Zlorabe elektronskega bančništva

-potek preiskave v praksi-

Bojan Ostanek, SKP Ljubljana

Prijava kaznivega dejanja Dne 26.08.2006 A.B. na PP Ljubljana prijavi, da mu je

nekdo iz bančnega računa odtujil 700.000,00 SIT

Gotovina je bila ukradena iz njegovega e-bančnega računa tako, da je bila znotraj e-banke preko načina WU Money transfer nakazana osebi C.D. v BIH

Oškodovani A.B. zagotavlja, da prenakazila ni opravil sam, saj tega dne sploh ni uporabljal osebnega računalnika, preko katerega dostopa do svojega e-bančnega računa...

?????

Način storitve KD

700.000,00 SITX- certifikat

- geslo

avtentikacija

700.000,00 SIT

He,he..

26.08.2006

g. A.B. g. C.D.

NN storilec

strežnik bankee-račun g. A.B.

"neklasično" kaznivo dejanje

predstavlja:

okolje, v katerem je bilo dejanje storjeno (virtualni svet, informacijski sistem, internet)

znanje storilca in sredstva za izvršitev KD, način storitve?

neznanje organov pregona (policija, tožilstvo, sodišče...- slaba pravna praksa na tem področju)

Zbiranje dokazov - klasične preiskovalne metode

splošna obvestila (TRR, banka, podatki o zneskih, časih transakcij ter prejemniku nakazila) – splošna okoliščine za zapisnik o sprejemu UKO

listine in predmeti (!), pridobljeni od oškodovanca

opravljen razgovor pri skrbniku sistema (banka) oz. kontaktni osebi za informacijsko varnost, pridobivanje dnevniških datotek iz strežnika banke, o dostopih na e-bančni profil oškodovanega

analiza dnevniških zapisov v smislu izsleditve lokacije delovanja storilca ob spornih prenosih (IP naslov - dnevniška datoteka)

pridobivanje informacij o transakciji Western Union

Zbiranje dokazov - nadaljevanje

izdelana kopija trdega diska računalnika oškodovanca za namene nadaljnje forenzične obdelave (zloraba/vdor?)

pridobiti IP naslov, iz katerega je bila iz ošk. računa (na strežniku banke) izvedena sporna transakcija

Nadaljnja preiskava

Po podatkih internet ponudnika je bil IP naslov, iz katerega je bila izvedena sporna transakcija, v kritičnem času dodeljen naročniku E.F.

Pridobljena odredba za preiskavo stanovanja in drugih prostorov, zasežena računalniška oprema in listin, izdelana kopija trdih diskov za nadaljnjo forenzično obdelavo

Način storitve KD

700.000,00 SITX- certifikat

- geslo

avtentikacija

700.000,00 SIT

He,he..

g. A.B. g. C.D.

strežnik bankee-račun g. A.B.

E.F. ?

?

Nadaljnja preiskava

v tem času prejete nove prijave ter obvestila, da se pojavljajo nove zlorabe elektronskega bančništva

v obdobju 10 dni odtujena gotovina iz e-bančnih računov 9 oškodovancev v skupni vrednosti takratnih 11 MIO SIT

ukradena gotovina je bila prenešena na TRR samostojnega podjetnika s.p. iz Ljubljane

prične se intenzivno delo v smeri izvedbe prijetja osumljenega s.p., zaradi kaznivega dejanja Velike Tatvine

Prijetje

dne 18.09.2006 je bil v bančni poslovalnici prijet osumljeni F.G., ko je skušal opraviti dvig gotovine, ki je izvirala iz zlorabe e-bančnega računa zadnjega oškodovanca

osumljenemu je bil ob prijetju zasežen izpolnjen nalog za izplačilo ukradene gotovine, več mobilnih telefonov, osebne izkaznice na tuja imena ter gotovina v znesku 400.000,00 SIT

med preiskavo na domu osumljenega ni bilo najdene računalniške opreme

zaradi suma storitve kaznivega dejanja Velike tatvine po 1. točki 1. odstavka 212 člena KZ v zvezi s 25. členom je bil s kazensko ovadbo in dokazi priveden pred preiskovalnega sodnika

Zoper F.G. je preiskovalni sodnik odredil pripor (kasneje obsojen na 2 leti in 10 mesecev zapora)

Nadaljnja preiskava

F.G.E.H.

