180 likes | 338 Views
Zlorabe elektronskega bančništva -potek preiskave v praksi-. Bojan Ostanek, SKP Ljubljana. Prijava kaznivega dejanja . Dne 26.08.2006 A.B. na PP Ljubljana prijavi, da mu je nekdo iz bančnega računa odtujil 700.000,00 SIT
E N D
Zlorabe elektronskega bančništva -potek preiskave v praksi- Bojan Ostanek, SKP Ljubljana
Prijava kaznivega dejanja Dne 26.08.2006 A.B. na PP Ljubljana prijavi, da mu je nekdo iz bančnega računa odtujil 700.000,00 SIT Gotovina je bila ukradena iz njegovega e-bančnega računa tako, da je bila znotraj e-banke preko načina WU Money transfer nakazana osebi C.D. v BIH Oškodovani A.B. zagotavlja, da prenakazila ni opravil sam, saj tega dne sploh ni uporabljal osebnega računalnika, preko katerega dostopa do svojega e-bančnega računa... ?????
avtentikacija 700.000,00 SIT 700.000,00 SIT Način storitve KD He,he.. X - certifikat - geslo 26.08.2006
"neklasično" kaznivo dejanje predstavlja: • okolje, v katerem je bilo dejanje storjeno (virtualni svet, informacijski sistem, internet) • znanje storilca in sredstva za izvršitev KD, način storitve? • neznanje organov pregona (policija, tožilstvo, sodišče...- slaba pravna praksa na tem področju)
Zbiranje dokazov - klasične preiskovalne metode • splošna obvestila (TRR, banka, podatki o zneskih, časih transakcij ter prejemniku nakazila) – splošna okoliščine za zapisnik o sprejemu UKO • listine in predmeti (!), pridobljeni od oškodovanca • opravljen razgovor pri skrbniku sistema (banka) oz. kontaktni osebi za informacijsko varnost, pridobivanje dnevniških datotek iz strežnika banke, o dostopih na e-bančni profil oškodovanega • analiza dnevniških zapisov v smislu izsleditve lokacije delovanja storilca ob spornih prenosih (IP naslov - dnevniška datoteka) • pridobivanje informacij o transakciji Western Union
Zbiranje dokazov - nadaljevanje • izdelana kopija trdega diska računalnika oškodovanca za namene nadaljnje forenzične obdelave (zloraba/vdor?) • pridobiti IP naslov, iz katerega je bila iz ošk. računa (na strežniku banke) izvedena sporna transakcija
Nadaljnja preiskava • Po podatkih internet ponudnika je bil IP naslov, iz katerega je bila izvedena sporna transakcija, v kritičnem času dodeljen naročniku E.F. • Pridobljena odredba za preiskavo stanovanja in drugih prostorov, zasežena računalniška oprema in listin, izdelana kopija trdih diskov za nadaljnjo forenzično obdelavo
avtentikacija 700.000,00 SIT ? 700.000,00 SIT Način storitve KD He,he.. X - certifikat - geslo E.F. ?
Nadaljnja preiskava • v tem času prejete nove prijave ter obvestila, da se pojavljajo nove zlorabe elektronskega bančništva • v obdobju 10 dni odtujena gotovina iz e-bančnih računov 9 oškodovancev v skupni vrednosti takratnih 11 MIO SIT • ukradena gotovina je bila prenešena na TRR samostojnega podjetnika s.p. iz Ljubljane • prične se intenzivno delo v smeri izvedbe prijetja osumljenega s.p., zaradi kaznivega dejanja Velike Tatvine
Prijetje • dne 18.09.2006 je bil v bančni poslovalnici prijet osumljeni F.G., ko je skušal opraviti dvig gotovine, ki je izvirala iz zlorabe e-bančnega računa zadnjega oškodovanca • osumljenemu je bil ob prijetju zasežen izpolnjen nalog za izplačilo ukradene gotovine, več mobilnih telefonov, osebne izkaznice na tuja imena ter gotovina v znesku 400.000,00 SIT • med preiskavo na domu osumljenega ni bilo najdene računalniške opreme • zaradi suma storitve kaznivega dejanja Velike tatvine po 1. točki 1. odstavka 212 člena KZ v zvezi s 25. členom je bil s kazensko ovadbo in dokazi priveden pred preiskovalnega sodnika • Zoper F.G. je preiskovalni sodnik odredil pripor (kasneje obsojen na 2 leti in 10 mesecev zapora)
Nadaljnja preiskava 1 4 2 3 5 6 7 8 9 bančni strežnik 11.000.000,00 SIT
Forenzični pregled podatkov • v predkazenskem postopku za opisan sklop kaznivih dejanj zaseženih 23 računalnikov, večje število CD/DVD nosilcev ter nekaterih listin • vsi podatki (digitalni dokazi) iz računalnikov so bili zavarovani na način, ki zagotavlja vrednost dokazov na sodišču in hkrati daje možnost strokovnega mnenja tretje osebe Forenzična obdelava (sicer poteka glede na vrsto posameznega KD) : • osnovni podatki o sistemu: strojna oprema, vrsta operacijskega sistema, registrirani uporabniki, čas namestitve, nameščena programska oprema • pregled datotek, ki so nastale pri delovanju sistema (dnevniške datoteke, sistemske datoteke, delujoči procesi...), kdaj je bil računalnik vključen/izključen, ipd. • test z antivirusnim programom (rezultati?!) • odkrivanje anomalij, ki so se dogajali na pregledovanem sistemu v času kritičnih transakcij • izločanje sumljivih datotek/programov • njihova nadaljnja analiza v primernem "izoliranem" računalniškem okolju • izločanje/ zavarovanje dokazov (zapisov oz. datotek) iz sistema, izdelava uradnega zaznamka o pregledu podatkov v digitalni obliki • primerjava najdenih sledov z sledovi, najdenimi na ostalih zaseženih računalnikih / ..povezave..
