В ближайшее время в России можно ожидать всплеска автоматизированного хищения денежных средств при дистанционном банковском обслуживании. Об этом 10 сентября в ходе пресс-конференции «Киберпреступность: состояние и тенденции 2013 года» сообщил генеральный директор компании Group-IB Илья Сачков. С места события передает корреспондент Клерк.Ру Сергей Васильев.
«Автозаливом» на сленге компьютерных преступников называют функциональность вредоносного ПО (так называемых «web-инжектов»), которая предусматривает автоматическую отправку несанкционированных платежных поручений при входе пользователя в систему, подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей, а также коррекцию страниц с историей переводов и доступного баланса с целью скрыть факт хищения.
Технология автоматического проведения мошеннических платежей. родилась в 2005 году и в последние два года, по словам Сачкова, стала массово доступна на черном рынке. В 2012 году специалисты Group-IB впервые зафиксировали случаи использования автозаливов в России - в отношении систем ДБО, работающих по технологии «толстого клиента». («Толстый клиент» - приложение, при работе которого сервер является лишь хранилищем данных, а вся их обработка переносится на компьютер пользователя. «Тонкий клиент», в свою очередь - компьютер или программа-клиент, который переносит все или большую часть задач по обработке информации на сервер).
Как правило, отметил Сачков, на начальном этапе технология «автозалива» используется в отношении отдельно взятого банка, причем злоумышленники действуют в партнерстве с мошенниками из числа штатных сотрудников самого банка.
Технические возможности web-инжектов чаще всего сводятся к следующим сценариям:
- подложные пользовательские диалоги от лица банковского приложения предлагают пользователю ввести дополнительную информацию для получения доступа к аккаунту. Это могут быть данные по кредитным картам, номер SSN, ответы на секретные вопросы, TAN-коды и так далее.
- программа извлекает информацию о доступном балансе, кредитном лимите и о структуре размещенных в банке денежных средств. Кроме этого, она собирает со страниц ДБО время и IP-адрес последнего входа, телефоны, номер SSN, адрес и прочие персональные данные, доступные на страницах приложения.
- непосредственно «автозалив», то есть автоматическая отправка несанкционированного платежного поручения при входе пользователя в систему. Чаще всего существует в формате подложных диалогов, предлагающих пользователю ввести TAN-коды (в том числе сгенерированные на аппаратных токенах) якобы для входа в систему. Необходимость вводить TAN-код несколько раз реализуется в виде диалогов, сообщающих о том, что код был введен неверно и нужно повторить действие.
Очень часто после отправки подложного платежного поручения модуль «автозалива» блокирует дальнейшую работу пользователя с системой ДБО, чтобы скрыть факт хищения. Продвинутые реализации автозаливов могут еще и подменять информацию о балансе с тем, чтобы пользователь видел на страницах банковского приложения «корректную» (по его мнению) сумму. В этом случае информация о подложном платеже полностью скрывается из истории переводов.
Поскольку в России чрезвычайно распространены «коробочные» системы ДБО (iBank, BSS, Inist и др.), работа злоумышленников в части создания модулей «автозаливов» значительно упрощена, полагают в Group-IB. Для написания модуля, функциональность которого покроет сразу десятки банков, достаточно проанализировать работу единственной системы.
Как страховые компании манипулируют с ОСАГО + каско
Финансовый уполномоченный Светлана Максимова выявила недобросовестные практики по смешиванию договоров ОСАГО и каско.
Курсы повышения
квалификации
20
Официальное удостоверение с занесением в госреестр
Рособрнадзора
-
Бухгалтер маркетплейса
72 ак. часа Удостоверение в госреестре ФИС ФРДО9 900 ₽28 600 ₽ -
Управленческий учет: с нуля до настройки в 1С, Excel и Google-таблицах
140 ак. часов Удостоверение в госреестре ФИС ФРДО9 900 ₽24 200 ₽ -
ФСБУ-2024, что бухгалтеру перестроить в работе: Аренда, НМА, ОС, Капвложения, Документооборот, Запасы, Инвентаризация
144 ак. часа Удостоверение о повышении квалификации на 144 ак.ч.9 900 ₽20 900 ₽
Бухгалтеры обсуждают «отмазки» от ведения кадров и воинского учета. 👩💼«Ночной бухгалтер» № 1681
Бухгалтерам нередко навязывают дополнительные обязанности, вроде ведения воинского учета. Клиенты и руководители понимают только слово «учет» и не вникают в специфику. Как отказаться от ненужных забот или... подзаработать на этом.
Акции «Яндекса» начнут продаваться на Мосбирже с 10 июля
Ценные бумаги МКПАО «Яндекс» допустят к торгам с 8 июля, а 10 июля Мосбиржа проведет делистинг акций нидерландской компании Yandex N.V.
