у физических лиц либо у банков, поддерживающих перевод денег по SMS. Размер хищений ограничен лимитами банка на проведение таких операций. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.8.

Троянская программа на мобильном телефоне жертвы — фишинговый сайт. Используется для хищений денежных средств у физических лиц любого банка. Отличается от предыдущего способа тем, что нет таких жестких лимитов, как для SMS-банкинга. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.9.

Компрометация системы банка. Данный способ наиболее сложный и редко встречается на практике. Хищение возможно как со счетов самого банка, так и со счетов клиентов этого банка. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.10.

Процесс обналичивания похищенных денежных средств является завершающей стадией хищения. Он, как правило, выполняется преступной группой, не входящей в состав той, которая похитила денежные средства с банковского счета. Если процесс обналичивания успешно завершен, то группе, которая похитила денежные средства с банковского счета, возвращается от 40 до 60 % от обналиченной суммы. Процент зависит от условий работы и оговаривается в начале взаимодействия.

На рисунке 1.11 представлено несколько основных вариантов движения денежных средств в зависимости от похищаемой суммы. Однако схема может быть представлена значительно сложнее, если процессом обналичивания занимаются несколько разных групп и единовременный объем хищений, как правило, более 5 млн рублей.

1.2. Российский рынок электронных денег

Чтобы получить представление о механизмах мошеннических схем и методах борьбы с ними в сегменте электронных денег, необходимо рассмотреть подробнее этот рынок, а также поведение и «портрет» пользователей электронных кошельков.


Рис. 1.8. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве


Рис. 1.9. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве (фишинговый сайт)


Рис. 1.10. Блок-схема хищения денежных средств через компрометацию системы банка

Ознакомительная версия.


Алексей Воронин читать все книги автора по порядку

Алексей Воронин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Мошенничество в платежной сфере. Бизнес-энциклопедия отзывы

Отзывы читателей о книге Мошенничество в платежной сфере. Бизнес-энциклопедия, автор: Алексей Воронин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.