ݺߣ

ݺߣShare a Scribd company logo

Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связи

Download as PPTX, PDF
Denis Gorchakov
Denis Gorchakov

Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.

1 of 32
Download to read offline
Есть ли вирусы для Android? NOPE NOPE NOPE NOPE
Противодействие платёжному фроду на сети оператора связи Денис Горчаков (Альфа-Банк), ex-МТС Николай Гончаров, МТС
История вопроса PHDays III: Мошенничество в SMS-банкинге ZeroNights 2014: Противодействие ВПО для мобильных устройств на сети оператора. Android Honeypot в антифроде РусКрипто 2015: Расследование инцидентов, связанных с мобильными бот- сетями и вредоносным ПО AntiFraud Russia-2014: Актуальные угрозы фрода в отношении абонентов сотовых сетей связи. Выявление мобильных бот-сетей
Обстановка  Android занимает около 80% рынка.  Крупнейшие антивирусные лаборатории относят Россию к числу лидеров по распространённости и направленности Android-вирусов.  Схожая статистика по банковским вирусам, в том числе мобильным.  Android Security Report 2015: уровень распространения вредоносного ПО в России в 3-4 раза выше среднего.
IOS и WinPhone  Существует всего несколько примером вредоносов.  Растущая популярность IOS и WinPhone заставляет злоумышленников обращать на них внимание.  До недавнего времени считалось, что на WinPhone можно установить приложение только из легального приложения, но был обнаружен способ установки приложений в обход магазина.  Существует несколько прототипов зловредов, которые умеют похищать данные из телефонной книги, фотографии, читать SMS пользователя и красть прочую приватную информацию из смартфона.  Глобальных случаев распространения и заражения WinPhone пока не было, но возможно всё ещё впереди. Обстановка с WinPhone:
IOS и WinPhone Троян AppBuyer (IOS с джейлбрейком)  Крадет логин и пароль от Apple ID и передает их на сервер злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта. Приложение AdThief (IOS с джейлбрейком)  Распространялось из альтернативного(пиратского) магазина приложений.  Работает практически незаметно — вред этой утилиты направлен на разработчиков приложений, использующих рекламу для монетизации. Wirelurker(IOS без джейлбрейка)  Атакует iOS-устройства при подключении к компьютеру Mac по USB. Masque Attack(IOS без джейлбрейка)  Абонент получает сообщение со ссылкой на зараженное приложение и игру (которой нет в App Store).  Вирус заменяет собой какое-либо стороннее приложение, но пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее. Обстановка с IOS:
Способы монетизации  Со счёта абонента: контент-услуги и сервисы мобильных платежей.  С привязанных к номеру сервисов: услуги ДБО (SMS, USSD), платёжные системы.  Блокировщики: crypto / PIN.  Нецелевое использование устройств: спам-рассылки, DDoS, прокси для мошеннической деятельности, SEO.
Бот-сети  Прежняя методика “hit`n`run” всё реже.  Большинство вирусов – полноценные клиенты ботнетов: статистика, наборы команд, удалённое управление (head & headless).  Для противодействия мошенническим схемам можно использовать адаптацию отработанных технологий противодействия компьютерным ботнетам к мобильным угрозам.
Угрозы  Похищение персональных и конфиденциальных данных.  Фишинг.  Рассылка спама.  Анонимный доступ в Сеть.  Кибершантаж и осуществление DDoS-атаки.  Получение сведений о местоположении конкретного человека.  Похищение денег, в том числе используя мобильную коммерцию и контент-услуги ~50 тыс. новых жертв ежемесячно в одном регионе. ~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей направленных на абонентов по одному региону.
Каналы управления  HTTP(S): C&C центры управления, регулярное обращение. Dynamic / Fast Flux.  SMS: приём команд с заданных номеров или по заданному шаблону.  Google Cloud Messaging / push: получение команд через сервисы Google. Удобно в случае отказа каналов HTTP и SMS.
Собираемые данные  Домены и IP: С&C центры управления, адреса распространения ВПО.  Сведения о формате и составе передаваемых данных на C&C.  MSISDN (тел. номера) – центры управления, коллекторы данных, аккумуляторы денежных средств.  Идентификаторы подписок и получателей для контент-услуг и платёжных сервисов.
Антиотладочные приёмы  Контроль IMEI, IMSI для исключения вызывающей подозрение тарификации и фильтрации/блокировки устройств.  Геолокация (GPS, Wi-Fi, сотовая сеть). Исключение по SSID, Cell ID, району.  Вариация задержек и сумм для обхода правил мониторинга. Суточная задержка после заражения.  Обфускация: ProGuard.
Антиотладочные приёмы  Администратор устройства: блокировка, стирание, использование особенностей интерфейса.  ROOT: проверка наличия и попытка использования. root-exploit’ы для недорогих устройств MediaTek.  Подгрузка вредоносного APK после установки «безобидного» загрузчика.
Антиотладочные приёмы  Проверка наличия подключённых сервисов и услуг не только по истории SMS, но и через отправку тестовых сообщений на короткие номера оператора, банков, платёжных систем.  Блокировка абонентских вызовов на справочные номера: нельзя оперативно пожаловаться в службу поддержки, заблокировать свой счёт, карту.
Забавные факты HTTP stat (IMEI, IMSI, баланс) 1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<> 2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB… 3. BASE64 с модифицированным алфавитом Защита от антивируса class kavfucker { … (“GetDeviceAdmi” + ”n”) }
Виртуализация? Отладка?
Вдобавок…  Экспертный анализ кода и разбор поведения в эмуляторе не обеспечивают полноты собираемых данных.  Существует немало утилит и библиотек для отладки Android-приложений, однако большинство из них носит любительский характер и забрасывается авторами. Велика сложность доработки и стоимость разработки силами ИБ-подразделения.  Основная цель – сбор данных. Нас не интересует взлом и реверс-инжиниринг вредоносного ПО.  Используются доступные ресурсы оператора связи – SIM- карты, смартфоны, сотовая сеть. Снижается стоимость разработки комплекса и увеличивается акцент на аналитическую работу.
Архитектура Стенд мобильных устройств Server WEB-интерфейс анализатор Аналитик Internet Дополнительные источники информации Отчет
Мобильный анализатор Android Phone Приложения VK Opera Bot WWW Server БД Анализатор
Работа анализатора
Botnet monitoring
Botnet monitoring
Trojan-SMS.Podec * - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/
Trojan-SMS.Podec
Trojan-SMS.Podec
Trojan-SMS.Podec
Подключённые услуги
Схема интеграции
Защитные меры Скачать антивирусное приложение
Типичная схема
CERT Оператор А Оператор B Оператор C Оператор D Server БД ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf
Спасибо за внимание! Thank you for your attention! Гончаров Николай nogoncha@mts.ru Горчаков Денис dgorchakov@alfabank.ru

