Рост общемирового рынка киберпреступлений в 2010

Киберпреступность в цифрах (2010)

мир – $7 Млрд ;

«русскоязычная» часть – $2,5 Млрд

российский сегмент – $1,3 Млрд

Прогноз на будущее

2011 – $3,7 Млрд

2012 – более $7 Млрд

2013 - ?

«Русская» киберпреступность

Комплект для создания ботнета – 5 000-6 000 $

Аренда серверов – 150-200 $

Заражение 1000 ПК – 20-40 $

Вывод средств – 3-9%

Выход на рынок

Причины роста

Каждая новая «мирная» технология открывает новые

возможности для преступников

Интернет – поголовная информатизация современного общества

Общедоступность компьютерных средств

Развитие ДБО и электронных платежных средств в странах второго

и третьего технического эшелона

Затянувшийся период стагнации мировой экономики («мировой

экономический кризис»)

Легкодоступность средств криминального промысла

Ощущение вседозволенности у новых преступников

Неосязаемость преступления

Развитие мобильной связи

Стирание границ между государствами

Причины развития

Динамика прогресса мошеннических методик

в исторической призме развития фишинга

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид

интернет-мошенничества, целью которого является получение доступа к

конфиденциальным данным пользователей — логинам и паролям.

Этимология термина

Новый тренд (для России)

Краткая история фишинга:

Методика впервые описана в 1987г.

Первое упоминание термина датируется 1996г.

Первый «платежный» фишинг – 2001г.

Новые тренды

США: мировой лидер – лидер по

фишингу

Текущая динамика развития

фишинга в США

- Phishing IRS;

Историческая правка по другим

странам:

Великобритания

Германия

Франция

Ситуация в России:

Первое уголовное дело против

фишера в РФ – 2006 г.

Юрий Сергостьянц

Похищал средства со счетов

американских брокерских

компаний

Признан виновным – 6 лет

условно

Phishing

Русскоязычный фишинг

«Основная проблема в расследовании подобных

преступлений в России заключается в недостатке

специалистов, обладающих достаточными знаниями и

опытом, чтобы довести дело не только до суда, но и до

обвинительного вердикта». Игорь Яковлев - ведущий специалист СК МВД по расследованию

преступлений в сфере компьютерной информации и высоких технологий

Так есть ли выход?

?!

Phishing: есть ли выход?

Сборинформ

ации

озловредных

ресурсах

Анализи

квалификация

потипувредоноса

Отправление

контр-мер

Нейтрализация

Antiphishing

Phishing: решение Group-IB

Источники угроз:

СХОЖИЕ ДОМЕННЫЕ ИМЕНА

РАССЫЛКИ (СПАМ, КЛАССИЧЕСКАЯ ПОЧТА, ТЕЛЕФОННЫЕ

ЗВОНКИ)

SEO СПАМ – ВЫДАЧА В ПОИСКОВИКЕ

ПОИСКОВОЕ ВРЕДОНОСНОЕ ПО – ПОДМЕНА ВЫДАЧИ В

ПОИСКОВИКЕ ЛОКАЛЬНО

ВРЕДОНОСНОЕ ПО – ЗАМЕНА ФАЙЛА HOST И Т.П.

Проактивная борьба

Нейтрализация

вредоносного

к онтента

Анализ и

к валифик ация

по типу

вредоносного

к онтента

К онтр- меры

Group I B

Своевременные обнаружение

и нейтрализация вредоносных ресурсов

в сети Интернет

Создание единой

базы данных по

кибер-

преступлениям

Сбор

информации о

вредоносных

ресурсах

слежение по BINs

Обеспечение

безопасной

работы Интернет

пользователей

Antiphishing

Antiphishing

Определение

целей

Мониторинг

24/7

Обнаруж

ение

скомпром

етированных

данных

Оповещениеи

рекомм

ендации

Anticarder

сбор информации о

скомпрометированных данных

платежных средств;

анализ и квалификация ресурсов по

типу распространяемой

скомпрометированной информации;

мониторинг внутренних баз данных

источников, предлагающих

скомпрометированную информацию на

предмет обнаружения информации о

платежных реквизитах имеющих

отношение к системе информации

клиента;

оповещение клиента с рекомендацией о

блокировке скомпрометированного

платежного средства или реквизитов

доступа к системе ДБО.

