بایگانی برچسب: s

دستگیری مغز متفکر Carbanak

سه سال قبل بود که خبر سرقت بیش از یک میلیارد یورو از موسسات مالی کشورهای مختلف توسط تهدیدی به نام Carbanak منتشر شد. حالا اعلام شده که مغز متفکر و رهبر این گروه مجرم با همکاری یوروپل، FBI و پلیس چندین کشور مختلف، در اسپانیا دستگیر شده است. Carbanak از روش های مختلفی برای سرقت پول استفاده می کرد و همین تنوع و پیچیدگی، به علاوه بزرگی مجموع ارقام سرقت شده، آن را به یکی از معروف ترین تهدیدهای چند سال اخیر در حوزه بانکی و مالی تبدیل کرده است.

اشتراک گذاری

بازداشت “عامل توسعه” یا “عامل مقابله” با واناکرای؟

یکی از مهم ترین اخباری که از دیروز در توئیتر و خبرگزاری های بزرگ دنیا منتشر شد، بازداشت Markus Hutchins یک کارشناس مشهور امنیت در خلال حضور در لاس وگاس برای کنفرانس های Blackhat و Defcon بود که به واسطه کشف راه مقابله با توسعه باج افزار WannaCry به شهرت خیلی زیادی رسیده بود. بر خلاف موضوعی که در بعضی منابع فارسی گفته شده، این فرد عامل توسعه واناکرای نیست، بلکه به اتهام مشارکت در توسعه یک بدافزار بانکی به نام kronos دستگیر شده و در صورت اثبات اتهام ممکنه تا ۴۰ سال زندان در انتظارش باشه.

اشتراک گذاری

دو یادداشت من در ماهنامه بانکداری الکترونیک

بدافزارهای بدون رد پا (شماره ۷۷، اسفند ۹۵)

سامانه  های همراه در خطر (شماره ۷۸، فروردین ۹۶)

اشتراک گذاری

درباره برداشت وجه بدون کارت از خودپرداز

تراکنش های بدون کارت با استفاده از خودپرداز، از جمله برداشت و انتقال وجه بدون کارت، سرویسی نسبتاً جدید است که به مشتری اجازه می دهد با استفاده از تلفن همراه و بدون نیاز به کارت، امکان برداشت از حساب را برای خود یا شخص دیگری فراهم کند. صاحب حساب، یک حواله الکترونیکی ایجاد کرده و بانک آن را برای گیرنده ارسال می کند. معمولاً یک رمز هم در این فرآیند تولید و به صاحب حساب داده می شود تا شخصاً برای گیرنده ارسال نماید. گیرنده حواله می تواند با مراجعه به خودپرداز بانک حساب مبدأ و وارد کردن کد حواله مربوطه به اضافه رمز تولید شده در فوق، مبلغ مورد نظر را دریافت کند. طبق این گزارش که در اردیبهشت ۹۵ تهیه شده، بانک های مسکن، اقتصاد نوین، ملت، صادرات و رفاه این خدمت را ارائه می کنند.
آنگونه که در گزارش فوق اشاره شده، در برخی از بانک ها می توان بدون مراجعه به خودپرداز و صرفاً از طریق ورود به یکی از کانال های غیرحضوری مثل بانکداری اینترنتی، این حواله را برای شخص گیرنده صادر کرد. بنابراین یک نفوذگر با دسترسی به حساب اینترنتی قربانی، می تواند امکان برداشت پول نقد از خودپرداز را برای خود یا همدستش فراهم کند. این سناریو دقیقاً برای یک مشتری بانک Chase اتفاق افتاده و Brian Krebs در این گزارش به آن اشاره کرده است. در این سناریو، مشتری تلاش کرده در کشور مکزیک با استفاده از برنامه همراه بانک به حساب خود وارد شود اما موفق نشده و بعد از بازگشت به آمریکا متوجه برداشت نزدیک به ۳۰۰۰ دلار در یک تراکنش از حساب خود شده است. مشخص است که ایرادات مختلفی در نحوه ارائه این خدمت توسط بانک Chase وجود داشته، از جمله بالا بودن سقف حواله مجاز (۳۰۰۰ دلار) و عدم اطلاع رسانی به صاحب حساب، وقتی نفوذگر شماره تلفن همراه جدیدی را به حساب متصل کرده و وقتی آدرس ایمیل متصل به حساب را تغییر داده است. هر چند در بانک های داخلی که این خدمت را ارائه می دهند، موارد مختلفی از جمله سقف تراکنش و … رعایت شده است، با این حال به نظر می رسد آنهایی که صدور حواله برداشت بدون کارت را منوط به مراجعه فیزیکی صاحب حساب به خودپرداز نموده اند، یک قدم از لحاظ امنیتی پیش تر از بقیه عمل کرده اند.