Recommended

ПАО "МТС". Николай Гончаров. "Развитие и становление мобильных бот-сетей"
ПАО "МТС". Николай Гончаров. "Развитие и становление мобильных бот-сетей"ПАО "МТС". Николай Гончаров. "Развитие и становление мобильных бот-сетей"
ПАО "МТС". Николай Гончаров. "Развитие и становление мобильных бот-сетей"
Expolink
РусКрипто 2015. Расследование инцидентов, связанных с мобильными бот-сетями
РусКрипто 2015. Расследование инцидентов, связанных с мобильными бот-сетямиРусКрипто 2015. Расследование инцидентов, связанных с мобильными бот-сетями
РусКрипто 2015. Расследование инцидентов, связанных с мобильными бот-сетями
Denis Gorchakov
мошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решениямошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решения
Expolink
Мошенничество в системах ДБО
Мошенничество в системах ДБОМошенничество в системах ДБО
Мошенничество в системах ДБО
Expolink
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Expolink
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Denis Gorchakov
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Expolink
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫАТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
Namik Heydarov
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
Биография сетевого периметра в картинках
Биография сетевого периметра в картинкахБиография сетевого периметра в картинках
Биография сетевого периметра в картинках
Namik Heydarov
Ловушка доверия
Ловушка доверияЛовушка доверия
Ловушка доверия
Roman Khimich
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
Alexey Kachalin
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Банковское обозрение
Эволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банкиЭволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банки
Namik Heydarov
Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016
sachkord
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Банковское обозрение
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
HackIT Ukraine
New security threats
New security threatsNew security threats
New security threats
Aleksey Lukatskiy
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
Group-IB
Решение для отелей
Решение для отелейРешение для отелей
Решение для отелей
smart-soft
киберпреступность в россии
киберпреступность в россиикиберпреступность в россии
киберпреступность в россии
Елена Ключева
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
malvvv
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
Glib Pakharenko
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
Glib Pakharenko
Hurtado diaz doralizaHurtado diaz doraliza
Hurtado diaz doraliza
Matematica2APV
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Positive Hack Days
Mobile Threats, Made to Measure
Mobile Threats, Made to MeasureMobile Threats, Made to Measure
Mobile Threats, Made to Measure
Lookout
Banking Fraud Evolution
Banking Fraud EvolutionBanking Fraud Evolution
Banking Fraud Evolution
Source Conference

