Как взламывать банковские счета

— У меня вчера
друг сервак завалил!
— Он что, хакер?
— Он м%d/ к.
( из разговора )
(хотелось чтобы это было не про тебя : )

" Любая задача
выполнима — но
оправдано ли ее выполнение и стоит ли она
затраченных ресурсов ? «
Народная сетевая мудрость 🙂

Что, устали детишки,
считать себя use'верями? И правильно — это в
нашем „ключе“. Свою qualify надо поднимать.
Как? Вершина — взлом пентагона. Но его
столько раз ломали — что уже не интересно. Да
и кому он нужен? Когда Аль Капоне спросили,
почему он грабит банки, он сказал:

„Потому что там лежат
деньги!“.

Умный был мужик, только
пил много:))) Ну так вот — если если есть
желание следовать заветам Великого Вождя (не
пить, а деньги переводить:), то могу помочь. ).
Попутно придется и книжек почитать, и по
сетке полазить, и проклинать дебилов,
которые не хотят ставить на банковские
серваки MustDie! Приступим. Ставить будем W2K (для
предварительной разведки) и Red Hat Linux (или
FreeBSD- система заточена под сетку) — для всей
остальной деятельности. Перво-наперво надо
юзануть по полной ПМ (Partition Magic, а не Пистолет
Макарова:) и создать основной раздельчик
под Linux (до 2Gb) и в расширенном — раздел
подкачки (swap= RAMх2). А как же любимый MustDie'98se? А
никак — поверх ставим W2k Pro — и на вопрос: „Преобразовать
в NTFS?“, ответим :»Yes, of course". Кто
работал с W2k, знает, что система устойчивая и
дядька Билли постарался на славу :). Кстати, а ты
знал, что W2k могет без проблем выполнять
некоторые проги под OS/2 и POSIX? То-то. Когда с
Win'oм будет покончено, будем ставить Красную
Шапку — Red Hat Linux (по-ихнему), или FreeBSD (несколько
лежат на Ftp-серваке Cityline). Ну а если Шапка — то
главное чтоб версия была 6−7. Если регулярно
читаешь « Домашнюю энциклопедию будущих
хакеров» , то значит,
соединение с inet'ом настроить сможешь.
Правда, в Шапке есть прога Kppp —
она сможет сделать все тоже самое только
быстрей.

Ну как? Уже сбегал за
макулатурой к метро? Зачем она тебe? У тя
есть Inet. Запускаешь до боли знакомый, но
приятный, Netscape — и на русский сайт по своему
*Nix'у!

Да, и чуть не забыл! Смени
все Nick'и и открой еще один ящик (e-mail) и
подпишись на рассылки, посвященные
безопасности, «дыркам» в системах,
хакерах и всему подобному в этом ключе. И
нечего всем вокруг рассказывать, что
собираешься банк ломануть — а то далекая
перспектива попасть в места «не столь
отдаленные» может стать
не такой уж «далекой» . 🙁

Прошли годы. (у кул
хацкеров это неделя!) Пора подумать и о
безопасности. А то ребята на «козлике»
тебя навестят:) Так вот, разведку будем
делать сначала из-под W2k . Ставим AtGuard,
заблокировав все, что только возможно:),
шизофренически- маниакальный NetArmor (если
вытерпишь:) и A4Proxy (каскадинг прокси). В A4Proxy
есть раздельчик «Anonimity Rank» — сделай его
15 из 15, пощелкав по check box'ам. Для пущей
секьюрити PGP 6.0.2 (эта версия еще
поддерживает кодирование дисков), качаем
свежих троянов (потрясная штука: SpyTech Shadow Net,
ни 1 антивирус ничего не нашел — не троян все-таки,
а прога удаленного администрирования,
после того как я на себя поставил и клиента
и сервера — www.spytech-web.com)
и заводим сетевой диск на www.xdrive.com ,
куда будем скидывать закодированные
результаты «разведки». Может потом и
приедут ребята на «козле», а ты косишь
под «тупого ламера» — ничего и не знаешь:
"Квейк по сетке — это круто!". Настала
пора выбрать цель, что проще пареной репы —
куда Бог(АltaVista) пошлет. Желательно
англоязычная страна и банк-эмитент
карточек. «Vassisualyi Pupakov Bankos», например.