Anticarder

Интернет-угрозы брендам

МОНИТОРИНГ 24/7: все источники

информации

Реагирование: 5 минут

Минимизация всех информационных

рисков: от фишинга до публикаций

Расследования и юридическое

сопровождение:

успешные правовые дела по фишингу,

черному PR, киберсквотингу и т.п.

BrandPointProtection

Мониторинг

нелегального использования

торговой марки

Анонимная

контрольная

закупка

Мониторинг

сбыта контрафактной и

серой продукции

Защита деловой репутации

Своевременное

обнаружение и закрытие каналов нелегального

распространения

продукцииУвеличение продаж

Сохранение благополучного

имиджа

Обнаружение и оповещение об источниках

информационных рисков

Brand Monitoring

Непрерывный цикл

мониторинг электронных СМИ, блогов, интернет-

дневников, социальных сетей и форумов, а также

других ресурсов сети Интернет с целью выявления

искаженной информации или информации порочащей

деловую репутацию компании;

мониторинг закрытых хакерских ресурсов на предмет

существующих и новых запросов на услуги, связанные

с угрозой безопасности бренда;

Проактивный мониторинг

мониторинг содержимого веб-сайтов, доменные имена

которых созвучны с наименованием бренда, на предмет

выявления среди них сайтов с нелегальным контентом;

мониторинг нежелательных электронных писем (спама),

содержащих в себе упоминания бренда, с целью

обнаружения зловредных сайтов и ресурсов, созданных

для нанесения репутационного ущерба;

Проактивный мониторинг

динамический мониторинг запросов в поисковых

системах. Помимо текстовых запросов осуществляется

поиск по изображениям, которые связаны с брендом

данной организации и ее сопутствующими сервисами;

мониторинг доменных имен, созвучных и схожих по

написанию с доменным именем данной организации -

для противодействия киберсквоттингу и иному

нелегальному использованию бренда или торговой

марки;

Проактивный мониторинг

мониторинг содержимого веб-сайтов, доменные имена

которых созвучны с наименованием бренда, на

предмет выявления среди них сайтов с нелегальным

контентом;

мониторинг нежелательных электронных писем

(спама), содержащих в себе упоминания бренда, с

целью обнаружения зловредных сайтов и ресурсов,

созданных для нанесения репутационного ущерба;

Проактивный мониторинг

превентивное получение данных из международных

баз зловредных ресурсов и пополнение

соотвествующих фильтров баз данных по сайту с

вредоносным или незаконным контентом;

мониторинг нелегальных публикаций

конфиденциальной информации организации.

Проактивный мониторинг

удаление или замещение контента веб-сайта, негативно влияющего на

репутацию бренда;

удаление с веб-сайтов нелегально размещенной конфиденциальной

информации компании;

закрытие или понижение индекса в поисковых системах веб-ресурсов,

негативно влияющих на репутацию бренда, снятия вовлеченного домена с

делегации;

блокировка работы хостинга, на котором размещен веб-сайт, негативно

влияющий на репутацию бренда;

поиск источника публикации или информационной атаки;

Реагирование и расследование

поиск и привлечение к ответственности лиц, развернувших черную PR-

компанию против бренда, компании или отдельных сотрудников

уведомление специалистов Вашей компании о появлении вредоносного ПО,

направленного на хищение персональных данных, данных кредитных карт,

логинов и паролей платежных систем и другой конфиденциальной

информации, предоставление краткой справки о способах обнаружения

симптомов заражения ПК;

добавление вредоносного ПО в сигнатурные базы производителей

антивирусных средств;

Реагирование и расследование

идентификация злоумышленника, распространяющего данный вредоносный

код, с целью последующего привлечения его к уголовной ответственности на

основании статей УК РФ.

блокировка деятельности нелегальных групп, анкет, блогов и форумов,

действующих от имени компании заказчика;

привлечение к ответственности лиц, создавших и осуществляющих

функционирование данных групп, анкет, блогов и форумов.

прекращение подобных рассылок;

привлечение к ответственности лиц, причастных к проведению подобных

рассылок.