More Related Content

What's hot (18)

Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Expolink
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫАТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
Namik Heydarov
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
Биография сетевого периметра в картинках
Биография сетевого периметра в картинкахБиография сетевого периметра в картинках
Биография сетевого периметра в картинках
Namik Heydarov
Ловушка доверия
Ловушка доверияЛовушка доверия
Ловушка доверия
Roman Khimich
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
Alexey Kachalin
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Банковское обозрение
Эволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банкиЭволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банки
Namik Heydarov
Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016
sachkord
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Банковское обозрение
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
HackIT Ukraine
New security threats
New security threatsNew security threats
New security threats
Aleksey Lukatskiy
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
Group-IB
Решение для отелей
Решение для отелейРешение для отелей
Решение для отелей
smart-soft
киберпреступность в россии
киберпреступность в россиикиберпреступность в россии
киберпреступность в россии
Елена Ключева
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
malvvv
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
Glib Pakharenko
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
Glib Pakharenko
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Expolink
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫАТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
Namik Heydarov
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
Биография сетевого периметра в картинках
Биография сетевого периметра в картинкахБиография сетевого периметра в картинках
Биография сетевого периметра в картинках
Namik Heydarov
Ловушка доверия
Ловушка доверияЛовушка доверия
Ловушка доверия
Roman Khimich
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
Alexey Kachalin
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Презентация Николая Бочарова с конференции «Биометрия в банке: практическое п...
Банковское обозрение
Эволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банкиЭволюция целенаправленных атак на банки
Эволюция целенаправленных атак на банки
Namik Heydarov
Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016Hi-Tech Crime Trends 2016
Hi-Tech Crime Trends 2016
sachkord
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Презентация Булада Субанова с конференции «Биометрия в банке: практическое пр...
Банковское обозрение
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?
HackIT Ukraine
New security threats
New security threatsNew security threats
New security threats
Aleksey Lukatskiy
Secure bank-brochure-rus
Secure bank-brochure-rusSecure bank-brochure-rus
Secure bank-brochure-rus
Group-IB
Решение для отелей
Решение для отелейРешение для отелей
Решение для отелей
smart-soft
киберпреступность в россии
киберпреступность в россиикиберпреступность в россии
киберпреступность в россии
Елена Ключева
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
malvvv
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
Glib Pakharenko
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
Glib Pakharenko

Viewers also liked (9)

Hurtado diaz doralizaHurtado diaz doraliza
Hurtado diaz doraliza
Matematica2APV
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Positive Hack Days
Mobile Threats, Made to Measure
Mobile Threats, Made to MeasureMobile Threats, Made to Measure
Mobile Threats, Made to Measure
Lookout
Banking Fraud Evolution
Banking Fraud EvolutionBanking Fraud Evolution
Banking Fraud Evolution
Source Conference
Current Threat Landscape, Global Trends and Best Practices within Financial F...
Current Threat Landscape, Global Trends and Best Practices within Financial F...Current Threat Landscape, Global Trends and Best Practices within Financial F...
Current Threat Landscape, Global Trends and Best Practices within Financial F...
IBM Sverige
Using Hadoop to Drive Down Fraud for Telcos
Using Hadoop to Drive Down Fraud for TelcosUsing Hadoop to Drive Down Fraud for Telcos
Using Hadoop to Drive Down Fraud for Telcos
Cloudera, Inc.
Cybercrime Threat Landscape: Cyber Criminals Never Sleep
Cybercrime Threat Landscape: Cyber Criminals Never SleepCybercrime Threat Landscape: Cyber Criminals Never Sleep
Cybercrime Threat Landscape: Cyber Criminals Never Sleep
IBM Security
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Dinidu Weeraratne
Fraud principles1
Fraud principles1Fraud principles1
Fraud principles1
Sevisa Isufaj
Hurtado diaz doralizaHurtado diaz doraliza
Hurtado diaz doraliza
Matematica2APV
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Denis Gorchakov, Olga Kochetova. SMS Banking Fraud.
Positive Hack Days
Mobile Threats, Made to Measure
Mobile Threats, Made to MeasureMobile Threats, Made to Measure
Mobile Threats, Made to Measure
Lookout
Banking Fraud Evolution
Banking Fraud EvolutionBanking Fraud Evolution
Banking Fraud Evolution
Source Conference
Current Threat Landscape, Global Trends and Best Practices within Financial F...
Current Threat Landscape, Global Trends and Best Practices within Financial F...Current Threat Landscape, Global Trends and Best Practices within Financial F...
Current Threat Landscape, Global Trends and Best Practices within Financial F...
IBM Sverige
Using Hadoop to Drive Down Fraud for Telcos
Using Hadoop to Drive Down Fraud for TelcosUsing Hadoop to Drive Down Fraud for Telcos
Using Hadoop to Drive Down Fraud for Telcos
Cloudera, Inc.
Cybercrime Threat Landscape: Cyber Criminals Never Sleep
Cybercrime Threat Landscape: Cyber Criminals Never SleepCybercrime Threat Landscape: Cyber Criminals Never Sleep
Cybercrime Threat Landscape: Cyber Criminals Never Sleep
IBM Security
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Banking Frauds - An analysis of Banking Frauds, causes and possible preventiv...
Dinidu Weeraratne
Fraud principles1
Fraud principles1Fraud principles1
Fraud principles1
Sevisa Isufaj

