تواصل معنا عبر الرسائل أو عبر الهاتف.

whatsapp telegram viber phone email
+79214188555

Alien among your own: how fraudsters recruit bank employees

Демитрий

Private access level
إنضم
12 ديسمبر 2017
المشاركات
422
مستوى التفاعل
451
النقاط
193
الإقامة
г.Ейск, ул.Коммунистическая, 12/1, офис 308
The financial sector is already at the forefront of security fighters. Banks have something to lose, so they take security seriously. The activity of regulators can also be envied. And everything would be fine, but the slack is given by employees: if they do not steal themselves, then they will be caught by crooks. Not only is the default threat, but also inside.
Not my fault, he himself ...

Take the fraud of a hacker group Cobalt . In dry numbers: about 100 financial institutions from 40 countries . The total damage amounted to more than 1 billion euros. According to experts, hackers have been working since 2013, mainly through phishing mailings. In them, scammers pretended to be others and encouraged to launch attachments with viruses. As soon as the recipient agreed, the computer was infected with "copyright" malware, and criminals gained access to the machine. Then they penetrated the bank’s internal network, and there was a lull: scammers studied the institution’s network and the interaction of servers with ATMs. As soon as the preparatory part was completed, a command to issue money was sent to certain ATMs at the right time. Naturally, drops were already waiting nearby, ready to quickly withdraw cash.

In Cobalt attacks, a bank employee most often became the entry point. It was he who, deceived by the methods of social engineering, launched an infected investment, while banks and regulators improved technologies and regulations.

Almost half (48%) of the recipients of phishing emails respond to them and fall into the trap of scammers
By assessment Sberbank, almost half (48%) of recipients of phishing emails respond to them and fall into the trap of scammers. Since the beginning of 2017, the Sberbank security service has identified more than 600 domain names used for phishing, 200 scam sites and 1.3 thousand sites that distribute malicious software. But gullible and insufficiently competent in matters of cyber fraud, people still let criminals to borrow money.

Self-interest - to be

To fall into a trap is not so bad. But as soon as an employee begins to act consciously, the risks of the bank increase. For obvious reasons, this is rarely taken to court: the reputation suffers too much. Nevertheless, there are signs of an internal fraudster in different cases.

For example, in September 2016 in St. Petersburg in just five hours out of four ATMs was stolen 12.6 million rubles. A four-centimeter-diameter hole was discovered at each of the terminals: through it, unknown people connected to the control unit of the ATM and initiated the issuance of 4 million 780 thousand rubles. Identical hacks occurred that night in three more districts of the city, and it would be unlikely that the work of scammers would be so clean without an accomplice inside.

Another story - about hacking a trading system of a bank from Tatarstan - has occurred in February 2015, and, according to the First Deputy Chairman of the Central Bank of the Russian Federation Sergey Shvetsov, there could be a retribution for dismissing an employee. Fraudsters managed to change the exchange rate on the Moscow Exchange, as a result of which the dollar exchange rate for 14 minutes fluctuated by more than 15%: it could be bought at 55 rubles and sold for 62 rubles. Losses of Energobank amounted to 243.6 million rubles.

Metamorphoses: from insider to scammers

People commit crimes for various reasons: someone takes revenge, others earn. But in most cases they are spurred on from the outside, and here are the most popular incentives.

Offer to earn . To get this, you don’t even have to install Tor. Any carding forum that can be found through the search line is full of offers with lengthy wordings “bank employees are required”, “good additional earnings”, “brothers, friends, acquaintances and other intermediaries are not interested”.



Although there are specific requests indicating an interesting bank fraudster and interest for the service. By the way, some forums offer a guarantee service for “honest buyers and sellers”: the guarantor is not responsible for legality, but monitors compliance with the terms of the transaction.



Insiders do not always need qualifications; more often they are looking for “initiative” and “responsible” ones. Manuals and everything you need are provided.



Similarly, bank employees themselves do not disdain to offer services. For example, make plastic cards on scans.



Blackmail . Scammers aimed at breaking banks, unlike classic blackmailers, do not require a ransom, but a work account or a login-password link from a corporate mailbox.

