Укол на миллиард долларов: худшие кошмары банков

[ilyaplot]

Всегда в таких постах хочется видеть больше технической информации и меньше рекламной. А пока читается как

У одного человека украли %money%, потому что он недостаточно следил за %security%, а %another_product% не справился с задачей, но у тебя не украдут ничего, если ты купишь %product%.

Мы хотим экшена, мы хотим знать, что центральный банк был взломан с помощью микроволновки с wi-fi или еще что-то. Наверняка, у вас полно таких историй в запасе :)

[seventh]

Скорее всего они не располагают большей информацией, налили воды наполовину очевидной, наполовину прочитанной где-то на эту тему только потому, что тут хоть как-то можно приплести свои продукты.

[Stas911]

А ломали прямо сам терминал, или какую-то систему, подключенную через шлюз?

[Frankenstine]

Насколько я понял отсюда, злоумышленник смог получить SWIFT-доступ одного из банковских работников (хотя вроде бы эта сеть не должна быть доступна из банковской сети), и воспользовавшись доступом отредактировал отклонённые или отменённые транзакции, поменяв назначение и сумму, и отослал их в обработку. При этом несмотря на большие суммы и то, что платежи были отправлены в необычное время (вне штатных часов работы), прошло больше недели прежде чем банк обнаружил, что у него украли деньги.

[Frankenstine]

После изучения таких атак мы считаем, что если бы пострадавшие банки имели подобное решение безопасности на своих терминалах, подключенных к SWIFT, то эти ограбления можно было бы вовремя остановить.

А ваше это «решение безопасности» разрешено к применению на этих терминалах? :) Насколько я понял, терминал это программно-аппаратный комплекс, который производят всего несколько производителей и ставить туда левый софт запрещено. Не говоря уже о том, что даже если поставить ваш софт туда, всё равно этот софт не отличит нормальную транзакцию от подставной, если хакер просто взломал узел перед терминалом (а про взлом самих SWIFT терминалов вроде как никто и не говорил).

[PSecurity]

По поводу терминалов, подключенных к системе SWIFT. На самом деле, это одна из проблем, с которой SWIFT должна столкнуться. Насколько нам известно, они лишь дают определенные рекомендации по таким терминалам, подключенным к этой системе. Конечно, было бы намного лучше, если бы SWIFT выставлял крайне жесткие требования к ним или предоставлял их, чтобы можно было обеспечить максимально возможные меры безопасности. Например, как это делают Mastercard или Visa. Поэтому на таких терминалах может быть установлен Panda Adaptive Defense.

Конечно, лучше, чтобы Panda Adaptive Defense (или другой аналогичный продукт, доступный на рынке) был установлен на всех машинах банка. Это помогло бы предотвратить различные инциденты на более ранних стадиях и более эффективно. В этом случае хакеры не смогли бы скомпрометировать те машины, которые стоят до терминала SWIFT.

Кстати, в некоторых случаях вредоносные программы изменяют легитимный dll, используемый на самом терминале SWIFT, а это означает, что для полноценного проведения ограбления им требовалось запустить вредоносное ПО на самом терминале. Конечно, без другой скомпрометированной машины в банке это вряд ли удалось бы сделать, но и без запуска определенного зловреда на самом терминале им было не обойтись.
Т.е. в идеале Panda Adaptive Defense должен стоять на всех машинах в банке (он может работать параллельно текущему корпоративному антивирусу), включая и сам терминал.

[Tiendil]

с использованием внешнего конфигурационного файла, который не требуется, если данную атаку планируется осуществить только один раз

С чего это не требуется? Внешняя конфигурация даёт гибкость вредоносного кода, поведение которого можно изменять на лету.