Техника противодействия платежному мошенничеству на сети оператора связи

Николай
Гончаров

Аспирант кафедры “Информационная безопасность" МГТУ им. Н.Э. Баумана, эксперт отдела обеспечения информационной безопасности, ПАО “МТС"

Денис
Горчаков

Эксперт по информационной безопасности, АО “АЛЬФА-БАНК"

Текущая обстановка по распространению вредоносного ПО для мобильных устройств

ОС Android занимает лидирующее место на рынке мобильных платформ, с огромным отрывом обгоняя по численности устройств ближайших конкурентов – iOS и Windows Phone. На некоторых рынках доля Android в сегменте мобильных устройств превышает 80% [1]. Развитие технологий и вычислительных мощностей позволило мобильным устройствам приблизиться по функциональности и возможностям к полноценным ПК. Ожидаемо вырос и спектр угроз. Количество мобильных вирусов за последние два года выросло в 10 раз и превысило 12 миллионов [2]. Помимо классических сценариев вывода средств с личного счета абонента сотовой связи через контент-услуги и сервисы мобильной коммерции, все большее развитие получает вредоносное ПО, нацеленное на мобильные сервисы ДБО [2].

Крупнейшие антивирусные лаборатории относят Россию к числу лидеров по распространенности и направленности Android-вирусов. Схожая обстановка по банковским вирусам, в том числе мобильным. В отчете Android Security Report 2015 говорится, что уровень распространения вредоносного ПО в России в 3–4 раза выше среднего.

По сравнению с ОС Android на iOS и WinPhone вредоносные приложения практически отсутствуют. Существует всего несколько примеров, но они пока не получили широкого распространения. Растущая популярность этих ОС заставляет злоумышленников обращать на них внимание. Это подтверждается тем, что в последнее время специалистами по информационной безопасности выявляется множество примеров вредоносных программ под iOS.

Угрозы, исходящие от мобильных вирусов и бот-сетей

Большинство современных мобильных вирусов – полноценные клиенты бот-сетей [3]: статистика, наборы команд, удаленное управление (Head & Headless).

Можно выделить следующие направления, связанные с их вредоносной активностью [4]:

• утечка ПДн, истории переписки;
• рассылка SMS-спама, в том числе в обход мер, принятых в законе о противодействии SMS-спаму;
• фишинговая активность;
• использование зараженных устройств в качестве прокси-серверов;
• кибершантаж и DDoS-атаки, в том числе по нестандартным каналам – звонковый DDoS, атаки вида "Slow HTTP";
• отслеживание истории перемещений конкретного человека;
• хищение средств через сервисы мобильной коммерции и контент-услуги;
• влияние на работу других портативных устройств и техники.

На текущий момент самой актуальной угрозой остается кража денежных средств со счетов абонентов через мобильную коммерцию и контент-услуги. Для противодействия мошенническим схемам необходимо использовать адаптацию отработанных технологий противодействия компьютерным бот-сетям к мобильным угрозам.

Дополнительные функции вредоносного ПО

Большинство развитых вредоносных приложений также содержит функционал, препятствующий не только их самостоятельному удалению пользователем, но и отслеживанию оператором активности через сервисы антифрод-мониторинга, пытаясь максимально достоверно имитировать действия абонента. Наиболее распространены следующие приемы:

• отправка SMS-сообщений с произвольной задержкой по времени, в том числе по возможности с произвольной суммой для обхода настроенных правил и пределов систем мониторинга;
• запрос привилегий администратора устройства и использование интерфейсных уловок для принуждения пользователя на предоставление административных привилегий вирусу;
• осуществление вредоносной активности в зависимости от местоположения абонента на основании Wi-Fi-позиционирования, GPS и данных с базовых станций;
• перехват информации об услугах и балансе лицевого счета абонента, что позволяет злоумышленникам заранее узнать о подключенных сервисах и сумме выводимых средств;
• блокировка звонков на номера контактных центров операторов связи или переадресация таких звонков на другие номера.

Размытие границ ответственности

Совершенство вредоносного ПО для мобильных устройств позволяет мошенникам легко реализовывать сложные схемы, трудно распутываемые ввиду законодательных ограничений – тайны связи, банковской тайны, ограничений на передачу персональных данных. В отличие от служб информационной и экономической безопасности мошенники не ограничены масштабами своей компании: распределяя ресурсы и узлы по различным организациям, они основательно запутывают следы.