اشتراک گذاری

فایل میزگرد مرکز فابا در باره مدیریت ریسک های بانکی

در تیرماه ۹۵ میزگردی با موضوع مدیریت ریسک در بانک ها در مرکز فابا با حضور دکتر بیات مدیر عامل فابا، دکتر علی آبادی مدیر ریسک بانک پارسیان، مهندس فرهادی مقدم مدیر ریسک بانک انصار، مهندس واقفی مدیر امنیت اطلاعات شرکت خدمات انفورماتیک و من برگزار شد.

فایل این میزگرد که در شماره ۷۰ ماهنامه بانکداری الکترونیک چاپ شده از اینجا قابل دانلود است.

اشتراک گذاری

درس هایی از حمله به بانک مرکزی بنگلادش: هکرها در کمین سوئیفت

این یادداشت در شماره ۶۹ ماهنامه بانکداری الکترونیک (خرداد ۹۵) چاپ شده است (دانلود فایل)

در ماه فوریه گذشته هکرهای ناشناس با ورود به سامانه­ای در بانک مرکزی بنگلادش، نزدیک به ۱ میلیارد دلار تراکنش از مبدأ حساب این بانک در فدرال رزرو نیویورک به حسابهایی در فیلیپین و سریلانکا انجام دادند. تنها چهار تراکنش از تراکنش­های درخواستی این نفوذگران، البته به ارزش ۸۱ میلیون دلار، به صورت موفقیت آمیز انجام شد. مقصد نهایی این وجوه، کازینوهایی در فیلیپین بوده که تا زمان نگارش این متن نه از بازگشت وجوه خبری هست و نه از شناسایی نفوذگران. کازینوهای فیلیپین از قوانین ضد پولشویی مستثنی بوده و در نتیجه مقصد جذابی برای انجام اینگونه فعالیت­های غیرقانونی هستند. بعد از این کازینوها، پول­ها به حساب­هایی در بانک­های بین المللی منتقل شده است. ادعاهای متفاوت  و متناقضی از طرف های درگیر به خصوص بانک مرکزی بنگلادش و سوئیفت منتشر شده که هر یک دیگری را به قصور در این زمینه متهم می­کنند. همچنین اخیراً FBI اعلام کرده که احتمال می­دهد حداقل یک نفر از کارمندان بانک مرکزی بنگلادش در این سرقت سایبری دست داشته اند.  

در حالی که بیش از سه ماه از این رخداد گذشته، هنوز ابهامات متعددی در این زمینه وجود دارد و نتایج تحقیقات طرف­های درگیر به طور کامل منتشر نشده است. در آخرین ساعات نگارش این متن، سخنگوی سوئیفت از کشف دومین بانک قربانی این نوع سرقت آنلاین خبر داده و ضمن هشدار به مشتریان خود تأکید نموده که این دو مورد احتملاً بخشی ازیک کارزار جهانی علیه بانک­ها است که با همکاری شبکه­های نفوذگران بین المللی و همدستی احتمالی افرادی درداخل سیستم بانکی انجام می­شود. سوئیفت بدون اعلام نام بانک دوم که قربانی این نوع حمله شده است هشدار داده که شباهت­های فراوانی بین این مورد اخیر و موضوع بانک مرکزی بنگلادش وجود دارد.   