Пол-дела сделано!
Осталась самая малость. Открыть
пластиковую карточку на
личный долларовый счет,
открыть пяток анонимных счетов в web-банках (через
Aport посмотри) и взломать банк. Не наглей
только — если сумма перевода за раз больше 10
косых и зеленых — банк расскажет о тебе
налоговой!:(. Правда, если карточка VISA GOLD — то
до 25 косых за раз, ну а если счет расчетный —
то все вопросы о наглости отпадают:). Про
взлом *NIX — system «XAKEP» уже писал, а про
разведку — самую малость. Ставим какойнить IPTools,
CyberKit, NetScanTools — кому что нравится. Можно
качнуть в довесок и ISS — всего-то чуть больше
30 метров;) — но прога приятная. Чуть позже
может понадобится SubNet Calculator — если
органически не приемлешь *Nix'ы (зря, кстати!:).
WhoIs — сервайсом выясняем какие адреса
принадлежат банку владеющему страницей. А
дальше — больше. Ребутнувшись для очистки
совести, покурив (соображается лучше — но не
злоупотреблять. ) и «дернув» кофейку
для бодрости — продолжим. С некоторых пор
мне встречаются «голубые гиганты» IBM.
Чтобы увидеть как идет сигнал до банка и
посмотри потери через VisualRoute и сразу все
поймешь — кто дает им роутинг и есть ли там
FireWall. Просканим диапазон адресов и
посмотрим что — где стоит. Вот тебе и адреса
ихние и защита и роутинг! При наличии FW и
роутинга через какойнить IBM — забываешь про
Windows, теперь тебе больше не нужен. Если
ничего ентого нет — все равно забудь и
садись за Шапку (или FreeBSD). Тут начинается самое
интересное. «Грамотные люди» в это
время уже съезжают на другую квартиру,
покупают круглосуточную неогранку и
переходят на макаронно- пельменную диету,
щедро сдобренную кофием:))) (хотя потом все
так делают). Мы сделаем проще. Мой дом- моя
крепость! Но ближе к делу ( в смысле к *NIX'ам).
Спешка почти всегда неоправданна. Нам нужно
MAXIMUM информации. На подготовку рекомендую
не меньше месяца и все это время надо
следить за их сеткой. Будем считать, что IBM
используется у них везде или почти везде и
на защиту они не поскупились (см.
народ. сетевая мудрость:). Пинговать
внутреннюю сеть не имеет смысла (мы уже
вспоминали о маршрутизации). Внутрях у них
есть свой локалдиапазон адресов и
поддиапазоны в нем (еще не определил
границы и поддиапазоны в нем? (опять же
какой к какому отделу относится?). так вот —
рассказываю как. А сканировать надо
обязательно. Желательно вычислить все
подключенные к их сетке машины (интересно
стоит ли у них DHCP?), далее сканируй порты на
каждой из них на наличие сервисов и
вычисляй тип OS (это будет уже большим куском
работы). Аккуратно веди журнал логов, потом
с ним надо будет долго работать. Теперь
немного теории. FTP протокол (RFC 959 —
реализация для IP — сетей) имеет интересную
функцию — возможность создания «proxy»-
соединений с ftp — сервака. Если программная
реализация с ftp — сервера поддерживает ftp —
прокси, то это позволяет тебе, anonimous'у,
подключенному к серверу создать DTP-сервер (Data Transfer Process). Hаша задача
сканирования: после подключения к ftp-
серверу выдаем команду PORT с параметрами IP-
адрес и tcp — порт объекта сканирования. Затем
выполняем LIST — и ftp — server пытается прочитать
текущую директорию на объекте сканирования.
Если порт на объекте скaнирования открыт
получаем ответ: «150» и «226» :))). Если
закрыт: «425 Can't build data connection: connection refused» 🙁 Естесссно, это все делается
не вручную, а пишется скрипт и в цикле
выдаются команды PORT и LIST и меняются номера
портов. Попробуй. Это безопасный метод
сканирования портов + приятная мелочь:
позволяет преодолеть FireWall:))), с чем и имеем
дело. Во-первых: скрываешь свой address, во-вторых
используя внутренний (за FW ftp — сервер)
можешь сканировать контролируемую FW сеть. И
еще — есть одна потрясающая прога, которая
реализует описаное выше + адм удаленных
машин — "Nessus " и лежит она на www.nessus.org .

Читайте также:  Залипает кнопка на джойстике ps4

> Все проги перечисленные в данной статье Вы можете скачать с нашего сайта

Взлом онлайн-банка — получение доступа к денежным счетам граждан с помощью вредоносных программ или мошеннических действий через несанкционированный доступ к системе дистанционного банковского обслуживания (ДБО).

Банки стараются максимально быстро предложить своим клиентам удобные механизмы управления своим счетом, личным кабинетом и максимально удобно организовать финансовое взаимодействие клиентов с их контрагентами. Для этого разрабатываются специальные веб-приложения, которые и позволяют клиентам производить манипуляции со своими активами, хранящимися в банке. Веб-приложения, которые позволяют не только получать справочную информацию по счетам, но и давать банку поручения о движении денежных средств, называются онлайн-банкингом.