Реагирование и расследование

Своевременное

обнаружение и закрытие каналов нелегального

распространения

продукцииУвеличение

продаж

Сохранение

благополучного

имиджа Своевременное

осведомление и пресечение действий

недружелюбных

социальных элементов

PharmProtect

Мониторинг

нелегального

использования

торговой марки

Анонимная

контрольная

закупка

Мониторинг сбыта

котрафактной и

серой продукции

Мониторинг групп

социальных

экстремистов

PharmProtect

Таблица 1. Сравнение ключевых параметров аналогичных систем западных компаний

Продукт/Параметр

Цен

ова

я п

ол

ити

ка,

адек

ватн

ая з

апр

оса

м

бан

ковс

кого

сек

тор

а Р

Ф

Знан

ие

спец

иф

ики

ро

сси

йск

ого

ки

бер

пр

есту

пн

ого

ми

ра

Знан

ие

спец

иф

ики

су

до

пр

ои

зво

дст

вен

но

й

сист

ем

ы Р

Ф

Кр

угл

осу

точн

ая

рус

ско

язы

чная

те

хни

ческ

ая п

од

дер

жка

Кр

угл

осу

точн

ая

рус

ско

язы

чная

ю

ри

ди

ческ

ая

по

дд

ерж

ка

Пр

ио

ри

тетн

ый

м

он

ито

ри

нг

ро

сси

йск

их

бан

ковс

ких

цел

ей

Вы

езд

к к

ли

енту

эк

спер

та/ю

ри

ста

по

тр

ебо

ван

ию

в т

ече

ни

и 1

2 ча

сов.

Со

отв

еств

ие

отч

ето

в п

о

ин

ци

де

нта

м р

осс

ий

ски

м

зако

но

дат

ел

ьны

м

но

рм

ам

Юр

ид

иче

ско

е

соп

ро

вож

ден

ие

по

и

нц

ид

ен

там

в с

удеб

ны

х и

нст

анц

иях

РФ

Рус

ско

язы

чна

отч

ен

ост

ь

Group-IB

BrandPointProtection

(и Antiphishing.ru)

Да Да Да Да Да Да Да Да Да Да

Phishlabs Да Нет Нет Нет Нет Нет Нет Нет Нет Нет

Markmonitor Нет Нет Нет Нет Нет Нет Нет Нет Нет Нет

RSA Нет Нет Нет Нет Нет Нет Нет Нет Нет Нет

Brandprotect Да Нет Нет Нет Нет Нет Нет Нет Нет Нет

Netcraft Да Нет Нет Нет Нет Нет Нет Нет Нет Нет

Fraud Watch International Да Нет Нет Нет Нет Нет Нет Нет Нет Нет

Конкуренты vs Group-IB

FraudMonitor

FraudMonitor

6 преступных групп

Разработка группировок

CERT-GIB.ru

Domain zone-files:

Базы регистрации

доменных имен

Информация от

заказчика

Hacking/Carding:

Активность

закрытых

сообществ

СПАМ контент и

соответсвующие

ссылки

CERT-GIB: Monitoring

Антифишинговые

фильтры

SEO:

Запросы

поисковых систем

и их результаты

Malware:

конфигурационные

файлы

вредоносного ПО

Блоги, миниблоги,

социальные сети

Файлообменные

сети, торрент-

ресурсы, P2P

CERT-GIB: мониторинг

Остановка работы

хостинг-

провайдера

Оповещение

заинтересованных

сторон

Пополнение

антифишинговых

фильтров

Снятие домена с

делегации

Пополнение

антивирусных баз

Сбор

доказательств для

расследования

CERT-GIB: Response

CERT-GIB: реагирование

FraudMonitor

Malware

Intelligence

System

Forensic Systems

Brand Point

Protection

Cybercop

VIP Proxy Service

"Тенденции Киберпреступности"

(Law Enforcement Edition)

CyberCop

FraudMonitor

Malware

Intelligence

System

Forensic Systems

Brand Point

Protection

(Law Enforcement

Edition)

Cybercop

VIP Proxy Service

"Тенденции Киберпреступности"

(Law Enforcement Edition)

PharmProtect

Malware

Intelligence

System

Antiphishing

AntiCarderVIP Proxy Service

"Тенденции Киберпреступности" (Banking and Finance

Edition)

BrandPointProtection

Полиция и бизнес

kuzmin@group-ib.ru

Вопросы?