غلط املایی، منشأ لو رفتن سارقین!

فقط ۸۱ میلیون دلار از یک میلیارد دلار تراکنش درخواستی هکرها در بانک مرکزی بنگلادش انجام شده و بقیه تراکنش­ها توسط بانک مرکزی بنگلادش با همکاری بانک­های واسط، متوقف شد. اما بنگلادشی­ها چگونه به این موضوع پی بردند؟ داستان از این قرار است که هکرها در یکی از درخواست­ها، تراکنشی به مبلغ بیست میلیون دلار به مقصد حساب یک نهاد غیر دولتی در سریلانکا به نام Shalika Foundation ثبت کرده بودند، اما به اشتباه از عبارت Fandation به جای Foundation در این درخواست استفاده شده بود. این غلط املایی، موجب مشکوک شدن کارگزاران Deutsche Bank شد و لذا آنها ضمن تماس با بانک مرکزی بنگلادش، درخواست ارائه توضیح در خصوص این تراکنش را دادند. در نتیجه مجموعه تراکنش­های هکرها شناسایی شد. بعداً مشخص شد که این تشکیلات سریلانکایی اساساً  وجود خارجی ندارد. همچنین فدرال رزرو نیویورک با مشاهده تراکنش­های سنگین به مقصد حساب­های خصوصی، ضمن بررسی آنها از ادامه این روند جلوگیری کرد.

اتهامات علیه سوئیفت

به گزارش رویترز، پلیس بنگلادش سوئیفت را متهم کرده است که سه ماه قبل از سرقت آنلاین ۸۱ میلیون دلار از این بانک، سیستمی را به سوئیفت متصل کرده که بانک را در برابر این حمله آسیب پذیرتر کرده است. بنا به ادعای رئیس اداره تحقیقات جرائم پلیس بنگلادش که مسئولیت راهبری تحقیقات در این زمینه را بر عهده دارد، کارشناسان سوئیفت با اتصال آن به اولین سیستم ساتنا (RTGS) در این بانک، موجب ایجاد این آسیب پذیری شده­اند. وی اضافه کرده که تیم فنی سوئیفت اشتباهات متعددی در اتصال این سیستم بانک به سوئیفت مرتکب شده­اند. یکی از مقامات بانک مرکزی بنگلادش هم ضمن خودداری از ارائه توضیحات بیشتر به دلیل پایان نیافتن تحقیقات، گفته که به نظر می­رسد کارشناسان سوئیفت حتی رویه­های امنیتی خودشان را هم در این پروژه به طور کامل رعایت نکرده اند. گفته شده است که سیستم سوئیفت در بانک مرکزی بنگلادش از راه دور در دسترس بوده و صرفاً با یک پسورد محافظت می­شده است و اتصال آن به شبکه هم از طریق فایروال حفاظت نمی شده است. بانک همچنین اضافه کرده که وظیفه بررسی امنیتی کل سامانه بر عهده خود سوئیفت بوده است.

در همین حال سخنگوی سوئیفت  از هرگونه اظهار نظر در مورد ادعاهای اخیر خودداری کرده و حتی به این پرسش که آیا این پروژه مستقیماً توسط کارشناسان خود سوئیفت یا یکی از طرف های قرارداد آن انجام شده پاسخ نداده است. با این حال مدیر عامل سوئیفت گفته بانک مرکزی بنگلادش مسئول تأمین امنیت سیستم­های داخلی بانک که متصل به سوئیفت هستند بوده و ادعاهای بانک در مورد قصور تیم فنی سوئیفت نادقیق، غلط و گمراه کننده است. وی به بانک­ها هشدار داده که این حمله نه اولین مورد از این نوع حملات بوده و نه احتمالاً آخرین آن خواهد بود. البته یکی دیگر از مقامات بانک مرکزی بنگلادش گفته است که سیستم ساتنا به خوبی و به صورت عادی کار می­کند و بسیاری از کشورها از سیستم سوئیفت به این شیوه استفاده می­کنند، لذا این سیستم به خودی خود ریسکی را متوجه بانکها نمی­کند.