Однако скорость, с которой выпускаются новые продукты, может сыграть злую шутку. Если при разработке веб-приложения не было достаточно внимания уделено безопасности, то посторонние злоумышленники вполне могут вмешаться в работу онлайн-банкинга и ограбить компанию-клиента на чувствительные суммы. Таким образом, взлом онлайн-банкинга — это выполнение злоумышленниками несанкционированных транзакций от имени клиента.

При том банк имеет ограниченное влияние на клиента в части обеспечения безопасности. Например, банк не может научить сотрудников клиента правильно хранить пароли от системы онлайн-банкинга или электронные сертификаты, проверять свои компьютеры на вирусы и выявлять другую вредоносную активность. Поэтому в договорах с банком обычно написано, что ответственность за несоблюдение требований безопасности лежит на клиенте, что не позволяет клиентам в случае инцидентов получать возмещение убытков. Поэтому компании и физические лица, выбирая банки с возможностью дистанционного обслуживания через веб, должны проверять какие инструменты защиты банк может вам предоставить.

Классификация и способы

Методы взлома онлайн-банкинга, аналогичны методам взлома любого веб-приложения:

  • Фишинг. Рассылка спама или публикация на форумах ссылок на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки не рекомендуется переходить по прислаемым или опубликованным на посторонних сайтах ссылкам — только прямой набор адреса или переход из закладок с проверкой наличия защищенного режима браузера (использование протокола HTTPS с правильным написанием имени банка в сертификате).
  • Кража личных индентификаторов (личности). В системах веб-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства куки (идентификатора сессии), что при определенных обстоятельствах позволяет злоумышленнику вмешаться в сессию легитимного ранее авторизованного пользователя. Правда, банки сейчас используют достаточно сложные системы аутентификации, использующие различные коды подтверждения. Однако при определенных обстоятельствах они могут быть перехвачены, что позволяет злоумышленникам при определенных обстоятельствах инициировать несанкционированные транзакции. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя и вмешиваются в работу программы-клиента. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
  • Взлом веб-сайта банка. Поскольку онлайн-банк — это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript манипулировать с интерфейсом приложения. Цель такого манипулирования в том, чтобы либо перенаправить деньги на другой счет, либо навязать какие-нибудь посторонние транзакции, либо даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банка после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет классических ошибок веб-приложений.
  • Социальная инженерия. Собственно, злоумышленники могут использовать в том числе и обман, чтобы заставить вас совершить ненужную вам транзакцию. Например, зафиксированы случаи, когда злоумышленники, представившись сотрудниками ИТ-департамента банка, просили сгенерировать «тестовые» транзакции якобы для отладки приложения. При этом даже не обязательно нарушать работу банковского приложения — неподготовленный к такой атаке сотрудник может сделать все самостоятельно без необходимости взлома приложения или перехвата контроля над приложением. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку, но разделять полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен иметь квалификацию в информационной безопасности.
  • DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк. Например, если удалить секретный ключ сертификата, то клиент не сможет подключиться к банку. Вывод из строя веб-сайта обычно используется для скрытия другой атаки, чтобы атакованый клиент не мог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то это повод попытаться проверить состояние своего счета другим способом — возможно ваш клиент заблокирован специальным вредоносом.
Читайте также:  Защита от рекламных и шпионских программ

Жертвы взлома онлайн-банка

Основным объектом воздействия в данном случае является веб-приложение банка — именно его атакуют злоумышленники, пытаясь подделаться под легитимную транзакцию. Однако банки и их сотрудники уже достаточно квалифицированы как в информационных технологиях, так и в ИБ. Поэтому хакеры обычно атакуют слабое звено — клиентов или их компьютеры. В большинстве случаев, это оказывается более эффективно, чем атаковать информационную систему банков. Впрочем, вполне возможна атака на банк через клиента — с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку банка с клиентом.

Пользователю клиента онлайн-банка важно понимать что происходит с приложением, когда совершается транзакция — любые подозрительные действия приложения стоит расценивать как попытку мошенничества. Рекомендуется не вводить идентификационной информации в подозрительные формы, проверять надежность HTTPS-соединения и контролировать вредоносную активность других приложений. Также стоит иметь второй фактор идентификации, не зависимый от веб-приложения, например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

Источники атак на онлайн-банки

Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов, которые таким приложением пользуются. Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений — в основном для показа отдельных страниц. Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются не обязательными расширениями. В частности, куки, которые как раз и предназначены для сохранения информации о сессиях, являются не обязательными для браузеров. В то же время воровство этого идентификатора позволяет злоумышленникам вмешаться в работу приложения и совершать несанкционированные действия — разработчикам сайтов необходимо иметь это в виду при разработке приложений.