Najdeni dokazi - nadaljevanje • v sistemskih datotekah najdeni zapisi o delovanju nekaterih spornih programov ter zapisi o prenosih sovražnih datotek iz oddaljenih spletnih strežnikov • sovražne datoteke so bile prenešene na sistem pred kratkim, v enem primeru iz slovenskega strežnika internet ponudnika, ki poleg dostopa do interneta ponuja tudi brezplačen prostor na strežniku (~do 10mb) • na podlagi odredbe (ZKP,čl. 149b I.) pridobljeni podatki o tem, kdo in kdaj je spletno mesto kreiral ter podatke oz. zapise o prenosih datotek na/iz navedenega spletnega mesta (hkrati tudi za tujino preko SI-CERT) • pridobljeni podatki so kazali, da je bilo spletno mesto ustvarjeno iz IP naslova, ki je bil v kritičnem času dodeljen fizičnemu uporabniku iz Ljubljane • na podlagi odredbe OS Ljubljana je bila na naslovu opravljena hišna preiskava in zasežena računalniška oprema
Forenzični pregled Pri pregledu računalnika osumljenega I.J. najdeni sledovi storitve večih kaznivih dejanj, glede obravnavanega primera pa: • najdeni osebni certifikati in osebna gesla vseh oškodovancev spletnega bančništva • najdeni zapisi o izvedbi spornih transakcij • najdeni slike oz. "zajemi zaslonov", kjer so vidni dostopi osumljenega do e-bančnih računov oškodovancev • najdeni zapisi o pritiskih na tipkovnico iz osebnih računalnikov oškodovanih (t.i. keylogger) - datoteka! • najdena programska orodja za izvršitev KD (izdelani trojanski konji)
Način storitve • okužba določenih (dobro obiskanih) spletnih strani, z vnosom t.i. "escape code" zapisa (prikaz!) • ob obisku naš spletni brskalnik kodo (poleg html) prebere in tudi izvrši • v obravnavanem primeru je koda narekovala spletnemu brskalniku, da iz oddaljenega strežnika prenese trojanskega konja, ki se namesti na naš sistem • trojanski konj vpiše v register, da se avtomatično zažene ob vsakem zagonu računalnika ter pošilja signale (tukaj sem!...) na oddaljeni strežnik, katerega vnaprej določi napadalec pri izdelavi trojanskega konja • napadalec se s programom (odjemalcem) neovirano priključi na računalnik preko t.i. stranskih vrat in ima kontrolo nad sistemom
Napad – vnos skripte Izvedba skripte Shema okužbe Dostop preko stranskih vrat Trojanski konj uspešno nameščen virus movie!
Nauk zgodbe... • kaj je z računalniki in osebami (E.F), preko IP katerih so bila izvedena prenakazila? • kako se zavarujemo pred tovrstnimi zlorabami? (rezultat virustotal.com) • kdo je torej kriv, da se zlorabe elektronskega bančništva lahko zgodijo? • osumljenec, ki je izvedel neupravičene transakcije iz TRR oškodvancev ovaden za 17 KD sostorilstva pri Velikih Tatvinah, 19 KD Neupravičenega vstopa v informacijski sistem ter KD Izdelovanja orodij in pripomočkov za vdor v informacijski sistem.