پلیس بنگلادش اعلام کرده که سوئیفت سیستم خود را به همان شبکه­ای متصل کرده که بیش از ۵۰۰۰ کامپیوتر متصل به اینترنت در بانک مرکزی به آن وصل بوده اند. در حالی طبیعتاً سیستمی با این حساسیت باید در یک شبکه محافظت شده و تا حد امکان ایزوله نصب شود. علاوه بر این، به جای استفاده از یک سوئیچ قابل مدیریت با امکانات کنترل دسترسی، از سوئیچی عادی برای اتصال لایه دو سوئیفت استفاده شده است.

بدافزار، ابزار اصلی نفوذ

بنا  به اظهارات پلیس، تیم فنی سوئیفت در طول راه اندازی سیستم یک اتصال بیسیم به سیستم های داخل اتاق مخصوص سیستم های سوئیفت ایجاد کرده بودند که با یک پسورد ساده محافظت می­شده است، اما پس از پایان پروژه این اتصال بی­سیم را قطع نکرده بودند. همچنین درگاه USB یکی از کامپیوترهای متصل به سوئیفت فعال بوده است، در حالی که در سیستم های اینچنینی با حساسیت بالا، غیر فعال کردن درگاه های جانبی برای کم کردن احتمال آلودگی به بدافزار ضروری است.

طبق برخی گزارش­ها، هکرها با استفاده از ضعف­های معمول در بسیاری از شبکه ها به شبکه داخلی بانک راه پیدا کرده­اند و سپس از آنجا با ایجاد تغییرات در نرم افزار Alliance Access هم تراکنش­های مدنظر خود را اجرا کرده و هم شواهد مربوطه را پاک کرده­اند. این نرم­افزار خواندن و نوشتن پیغام­های سوئیفت در سیستم فایل را انجام داده و نیز جزئیات تراکنش­ها را در پایگاه داده اوراکل ذخیره می­کند. هکرها با استفاده از یک بدافزار به صورت هدفمند، کنترل­های جامعیتی انجام شده توسط Alliance را غیرفعال کرده و با ایجاد تغییر در محتوا ترتیب درخواست­های پرداخت، تراکنش­های عادی سیستم را به نفع خود تغییر داده اند. این تغییرات از راه دور از طریق یک شبکه فرماندهی و کنترل بدافزار (C&C) در کشور مصر کنترل می­شده است. به علاوه، هکرها تأییدیه­های انجام تراکنش­های سوئیفت را هم با استفاده از همین بدافزار تغییر داده و مقدیر اصلی تراکنش را در آن وارد می­کردند و سپس در پایگاه داده ذخیر می­کردند تا همه چیز عادی جلوه کرده و بانک نتواند متوجه تغییر تراکنش­های عادی شود.

تحلیل و جمع بندی   

موضوع سرقت از بانک مرکزی بنگلادش با سوء استفاده از سیستم سوئیفت وهمچنین تکرار آن در بانک دیگری که تا زمان نگارش این متن نام آن اعلام نشده نشان می­دهد که احتمالاً یک کارزار هدفمند توسط مجرمان سایبری آغاز شده است که گفته می­شود هکرهایی از چین، پاکستان، فیلیپین، ماکائو و سریلانکا در آن دست دارند. در پایان آموخته­هایی از این ماجرا به شکل خلاصه بیان می­کنیم.

