Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

История НЕ одного инцидента - часть 1

Аватар пользователя Voronova
Автор: Воронова Мария, InfoWatch
(1)
()
Опубликовано в:

В кризисные годы количество инцидентов растет. Способствует этому ряд факторов, в целом достаточно примитивных и предсказуемых. В рамках всевозможных оптимизаций и сокращений сотрудникам снижают зарплаты, лишают их премий и бонусов, да и просто увольняют. Их лояльность к компании значительно снижается, и люди решаются на то, чего раньше никогда делать не стали бы, – идут на риск, не всегда законный, ставя на кон «все или ничего». И совершают кражи, мошенничества, сливают гигабайты данных…

Часть 2

 

Как опустошают банкоматы

В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот – одна из таких историй. В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.

То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, – всего около 10 случаев. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.

 

Реагирование

Службы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:

- задача №1 – минимизация вероятности продолжения серии атак для предотвращения дальнейших убытков;

- задача №2 – внутреннее расследование и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию;

- задача №3 – подача заявлений в правоохранительные органы и взаимодействие с ними.

Действовать требовалось одновременно по всем фронтам и максимально оперативно. Кроме того, было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет подтверждения или опровержения факта мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других – полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.

Правда, несколько  региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения – страшнее. А в неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, – выше, чем риск потери денежных средств как таковых.

 

Расследование

Во время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто подходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста – что называется, без особых примет.

Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени  реализации инцидентов (где-то они произошли в районе полуночи, где-то – ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 мин сменявших друг друга).  Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.

 

 

Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам – марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.

Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но – не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца – данные удалось частично восстановить.

Продолжение следует…

Оцените материал:
Total votes: 390
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя @ibkuban

Когда продолжение ?

up
24 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.