-
Новый ФСБУ 4/2023: готовимся к применению
999 ₽1 990 ₽ -
ВЭД:особенности учета и налогообложения в 2024 году
999 ₽1 950 ₽ -
Как отвечать на требования ИФНС
399 ₽1 950 ₽
Неожиданно: отпуск может официально длиться несколько часов
Роструд разъяснил возможность предоставления по ТК отпуска без сохранения заработной платы на несколько часов.
Названы регионы — лидеры по числу сезонных вакансий
Весной работодатели разместили более 14 тысяч различных предложений трудоустройства и вакансий с сезонной занятостью на портале «Работа России».
Готовим пояснения для налоговой инспекции по отчётной кампании
После отчётной кампании проверяющие могут потребовать дать пояснение. У них могут появиться любые вопросы, и, возможно, на них придётся отвечать. А от ответов будет зависеть исход отчётного периода. Разбираемся на практике и примерах, как составлять пояснения.
-
Бухгалтерская отчетность организации - 2024
Сертификат4 900 ₽12 900 ₽ -
Учет и налогообложение в строительстве
Сертификат4 900 ₽18 999 ₽ -
НДС: расчет, декларация, 1С
72 ч. Клерк Сертификат3 690 ₽16 000 ₽
Антон Силуанов остался министром финансов
Силуанов возглавляет Минфин с 16 декабря 2011 года.
Автоюристам могут сократить поле для деятельности
Финансовый уполномоченный Светлана Максимова на конференции «Claims&Pays 2024. Урегулирование убытков в страховании» предложила меры по снижению случаев вовлечения автоюристов в урегулирование споров по ОСАГО.
Стало известно, когда налоговые вычеты станут автоматическими
Для получения вычетов по НДФЛ больше не понадобится собирать справки и другие подтверждающие документы. Налоговая с 2026 года сама рассчитает размер вычета и автоматически переведет нужную сумму.
⚡️ Итоги дня: Вышла новая версия нейросети GPT-4o, депутаты подрались в парламенте Грузии, а Почта России быстрее отправляет посылки
Подготовили обзор главных событий дня — 14 мая 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.
Счетная палата: компании задолжали больше 30 млрд рублей по земельному налогу
Главной проблемой для аудиторов стали земельные участки, которые принадлежат фирмам, исключенным из ЕГРЮЛ.
Криптообменники в Москва Сити: где обменять криптовалюту на наличные рубли
Международный деловой центр «Москва-Сити», расположенный на Пресненской набережной, объединяет в себе зоны отдыха и деловой активности, и именно здесь расположено большинство офисов, в которых можно обменять крипту на наличные, и наоборот.
Дополнительное соглашение к трудовому договору: как его правильно оформить — примеры
При приеме на работу все существенные условия, на которых человек будет трудиться, указывают в трудовом договоре. В процессе работы может возникнуть необходимость их изменить. Разберем, какие условия можно скорректировать, как корректно оформить дополнительное соглашение к трудовому договору.
Госдума готовит закон о маркировке контента от нейросетей
Изображения, тексты, аудио и видео, созданные искусственным интеллектом, могут ввести пользователей в заблуждение. Поэтому депутаты предложили маркировать сгенерированный контент. А если он будет распространяться без маркировки, то материалы заблокируют.
Выпуск КЭП с использованием ЕБС: что это такое, как получить, и зачем нужно
Раньше выпустить квалифицированную электронную подпись удаленно могли только те, у кого был действующий сертификат ЭП. Теперь такая услуга стала доступна новым пользователям — подтвердить свою личность удаленно можно с помощью государственной Единой биометрической системы (ЕБС).
В 2025 году бюджетникам будут платить по-новому. Минтруд запустит пилотный проект
Чтобы фиксированные выплаты бюджетникам были не ниже МРОТ, Минтруд запустит пилотный проект с новой системой оплаты труда. В первую очередь изменения затронут работников из сферы образования и здравоохранения.
Как работодателю законно отказаться от обучения по охране труда
Абсолютно все работодатели обязаны организовать и провести обучение своих работников по охране труда. Это реализуется посредством внутреннего и внешнего обучения, инструктажей нескольких видов и стажировки на рабочем месте.
💡 Большинство компаний из электронной коммерции пользуются искусственным интеллектом. Но не все технологии приживутся, говорит эксперт
Представители сферы e-commerce инвестируют в новые технологии на базе искусственного интеллекта примерно 5% бюджета.
- Бухгалтер по расчету НДСот 100 000 ₽ Москва 5lb
- Бухгалтер в единственном числе с функцией кадровикаот 50 000 ₽ до 50 000 ₽ Удаленно Фактор Продаж
- Главный бухгалтерот 100 000 ₽ до 100 000 ₽ Москва ООО Удача
Цифра дня. Про мотивацию
Самым эффективным способом мотивации сотрудников работодатели считают регулярный пересмотр зарплаты.
Интересные материалы
Над чем будет работать Минтруд ближайшие 6 лет: программа
Антон Котяков выступил перед депутатами Госдумы и представил программу работы Минтруда на ближайшие 6 лет, до 2030 года.
Начать дискуссию