ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий»

(РОССИЯ)

Особенности производства экспертиз по делам о несанкционированном доступе

к реквизитам банковских карт и систем ДБО

Докладчик: Юрин Игорь Юрьевич

генеральный директор Центра

Основные виды угроз при использовании ЭЦП

• Кража денежных средств через системы ДБО

• Уничтожение конфиденциальной информации

• Отказ в обслуживании при работе с УЦ

• Мошенничество и компрометация с использованием ЭЦП

Последствия НСД к ключам ЭЦП в системах ДБО

• Кража денежных средств со счета организации (в г.Тольятти –

43 000 000 российских рублей одним платежным поручением)

• Уничтожение информации на компьютере пользователя в ходе «заметания следов» преступниками

Осуществление НСД к ПК, подключаемому к ДБО

Весь НСД осуществляется при помощи вредоносных программ, оставляющих свои

следы на ПК. Этапы НСД:• Первичное проникновение• Закрепление своих позиций на ПК• Сбор информации о системе ДБО• Подготовка «путей отхода»• Ожидание поступления денег на счет• Перевод денежных средств• «Заметание следов»

Этапы проведения экспертизы носителей информации

• Обеспечение неизменности данных на исследуемом носителе

• Поиск следов НСД к компьютерной информации (сбора информации)

• Анализ полученной информации

Работа в режиме «только чтение»

Исследуемые носители информации подключаются к компьютеру эксперта в режиме «только чтение» для предотвращения модификации данных в процессе исследования.

Области ПК, хранящие информацию о следах НСД

• индексные файлы ОС Windows (index.dat) - все блоки, включая LEAK;

• системные журналы событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx);

• служебные файлы ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.xml DataColl);

• служебные файлы программ-браузеров (Internet Explorer, Opera, Firefox, Chromium (Google Chrome, Xpom, Yandex.Browser, Chrome OS и тд.));

• кэш виртуальной машины Java;• файлы троянских программ.

Выявление следов первичного проникновения

Адрес, с которого было осуществлено внедрение эксплоита на компьютер пользователя

Выявление следов первичного проникновения

Адреса, с которых было осуществлено внедрение эксплоитов на компьютер пользователя, и даты событий. Снимок экрана специализированной

программы «Forensic Assistant»

Выявление следов сбора информации

Выявление адресов, на которые отправлялась информация с компьютера и получались обновления троянцев. Снимок экрана

специализированной программы «Forensic Assistant»

Выявление следов сбора информации

Примеры обнаруженных отчетов троянских программ Carberp и др. Снимок экрана специализированной программы «Forensic

Assistant»

Выявление следов сбора информации

Выявление файлов с сертификатами ЭЦП. Снимок экрана специализированной программы «Forensic Assistant»

Возможности исследования пластиковых карт

Программа «Forensic Assistant» с версии 1.3.3 распознает карты платежных систем:

• VISA• Master• Maestro• STB• Белкартбанков:• Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк,

БелПромСтройБанк (БПС-Банк), Приорбанк, и др.;• Россия: несколько десятков банков;• Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк,

УкрСибБанк, УкрСоцБанк и др.;• другие страны: несколько сотен банков.

Возможности программы

• Ведение БД считанных дампов карт;• Автоматическое определение банка-

эмитента и характеристик карты;• Проверка корректности информации на

магнитной полосе (соответствие треков друг другу, допустимость реквизитов);

• Поддержка карт-ридеров MSR206 и аналогов, подключенных

через USB и COM-порты.

Спасибо за внимание!

Контактная информация:

E-mail: igor@nhtcu.ru

Телефон +7-917-2011944

Факс +7 (8452) 722-066