Scammers look for compromising information in stolen databases and in open sources, for example, social networks. Dozens of free parsers are available on the Internet to collect information from the VKontakte social network, including non-public personal data, likes, comments, membership in closed groups, participation in polls, and accounts on other social networks. Paid versions allow you to learn even more, and cost from several hundred to several thousand rubles.

A more sophisticated way is to install spyware on the victim's PC and record fresh dirt. The first Trojan using social engineering methods to collect compromising information was discovered by researchers from Diskin Advanced Technologies in mid-2016. Infected software was distributed through playgrounds and adult sites. Once on the victim’s computer, the trojan also turned on a webcam to record video without the user's knowledge.

Avoiding Recruiting Employees
Common banking practice: first find out about the problem and only after - about betrayal, when the investigation leads to
Common banking practice: first find out about the problem and only after - about betrayal, when the investigation will lead to their own. Although assisting scammers is contrary to security policies, it’s quite difficult to convict an employee of the game on the other side. Among the signs is a change in behavior or purchase that does not correspond to income. Both of them can be skillfully hidden, so it is easier for security services to prevent a problem. Namely: to work with personnel and identify at risk groups:

- employees with problems (debts, offenses, gambling addiction, etc.);
- people who can be blackmailed by “skeletons in the closet” (fetishes, non-standard or taboo sexual preferences, etc.);
- disloyal workers (they can commit a crime to take revenge, restore justice, prove something, etc.).

Some of these people are potentially dangerous. For example, gamblers easily endure the habit of risking work. Others are vulnerable and will go to great lengths to hide their addiction, love affair or other ins and outs. To ignore this means to leave security gaps, although protection tools today can not only detect violations, but also work ahead of them: to predict risks, anticipate people’s actions in certain situations and prevent incidents.
***
Source: Alien among your own: how fraudsters recruit bank employees
 
Original message
Кредитно-финансовая сфера и так в авангарде борцов за безопасность. Банкам есть что терять, поэтому они серьезно подходят к защите. Активности регуляторов тоже можно позавидовать. И все бы хорошо, но слабину дают сотрудники: если не воруют сами, то попадаются на крючок мошенников. Мало того что угроза по умолчанию, так еще и внутри.
Не виноватый я, он сам…

Возьмем махинации хакерской группы Cobalt. В сухих цифрах: пострадали порядка 100 финансовых учреждений из 40 стран. Суммарный ущерб составил более 1 млрд евро. По оценкам экспертов, работали хакеры с 2013 года, в основном — через фишинговые рассылки. В них мошенники выдавали себя за других и побуждали запускать вложения с вирусами. Как только получатель соглашался, компьютер заражался «авторским» вредоносом, и преступники получали доступ к машине. Дальше проникали во внутреннюю сеть банка, и наступало затишье: мошенники изучали сеть учреждения и взаимодействие серверов с банкоматами. Как только подготовительная часть завершалась, определенным банкоматам в нужное время отправлялась команда на выдачу денег. Естественно, рядом уже ждали дропы, готовые быстро забрать наличность.

В атаках Cobalt точкой входа чаще всего становился сотрудник банка. Именно он, введенный в заблуждение приемами социальной инженерии, запускал зараженное вложение, пока банки и регуляторы совершенствовали технологии и регламенты.

Почти половина (48%) получателей фишинговых писем отвечают на них и попадаются на удочку мошенников
По оценке Сбербанка, почти половина (48%) получателей фишинговых писем отвечают на них и попадаются на удочку мошенников. С начала 2017 года служба безопасности Сбербанка выявила более 600 доменных имен, используемых для фишинга, 200 сайтов мошенников и 1,3 тыс. сайтов, распространяющих вредоносный софт. Но доверчивые и недостаточно грамотные в вопросах киберфрода люди по-прежнему пускают преступников к чужим средствам.

Корысти — быть

Попасть в ловушку — полбеды. Но как только сотрудник начинает действовать осознанно, риски банка увеличиваются. По понятным причинам такое редко выносят в суд: слишком сильно страдает репутация. Тем не менее признаки внутреннего мошенника есть в разных делах.

Например, в сентябре 2016 года в Петербурге всего за пять часов из четырех банкоматов было украдено 12,6 млн рублей. На каждом из терминалов обнаружили отверстие диаметром четыре сантиметра: через него неизвестные подключились к блоку управления банкомата и инициировали выдачу 4 млн 780 тыс. рублей. Идентичные взломы произошли той же ночью еще в трех районах города, и вряд ли бы работа мошенников была такой чистой без подельника внутри.