164.8.211.18

1 32 54 76 8 9

86.61.124.93212.118.80.185 86.61.74.170neznano

193.77.138.243 86.61.61.249 86.61.38.89 86.61.107.225 193.77.23.79 193.77.230.173 86.61.114.35

bančni strežnik

11.000.000,00 SIT

Forenzični pregled podatkov

v predkazenskem postopku za opisan sklop kaznivih dejanj zaseženih 23 računalnikov, večje število CD/DVD nosilcev ter nekaterih listin

vsi podatki (digitalni dokazi) iz računalnikov so bili zavarovani na način, ki zagotavlja vrednost dokazov na sodišču in hkrati daje možnost strokovnega mnenja tretje osebe

Forenzična obdelava (sicer poteka glede na vrsto posameznega KD) : osnovni podatki o sistemu: strojna oprema, vrsta operacijskega sistema, registrirani uporabniki, čas

namestitve, nameščena programska oprema pregled datotek, ki so nastale pri delovanju sistema (dnevniške datoteke, sistemske datoteke,

delujoči procesi...), kdaj je bil računalnik vključen/izključen, ipd. test z antivirusnim programom (rezultati?!) odkrivanje anomalij, ki so se dogajali na pregledovanem sistemu v času kritičnih transakcij izločanje sumljivih datotek/programov njihova nadaljnja analiza v primernem "izoliranem" računalniškem okolju izločanje/ zavarovanje dokazov (zapisov oz. datotek) iz sistema, izdelava uradnega zaznamka o

pregledu podatkov v digitalni obliki primerjava najdenih sledov z sledovi, najdenimi na ostalih zaseženih računalnikih / ..povezave..

Najdeni dokazi - nadaljevanje

v sistemskih datotekah najdeni zapisi o delovanju nekaterih spornih programov ter zapisi o prenosih sovražnih datotek iz oddaljenih spletnih strežnikov

sovražne datoteke so bile prenešene na sistem pred kratkim, v enem primeru iz slovenskega strežnika internet ponudnika, ki poleg dostopa do interneta ponuja tudi brezplačen prostor na strežniku (~do 10mb)

na podlagi odredbe (ZKP,čl. 149b I.) pridobljeni podatki o tem, kdo in kdaj je spletno mesto kreiral ter podatke oz. zapise o prenosih datotek na/iz navedenega spletnega mesta (hkrati tudi za tujino preko SI-CERT)

pridobljeni podatki so kazali, da je bilo spletno mesto ustvarjeno iz IP naslova, ki je bil v kritičnem času dodeljen fizičnemu uporabniku iz Ljubljane

na podlagi odredbe OS Ljubljana je bila na naslovu opravljena hišna preiskava in zasežena računalniška oprema

Forenzični pregled

Pri pregledu računalnika osumljenega I.J. najdeni sledovi storitve večih kaznivih dejanj, glede obravnavanega primera pa:

najdeni osebni certifikati in osebna gesla vseh oškodovancev spletnega bančništva

najdeni zapisi o izvedbi spornih transakcij najdeni slike oz. "zajemi zaslonov", kjer so vidni dostopi

osumljenega do e-bančnih računov oškodovancev najdeni zapisi o pritiskih na tipkovnico iz osebnih računalnikov

oškodovanih (t.i. keylogger) - datoteka! najdena programska orodja za izvršitev KD (izdelani trojanski

konji)

Način storitve

okužba določenih (dobro obiskanih) spletnih strani, z vnosom t.i. "escape code" zapisa (prikaz!)

ob obisku naš spletni brskalnik kodo (poleg html) prebere in tudi izvrši

v obravnavanem primeru je koda narekovala spletnemu brskalniku, da iz oddaljenega strežnika prenese trojanskega konja, ki se namesti na naš sistem

trojanski konj vpiše v register, da se avtomatično zažene ob vsakem zagonu računalnika ter pošilja signale (tukaj sem!...) na oddaljeni strežnik, katerega vnaprej določi napadalec pri izdelavi trojanskega konja

napadalec se s programom (odjemalcem) neovirano priključi na računalnik preko t.i. stranskih vrat in ima kontrolo nad sistemom

Shema okužbe

hacker

oškodovanec

www.policija.siwww.trojanec.si

Trojanski konj uspešno nameščen

Dostop preko stranskih vrat

Napad – vnos skripte

Izvedba

skripte

virus movie!

Nauk zgodbe...

kaj je z računalniki in osebami (E.F), preko IP katerih so bila izvedena prenakazila?

kako se zavarujemo pred tovrstnimi zlorabami?

(rezultat virustotal.com)

kdo je torej kriv, da se zlorabe elektronskega bančništva lahko zgodijo?

osumljenec, ki je izvedel neupravičene transakcije iz TRR oškodvancev ovaden za 17 KD sostorilstva pri Velikih Tatvinah, 19 KD Neupravičenega vstopa v informacijski sistem ter KD Izdelovanja orodij in pripomočkov za vdor v informacijski sistem.

?VPRAŠANJA?