Similar to Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связи (20)

Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IB
Aleksandrs Baranovs
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Namik Heydarov
ATM Security Taining Moscow
ATM Security Taining MoscowATM Security Taining Moscow
ATM Security Taining Moscow
SafenSoft
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
elenae00
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
Expolink
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
Training center "Echelon"
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
Glib Pakharenko
Chishinau
ChishinauChishinau
Chishinau
Vlad Bezmaly
Обзор рынка ИБ - 2014, Макаров, CNews
Обзор рынка ИБ - 2014, Макаров, CNewsОбзор рынка ИБ - 2014, Макаров, CNews
Обзор рынка ИБ - 2014, Макаров, CNews
Stanislav Makarov
Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.
TCenter500
-DzԴ2017Долгинин12102017.
-DzԴ2017Долгинин12102017.-DzԴ2017Долгинин12102017.
-DzԴ2017Долгинин12102017.
alex183408
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Expolink
Kovalevsky_bifit
Kovalevsky_bifitKovalevsky_bifit
Kovalevsky_bifit
FinancialStudio
Поймай меня, если сможешь: защита от ботов с PT Application Firewall
Поймай меня, если сможешь: защита от ботов с PT Application FirewallПоймай меня, если сможешь: защита от ботов с PT Application Firewall
Поймай меня, если сможешь: защита от ботов с PT Application Firewall
Vsevolod Petrov
03
0303
03
malvvv
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
Угрозы меняются! Как все время быть начеку?
Угрозы меняются! Как все время быть начеку?Угрозы меняются! Как все время быть начеку?
Угрозы меняются! Как все время быть начеку?
Cisco Russia
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IB
Aleksandrs Baranovs
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Опасная транзакция: пять актуальных киберугроз для банков и их клиентов!!!
Namik Heydarov
ATM Security Taining Moscow
ATM Security Taining MoscowATM Security Taining Moscow
ATM Security Taining Moscow
SafenSoft
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
сафонов лука. Byod векторы атак обзор мобильных угроз вредоносное по androi...
elenae00
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
Expolink
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
Training center "Echelon"
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
Glib Pakharenko
Chishinau
ChishinauChishinau
Chishinau
Vlad Bezmaly
Обзор рынка ИБ - 2014, Макаров, CNews
Обзор рынка ИБ - 2014, Макаров, CNewsОбзор рынка ИБ - 2014, Макаров, CNews
Обзор рынка ИБ - 2014, Макаров, CNews
Stanislav Makarov
Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.
TCenter500
-DzԴ2017Долгинин12102017.
-DzԴ2017Долгинин12102017.-DzԴ2017Долгинин12102017.
-DzԴ2017Долгинин12102017.
alex183408
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Expolink
Kovalevsky_bifit
Kovalevsky_bifitKovalevsky_bifit
Kovalevsky_bifit
FinancialStudio
Поймай меня, если сможешь: защита от ботов с PT Application Firewall
Поймай меня, если сможешь: защита от ботов с PT Application FirewallПоймай меня, если сможешь: защита от ботов с PT Application Firewall
Поймай меня, если сможешь: защита от ботов с PT Application Firewall
Vsevolod Petrov
03
0303
03
malvvv
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
Угрозы меняются! Как все время быть начеку?
Угрозы меняются! Как все время быть начеку?Угрозы меняются! Как все время быть начеку?
Угрозы меняются! Как все время быть начеку?
Cisco Russia
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP

More from Denis Gorchakov (8)

Знай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBAЗнай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBA
Denis Gorchakov
Выявление атак на пользователей систем ДБО и схем мошенничества
Выявление атак на пользователей систем ДБО и схем мошенничестваВыявление атак на пользователей систем ДБО и схем мошенничества
Выявление атак на пользователей систем ДБО и схем мошенничества
Denis Gorchakov
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
Denis Gorchakov
Защита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииЗащита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организации
Denis Gorchakov
Лекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудниковЛекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудников
Denis Gorchakov
Мошенничество в SMS-банкинге
Мошенничество в SMS-банкингеМошенничество в SMS-банкинге
Мошенничество в SMS-банкинге
Denis Gorchakov
SMS banking fraud
SMS banking fraudSMS banking fraud
SMS banking fraud
Denis Gorchakov
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Denis Gorchakov
Знай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBAЗнай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBA
Denis Gorchakov
Выявление атак на пользователей систем ДБО и схем мошенничества
Выявление атак на пользователей систем ДБО и схем мошенничестваВыявление атак на пользователей систем ДБО и схем мошенничества
Выявление атак на пользователей систем ДБО и схем мошенничества
Denis Gorchakov
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
Denis Gorchakov
Защита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииЗащита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организации
Denis Gorchakov
Лекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудниковЛекция "Безопасность мобильных устройств" для сотрудников
Лекция "Безопасность мобильных устройств" для сотрудников
Denis Gorchakov
Мошенничество в SMS-банкинге
Мошенничество в SMS-банкингеМошенничество в SMS-банкинге
Мошенничество в SMS-банкинге
Denis Gorchakov
SMS banking fraud
SMS banking fraudSMS banking fraud
SMS banking fraud
Denis Gorchakov
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...
Denis Gorchakov

Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связи

  • 1. Есть ли вирусы для Android? NOPE NOPE NOPE NOPE
  • 2. Противодействие платёжному фроду на сети оператора связи Денис Горчаков (Альфа-Банк), ex-МТС Николай Гончаров, МТС
  • 3. История вопроса PHDays III: Мошенничество в SMS-банкинге ZeroNights 2014: Противодействие ВПО для мобильных устройств на сети оператора. Android Honeypot в антифроде РусКрипто 2015: Расследование инцидентов, связанных с мобильными бот- сетями и вредоносным ПО AntiFraud Russia-2014: Актуальные угрозы фрода в отношении абонентов сотовых сетей связи. Выявление мобильных бот-сетей
  • 4. Обстановка  Android занимает около 80% рынка.  Крупнейшие антивирусные лаборатории относят Россию к числу лидеров по распространённости и направленности Android-вирусов.  Схожая статистика по банковским вирусам, в том числе мобильным.  Android Security Report 2015: уровень распространения вредоносного ПО в России в 3-4 раза выше среднего.
  • 5. IOS и WinPhone  Существует всего несколько примером вредоносов.  Растущая популярность IOS и WinPhone заставляет злоумышленников обращать на них внимание.  До недавнего времени считалось, что на WinPhone можно установить приложение только из легального приложения, но был обнаружен способ установки приложений в обход магазина.  Существует несколько прототипов зловредов, которые умеют похищать данные из телефонной книги, фотографии, читать SMS пользователя и красть прочую приватную информацию из смартфона.  Глобальных случаев распространения и заражения WinPhone пока не было, но возможно всё ещё впереди. Обстановка с WinPhone:
  • 6. IOS и WinPhone Троян AppBuyer (IOS с джейлбрейком)  Крадет логин и пароль от Apple ID и передает их на сервер злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта. Приложение AdThief (IOS с джейлбрейком)  Распространялось из альтернативного(пиратского) магазина приложений.  Работает практически незаметно — вред этой утилиты направлен на разработчиков приложений, использующих рекламу для монетизации. Wirelurker(IOS без джейлбрейка)  Атакует iOS-устройства при подключении к компьютеру Mac по USB. Masque Attack(IOS без джейлбрейка)  Абонент получает сообщение со ссылкой на зараженное приложение и игру (которой нет в App Store).  Вирус заменяет собой какое-либо стороннее приложение, но пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее. Обстановка с IOS:
  • 7. Способы монетизации  Со счёта абонента: контент-услуги и сервисы мобильных платежей.  С привязанных к номеру сервисов: услуги ДБО (SMS, USSD), платёжные системы.  Блокировщики: crypto / PIN.  Нецелевое использование устройств: спам-рассылки, DDoS, прокси для мошеннической деятельности, SEO.
  • 8. Бот-сети  Прежняя методика “hit`n`run” всё реже.  Большинство вирусов – полноценные клиенты ботнетов: статистика, наборы команд, удалённое управление (head & headless).  Для противодействия мошенническим схемам можно использовать адаптацию отработанных технологий противодействия компьютерным ботнетам к мобильным угрозам.
  • 9. Угрозы  Похищение персональных и конфиденциальных данных.  Фишинг.  Рассылка спама.  Анонимный доступ в Сеть.  Кибершантаж и осуществление DDoS-атаки.  Получение сведений о местоположении конкретного человека.  Похищение денег, в том числе используя мобильную коммерцию и контент-услуги ~50 тыс. новых жертв ежемесячно в одном регионе. ~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей направленных на абонентов по одному региону.
  • 10. Каналы управления  HTTP(S): C&C центры управления, регулярное обращение. Dynamic / Fast Flux.  SMS: приём команд с заданных номеров или по заданному шаблону.  Google Cloud Messaging / push: получение команд через сервисы Google. Удобно в случае отказа каналов HTTP и SMS.
  • 11. Собираемые данные  Домены и IP: С&C центры управления, адреса распространения ВПО.  Сведения о формате и составе передаваемых данных на C&C.  MSISDN (тел. номера) – центры управления, коллекторы данных, аккумуляторы денежных средств.  Идентификаторы подписок и получателей для контент-услуг и платёжных сервисов.
  • 12. Антиотладочные приёмы  Контроль IMEI, IMSI для исключения вызывающей подозрение тарификации и фильтрации/блокировки устройств.  Геолокация (GPS, Wi-Fi, сотовая сеть). Исключение по SSID, Cell ID, району.  Вариация задержек и сумм для обхода правил мониторинга. Суточная задержка после заражения.  Обфускация: ProGuard.
  • 13. Антиотладочные приёмы  Администратор устройства: блокировка, стирание, использование особенностей интерфейса.  ROOT: проверка наличия и попытка использования. root-exploit’ы для недорогих устройств MediaTek.  Подгрузка вредоносного APK после установки «безобидного» загрузчика.
  • 14. Антиотладочные приёмы  Проверка наличия подключённых сервисов и услуг не только по истории SMS, но и через отправку тестовых сообщений на короткие номера оператора, банков, платёжных систем.  Блокировка абонентских вызовов на справочные номера: нельзя оперативно пожаловаться в службу поддержки, заблокировать свой счёт, карту.
  • 15. Забавные факты HTTP stat (IMEI, IMSI, баланс) 1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<> 2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB… 3. BASE64 с модифицированным алфавитом Защита от антивируса class kavfucker { … (“GetDeviceAdmi” + ”n”) }
  • 17. Вдобавок…  Экспертный анализ кода и разбор поведения в эмуляторе не обеспечивают полноты собираемых данных.  Существует немало утилит и библиотек для отладки Android-приложений, однако большинство из них носит любительский характер и забрасывается авторами. Велика сложность доработки и стоимость разработки силами ИБ-подразделения.  Основная цель – сбор данных. Нас не интересует взлом и реверс-инжиниринг вредоносного ПО.  Используются доступные ресурсы оператора связи – SIM- карты, смартфоны, сотовая сеть. Снижается стоимость разработки комплекса и увеличивается акцент на аналитическую работу.
  • 18. Архитектура Стенд мобильных устройств Server WEB-интерфейс анализатор Аналитик Internet Дополнительные источники информации Отчет
  • 23. Trojan-SMS.Podec * - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/
  • 31. CERT Оператор А Оператор B Оператор C Оператор D Server БД ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf
  • 32. Спасибо за внимание! Thank you for your attention! Гончаров Николай nogoncha@mts.ru Горчаков Денис dgorchakov@alfabank.ru

Editor's Notes

  • #30: Предупреждение абонентов о сайтах, распространяющих вредоносное ПО для мобильных устройств, с использованием информационной WEB-страницы. Информирование абонентов с рекомендациями по защите от фрода: SMS рассылки, IVR-обзвоны и WEB-редирект для пользователей OS Android. Полностью заблокировать доступ к таким ресурсам нельзя, так как это будет нарушением законодательства. Необходимо внести поправки в законодетель, которые будут позволять блокировать подобные ресурсы