Другая история — про взлом трейдинговой системы банка из Татарстана — произошла в феврале 2015-го и, по словам первого заместителя председателя ЦБ РФ Сергея Швецова, могла быть расплатой за увольнение сотрудника. Мошенникам удалось изменить курс на Московской бирже, в результате чего курс доллара 14 минут колебался более чем на 15%: его можно было купить по 55 рублей и продать за 62 рубля. Потери Энергобанка составили 243,6 млн рублей.

Метаморфозы: из инсайдера в мошенники

Люди идут на преступления по разным причинам: кто-то мстит, другие зарабатывают. Но в большинстве случаев их подстегивают извне, и вот самые популярные стимулы.

Предложение заработать. Чтобы получить такое, даже не придется устанавливать Tor. На любом кардинг-форуме, который найдется через поисковую строку, полно предложений с пространными формулировками «требуются сотрудники банков», «хороший дополнительный заработок», «братья, друзья, знакомые и прочие посредники не интересуют».



Хотя бывают и конкретные запросы с указанием интересного мошеннику банка и процентом за услугу. Кстати, некоторые форумы предлагают гарант-сервис для «честных покупателей и продавцов»: гарант не несет ответственности за законность, но контролирует соблюдение условий сделки.



Квалификация инсайдерам нужна не всегда, чаще ищут «инициативных» и «ответственных». Мануалы и все необходимое предоставляют.



Аналогично не брезгуют предлагать услуги и сами сотрудники банков. Например, изготовить пластиковые карты на сканы.



Шантаж. Нацеленные на взлом банков мошенники в отличие от классических шантажистов требуют не выкуп, а данные рабочей учетной записи или связку «логин — пароль» от корпоративного почтового ящика.

Компромат мошенники ищут в краденых базах данных и в открытых источниках, например социальных сетях. В Интернете доступны десятки бесплатных парсеров для сбора информации из соцсети «ВКонтакте», включая непубличные личные данные, лайки, комментарии, членство в закрытых группах, участие в голосованиях, аккаунты в других соцсетях. Платные версии позволяют узнать еще больше, а стоят от нескольких сотен до нескольких тысяч рублей.

Более изощренный способ — установить на ПК жертвы программу-шпион и записать свежий компромат. Первый троян, использующий методы социальной инженерии для сбора компрометирующих сведений, обнаружили исследователи из Diskin Advanced Technologies в середине 2016 года. Зараженное ПО распространялось через игровые площадки и сайты «для взрослых». Оказавшись на компьютере жертвы, троян в том числе включал веб-камеру, чтобы записывать видео без ведома пользователя.

Как не допустить вербовки служащих
Обычная банковская практика: сначала узнать о проблеме и только после — о предательстве, когда расследование приведет к своим
Обычная банковская практика: сначала узнать о проблеме и только после — о предательстве, когда расследование приведет к своим. И хотя содействие мошенникам идет вразрез с политиками безопасности, уличить сотрудника в игре на другую сторону довольно сложно. Среди признаков — изменение поведения или покупки, не соответствующие доходам. И то и другое можно умело скрывать, поэтому службам безопасности проще предупреждать проблему. А именно: работать с персоналом и определять в группы риска:

— сотрудников с проблемами (долги, правонарушения, игровая зависимость и др.);
— людей, которых можно шантажировать «скелетами в шкафу» (фетиши, нестандартные или табуированные сексуальные предпочтения и проч.);
— нелояльных работников (могут пойти на преступление, чтобы отомстить, восстановить справедливость, что-то доказать и т. д.).

Некоторые из этих людей потенциально опасны. Например, азартные игроки легко переносят привычку рисковать на работу. Другие уязвимы и пойдут на многое, чтобы скрыть зависимость, любовную связь или иную подноготную. Игнорировать это — значит оставлять бреши в безопасности, хотя инструменты защиты сегодня позволяют не просто детектировать нарушения, но и работать на их опережение: прогнозировать риски, предвидеть действия людей в тех или иных ситуациях и не допускать инцидентов.
***
Источник: Чужой среди своих: как мошенники вербуют банковских сотрудников

До нового года осталось