При этом средства защиты на стороне банка могут потребовать достаточно больших ресурсов. Даже простой переход всего сайта банка на защищённый вариант протокола HTTPS является сложной задачей, требующей преобразования сайта, не говоря уж о нагрузке, которую создаёт шифрование при его массовом использовании. Традиционно, защищают только наиболее критичные места веб-приложений, а большая часть сайтов банков остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны бы за ними следить.

В то же время всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта — пользователь не может гарантировано определить к какому сайту какое окно относится, что позволяет злоумышленникам открыть поверх сайтов банков собственные запросы идентификационной информации, которые визуально сложно отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом и создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты от манипуляций веб-интерфейсом, и хакерами, придумающими новые методы обхода этих инструментов. Наиболее эффективным инструментом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

Анализ риска

Собственно, защита онлайн-банка нужна с двух сторон — от самого банка и от клиента. Основная цель защиты со стороны банка — выявить и блокировать манипулирование со своим веб-приложением и передаваемым трафиком. Лучше всего для этого использовать защищённый протокол HTTPS, для чего стоит установить обратный прокси, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси также выполняют функции надёжной аутентификации пользователей, идентификации устройств и выполняют функции Web Application Firewall (WAF). Они же могут выполнять задачи балансировки нагрузки, оптимизации загрузки приложения и другие, не связанные прямо с безопасностью, но полезными для оптимизации веб-приложений. Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Лучше если клиент может самостоятельно выбрать для себя наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

Читайте также:  Батарея для ippon back power pro 600

Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса — специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности. Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не использовал, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное. Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

Для клиентов важно обеспечить защиту от вредоносной активности — проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, а лучше вообще из браузера с минимальным набором дополнений, также не лишним будет использование двухфакторно аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Она может быть постороена на разных технологиях — токены, биометрия, смс-коды, OTP. Стоит также каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённый дополнительными параметрами — это позволяет сделать любой браузер. А некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, такой режим у «Лаборатории Касперского» называется «Безопасные платежи». Следует отметить, что клиент отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторнуой аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.

Ох уж этот «Сбербанк», который всегда оказывается в центре различных скандалов и интриг в последнее время. На днях на просторах видеохостинга YouTube появилось крайне необычное видео, в котором один из пользователей всего за 10 секунд сумел взломать банкомат этой организации, который работает на базе операционной системы Windows XP, выпущенной на рынок более 15 лет назад. То, что видит пользователь при работе с этим устройством — это лишь графическая оболочка, под которой скрывается старая и устаревшая ОС.

Как оказалось, абсолютно любой банкомат «Сбербанка» любой желающий может взломать всего за 10 секунд, воспользовавшись особенностью операционной системы Windows XP. На видео видно, как потенциальный хакер пять раз подряд нажал на кнопку «Shift», после чего система предложила ему настроить залипание клавиш. В связи с этим россиянину удалось получить полный доступ к к банкомату, а вернее ОС, на базе которой он работает.

Извлечь деньги из банкомата таким образом нельзя, поскольку для этого используется специальная защищенная среда фирменного ПО, однако вывести любой банкомат «Сбербанка» из строя — запросто. Этого можно добиться путем удаления каких-то расширений или же отдельных файлов, которые нарушают работу всего устройства и фактически выведут его из строя до того момента, пока специалисты банка не переустановят на нем ОС.

Осуществить взлом может любой человек, который в состоянии пять раз подряд нажать на кнопку «Shift» на его клавиатуре. Потенциальный хакер утверждает, что обнаружить эту критическую уязвимость ему удалось совершенно случайно. Когда он обратился в службе «Сбербанка» с просьбой исправить эту проблему, его обращение проигнорировали, хотя к нему он приложил видеоролик с доказательством. С тех пор прошло уже несколько дней, а решать эту брешь в системе защиты никто так и не собирается.

Именно поэтому россиянин, который пользуется услугами «Сбербанка», решил выложить в сеть видеоролик, проливающий свет на то, как любой банкомат этой организации можно взломать всего за 10 секунд, получив полный доступ к операционной системе. Велика вероятность того, что таким образом хакеры и злоумышленники будут устанавливать вредоносное ПО прямо в банкоматы, за счет чего у всех людей, которые вставят в него свою банковскую карту и введут PIN-код, спишутся все денежные средства.

До 22 декабря включительно у всех желающих есть возможность совершенно бесплатно получить спортивный браслет Xiaomi Mi Band 4, потратив на это всего 1 минуту своего личного времени.

Присоединяйтесь к нам в Twitter, Facebook, ВКонтакте, YouTube, Google+ и RSS чтобы быть в курсе последних новостей из мира технологий будущего.