۱-    ساده­ترین اشتباهات در پیکربندی سیستم­ها راه را برای پیچیده ترین نفوذها باز می­کند.

۲-    کنترل دسترسی به شبکه و نرم­افزارها یک عنصر حیاتی در حفظ امنیت سیستم­ها است.

۳-    بخش­بندی شبکه ومحدودسازی ارتباط با سیستم های حساس باید در کلیه سطوح انجام شود.

۴-    هر سیستم نرم افزاری حتی سوئیفت می­تواند دارای آسیب پذیری­ امنیتی باشد، یا با وجود امن بودن خود نرم­افزار، به دلیل نقص در پیکربندی مورد سوء استفاده قرار گیرد.

حفظ امنیت نقاط پایانی (endpoints)  مستقل از دروازه­های ورود و خروج شبکه، اهمیت دارد.

اشتراک گذاری

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت ۸۱ میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز ۱ میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

اشتراک گذاری

بررسی نحوه انتخاب پین کد

یک مطالعه دقیق درمورد رفتار انسان ها در انتخاب پسورد یا پین کد چهار رقمی.

برای کاربران ایرانی، مطالعه میزان تکرار پین کد ۱۳xx احتمالاً نتیجه ای مشابه ۱۹xx در گزارش بالا به دست خواهد داد.

اشتراک گذاری

سرقت از عابر بانک ها با استفاده از سطل زباله

برای آموزش اهمیت امحاء اطلاعات حساس به صورت امن، معمولاً از مثالی استفاده می شود که در آن یک متصدی نظافت، اطلاعات حساس را از برگه های درون سطح زباله یا رسانه ای مثل CD که در سطح زباله انداخته شده، به دست می آورد.

حالا مثال واقعی تری داریم:

متهم که چاره‌ای جز اعتراف و بیان حقیقت نداشت، ضمن معرفی همدست خود بنام حمید . ن ( ۳۰ ساله ) به کارآگاهان گفت: شب ها به همراه حمید به شعبات بانکی مراجعه و نسبت به جمع آوری پاکت های بانکی (در زمان صدورت کارت های عابربانک، در قسمت داخلی پاکت ها رمز اول و دوم حساب ها درج می شود ) اقدام می‌کردیم.

پس از جمع آوری پاکت ها، اقدام به بررسی حساب ها از طریق رمز های اول و دوم می کردیم؛ اگر افراد نسبت به تغییر دادن رمزها اقدام کرده بودند که امکان دسترسی به حساب ها برای ما وجود نداشت اما اگر رمزها تغییر نکرده بود، بلافاصله از طریق تلفن  یا اینترنت نسبت به برداشت پول از حساب ها و واریز پول به حسابی  جعلی ( افتتاح حساب با مدارک سرقتی ) اقدام و نهایتا در کمتر از چند ساعت نیز نسبت به تبدیل پول به طلا و ارز اقدام می کردیم.

محمد در ادامه اعترافاتش، در خصوص وظیفه حمید در این  چرخه برداشت غیرمجاز از حساب مشتریان بانکی نیز به کارآگاهان گفت: وظیفه حمید بررسی حساب ها با استفاده از رمزهای بدست آمده از داخل پاکت ها و انتقال پول ها از طریق خدمات تلفنی یا اینترنتی بانک ها به حساب های جعلی بود.

پس از انتقال پول بلافاصله قبل از مسدود شدن حساب های جعلی، من به صرافی و طلافروشی ها مراجعه و نسبت به برداشت پول از حساب ها اقدام می کردم.

اشتراک گذاری

حمله معکوس به خودپردازها

هکرهای روس روش جدیدی با نام حمله معکوس به خودپردازها (Reverse ATM Attack) را طراحی و اجرا کرده اند که در بخشی از آن از پایانه های فروش (POS) هک شده هم استفاده شده و توانسته اند نزدیک به ۴ میلیون دلار از این طریق برداشت کنند.

 

اشتراک گذاری