Простой вариант перевода средств может выглядеть так: после кражи денег из системы ДБО средства переводятся на счета мобильных телефонов операторов сотовой связи, при этом номер управляющего центра обслуживается другим оператором, затем они выводятся через одну из платежных систем на номера других операторов, а оттуда на пластиковые карты региональных мошенников, предлагающих услуги по снятию и обналичиванию. Для усложнения отслеживания движение части средств может включать дополнительные шаги между отдельными узлами, либо наоборот, они могут быть исключены. Пример подобной схемы приведен на рис. 1.

Данную проблему можно решить путем создания координационного центра, задачей которого будет являться обмен данными о выявленных фродовых схемах, мошеннических номерах, центрах управления мобильными бот-сетями и другой необходимой информацией. Данный центр позволит усовершенствовать существующие средства по борьбе с фродом.

Основа координационного центра – доверенный экспертный центр безопасности, способный коррелировать данные от крупных телекоммуникационных компаний, банков, платежных систем, как показано на рис. 2.

Комплекс по анализу приложений

Для автоматизации процесса расследования данного рода инцидентов было разработано решение, позволяющее отслеживать активность вредоносного ПО, фиксировать попытки отправки данных мошенникам, выявлять центры управления зараженными устройствами, а также счета, номера, "кошельки" и аккаунты, через которые выводятся украденные средства (рис. 3).

Основной частью комплекса является стенд мобильных устройств, на которых имитируются действия реальных пользователей и запускаются приложения. При помощи специальных программных средств происходит анализ их активности. Собранная информация отправляется на сервер и записывается в базу данных, с которой потом работает аналитик через Web-интерфейс.

Основным отличием от подобных систем является то, что анализ происходит на реальных устройствах, а не в виртуальной среде, и не ограничивается по времени. Этот фактор является существенным, т.к. мобильный бот может проявить свою активность не сразу, а спустя длительное время, что зачастую не учитывается в виртуальных эмуляторах, в которых анализ ограничен по времени. Помимо этого, многие вредоносные приложения умеют определять, когда их запускают в эмуляторе, и не выдают своей активности.

Данное решение позволяет уже на раннем этапе обнаружить новые, только формирующиеся бот-сети, нарушить их работу и заблокировать вывод средств.

Данный комплекс может служить основой для дальнейшего создания координационного, экспертного центра безопасности, а собранная информация о бот-сетях поможет выявлять зараженные устройства.

Заключение

Основная цель работы всей системы – оперативный сбор данных, а не реверс-инжиниринг вредоносного ПО, на который тратится множество времени, что существенно влияет на оперативность работы.

Экспертный анализ кода, в том числе анализ поведения в эмуляторе, не обеспечивает полноты собираемых данных ввиду использования создателями вирусов множества динамических параметров, выполняемых в ходе работы приложения.

Мошенники постоянно ищут уязвимые места в логике работы антифрод-решений, подбирая их экспериментальным путем. Разработанный комплекс не зависит от установленных лимитов и может выявить вредоносную деятельность мошеннического приложения на ранней стадии его активности.

По сравнению со стандартными средствами фрод-мониторинга, которые основаны на срабатывании правил и пределов, разработанному решению достаточно разового инцидента для запуска анализа. Оно не призвано заменить системы мониторинга фрод-активности, а может служить дополнительным источником данных и корректировки правил срабатывания.

Несмотря на все прикладываемые усилия по развитию технических средств, законодательные ограничения по обмену данными препятствуют оперативному выявлению и полноценному блокированию мошеннических схем. Ситуацию бы могло решить экстраполирование подобной практики на нескольких операторов, а также создание координационного центра по обмену данными и выявленными фродовыми схемами для совершенствования средств борьбы с мошенничеством. Подобный центр мог бы вписаться в концепцию уже создаваемого центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT).

Литература

1. Лаборатория Касперского. Исследование "Лаборатории Касперского" и ИНТеЛа: Мобильные киберугрозы https://securelist.ru/analysis/obzor/23941/issledovanie-laboratorii-kasperskogo-i-interpola-mobilnye-kiberugrozy/
2. Чебышев Виктор, Унучек Роман. Враг в телефоне. http://securelist.ru/analysis/obzor/25150/vrag-v-telefone/
3. Гончаров Н.О. Современные угрозы бот-сетей // Электронный журнал "Молодежный научно-технический вестник", Эл № ФС 77-51038. – ISSN 2307-0609. Раздел "Информатика и вычислительная техника", http://sntbul.bmstu.ru/doc/734776.html , октябрь 2014 г.
4. Гончаров Н.О. Алгоритм защиты ресурсов телекоммуникационных сетей связи от угроз бот-сетей // Межотраслевой научно-технический журнал "Оборонный комплекс – научно-техническому прогрессу России", № ФС 77-35664. – 2015 г. – №1